Cap 9.

Listados de Acceso
Volver a: [Manual Cisco CCNA]
Este captulo inicia al lector en la Configuracin Bsica de Listas de Acceso (Access List) en un Router Cisco, con el fin de iniciar al lector en las configuraciones bsicas de seguridad con routers Cisco. Introduce aspectos como las Listas de Acceso, y se muestran mltiples ejemplos de Listas de Acceso, tanto con TCP/IP como con otros protocolos como IPX y AppleTalk. No se incluye informacin para realizar configuraciones complejas de Routers Cisco, pues el nivel de este artculo es introductorio para realizar una Configuracin Bsica de un Router Cisco y conocer algo el IOS. A continuacin se puede acceder al contenido del las distintas partes del captulo de Listados de Acceso del Manual Cisco CCNA:

Introduccin Ejemplo. Bloquear el trfico de una red externa Ejemplo. Bloquear el trfico de un host Ejemplo. Bloquear el trfico de una subred Listas de Acceso vty Ejemplo. Permitir establecer sesiones telnet a dispositivos 192.89.55.0 Crear Listas de Acceso Extendidas Ejemplo. Denegar trfico FTP desde una subred a otra Listas de Acceso IP con nombre Ejemplo. Denegar el trfico telnet desde una subred especfica Crear Listados de Acceso IPX Estndar Crear Listados de Acceso IPX Extendidos Verificacin/Visualizacin de listas de acceso IPX Crear Listados de Acceso AppleTalk Estndar

Introduccin
Los listados de acceso aaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router, siendo un listado secuencial de condiciones de permiso o prohibicin que se aplican a direcciones Internet o protocolos de capa superior. El uso ms habitual de las listas de acceso es para el filtro de paquetes, aunque tambin se utilizan para separar el trfico en diferentes colas de prioridad, y para identificar el trfico para activar las llamadas en el enrutamiento bajo demanda (DDR). Las listas de acceso no actan sobre los paquetes originados en el propio router, como las actualizaciones de enrutamiento o las sesiones Telnet salientes. Hay dos tipos generales de listas de acceso:

Listas de Acceso Estndar. Comprueban nicamente las direcciones de origen de los paquetes que solicitan enrutamiento. Opera en la capa 3.

Listas de Acceso Extendidas. Comprueban tanto la direccin de origen como la de destino en cada paquete. Tambin pueden verificar protocolos especficos, nmeros de puerto y otros parmetros. Opera en las capas 3 y 4.

Las listas de acceso pueden aplicarse de las siguientes formas:

Listas de Acceso de Entrada. Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. Resulta ms eficaz dado que evita la sobrecarga asociada a las bsquedas en las tablas de enrutamiento. Listas de Acceso de Salida. Los paquetes entrantes son enrutados a la interfaz de salida y despus son procesados por medio de la lista de acceso de salida antes de su transmisin.

Las instrucciones de una lista de acceso operan en un orden lgico secuencial. Si la cabecera de un paquete se ajusta a una instruccin de la lista de acceso, el resto de las instrucciones de la lista sern omitidas, y el paquete ser permitido o denegado. El proceso de comparacin sigue hasta llegar al final de la lista, cuando el paquete ser denegado implcitamente. La implicacin de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. Cuando se descarta un paquete, ICMP devuelve un paquete notificando al remitente que el destino es inalcanzable. Debido a que las listas de acceso se procesan de arriba a abajo hasta que se encuentra una condicin verdadera, si coloca las pruebas ms restrictivas y frecuentes al comienzo de la lista, se reducir la carga de procesamiento. Hay una instruccin final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores, mediante el cual todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados. Debido a dicha condicin, es necesario que en toda lista de acceso exista al menos una instruccin permit; en caso contrario, la lista bloqueara todo el trfico. Otra solucin sera finalizar el listado de acceso con una condicin de permiso implcito de todo. Un listado de acceso puede asociarse a una o varias interfaces. De hecho, se puede asociar el mismo listado de acceso a una interfaz para que filtre los paquetes entrantes y a otra interfaz para que filtre los paquetes salientes. Sin embargo, slo puede asociarse un nico listado de acceso a cada interfaz, para cada protocolo. Es decir, podemos tener un listado de acceso IP y otro IPX para la misma interfaz, pero nunca dos listados de acceso IP. Utilice los nmeros de listas de acceso dentro del rango definido por Cisco para el protocolo y el tipo de lista que va a crear. Lista de Acceso IP Estndar IP Extendida IP Con nombre IPX Estndar IPX Extendida Rango numrico 1 a 99 100 a 199 Nombre (Cisco IOS 11.2 o posterior) 800 a 899 900 a 999

IPX Filtros SAP IPX Con nombre

1000 a 1099 Nombre (Cisco IOS 11.2F o posterior)

Construir un listado de acceso se limita a especificar un conjunto de condiciones permit y deny que forman el propio listado. Necesitar crear la lista de acceso antes de aplicarla a una interfaz. La comprensin de los comandos de configuracin de listas de acceso se reduce a dos elementos generales:

El comando de configuracin global access-list aade condiciones a una lista de acceso. El comando de configuracin de interfaz ip access-group activa una lista de acceso IP en una interfaz.

Puede ser necesario probar condiciones para un grupo o rango de direcciones IP, o bien para una direccin IP individual. Por esa razn, debe haber algn mtodo de identificar cules son los bits de una direccin IP dada que deben ser verificados, para lo que se utilizan mscaras comodin (wildcards), tambin conocidas como mscaras de subred inversas, en las direcciones de la lista de acceso.

Un bit de mscara a 0 significa comprobar el valor del bit correspondiente. Un bit de mscara a 1 significa ignorar el bit correspondiente.

Por lo tanto, para establecer un filtro para la subred 200.90.20.0/24 utilizaremos una mscara comodn de 0.0.0.255. En caso de una direccin de nodo, utilizaremos la mscara comodn de 0.0.0.0, o la reemplazaremos por la palabra clave host. Otra condicin habitual es la mscara 255.255.255.255 para indicar todo, que puedereemplazarse por la palabra clave any, como sera permit any o deny any. Conforme se vayan creando instrucciones para un determinado listado de acceso, se irn agregando al final de la lista. Puede consultar el listado de acceso ejecutando el comando show access-list [#listado]. Utilizando show access-list sin parmetros, se muestran todos los listados de acceso del router. Tambin suele ser til el comando show ip interface, ya que muestra informacin de la interfaz IP e indica si se ha configurado alguna lista de acceso para dicha interfaz, as como si se ha configurado en modo entrante o saliente. No se permite eliminar una nica condicin de una lista de acceso, por lo que si nos fuera necesario alterar una lista de acceso, deberamos eliminarla y volverla a crear. En primer lugar debemos desasociar la lista de las interfaces mediante el comando de configuracin de interfaz no ip access-group en la interfaz deseada. A continuacin, introduzca el comando de configuracin global no access-list [#listado]. La prctica recomendada consiste en crear las listas de acceso en un servidor TFTP usando un editor de texto y descargarlas despus en el router va TFTP. Como alternativa puede usar un emulador de terminal o una sesin telnet en un PC para cortar y pegar la lista de acceso en el router desde el modo de configuracin.

Ejemplo. Bloquear el trfico de una red externa

Config t

Access-list 1 permit 172.16.0.0 0.0.255.255 Interface Ethernet 0 Ip access-group 1 out Interface Ethernet 1 Ip access-group 1 out

Ejemplo. Bloquear el trfico de un host

Config t Access-list 1 deny 172.16.4.13 0.0.0.0 Access-list 1 permit 0.0.0.0 255.255.255.255 Interface Ethernet 0 Ip access-group 1 out

Ejemplo. Bloquear el trfico de una subred

Config t Access-list 1 deny 172.16.4.0 0.0.0.255 Access-list 1 permit any Interface Ethernet 0 Ip access-group 1 out

Listas de Acceso vty

Las listas de acceso no bloquean los paquetes originados por el propio router. Por razones de seguridad, se puede denegar a los usuarios acceso vty al router, o bien permitir el acceso vty hacia el router, pero denegar el acceso a otros destinos desde el router. Normalmente, se establecen las mismas restricciones en todas las lneas de terminal virtual, ya que nunca se puede controlar la vty que recibir la conexin telnet de un usuario. Utilice el comando line vty {# | rango_vty} para colocar el router en modo de configuracin de lnea. Utilice el comando access-class [#listado] {in | out} para enlazar una lista de acceso existente a una lnea o rango de lneas de terminal.

In impide que el router pueda recibir conexiones telnet desde las direcciones de origen que aparecen en el listado. Out impide que los puerto vty del router puedan iniciar conexiones telnet a las direcciones definidas en la lista de acceso estndar. Tenga en cuenta que la direccin de origen especificada en la lista de acceso estndar se considera como una direccin de origen cuando se usa access-class out.

Ejemplo. Permitir establecer sesiones telnet a dispositivos 192.89.55.0

Access-list 2 permit 192.89.55.0 0.0.0.255

Line vty 0 4 Access-class 2 in

Crear Listas de Acceso Extendidas

La creacin de listas de acceso extendidas es igual que para listas estandar, salvo la sintaxis utilizada en el comando access-list, que nos permite un mayor conjunto de posibilidades. Access-list [#listado] {permit | deny} protocolo IPorigen mascara [puerto] IPdestino mscara [puerto] [established] [log] El valor protocolo puede ser IP, TCP, UDP, ICMP, GRE, o IGRP. El valor puerto puede ser lt (menor que), gt (mayor que), eq (igual a), o neq (distinto de) y un nmero de puerto del protocolo. Especificar el valor log, supone que se enve un mensaje de registro a la consola.

Ejemplo. Denegar trfico FTP desde una subred a otra

Access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 Access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 Access-list 101 permit ip any any Interface Ethernet 0 Ip access-group 101 out

Listas de Acceso IP con nombre

Las listas de accesso IP con nombre se identifican mediante cadenas alfanumricas en lugar de nmeros. Las listas de acceso con nombre no son compatibles con versiones IOS anteriores a la 11.2. Con las listas de acceso IP numeradas, el administrador que desee modificar una de estas listas tendra que borrar primero la lista de acceso numerada y volver a introducirla de nuevo con las correcciones necesarias. Las listas de acceso con nombre permiten eliminar entradas individuales, pero sin embargo no es posible insertar elementos selectivamente en la lista. Los elementos que se agreguen se colocan siempre al final. As, las listas con nombre son tiles en los siguientes casos:

Cuando se desea identificar intuitivamente una lista de acceso. Cuando se hallan utilizado todas las listas numeradas.

Para crear una nueva lista de acceso con nombre, siga los siguientes pasos: 1. Entre en el modo de configuracin de lista de acceso, con el siguiente comando: Ip access-list {standard | Extended} nombre 2. En el modo de configuracin de listas de acceso, teclee las condiciones que

desee mediante los comando permit y deny. Para eliminar una instruccin individual, anteponga la palabra no a la instruccin permit o deny. 3. Aplique la lista de acceso a una interfaz, mediante el comando ip access-group nombre {in | out}.

Ejemplo. Denegar el trfico telnet desde una subred especfica

Ip access-list extended screen Deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Permit ip any any Interface Ethernet 0 Ip access-group screen out

Crear Listados de Acceso IPX Estndar

Los listados de acceso bsico IPX pueden aceptar o rechazar paquetes de acuerdo con las direcciones IPX de origen y de destino, numerndose del 800 al 899. El comando utilizado para construir los listados de acceso IPX es access-list [#listado] [permit|deny] [RedOrigen] [RedDestino], pudiendo utilizar el valor 1 para hacer referencia a todas las redes IPX. Un ejemplo, podra ser el siguiente: 1. 2. 3. 4. 5. Config t Access-list 800 deny 763B20F3 02B2F4 Access-list 800 permit 1 1 Int e0 Ipx access-group 800 in

Crear Listados de Acceso IPX Extendidos

Las listas de acceso IPX extendidas usan nmeros en el rango de 900 a 999, e incorporan verificacin de protocolo, as como las direcciones de origen y destino y nmeros de toma. Para definir una lista de acceso IPX extendida, se utiliza la versin ampliada del comando de configuracin global access-list, cuya sintaxis es la siguiente: Access-list [#listado] {deny | permit} protocolo [redOrigen][.Nodo] [Mscara] [TomaOrigen] [redDestino][.Nodo] [Mscara] [TomaDestino] [log]

Verificacin/Visualizacin de listas de acceso IPX

Utilice el comando show ipx interface para verificar si una lista de acceso ipx est aplicada a una interfaz. Utilice el comando show ipx access-list para mostrar el contenido de las listas de acceso IPX.

Crear Listados de Acceso AppleTalk Estndar

Los listados de acceso bsico AppleTalk pueden aceptar o rechazar paquetes de acuerdo con los rangos de cable o bien los nombres de zona, numerndose del 600 al 699. El uso de nombres de zona es una buena forma de identificar partes de la red AppleTalk, ya que las zonas a menudo pueden incluir ms de un rango de cable. Un ejemplo sera el siguiente. 1. 2. 3. 4. 5. Config t Access-list 600 deny zone ZoneA Access-list 600 permit additional-zones Interface e0 Appletalk access-group 600

Podemos mostrar o eliminar un listado IPX existente, de la misma forma que lo haramos con un listado IP