Administracin de Redes

Ing. Ma. Eugenia Macas Ros

Una de las capacidades ms importantes que un

administrador de red necesita, es el dominio de las
listas de control de acceso (ACL)

Las ACL se utilizan para detener el trfico o permitir

slo el trfico especfico y, al mismo tiempo, para
detener el resto del trfico en sus redes

Una ACL es una lista secuencial de sentencias de

permiso o denegacin que se aplican a direcciones o
protocolos de capa superior

Las ACL brindan una manera poderosa de controlar el

trfico de entrada o de salida de la red

El motivo ms importante para configurar las ACL es

brindar seguridad a la red.

Las ACL le permiten controlar el trfico de

entrada y de salida de la red.
Las ACL tambin pueden configurarse para
controlar el trfico de red segn el puerto
TCP que se utiliza.

Una conversacin TCP

Una conversacin TCP

A veces denominado filtrado esttico de

paquetes, controla el acceso a la red,
analiza los paquetes de entrada y de salida,
y permite o bloquea su ingreso segn un
criterio establecido.
El filtrado de paquetes acta en la capa de
red del modelo de OSI o en la capa Internet
de TCP/IP

Un router de filtrado de paquetes utiliza reglas

para determinar la autorizacin o denegacin
del trfico segn las direcciones IP de origen y
de destino, el puerto origen y el puerto
destino, y el protocolo del paquete. Estas
reglas se definen mediante las listas de control
de acceso o ACL

La ACL puede extraer la siguiente

informacin del encabezado del paquete,
probarla respecto de las reglas y decidir si
"permitir" o "denegar" el ingreso segn los
siguientes criterios:
Direccin IP de origen
Direccin IP de destino
Tipo de mensaje ICMP

La ACL tambin puede extraer informacin

de las capas superiores y probarla respecto
de las reglas. La informacin de las capas
superiores incluye:
Puerto TCP/UDP de origen
Puerto TCP/UDP de destino

La ACL es una configuracin de dispositivo

que controla si un dispositivo permite o
deniega paquetes segn el criterio
encontrado en el encabezado del paquete.

Como cada paquete llega a travs de una

interfaz con una ACL asociada, la ACL se

revisa de arriba a abajo, una lnea a la vez, y

se busca un patrn que coincida con el
paquete entrante

A continuacin, le presentamos pautas para

el uso de las ACL:
En dispositivos firewall entre su red interna y su

red externa, como Internet.

En un dispositivo situado entre dos partes de la

red a fin de controlar el trfico que entra o sale
de una parte especfica de su red interna.

En routers de borde situados en los extremos de la red. Esto

proporciona un bfer muy bsico desde la red externa, o entre

un rea menos controlada y un rea ms sensible de su red.

Configurar las ACL para cada protocolo de red configurado

en las interfaces del router de borde. Configurar las ACL en
una interfaz para filtrar el trfico entrante, saliente o ambos.

Puede recordar una regla general para aplicar las

ACL en un router mediante las tres P. Puede
configurar una ACL por protocolo, por direccin y
por interfaz.
Una ACL por protocolo: para controlar el flujo de
trfico de una interfaz, se debe definir una ACL
para cada protocolo habilitado en la interfaz.
Una ACL por direccin: las ACL controlan el trfico
en una direccin a la vez de una interfaz. Deben
crearse dos ACL por separado para controlar el
trfico entrante y saliente.
Una ACL por interfaz: las ACL controlan el trfico
para una interfaz, por ejemplo, Fast Ethernet 0/0.

Limitar el trfico de red para mejorar el rendimiento de sta.

Brindar control de flujo de trfico

Proporcionar un nivel bsico de seguridad para el acceso a la red.

Se debe decidir qu tipos de trfico enviar o bloquear en las interfaces del

router.
Controlar las reas de la red a las que puede acceder un cliente.

Analizar los hosts para permitir o denegar su acceso a los servicios de red.

Las ACL no actan sobre paquetes que se

originan en el mismo router.
Las ACL se configuran para ser aplicadas al
trfico entrante o saliente.
ACL de entrada: los paquetes entrantes se procesan

antes de ser enrutados a la interfaz de salida. Una ACL

de entrada es eficaz porque guarda la carga de
bsquedas de enrutamiento si el paquete se descarta.

Si el paquete est autorizado por las pruebas, luego se

procesa para el enrutamiento.
ACL de salida: los paquetes entrantes se enrutan a la

interfaz de salida y luego son procesados a travs de

la ACL de salida.

Las sentencias de la ACL operan en orden

secuencial. Comparan los paquetes con la
ACL, de arriba hacia abajo, una sentencia a
la vez.

La ltima sentencia generalmente se

denomina "implicit deny any statement"
(denegar implcitamente una sentencia) o
"deny all traffic" (denegar todo el trfico).
Debido a esta sentencia, una ACL debe
contar con, al menos, una sentencia de
permiso; de lo contrario, la ACL bloquea
todo el trfico.

Puede aplicar una ACL a varias interfaces.

Sin embargo, slo puede haber una ACL por
protocolo, por direccin y por interfaz.

La sentencia de criterios implcita "Deny All

Traffic" (Denegar todo el trfico)

ACL estndar

Las ACL estndar le permiten autorizar o

denegar el trfico desde las direcciones IP de
origen. No importan el destino del paquete ni
los puertos involucrados.
El ejemplo permite todo el trfico desde la
red 192.168.30.0/24. Debido a la sentencia
implcita "deny any" (denegar todo) al final,
todo el otro trfico se bloquea con esta ACL.
Las ACL estndar se crean en el modo de
configuracin global.

ACL extendidas
Las ACL extendidas filtran los paquetes IP
en funcin de varios atributos, por ejemplo:
tipo de protocolo, direcciones IP de origen,
direcciones IP de destino, puertos TCP o
UDP de origen, puertos TCP o UDP de
destino e informacin opcional de tipo de
protocolo para una mejor disparidad de
control.

La wildcard mask es una mscara que indica que bits de la direccin

IP se tienen que comprobar y cules no. La wildcard mask presenta
las siguientes caractersticas:

Cantidad de 32-bits: cuatro octetos de 1s y 0s.

Se compara contra una direccin IP.
1 y 0 identifican cmo tratar los bits de la direccin IP
0: Comprueba el valor del bit correspondiente
1: Ignora el valor del bit correspondiente
1s y 0s filtran direcciones IP individuales o en grupos, permitiendo o
rechazando el acceso a recursos segn el valor de las mismas.

Palabras claves especiales utilizadas en las

ACLs

Any
Reemplaza la direccin IP con 0.0.0.0 y la mscara wildcard por
255.255.255.255.
Esta opcin concuerda con cualquier direccin con la que se la
compare.
Host:
Reemplaza la wildcard 0.0.0.0.
Esta mscara necesita todos los bits de la direccin ACL y la
concordancia de direccin del paquete.
Esta opcin slo concuerda con una direccin.
Remark:
Similar a un comentario
Facilita entendimiento de la ACL.
Limitado a 100 caracteres.
Por ejemplo:
access-list 1 permit 171.69.2.88
access-list 1 remark Permit only Jones Workstation

Palabras claves especiales utilizadas en las

ACLs
Protocolo:

Nombre o nmero de un protocolo de

Internet: eigrp, icmp, igrp, ip, tcp, udp,
etc.
Para referirse a cualquier protocolo de
Internet utiliza palabra clave ip
Operadores lgicos: lt (menor que), gt
(mayor que), eq (igual a) o neq (distinto
que).

El bloqueo es una caracterstica de seguridad

de filtrado de trfico que utiliza ACL
dinmicas, a veces denominadas ACL de
bloqueo.
Est disponible slo para trfico IP.
Las ACL dinmicas dependen de la
conectividad Telnet, de la autenticacin (local
o remota) y de las ACL extendidas.

Las ACL reflexivas obligan al trfico de

respuesta del destino, de un reciente
paquete saliente conocido, a dirigirse al
origen de ese paquete saliente. Esto aporta
un mayor control del trfico que se permite
ingresar a la red e incrementa las
capacidades de las listas de acceso
extendidas.

La ACL basada en el tiempo es similar en funcin

a la ACL extendida, pero admite control de
acceso basado en el tiempo.
Para implementar las ACL basadas en el tiempo,
debe crear un rango horario que defina la hora
especfica del da y la semana. Debe identificar el
rango de tiempo con un nombre y, luego,
remitirse a l mediante una funcin.
Las restricciones temporales son impuestas en la
misma funcin.