Listas de Acceso

Un router de filtrado de paquetes utiliza reglas para

determinar la autorización o denegación del tráfico según:
• Dirección IP de origen
• Dirección IP de destino
• Tipo de mensaje ICMP
• Puerto TCP/UDP de origen
• Puerto TCP/UDP de destino

Una ACL es una lista secuencial

de sentencias de permiso o
denegación que se aplican a
direcciones IP o protocolos de
capa superior.
¿Cómo funcionan las ACL?

• Las ACL no actúan sobre paquetes que se originan en

el mismo router.
• Las ACL se configuran para ser aplicadas al tráfico
entrante o saliente.
• Las sentencias de la ACL operan en orden secuencial.
• Una sentencia implícita final cubre todos los paquetes
para los cuales las condiciones no resultan verdaderas
(implicit deny any statement/deny all traffic).
 ACL de entrada

ACL de salida
Las ACL y el enrutamiento, y los
procesos de las ACL en un
router
¿Cómo funcionan las ACL Estándar?
• A partir del IOS de Cisco Versión 11.2, puede utilizar un
nombre para identificar una ACL de Cisco.
• Los números de ACL del 200 al 1299 son utilizados por
otros protocolos (AppleTalk e IPX)
 Todas las ACL deben ubicarse donde más repercutan
sobre la eficacia. Las reglas básicas son:

• Como las ACL estándar no • Ubicar las ACL extendidas lo

especifican las direcciones de
destino, colóquelas lo más cerca
del destino posible.
más cerca posible del origen del
tráfico denegado. De esta
manera, el tráfico no deseado se
filtra sin atravesar la
infraestructura de red.
5.2 Configuración de las ACL
Estándar

Accediendo la WAN – Capítulo 5

access-list 2 deny 192.168.10.1
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255
 Máscaras wildcard

• Las sentencias de las ACL incluyen máscaras, también

denominadas máscaras wildcard.
• La máscara determina qué parte de la dirección IP de
origen y destino aplicar a la concordancia de
direcciones.
• Bit 0 de máscara wildcard: hacer coincidir el valor de
bits correspondiente de la dirección.
• Bit 1 de máscara wildcard: ignorar el valor de bits
correspondiente de la dirección.
• Las máscaras wildcard generalmente son denominadas
máscaras inversas.
 Palabras clave de la máscara de bits wildcard

• La opción host reemplaza la máscara 0.0.0.0. Esta

máscara indica que todos los bits de direcciones IP
deben coincidir o que sólo un host coincide.
• La opción any reemplaza la dirección IP y la máscara
255.255.255.255. Esta máscara indica que debe
ignorarse toda la dirección IP o que deben aceptarse
todas las direcciones.
• Si el router no admite SSH, puede mejorar parcialmente la seguridad
de las líneas administrativas restringiendo el acceso VTY con listas de
acceso.
• Las listas de acceso no están diseñadas para bloquear paquetes que
se originan dentro del router.
• Sólo se pueden aplicar listas de acceso numeradas a las VTY.
• Deben establecerse las mismas restricciones en todas las VTY porque
un usuario puede intentar conectarse a cualquiera de ellas.
 Creación de ACL Estándar Nombradas
• Asignar un nombre a una ACL facilita la comprensión de
su función.
• Los nombres de las ACL son alfanuméricos, deben ser
únicos y no deben comenzar con un número.
 Creación de ACL Estándar Nombradas
• Asignar un nombre a una ACL facilita la comprensión de
su función.
• Los nombres de las ACL son alfanuméricos, deben ser
únicos y no deben comenzar con un número.
Edición de las ACL nombradas
5.3 Configuración de las ACL
Extendidas

Accediendo la WAN – Capítulo 5

 ACL Extendidas

• Las ACL extendidas numeradas utilizan los

identificadores que van del 100 al 199 y del 2000 al
2699, lo que ofrece un total de 799 ACL extendidas
posibles.
• Las ACL extendidas verifican la dirección de origen del
paquete, la dirección de destino, los protocolos y los
números de puerto (o servicios).
• Al igual que las ACL estándar las ACL contienen una
denegación implícita.
 Prueba de puertos y servicios

Pueden utilizarse operaciones lógicas, como igual (eq),

desigual (neq), mayor que (gt) y menor que (lt).