Universidad Tecnolgica de Bolvar

Programa Ingeniera de sistemas

Curso Administracin y seguridad de redes

Listas de Control de Acceso

Profesor Isaac Ziga Silgado

Reyner Garcs Torres

Camilo Lpez Espinosa

Cartagena, Bolvar

Listas de control de acceso

Qu son las ACL?

Es un concepto de seguridad informtica usado para fomentar la separacin de privilegios. Son un
conjunto de reglas identificadas con un nmero o un nombre y cada regla especifica una accin y
una condicin, cada regla se especifica con una accin y una condicin siempre y cuando todos los
paquetes cumplan con las condiciones de la regla.1
Cmo funcionan las ACL?
Las ACL o listas de control de acceso funcionan interceptando el trfico de red y se le establece un
valor predeterminado por el administrador de las ACL con base a ciertas condiciones que son
permitir o denegar.
Ejemplo:
Lista-de-acceso- x accin 1 condicin 1
Lista-de-acceso- x accin 2 condicin 2
Lista-de-acceso- x accin 3 condicin 32
Tipos de listas de control de acceso
Existen dos tipos de lista de control de acceso que son las listas de control de acceso estndar y las
listas de control de acceso extendidas.3
Listas de control de acceso estndar.
Son aquellas que filtran los paquetes mediante la IP de origen de cada paquete que ser enviado.
Listas de control de acceso extendidas.
Filtran los paquetes de IP considerando tanto la IP de Origen como la IP de destino y hasta el
nmero de puerto, estas listas nos permiten especificar valores a comparar tanto en la IP de origen
como la IP de destino e incluso protocolos de capa 4.

Dnde se aplican las ACL?

Las listas de control de acceso se aplican en los dispositivos de capa 3, en dos casos:
1. Punto ms cerca al origen.
2. Punto ms cerca al destino.
Las ACL estndar se aplican en el punto ms cerca al destino porque ste es desconocido, mientras
que las listas de control de acceso extendidas en el punto ms cerca del origen, as el trfico no
deseado se filtra sin atravesar la infraestructura de red.4
1

[Citado en 13-mayo-2015] Disponible en < https://alexalvarez0310.wordpress.com/category/listas-de-control-de-acceso-en-routercisco/>

2
[Citado en 13-mayo-2015] Disponible en < http://cesarcabrera.info/blog/%C2%BFcomo-funcionan-las-acl-en-cisco-i-conceptos/
3
[Citado en 13-mayo-2015] Disponible en < http://es.slideshare.net/RicardoAnchante/acl-12870486?related=2

Crear una ACL

El proceso de creacin de una ACL se lleva a cabo creando la lista y posteriormente asocindola a
una interfaz entrante o saliente.5

Configuracin de ACL estndar

Router(config)#access-list[1-99][permit|deny][direccin de origen][mascara comodn]
Donde:
1-99 Identifica el rango y la lista.
Permit|deny indica si esta entrada permitir o bloquear el trfico a partir de la direccin
especificada.
Direccin de origen identifica la direccin IP de origen.
Mascara comodn o wildcard identifica los bits del campo de la direccin que sern comprobados.
La mscara predeterminada es 0.0.0.0 (coincidencia de todos los bits).
Asociacin de la lista a una interfaz
Router(config-if)#ip access-group[n de lista de acceso][in|out]
Donde:
Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz.
In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida.
Ejemplo de una ACL estndar denegando una red:
Router#configure terminal
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0
Router(config)#access-list 10 permit any
Router(config)#interface serial 0
Router(config-if)#ip access-group 10 in
Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen,
Posteriormente se asoci la ACL a la interfaz Serial 0.
Configuracin de ACL extendida
El proceso de configuracin de una ACL IP extendida es el siguiente:
Router(config)#access-list[100-199][permit|deny][protocol][direccin de origen][mascara
comodn][direccin de destino][mascara de destino][puerto][establisehed][log]
100-199 identifica el rango y nmero de lista
4

[Citado en 13-mayo-2015] Disponible en < http://recursostic.educacion.es/observatorio/web/es/component/content/article/1065listas-de-control-de-acceso-acl?start=3

5
[Citado en 25-mayo-2015] Disponible en < http://aprenderedes.com/2006/11/proceso-de-configuracion-de-acl/

Permit|deny: indica si la entrada permitir o bloqueara la direccin especificada.

Protocolo: como por ejemplo IP, TCP, UDP, ICMP
Direccin origen y destino: identifican direcciones IP de origen y destino.
Mscara wildcard origen y mscara destino: Son las mscaras comodn. Las 0 indican las
posiciones que deben coincidir, y los 1 las que no importan.
Puerto:(opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq (distinto
que) y un nmero de puerto de protocolo correspondiente.
Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que l rafico TCP pase si el
paquete utiliza una conexin ya establecida (por ejemplo posee un conjunto de bits ACK)
Log: (opcional) Enva un mensaje de registro a la consola a un servidor syslog determinado.
Algunos de los nmeros de puertos ms conocidos:
20 Datos del protocolo FTP
21 FTP
23 Telnet
25 SMTP
69 TFTP
53 DNS
80 HTTP
443 HTTPS

Asociacin de la lista a una interfaz

Router(config-if)#ip access-group[n de lista de acceso][in|out]
Donde:
Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz.
In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida.

Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red:
Router(config)#access-list 120 deny tcp host 204.204.10.1 any eq 80
Router(config)#access-list 120 permit ip any any
Router(config)#interface serial 1
Router(config-if)#ip access-group 120 in
Se ha denegado al host 204.204.10.1, (identificndolo con la abreviatura host) hacia el puerto 80
de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP. Esta
ACL se asoci a la interfaz Serial 1 como entrante.
Aplicacin de una ACL a la linea de telnet
Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una
lista de acceso estndar y asociarla a la Line VTY. El proceso de creacin se lleva a cabo como una
ACL estndar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la
Lnea de telnet es el siguiente:
router(config)#line vty 0 4
router(config-line)#access-class[N de lista de acceso][in|out]
Como eliminar las listas de acceso
Desde el modo interfaz donde se aplic la lista:
Router(config-if)#no ip access-group[N de lista de acceso]
Desde el modo global elimine la ACL
router(config)#no access-list[N de lista de acceso]

Topologa de red
Utilizaremos la siguiente topologa para poner en prctica y aplicar las listas de control de acceso estndar y las listas de
control de acceso extendidas.

Descripcin de red
Lab_A

La red 205.7.5.0 contiene 4 hosts y un servidor web

(205.7.5.6).
La red 192.5.5.0 contiene 4 hosts, uno de ellos conectado al
router por medio de un cable de consola.
Las dos redes se comunican entre s y hacia el exterior a travs
del router, el cual est conectado por una interfaz serial.

Lab_B

La red 219.17.100.0 contiene 4 host y se comunica al exterior por medio del router.
El router Lab_B se comunica con otros routers por medio de las interfaces seriales.

Lab_C

La red 223.8.151.0 contiene 4 hosts y un servidor web (223.8.151.6). Se comunica

al exterior por medio del router, y este se encuentra interconectado a travs de
interfaces seriales.

Lab_D

La red 210.93.105.0 contiene 4 hosts y 2 servidores web

(210.93.105.8 y 210.93.105.5).
La red se comunica al exterior por medio del router y este a travs de
la interfaz serial.

Aplicacin de listas de control de acceso (ACL) a la topologa de red

Todos los equipos de esta topologa de red pueden comunicarse entre s, por lo tanto pueden
acceder a cualquier recurso tanto de los host como de los servidores web. En la mayora de casos
esto no es muy seguro, ya que cualquiera puede acceder a informacin crtica, causar daos o
cualquier acto indebido.
Es necesario establecer lmites de acceso y comunicacin para tener mayor seguridad en la red.
En esta topologa tendremos 4 listas de control de acceso (2 estndar y 2 extendidas).

1. Lista de control de acceso estndar en sentido de salida:

Restringiremos el paso de cualquier host dentro de la red 205.7.5.0 a la red 192.5.5.0 por medio de
una lista de control de acceso estndar y de salida.
Como las listas estndar se aplican lo ms cerca posible del destino debido a que este no se indica
en ellas, la ubicaremos en la interfaz FastEthernet que conecta el router con el switch y ser en
sentido de salida, ya que los datos vienen desde la red 205.7.5.0 hacia la red 192.5.5.0.
2. Lista de control de acceso estndar en sentido entrada:
Solo permitiremos la comunicacin de un host (pc1) de la red 192.5.5.0 hacia la red 219.17.100.0
por medio de una lista de control de acceso estndar en sentido de entrada, para evitar trfico
innecesario.
3. Lista de control de acceso extendida de salida:
solo se permitir el acceso del host (Laptop) con ip 219.17.100.4 a travs del puerto 443 hacia el
servidor web (223.8.151.6) de la red 223.8.151.0; y solo se dejar conectar el host (pc5) con ip
219.17.100.3 por el puerto 80 al servidor web (223.8.151.2) de la red 223.8.151.0.
4. Lista de control de acceso extendida de entrada:
Permitiremos solamente el acceso de los equipos de la red 210.93.105.0 a los servidores web de
todas las redes por conexiones seguras a travs del puerto 443.

1. Lista de control de acceso estndar en sentido de salida

Comandos:
Lab A>enable
Lab A#configure terminal
Lab A(config)#access-list 1 deny 205.7.5.0 0.0.0.255
Lab A(config)#access-list 1 permit any
Lab A(config)#interface fastEthernet 0/0
Lab A(config-if)#ip access-group 1 out
Lab A(config-if)#exit

2. Lista de control de acceso estndar en sentido entrada

Comandos:
Lab B>enable
Lab B#configure terminal
Lab B (config)#access-list 2 permit host 192.5.5.3
Lab B (config)#access-list 2 deny 192.5.5.0 0.0.0.255
Lab B (config)#access-list 2 permit
Lab B (config)#interface serial 0/0/0

Lab B(config-if)#ip access-group 2 in

Lab B(config)#exit

3. Lista de control de acceso extendida de salida

Comandos:

Router>enable
Router#configure terminal

Router(config)#access-list 101 permit tcp host 219.17.100.4 host 223.8.151.6 eq 443

Router(config)#access-list 101 permit tcp host 219.17.100.3 host 223.8.151.2 eq 80
Router(config)#access-list 101 deny ip 219.17.100.0 0.0.0.255 223.8.151.0 0.0.0.255
Router(config)#access-list 101 permit ip any any
Router(config)#interface Serial0/0/1
Router(config-if)#ip access-group 101 out

4. Lista de control de acceso extendida de entrada

Comandos:

Lab D>enable
Lab D#configure terminal
Lab D(config)#access-list 102 permit tcp 210.93.105.0 0.0.0.255 host 223.8.151.6 eq 443
Lab D(config)#access-list 102 permit tcp 210.93.105.0 0.0.0.255 host 223.8.151.2 eq 443
Lab D(config)#access-list 102 permit tcp 210.93.105.0 0.0.0.255 host 205.7.5.6 eq 443
Lab D(config)#access-list 101 deny ip any any
Lab D(config)#interface FastEthernet0/0
Lab D(config-if)#ip access-group 102 in

BIBLIOGRAFIA

1. Alvarez, A. (13-mayo-2015) Listas de control de acceso en router cisco.

Disponible en https://alexalvarez0310.wordpress.com/category/listas-de-control-de-acceso-en-routercisco/.
2. Cabrera, C. Cmo funcionan las acl en cisco y conceptos.
Disponible en http://cesarcabrera.info/blog/%C2%Bfcomo-funcionan-las-acl-en-cisco-i-conceptos.

3. Anchante, R. (13-mayo-2015) Lista de control de acceso.

Disponible en http://es.slideshare.net/RicardoAnchante/acl-12870486?related=2.

4. Recursos educativos observatorio web (13 mayo 2015).

Recuperado de http://recursostic.educacion.es/observatorio/web/es/component/content/article/1065listas-de-control-de-acceso-acl?start=3.
5. Aprende redes (25-mayo-2015)
Disponible en http://aprenderedes.com/2006/11/proceso-de-configuracion-de-acl/.