UNIDAD 8. ACL's.

[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)

[UDI098606] ACL's.
Introducción
En este tema veremos la lista de control de acceso para denegar o permitir acceso a distintas IP's, la
principal función de las ACL es incrementar la seguridad de la red.
om
n .c
io
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
certificados.levelcomformacion.com
1 / 22
[UDI098606] ACL's.
Objetivos
Definir una lista de acceso (ACL).
Conocer las funciones del uso de las listas de acceso (ACL).
Aplicar lo aprendido en un ejercicio de listas de acceso (ACL).
om
n .c
io
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
2 / 22
[UDI098606] ACL's.
Mapa Conceptual
[[[Elemento Multimedia]]]
om
.c
n
io
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
3 / 22
[UDI098606] ACL's.
Introducción y ACL's
Las listas de acceso (ACL) son sentencias que permiten o deniegan tráfico en función de varios
parámetros, como pueden ser las direcciones de red origen o destino, los puertos a nivel de capa de
transporte, el tipo de protocolo, etc.
La principal función de las ACL es incrementar la seguridad de la red. Con las ACLs se pueden
bloquear el flujo de información no deseada en una interfaz ya sea de salida o de entrada, filtrar el
om
uso de un protocolo según la ip origen de la comunicación o denegar ese puerto si la red no es
.c
confiable.
n
io
Sin embargo las ACLs no solo se usan en temas de seguridad, sino que también, sirven para definir
ac
un cierto tipo de tráfico con el que luego queramos trabajar, en aplicaciones tan variadas como
rm
pueden ser NAT (Network Address Translation), en BGP, para filtrar rutas al crear políticas de
encaminamiento o en QoS para englobar un tráfico y después priorizarlo, como con LLQ o CBWFQm
fo
en otras palabras, engloba las redes o parámetros con los que luego queremos trabajar. Las listas de
m
acceso se pueden dividir en varios grupos, según la permeabilidad que queramos establecer a la
co
hora de filtrar el tráfico y qué tipo de direccionamiento se ha de supervisar:

l
ve
.le
d os
ca
ifi
rt
ce
4 / 22
[UDI098606] ACL's.
om
n .c
io
ac
rm
fo
m
l co
ve
.le
d os
ca
Las Listas de acceso estándar hacen referencia solo al tráfico origen, por tanto son menos flexibles
ifi
pero más fáciles de utilizar.

rt
La sintaxis de las ACL de este tipo es la siguiente:

ce
Access-list (numero) deny\permit (IP de red origen y Wildcard o host ip de origen)
5 / 22
[UDI098606] ACL's.
Ejercicio ACL's
Ejemplo práctico:
Queremos denegar cualquier información que venga de la red 192.168.1.0:
Access-list 1 deny 192.168.1.0 0.0.0.255
om
En el caso de que la línea afecte a un solo host:
.c
Access-list 1 deny host 192.168.1.5
n
io
El primer comando, Access-list, crea la lista de acceso con un número y establecemos una condición
ac
de permitir o denegar sobre la dirección IP origen especificada, con la correspondiente wildcard
mask.
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
Es importante remarcar que al final de cualquier lista de acceso, compuesta de varias sentencias,
hay implícito un deny any que filtra cualquier tráfico que no haya sido englobado por líneas
anteriores.
Es decir, que si no permitimos nada, se denegara cualquier IP por la sentencia deny Any.
Una buena práctica por tanto, si hemos especificado ya el tráfico a eliminar, seria colocar esta línea:
6 / 22
[UDI098606] ACL's.
Access-list 1 permit any
Si queremos dejar pasar el tráfico proveniente de un solo equipo y luego denegar todo lo demás,
podemos hacerlo de esta manera:
Access-list 1 permit host 192.168.1.1
Así no hace falta especificar nada más porque todo lo que no se cumpla en la primera sentencia será
denegado por el deny any.
om
Pongamos en el supuesto que tenemos dos departamentos, uno de informática con la red
.c
172.16.1.1/24 y otro de invitados con la 192.168.1.0/26 queremos que solamente el de informática y
n
io
un equipo con la ip 192.168.1.5 de la otra red puedan acceder por telnet o ssh al dispositivo.
ac
rm
fo
m
l co
ve
De esta forma tan sencilla se puede supervisar los host de origen para permitirles o denegarles la
.le
conexión.
d os
ca
ifi
rt
ce
7 / 22
[UDI098606] ACL's.
ACL's continuación
Listas de Acceso Extendida
Permiten especificar el protocolo de capa 3 -como icmp- o capa 4 -TCP/UDP-, la ip origen, la ip
destino y el puerto:
Access-list (número) deny/permit (protocol ip origen wildcard ip destino wildcard) sentencia
om
Puerto/protocolo.
n .c
io
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
Por ejemplo:
Access-list 101 deny icmp any any Access-list 103 permit tcp any host 1.0.0.1 eq 80
8 / 22
[UDI098606] ACL's.
La primera sentencia deniega el tráfico icmp, como por ejemplo ping, hacia ningún destino.
La segunda permite el acceso por http de cualquier origen hacia la ip 1.0.0.1 En este caso, en las
listas de acceso extendidas hay una sentencia final que es:
Access-list x deny ip any
Aplicación de las listas de acceso
om
Finalmente, para definir las interfaces donde se aplica esa lista de acceso dispondremos de la
siguiente forma:
n .c
Router(config-if)#ip Access-group 1 in/out
io
ac
Sólo se puede aplicar una lista de acceso de entrada y otra de salida. En el caso de que queramos
rm
asociar un conjunto de ACL, deberemos combinarlas en una sola.
fo
Las listas de acceso estándar se han de colocar lo más cercano posible al tráfico origen, las
m
extendidas al destino.
l co
Al trabajar con unas u otras listas de acceso, tenemos que tener en cuenta las siguientes premisas:
ve
.le
Deny any o deny Ip any any implícito al final de cada una de las sentencias, aunque no se
os
pueda visualizar con un show access-list

d
Las listas de acceso estándar, independientemente de cómo se implementen, de entrada o de

ca
salida, solo hace referencia a la IP origen.

ifi
Las sentencias se van leyendo en orden, por lo que siempre se recomienda que se coloquen las
rt
ordenes más específicas al principio.

ce
Fijaros en el siguiente ejemplo:
Access-list 1 permit any
Access-list 1 deny host 5.5.5.5
En este caso, como la primera línea siempre es cierta, nunca pasará a leer la segunda, por lo que el
tráfico con origen 5.5.5.5 jamás será cribado.
9 / 22
[UDI098606] ACL's.
Conclusiones:
Sólo se puede colocar una lista de acceso de entrada y otra de salida por interfaz
A la hora de agregar una línea nueva, SIEMPRE se añade al final, por lo que si deseamos
agregar una sentencia más específica que la última que hemos añadido, nos obliga a eliminar la
lista de acceso y volverla a hacer en el orden adecuado. Para ello procederemos con un No
Access-list núm.
om
Nunca se filtra la información que sale del propio router
.c
Las listas de acceso se pueden agregar también mediante el programa SDM.
n
io
De forma muy sencilla y sin utilizar comandos, existen dos mecanismos con los que podemos crear
ac
listas de acceso complejas de la siguiente manera desde el software de administración SDM:
rm
fo
SDM se puede descargar de forma gratuita desde la página de CISCO en el siguiente enlace -->
m
DOWNLOAD.
l co
ve
Accederemos al primero mediante el botón Firewall y ACL que se encuentra en la barra de la

.le
izquierda.
d os
ca
ifi
rt
ce
10 / 22
[UDI098606] ACL's.
om
n .c
io
ac
rm
fo
m
l co
Desde esta ventana elegiremos la interfaz de entrada y la de salida para especificar el sentido del
ve
tráfico.
.le
os
Para definir las ACL le daremos al signo más(+) que sale junto al texto Add.
d
Desde ahí podremos especificar todas las opciones para una ACL extendida, como el puerto origen o
ca
destino, las IP a restringir, etc.

ifi
rt
ce
11 / 22
[UDI098606] ACL's.
om
n .c
io
ac
rm
fo
Una vez englobado todos los aspectos que queremos cubrir con la sentencia, le damos a OK. En el
m
caso de establecer el argumento LOG, seleccionaremos la casilla correspondiente.

l co
ve
.le
os
Si le damos a aceptar y tenemos previamente esta opción seleccionada en el menú editar >
d
preferencias, nos saldrá automáticamente los comandos que se van a introducir a raíz de nuestra
ca
acción.
ifi
rt
ce
Esto nos permite aprender y ver qué líneas se insertarán dentro de la running-config y luego
modificarlas a nuestra elección.
12 / 22
[UDI098606] ACL's.
om
Aquí tenéis, además, un ejemplo de una lista de acceso extendida nombrada. La ventaja de éstas
n .c
frente a las otras es que podemos especificar la posición de una línea nueva (recordemos que
io
siempre se agregaban al final) y eliminar una sentencia cualquiera dentro de la lista de acceso
ac
(imposible en una ACL estándar o extendida numerada).
rm
Otra opción es definirlas a través de tareas adicionales, donde tenemos un potente editor de ACL,
fo
que podemos dividirlo en las siguientes opciones:
m
co
Access rules. Utilización de las ACL para filtrar el tráfico permitiendo o denegando su paso.
l
ve
Nat-Rules. Utilización de las ACL para definir qué trafico con direccionamiento privado va a
.le
ser traducido.
QoS Rules. Especifica el tráfico que va a ser englobado mediante una ACL para ser priorizado.
os
IPSEC Rules. Determina el tráfico encriptado mediante listas de acceso.

d
ca
ifi
Nosotros para el temario que nos ocupa nos encargaremos del primer conjunto de reglas, las de
rt
acceso y accederemos a ese servicio mediante:

ce
13 / 22
[UDI098606] ACL's.
om
n .c
io
ac
rm
fo
m
l co
ve
.le
La forma de llevarlo a cabo es similar a los pasos que hemos visto un poco más arriba.
d os
Listas de acceso dinámicas

ca
ifi
También conocidas como lock-and-key, permiten autenticar al usuario antes de que pueda pasar la
rt
información a través del router. Se basan en la conectividad mediante Telnet y las listas de Acceso
ce
extendidas.
En un principio, cualquier tráfico está bloqueado hasta que un usuario quiera pasar información a
través del router. Para ello, previamente debemos autenticarnos mediante telnet, para que de forma
automática se coloque una lista de acceso dinámica con una duración predeterminada para esa IP
que se ha validado a través del puerto 23.
ACL tiene bastantes ventajas, como el proceso de autentificación, se reduce la carga del procesador
del router porque no debe sopesar cada paquete que recibe y no compromete otros niveles de
14 / 22
[UDI098606] ACL's.
seguridad ya que podremos personalizar el uso de cada cliente en función del usuario.
A la hora de procesar la información y validarla, podemos realizar la comprobación bien contra una
base de datos local definida en el propio router o podemos redirigirlo contra un servidor Radius o
tacacs para que intermedie en el proceso de validación de las credenciales.
Programas como el Cisco Secure ACS permite un diseño muy permeable y flexible sobre los
permisos según usuarios y grupos.
om
El primer paso será crear una lista de acceso, numerada o nombrada extendida. Una de las primeras
.c
entradas debe permitir el acceso por telnet o ssh al router para poder enviar las credenciales del
n
usuario
io
ac
La autenticación será el segundo paso establecido bien mediante una base de datos local, un
rm
servidor AAA externo o bien mediante el proceso básico de login y password definido dentro de las
fo
VTY (tiene como defecto que todos los usuarios tienen la misma contraseña).
m
¿Qué ventajas tiene ACL?

l co
Todas son correctas.

ve
.le
El proceso de autentificación.
os
Se reduce la carga del procesador del router porque no debe sopesar cada paquete que
d
recibe.
ca
ifi
No compromete otros niveles de seguridad ya que podremos personalizar el uso de cada

rt
cliente en función del usuario.

ce
Finalmente, debemos habilitar el método de autenticación dinámica al definir la lista de acceso, que
se establecerá durante el tiempo que especifiquemos mediante el argumento dynamic.
15 / 22
[UDI098606] ACL's.
om
n .c
io
En este ejemplo, la ACL 101 permite el acceso por telnet desde cualquier equipo, mientras que la
ac
segunda sentencia es la que se establecerá de manera dinámica, permitiendo pasar todo flujo de
comunicación. rm
fo
m
l co
ve
.le
Asociamos la lista de acceso a la interfaz, especificamos la seguridad dentro de las líneas virtuales y
os
con autocommand establecemos que cuando el host se valide de manera correcta, se cierre la
d
conexión y se instale la lista de acceso dinámica. Si no hay actividad durante 5 minutos, la sesión
ca
caducará y se tendrá que autenticar de nuevo. El argumento timeout x puede no funcionar en

ifi
determinadas IOS.
rt
ce
16 / 22
[UDI098606] ACL's.
om
n .c
io
Nuestra intención es que el host con la 192.168.10.2 no sea capaz de hacer ping a la 5.0.0.1 hasta
ac
que se loguee previamente por telnet en el R1 y aporte sus credenciales.
rm
fo
Para ello primero daremos de alta un usuario que utilizaremos como manera de autenticarse al
m
cliente:
co
Username efren password cisco

l
ve
Después crearemos la lista de acceso que permita el acceso por Telnet o SSH al router
.le
Access-list 100 permit tcp any host 192.168.10.1 eq Telnet

os
Y seguidamente estableceremos la sentencia de la ACL dinámica permitiendo el tráfico hacia la

d
loopback. Este paso lo podremos definir todo lo permisivo que queramos:

ca
ifi
Access-list 101 dynamic prueba timeout 15 permit ip any any

rt
ce
El timeout definido especifica el uso de la “ventana” que se abre al loguearse de forma correcta.
Tras 15 minutos la conexión se cerrará, haya o no actividad.
Definimos el modo de autenticación para comprobar cómo se valida el dispositivo:
Line vty 0 4 Login local
Aquí podríamos hacer referencia a un servidor Radius o a cualquier otro método que nos permita la
IOS mediante el uso de AAA:
17 / 22
[UDI098606] ACL's.
autocommand access-enable host timeout 5
Y dentro de la configuración de línea estableceremos este comando que provoca la desconexión por
el puerto 23 si se autentifica de manera correcta, estableciéndose la ventana durante el tiempo
especificado.
Hagamos la comprobación:
om
Mediante el ping a la 5.0.0.1 comprobamos que no tenemos acceso a la Loopback del router:
n .c
io
ac
rm
fo
m
co
Hacemos telnet al router y nos verificamos correctamente. Veremos que la conexión se cierra
en el momento:
l
ve
.le
d os
ca
ifi
rt
ce
Finalmente, volvemos a intentar el ping fallido del paso 1
18 / 22
[UDI098606] ACL's.
Para comprobar que todo ha sido fruto de nuestra lista de acceso dinámica, ejecutaremos el
siguiente comando en el router:
om
En esta pantalla nos sale el tiempo que nos queda para que la ventana se cierre por inactividad. Si
volvemos a lanzar el ping el contador se reseteará al tiempo establecido
n .c
En este caso 300 segundos o 5 minutos:
io
ac
rm
Para saber las ACL asociadas a una interfaz, podemos escribir:
fo
m
Show running-config interface f0/0

co
O
l
ve
Show ip interface f0/0

.le
os
Indica si este enunciado es verdadero o falso: SDM no tiene la opción de

d
descargarse de forma gratuita.

ca
ifi
Falso
rt
ce
Verdadero
19 / 22
[UDI098606] ACL's.
Recuerda
[[[Elemento Multimedia]]]
om
.c
n
io
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
20 / 22
[UDI098606] ACL's.
Autoevaluación
Indica la respuesta correcta: Las listas de acceso (ACL) son sentencias que
permiten o deniegan tráfico en función de varios parámetros.
No, depende de la situación.
om
No, nunca.
.c
n
Si.
io
ac
rm
Indica si el siguiente enunciado es verdadero o falso: La principal función de las
ACL es incrementar la seguridad de la red.
fo
m
co
Falso
l
ve
Verdadero
.le
os
Indica si el siguiente enunciado es verdadero o falso: Las Listas de acceso

d
estándar hacen referencia solo al tráfico origen, por tanto son menos flexibles
ca
pero más fáciles de utilizar.

ifi
rt
ce
Falso
Verdadero
Indica si el siguiente enunciado es verdadero o falso: Access-list, crea la lista de

acceso con un número y establecemos una condición de permitir o denegar
sobre la dirección IP origen.
21 / 22
[UDI098606] ACL's.
Falso
Verdadero
Indica si el siguiente enunciado es verdadero o falso: Sólo se puede aplicar una

lista de acceso de entrada y otra de salida.
om
Falso
.c
n
io
Verdadero
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
22 / 22

UNIDAD 8. ACL&#39;s.

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

UNIDAD 8. ACL&#39;s.

Cargado por

Copyright:

Formatos disponibles

[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)

[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)

principal función de las ACL es incrementar la seguridad de la red.

Definir una lista de acceso (ACL).

Conocer las funciones del uso de las listas de acceso (ACL).

Aplicar lo aprendido en un ejercicio de listas de acceso (ACL).

transporte, el tipo de protocolo, etc.

hora de filtrar el tráfico y qué tipo de direccionamiento se ha de supervisar:

pero más fáciles de utilizar.

La sintaxis de las ACL de este tipo es la siguiente:

Access-list (numero) deny\permit (IP de red origen y Wildcard o host ip de origen)

Queremos denegar cualquier información que venga de la red 192.168.1.0:

Access-list 1 deny 192.168.1.0 0.0.0.255

Access-list 1 permit any

podemos hacerlo de esta manera:

Access-list 1 permit host 192.168.1.1

denegado por el deny any.

Listas de Acceso Extendida

Permiten especificar el protocolo de capa 3 -como icmp- o capa 4 -TCP/UDP-, la ip origen, la ip

Access-list (número) deny/permit (protocol ip origen wildcard ip destino wildcard) sentencia

listas de acceso extendidas hay una sentencia final que es:

Access-list x deny ip any

Aplicación de las listas de acceso

pueda visualizar con un show access-list

Las listas de acceso estándar, independientemente de cómo se implementen, de entrada o de

salida, solo hace referencia a la IP origen.

ordenes más específicas al principio.

Fijaros en el siguiente ejemplo:

Access-list 1 permit any

Access-list 1 deny host 5.5.5.5

tráfico con origen 5.5.5.5 jamás será cribado.

Accederemos al primero mediante el botón Firewall y ACL que se encuentra en la barra de la

destino, las IP a restringir, etc.

caso de establecer el argumento LOG, seleccionaremos la casilla correspondiente.

modificarlas a nuestra elección.

IPSEC Rules. Determina el tráfico encriptado mediante listas de acceso.

acceso y accederemos a ese servicio mediante:

Listas de acceso dinámicas

que se ha validado a través del puerto 23.

tacacs para que intermedie en el proceso de validación de las credenciales.

permisos según usuarios y grupos.

¿Qué ventajas tiene ACL?

Todas son correctas.

No compromete otros niveles de seguridad ya que podremos personalizar el uso de cada

cliente en función del usuario.

se establecerá durante el tiempo que especifiquemos mediante el argumento dynamic.

caducará y se tendrá que autenticar de nuevo. El argumento timeout x puede no funcionar en

Username efren password cisco

Access-list 100 permit tcp any host 192.168.10.1 eq Telnet

Y seguidamente estableceremos la sentencia de la ACL dinámica permitiendo el tráfico hacia la

loopback. Este paso lo podremos definir todo lo permisivo que queramos:

Access-list 101 dynamic prueba timeout 15 permit ip any any

Tras 15 minutos la conexión se cerrará, haya o no actividad.

Definimos el modo de autenticación para comprobar cómo se valida el dispositivo:

Line vty 0 4 Login local

IOS mediante el uso de AAA:

autocommand access-enable host timeout 5

el puerto 23 si se autentifica de manera correcta, estableciéndose la ventana durante el tiempo

Finalmente, volvemos a intentar el ping fallido del paso 1

siguiente comando en el router:

volvemos a lanzar el ping el contador se reseteará al tiempo establecido

Show running-config interface f0/0

Show ip interface f0/0

Indica si este enunciado es verdadero o falso: SDM no tiene la opción de

UNIDAD 8. ACL's.

UNIDAD 8. ACL's.