Listas de Control de

Acceso
(ACL)

Qu son las ACL

ACLs:






Condiciones aplicadas al trfico que viaja a travs

de la interfaz del router.
Indican al router qu tipo de paquetes aceptar o
rechazar basndose en condiciones especficas.
Permiten la administracin del trfico y aseguran el
acceso hacia y desde una red.
Se puede crear en todos los protocolos de red
enrutados: IP, IPX ...
Se pueden configurar en el router para controlar el
acceso a una red o subred.

Qu son las ACL

Las ACL se definen segn el protocolo, la

direccin o el puerto.

Para controlar el flujo de trfico en una interfaz:




Se debe definir ACL para cada protocolo enrutado

habilitado
Se necesita crear ACLs por separado para cada
direccin del trfico, una para el trfico entrante y
otra para el saliente.

Qu son las ACL

Razones para crear ACLs:





Limitar el trfico de red y mejorar el rendimiento de la

red: Por ejemplo, restriccin de video
Brindar control de flujo de trfico. P.e: restringir el envo
de actualizaciones de enrutamiento.
Proporcionar nivel bsico de seguridad para el acceso a
la red.

Si ACL no estn configuradas en el router:



Todos los paquetes tendrn acceso a todas las partes de

la red.

Funcionamiento de las ACL

siguiente

Tipos de ACLs

Tipos de ACLs

ACL Estndar

Verifican direccin origen de los paquetes IP.

Permiten o rechazan el acceso a todo un conjunto

de protocolos, segn las direcciones de red, subred o
host origen

Las ACL estndar no especifican las direcciones

destino, de modo que se deben colocar lo ms cerca
posible del destino.

Creacin de ACLs Estndar

1. Ingresar al modo de configuracin global.
Router(config)#
2. Decidir nmero de la ACL que identifique que es
estndar (1-99 o 1300-1999)
3. Ingresar sentencias de ACL utilizando comando
access-list, con los parmetros necesarios.
Router(config)#access-list nmero-lista {deny | permit |
remark} direccin-origen [wildcard ] [log]

Mscara Wilcard.

Cantidad de 32-bits: cuatro octetos de 1s y 0s.

Se compara contra una direccin IP.
1 y 0 identifican cmo tratar los bits de la
direccin IP



0: Comprueba el valor del bit correspondiente

1: Ignora ignora el valor del bit correspondiente

1s y 0s filtran direcciones IP individuales o en

grupos, permitiendo o rechazando el acceso a
recursos segn el valor de las mismas.
Ejemplo:

Mscara Wilcard.
128 64 32 16 8

Valor de direccin y posicin

en el octeto de cada bit
Ejemplos

0 =

Comprobar todos los bits

de direccin

1 =

Ignorar los ltimos 6 bits

de direccin

1 =

Ignorar los ltimos 4 bits

de direccin

0 =

Comprobar los ltimos 2

bits de direccin

1 =

No Comprobar la
direccin (ignorar los bits
del octeto

Mscara Wilcard.
Access-list 1 permit 172.16.0.0 0.0.255.255
1 01 011 00 0 00 100 00 0 00 000 00 0 00 000 00
0 00 000 00 0 00 000 00 1 11 111 11 1 11 111 11
1 01 011 00 0 00 100 00

Paquete entrante: 172.18.4.2

1 01 011 00 0 00 100 10 0 00 001 00 0 00 000 10
1 0 1 0 1 10 0 0 0 0 1 0 0 1 0

Paquete descartado

Mscara Wilcard.

Palabras claves especiales utilizadas en las ACL:

Any:



Reemplaza la direccin IP con 0.0.0.0 y la mscara

wildcard por 255.255.255.255.
Esta opcin concuerda con cualquier direccin con la
que se la compare.

Host:




Reemplaza la mscara 0.0.0.0.

Esta mscara necesita todos los bits de la direccin ACL
y la concordancia de direccin del paquete.
Esta opcin slo concuerda con una direccin.

Creacin de ACLs Estndar

Remark:




Similar a un comentario
Facilita entendimiento de la ACL.
Limitado a 100 caracteres.

access-list 1 remark Permit only Jones workstation

access-list 1 permit 171.69.2.88

Creacin de ACLs Estndar

4. Asignar la lista a la interfaz apropiada:

Usar el comando ip access-group.

Especificar ubicacin entrante o saliente de la
ACL




Entrante: filtra el trfico que entra por una interfaz

Saliente: filtra el trfico que sale por una interfaz
Para decidir si ACL es entrante o saliente, mire las
interfaces como si se observara desde dentro del
router

Creacin de ACLs Estndar

Router(config)#ip access-group {nmero-listaacceso | nombre-lista-acceso} {in | out}

Recordar:




Sentencias se procesan de forma secuencial

hasta que se encuentre una concordancia.
Si no hay concordancia, se rechaza el paquete.
Hay un deny any (denegar cualquiera) implcito
al final de todas las ACLs.

Creacin de ACLs Estndar

Reglas bsicas a la hora de crear ACLs



Deben filtrar desde lo particular a lo general:




Primero filtrar hosts especficos

Luego grupos (filtros generales).

Primero se examina la condicin de concordancia.

El permiso o rechazo se examina SLO si la
concordancia es cierta.
Nunca trabaje con una ACL que se utiliza de forma
activa.
Siempre, las lneas nuevas se agregan al final de la
lista de acceso.

Creacin de ACLs Estndar

Reglas bsicas a la hora de crear ACLs (2)





El comando no access-list x elimina la lista X.

No es posible agregar y quitar lneas de manera
selectiva en las ACL numeradas.
Los filtros salientes no afectan al trfico que se
origina en el router local.

ACL Estndar

Eliminar ACL estndar:

Router(config)#no access-list nmero-lista-acceso

ACL Extendida

Utilizadas con ms frecuencia que las estndar

porque ofrecen un mayor control.
Verifican: Direcciones origen y destino de
paquetes, protocolos y nmeros de puerto.
Mayor flexibilidad para establecer qu verifica la
ACL.
Sintaxis es engorrosa.
Se utilizan tambin las palabras any y host
Regla General: Aplicarlas lo ms cerca posible al
origen.

ACL Extendida
access-list nmero-lista-acceso {deny | permit} protocolo ip-origen
wildcard-origen ip-destino wildcard-destino operador
puerto-o-nombre-de-aplicacin

Protocolo:



Nombre o nmero de un protocolo de Internet: eigrp, icmp,

igrp, ip, tcp, udp, ...
Para referirse a cualquier protocolo de Internet utiliza palabra
clave ip

ACL Extendida

Operadores lgicos: eq, neq, gt, lt

ACL Extendida
Algunos nmeros TCP/UDP reservados

Nmero Puerto
20
21
23
25
69
80

Descripcin
ftp-data
ftp
telnet
Smtp
Tftp
http

Ubicacin de las ACL

Importante

Si las ACL se colocan en el lugar correcto:



Filtran el trfico
Toda la red se hace ms eficiente.

Regla:



Colocar ACL extendidas lo ms cerca posible del

origen del trfico denegado.
Las ACL estndar no especifican las direcciones
destino, de modo que se deben colocar lo ms cerca
posible del destino.

Creacin de ACLs Extendidas

1. Ingresar al modo de configuracin global.
Router(config)#
2. Decidir nmero de la ACL que identifique
que es estndar (100-199 o 2000-2699)
3. Ingresar sentencias de ACL utilizando
comando access-list, con los parmetros
necesarios.

Creacin de ACLs Extendidas

4. Asignar la lista a la interfaz apropiada:

Usar el comando ip access-group.

Especificar ubicacin entrante o saliente de la
ACL




Entrante: filtra el trfico que entra por una interfaz

Saliente: filtra el trfico que sale por una interfaz
Para decidir si ACL es entrante o saliente, mire las
interfaces como si se observara desde dentro del
router

Verificacin de las ACLs.

show ip interface:


show access-lists:



Muestra informacin de la interfaz IP e indica si se

ha establecido alguna ACL.
Muestra el contenido de todas las ACL en el router.
Para ver una lista especfica, agregue el nombre o
nmero ACL como opcin a este comando.

show running-config


Muestra las listas de acceso en el router y la

informacin de asignacin de interfaz.

Ejercicios
Crear ACL estndar que
deniegue el trfico desde el
host 192.5.5.25 a la red
210.93.105.0 pero permita
el trfico desde todos los
dems hosts. Escrbala de
3 formas. Dnde se debe
aplicar?

Ejercicios

Router(config)# access-list 22 deny 192.5.5.25 0.0.0.0

Router(config)# access-list 22 permit any

Router(config)# access-list 22 deny host 192.5.5.25

Router(config)# access-list 22 permit any

Ejercicios

Crear una lista de acceso que impida que el host 192.5.5.148 acceda a
un sitio web ubicado en 210.93.105.50. Dnde se debe ubicar esta ACL?

Ejercicios

access-list 100 deny tcp 192.5.5.148 0.0.0.0 210.93.105.50 0.0.0.0 eq 80

access-list 100 permit tcp any any

Ejercicios

Qu hace la anterior ACL?

Escriba los comandos que aplican la ACL del diagrama

Ejercicios

Router2(config)# interface ethernet 0

Router2(config-if)# ip access-group 10 out

Ejercicios

Qu hace la siguiente lista de acceso?.

access-list 111 deny tcp 204.204.7.89 0.0.0.0 196.6.13.254 0.0.0.0 eq 21

access-list 111 permit tcp any any

Escriba los comandos que colocan esta ACL en la ubicacin correcta?

Ejercicios

Router2(config)# interface fa0/0

Router2(config-if)# ip access-group 111 in

Ejercicios
Se introdujeron los siguientes comandos en un router:
Router(config)# access-list 2 deny 172.16.5.24
Router(config)# access-list 2 permit any
Qu se puede concluir acerca de este conjunto de comandos?
Las sentencias de la lista de acceso estn mal configuradas
Se denegar acceso a todos los nodos en 172.16.0.0 cuando se
apliquen estas sentencias.
Se asume la mscara wildcard por defecto, 0.0.0.0.
Se asume la mscara wildcard por defecto, 255.255.255.255

Ejercicios
Suponiendo que la ACL se aplica correctamente a una interfaz, qu efecto
tiene la ACL en el trfico de red?
Se deniega el acceso ftp del host 192.168.15.4 a cualquier destino, pero se
permite todo el acceso restante
Todo el trfico ftp al host 192.168.15.4 se denegar
Todo el trfico desde esa interfaz se denegar
No se denegar ningn trfico porque no existe una sentencia de "permit"
en esta ACL

Ejercicios

Suponiendo que la ACL se aplica correctamente a una interfaz, qu efecto

tiene la ACL en el trfico de red?
Todo el trfico a la red 172.16.0.0 se denegar
Se permitir todo el trfico TCP hacia y desde la red 172.16.0.0
Se denegar todo el trfico telnet desde la red 172.16.0.0 a cualquier
destino
Todo el trfico de puerto 23 a la red 172.16.0.0 se denegar
Todo el trfico desde la red 172.16.0.0 se denegar a cualquier otra red

ACL Nombradas

Introducidas en el Cisco IOS Versin 11.2

Permiten que ACL extendidas y estndar tengan
nombres en lugar de nmeros.
Ventajas de ACLs nombradas:





Identifica ACL usando un nombre alfanumrico.

No limita nmero de ACL nombradas configuradas.
Tienen la capacidad de modificar las ACL sin tener que
eliminarlas y luego reconfigurarlas.
Permiten eliminar sentencias pero slo permiten que las
sentencias se agreguen al final de la lista.

ACL Nombradas

Tener en cuenta:





ACL nombradas no son compatibles con versiones

de Cisco IOS anteriores a la versin 11.2.
No se puede utilizar el mismo nombre para varias
ACL.
Se crean con el comando ip access-list.

Acceso a Terminales Virtuales

ACLs extendidas y estndar se aplican a paquetes que

viajan a travs de un router.
No diseadas para bloquear paquetes que se originan
dentro del router.
Una lista de acceso extendida Telnet saliente, por
defecto no impide las sesiones Telnet iniciadas por el
router.

Acceso a Terminales Virtuales