GUÍA DE INFORME

Asignatura: Seguridad en Redes

Integrantes: Narváez Adonis

Fecha de informe: 21 de marzo del 2021

A. TÍTULO

Configuración de ACL

B. INTRODUCCIÓN

Una ACL es una serie de comandos del IOS que controlan si un router reenvía o
descarta paquetes según la información que se encuentra en el encabezado del
paquete. Las ACL son una de las características del software IOS de Cisco más
utilizadas.

• Limitan el tráfico de la red para aumentar su rendimiento. Por ejemplo, si la

política corporativa no permite el tráfico de video en la red, se pueden
configurar y aplicar ACL que bloqueen el tráfico de video. Esto reduciría
considerablemente la carga de la red y aumentaría su rendimiento.

• Proporcionan control del flujo de tráfico. Las ACL pueden restringir la

entrega de actualizaciones de routing para asegurar que las actualizaciones
provienen de un origen conocido.

• Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL

pueden permitir que un host acceda a una parte de la red y evitar que otro
host acceda a la misma área.

• Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede
permitir el tráfico de correo electrónico, pero bloquear todo el tráfico de
Telnet.

• Filtran a los hosts para permitirles o denegarles el acceso a los servicios de

red. Las ACL pueden permitirles o denegarles a los usuarios el acceso a
determinados tipos de archivos, como FTP o HTTP

Una ACL es una lista secuencial de instrucciones permit (permitir) o deny

(denegar), conocidas como “entradas de control de acceso” (ACE). Las ACE
también se denominan comúnmente “instrucciones de ACL”. Cuando el tráfico de
la red atraviesa una interfaz configurada con una ACL, el router compara la
información dentro del paquete con cada ACE, en orden secuencial, para
determinar si el paquete coincide con una de las ACE. Este proceso se denomina
filtrado de paquetes.

Hay muchos tipos de ACL para filtrar el tráfico:

• ACL estándar • Proxy de autentificación.

• ACL extendidas • ACL turbo.

• ACL IP con nombre. • ACL basadas en el contexto

• Entradas de ACL IP • ACL distribuidas basadas en el

comentadas tiempo.

• ACL reflexivas • ACL criptográficas (crypto)

• ACL basadas en el tiempo

utilizando intervalos de tiempo.

La ACL estándar es el tipo de ACL más antiguo. Las ACL estándar controlan el
tráfico comparando la dirección de origen de los paquetes IP con las direcciones
configuradas en la ACL. El formato de una ACL estándar es el siguiente:

access-list número-lista-acceso { permit | deny } { host | origen wildcard-

origen | any }

Las ACL extendidas controlan el tráfico comparando las direcciones de origen y

destino de los paquetes IP con las direcciones configuradas en la ACL. Para las
listas de acceso extendidas IP pueden definirse varios protocolos bien conocidos.
El formato de comando de las ACL extendidas es el siguiente:

access-list número-lista-acceso { dynamic nombre-dinámico [ timeout

minutos ] } { deny | permit } ip origen wildcard-origen destino wildcard-
destino. [ precedente precedence ] [ tos tos ] [ log | entrada-registro ] [ time-
range nombre-intervalotiempo ]

Reglas para ACL -

1. La lista de acceso estándar se aplica generalmente cerca del destino (pero

no siempre).

2. La lista de acceso extendida generalmente se aplica cerca de la fuente

(pero no siempre).
 3. Podemos asignar solo una ACL por interfaz por protocolo por dirección, es
decir, solo se permite una ACL entrante y saliente por interfaz.

4. No podemos eliminar una regla de una lista de acceso si estamos usando

una lista de acceso numerada. Si intentamos eliminar una regla, se
eliminará toda la ACL. Si usamos listas de acceso con nombre, podemos
eliminar una regla específica.

5. Cada nueva regla que se agrega a la lista de acceso se colocará en la parte

inferior de la lista de acceso, por lo tanto, antes de implementar las listas de
acceso, se analiza todo el escenario cuidadosamente.

6. Como hay una denegación implícita al final de cada lista de acceso,

deberíamos tener al menos una declaración de permiso en nuestra lista de
acceso, de lo contrario se denegará todo el tráfico.

Las listas de acceso estándar y las listas de acceso extendidas no pueden tener el
mismo nombre.

C. OBJETIVO DEL PROYECTO

 Objetivo General
• Realizar la configuración de ACL mediante el simulador Packet Tracert, y
verificar el permiso o la denegación de servicios.
 Objetivos Específicos
• Determinar el sentido del trafico para asignar la ACL.
• Entender cómo opera una Access list estándar y una extendida.
• Comprender como opera un router al verificar cada acl configurada.
• Configurar las Access list acorde a las especificaciones.
• Verificar los permisos o denegaciones de servicios.
• Comprobar cada una de las configuraciones.

D. METODOLOGÍA

Para la realización de la práctica se sigue el siguiente procedimiento:

 Configurar las Determinar el Configurar la Verificar los
ACL sentido del interfaz match
tráfico realizados

Verificar los
servicios

Figura 1 Diagrama de bloques

E. RECURSOS MATERIALES Y EQUIPO

Para el desarrollo de la práctica se utiliza los siguientes materiales y equipos, tanto

en hardware como en software.
Tabla 1 Materiales y equipos

Cantidad Denominación MODELO Imagen

1 PC portátil Sony
SVE14125CLB

1 Simulador Packet Tracert

1 Router 2911

1 Switch 2960
F. DESCRIPCIÓN DEL DESARROLLO DE LA PRÁCTICA

 Topología 1 (configuración de ACL nombradas IPv4)

• Topología

Figura 2 Topología 1

• Direccionamiento
Tabla 2 Direccionamiento de la topología 1

Máscara de Puerta de enlace

Dispositivo Interfaz Dirección IP
subred predeterminada

R1 F0/0 192.168.10.1 255.255.255.0 N/D

R1
F0/1 192.168.20.1 255.255.255.0 N/D

R1
E0/0/0 192.168.100.1 255.255.255.0 N/D

R1
E0/1/0 192.168.200.1 255.255.255.0 N/D

Servidor de archivos NIC 192.168.200.100 255.255.255.0 192.168.200.1

Servidor web NIC 192.168.100.100 255.255.255.0 192.168.100.1
PC0 NIC 192.168.20.3 255.255.255.0 192.168.20.1
PC1 NIC 192.168.20.4 255.255.255.0 192.168.20.1
PC2 NIC 192.168.10.3 255.255.255.0 192.168.10.1
 • Situación

El administrador de red ejecutivo le ha solicitado que cree una ACL con nombre
estándar para impedir el acceso a un servidor de archivos. El servidor de archivos
contiene la base de datos para las aplicaciones web. Sólo la estación de trabajo
de Web Manager PC1 y el servidor Web necesitan tener acceso al servidor de
archivos. Debe denegarse el resto del tráfico al servidor de archivos.

• Configuración de ACL nombrada

Para crear la ACL se debe realizar la siguiente configuración en el router 1.

− conf t
− ip access-list standard File_Server_Restrictions
− permit host 192.168.20.4
− permit host 192.168.100.100
− deny any

Figura 3 ACL estandar

• Asignación de ACL

Ahora se debe asignar la ACL en la interfaz fa0/1 en tráfico de salida con las
siguientes sentencias.

− conf t
− interface fa 0/1
− ip access-group File_Server_Restrictions out

Figura 4 Asignación de ACL

• Comprobación.

Las tres estaciones de trabajo deberían poder hacer ping al Servidor Web, pero
solo la PC1 y el Servidor Web deberían hacer ping al Servidor de Archivo.
PING estación 0 a servidor web

Figura 5 Ping est 0 a web

PING estación 0 a servidor de archivo

Figura 6 Ping est 0 a servidor de archivos

PING estación 1 a servidor web

Figura 7 Ping est 1 a web

PING estación 1 a servidor de archivo

 Figura 8 Ping est 1 a servidor de archivos

PING estación 2 a servidor web

Figura 9 Ping est 2 a web

PING estación 2 a servidor de archivo

Figura 10 Ping est 2 a servidor de archivos

PING servidor web a servidor de archivo

 Figura 11 Ping de servidor web a servidor archivos

Ahora se verifica los match realizados.

Figura 12 Match en el router 1

 Topología 2 (Configuración de ACL extendida escenario 1)

• Topología

Figura 13 Topología 2
 • Direccionamiento
Tabla 3 Direccionamiento de la topología 2

Dispositivo Interfaz Dirección IP Máscara de subred Puerta de enlace predeterminada

R1 G0/0 172.22.34.65 255.255.255.224 N/D

R1 N/D

G0/1 172.22.34.97 255.255.255.240

R1 N/D

G0/2 172.22.34.1 255.255.255.192

Servidor NIC 172.22.34.62 255.255.255.192 172.22.34.1
PC1 NIC 172.22.34.66 255.255.255.224 172.22.34.65
PC2 NIC 172.22.34.98 255.255.255.240 172.22.34.97

• Situación 1

Dos empleados necesitan acceder a los servicios que proporciona el servidor. La

PC1 solo necesita acceso FTP, mientras que la PC2 solo necesita acceso web.
Configurar ACL extendidas: escenario 1

• Configuración de ACL 1

Para configurar que la PC 1 tenga solo acceso FTP e ICMP se realiza las
siguientes sentencias.

− access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

− access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62

Figura 14 ACL extendida

• Asignación de ACL 1

Ahora se debe asignar la ACL a la interfaz G0/0 como entrada.

− interface gigabitEthernet 0/0

− ip access-group 100 in
 Figura 15 Asignación de ACL 2

• Comprobación de ACL 1

Para verificar la ACL se realiza los siguientes pasos.

Ping desde la PC1 al servidor.

Figura 16 Ping PC1 a servidor

FTP desde la PC1 al servidor.

Figura 17 FTP desde PC1 a servidor

Ping de PC1 a PC2. El host de destino no debería ser accesible, porque la

ACL no permitía explícitamente el tráfico.
 Figura 18 Ping a PC2

• Configuración de ACL 2

Para configurar que la PC 2 tenga solo acceso WEB e ICMP se realiza las
siguientes sentencias, en este caso se utiliza Access list nombrada extendida.

− ip access-list extended HTTP_ONLY

− permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
− permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62

Figura 19 ACL nombrada extendida

• Asignación de ACL 2

Ahora se debe asignar la ACL a la interfaz G0/1 como entrada.

Figura 20 Asignación de ACL

• Comprobación ACL 2

Ping desde PC2 al Servidor, el ping debe tener éxito.

 Figura 21 Ping desde PC2 al servidor

Desde la PC2, abra un navegador web e ingrese la dirección IP del servidor.

Se debe mostrar la página web del servidor.

Figura 22 Acceso a la página web del servidor

FTP desde la PC2 al servidor. La conexión debería fallar.

 Figura 23 Error en conexión ftp

 Topología 3 (Configuración de una ACL IPv4 en líneas VTY)

• Topología

Figura 24 Topología 3

• Direccionamiento
Tabla 4 Direccionamiento de la topología 3

Dispositivo Interfaz Dirección IP Máscara de subred Gateway predeterminado

RT1 G0/0 172.31.1.126 255.255.255.224 N/D

RT1 N/D

S0/0/0 209.165.1.2 255.255.255.252

PC1 NIC 172.31.1.101 255.255.255.224 172.31.1.126
PC2 NIC 172.31.1.102 255.255.255.224 172.31.1.126
PC3 NIC 172.31.1.103 255.255.255.224 172.31.1.126
Servidor1 NIC 64.101.255.254
 Servidor2 NIC 64.103.255.254

• Situación

Configure una ACL con nombre para implementar la siguiente política:

− Bloquee el acceso HTTP y HTTPS desde

la PC1 al Servidor1 y Servidor2. Los servidores están dentro de la nube y
solo conoces sus direcciones IP.
− Bloquee el acceso FTP desde la PC2 al Servidor1 y Servidor2.
− Bloquee el acceso ICMP desde la PC3 al Servidor1 y Servidor2.

• Configuración de ACL

A continuación en una ACL nombrada se asignan las sentencias como se

indica a continuación.

 Bloquee el acceso HTTP y HTTPS desde la PC1 al Servidor1 y Servidor2. Los

servidores están dentro de la nube y solo conoces sus direcciones IP.
− deny tcp host 172.31.1.101 host 64.101.255.254 eq 80
− deny tcp host 172.31.1.101 host 64.101.255.254 eq 443
− deny tcp host 172.31.1.101 host 64.103.255.254 eq 80
− deny tcp host 172.31.1.101 host 64.103.255.254 eq 443

 Bloquee el acceso FTP desde la PC2 al Servidor1 y Servidor2.

− deny tcp host 172.31.1.102 host 64.101.255.254 eq 21
− deny tcp host 172.31.1.102 host 64.103.255.254 eq 21

 Bloquee el acceso ICMP desde la PC3 al Servidor1 y Servidor2.

− deny icmp host 172.31.1.103 host 64.101.255.254
− deny icmp host 172.31.1.103 host 64.103.255.254
 Figura 25 ACL nombrada extendida

• Asignación de ACL

Para asignar se las debe poner en la interfaz g0/0 como entrada.

Figura 26 Aignación a interfaz

• Comprobación de ACL

Acceso a los sitios web del Servidor1 y Servidor2 utilizando el navegador

web de la PC1

Figura 27 Acceso a HTTP del servidor 1

 Figura 28 Acceso a HTTP del servidor 2

Acceso a FTP de Servidor1 y Servidor2 mediante PC1

Figura 29 Acceso ftp del servidor 1

Figura 30 Acceso ftp del servidor 2

Ping Servidor1 y Servidor2 desde PC1

 Figura 31 Ping al servidor 1

Figura 32 Ping al servidor 2

Acceso a los sitios web del Servidor1 y Servidor2 utilizando el navegador

web de la PC2

Figura 33 Acceso web del servidor 1

 Figura 34 Acceso web del servidor 2

Acceso a FTP de Servidor1 y Servidor2 mediante PC2

Figura 35 Acceso ftp al servidor 1

Figura 36 Acceso ftp al servidor 2

Ping Servidor1 y Servidor2 desde PC2

 Figura 37 Ping al servidor 1

Figura 38 Ping al servidor 2

Acceso a los sitios web del Servidor1 y Servidor2 utilizando el navegador

web de la PC3

Figura 39 Acceso web al servidor 1

 Figura 40 Acceso web al servidor 2

Acceso a FTP de Servidor1 y Servidor2 mediante PC3

Figura 41 Acceso ftp al servidor 1

Figura 42 Acceso ftp al servidor 2

Ping Servidor1 y Servidor2 desde PC3

 Figura 43 Ping al servidor 1

Figura 44 Ping al servidor 2

G. RESULTADOS Y CONCLUSIONES

Resultados:

Los resultados de la prácticas estan descritas en el desarrollo, para mejor

entendimiento y no perder orden al momento de demostrar el funcionamiento de
las ACL.

Conclusiones:

• Las ACL permiten controlan el tráfico ya sea permitiendo o denegando los

servicios esto a través de protocolos y puertos, con lo cual se puede filtrar
el tráfico que pasa por una interfaz.
• La configuración de Access list es un componente de seguridad muy
importante en las redes, ya que permiten gestionar de mejor manera el
tráfico, dando permiso o impidiendo en ingreso ya sea de un host en
especifico o de una red completa, esto permite llevar un mejor control del
tráfico.
• El orden en la cual se configuran las ACL son de mucha importancia, ya
que si se las configura mal se puede estar permitiendo o denegando trafico
que no se debe, causando así problemas en la red.
 • Es importante comprender el sentido del trafico ya que estas ACL se basan
en esto, con lo cual si se configura en sentido contrario o en una interfaz
que no se debe puede causar problemas con los servicios o tráfico de la
red.
• Las Access list nombrados son de gran utilidad ya que permiten tener una
mejor gestión de las ACl, además que para poder modificar la ACL no es
necesario eliminarla, basta con asignarle una línea nueva.
H. BIBLIOGRAFÍA

Luna Benítez, A. (2018). Listas de Control de Acceso.

Meléndez Campis, C. A., & Tous Tejada, J. A. (2012). Listas de control de acceso
(ACL) y control de acceso basado en el contexto (CBAC): generalidades y guía
práctica.
Moran, A. S., Turner, B. J., & Calvert, P. S. (2008). U.S. Patent No. 7,380,271.
Washington, DC: U.S. Patent and Trademark Office.