Listas de control de acceso

- ACL

Paula Leon
 1. Funcionamiento de las ACL
estándar.
2. Tipos de ACLs.

Clase 3 ○ Numeradas
○ Nombradas
3. Configuración y verificación de
las ACLs.
1. Funcionamiento de las ACL
Listas de control de acceso - ACL

Lista de comandos del IOS que permiten o

deniegan un paquete en función a la
información del encabezado de capa 3.

Permiten filtrar paquetes para controlar el

acceso a la red mediante el análisis de los
paquetes entrantes y salientes de la red.

Tipos de ACLs:
● ACL estandar - capa 3.
● ACL extendida - capa 3 y 4.
Listas de control de acceso - ACL
Componentes
Entradas de control de acceso - ACE
Son instrucciones permit o deny.
Filtrado de paquetes
Cuando el tráfico de la red atraviesa una
interfaz configurada con una ACL, el
router compara la información dentro
del paquete con cada ACE, en orden
secuencial, para determinar si el
paquete coincide con una de las ACE.
ACL estándar

● Criterio de filtrado en cada ACE: dirección IPv4 de

origen.
● Se compara secuencialmente la dirección IPv4 de
origen, obtenida del encabezado de capa de red, con
cada ACE de la lista.
● Cuando se encuentra una coincidencia, el router
realiza la instrucción que indica la ACE.
ACL de entrada y salida
● Las ACEs controlarán los paquetes que ingresan por las interfaces del router y los que
salen por las interfaces de salida del router después del proceso de enrutamiento.

● Las ACL se configuran para aplicarse al tráfico entrante o al tráfico saliente.

Ejemplo de ACL estándar

● Serie de 3 ACE
● Comparación de la direcciones IPv4 de origen con cada ACE.
● Uso de máscaras wildcard en lugar de máscaras de subred.

Máscara wildcard
 Máscaras de subred vs Máscaras wildcard

Dirección de red: 192.168.1.0 Dirección de red: 192.168.1.0

Máscara de subred: 255.255.255.0 Máscara wildcard: 0. 0. 0.255

Bit 1: establece coincidencia con el Bit 0: se establece la coincidencia con el

valor del bit correspondiente en la valor del bit correspondiente en la
dirección. dirección.

Bit 0: se omite el valor del bit Bit 1: se omite el valor del bit
correspondiente en la dirección. correspondiente en la dirección.
Máscaras de wildcard
Palabras clave en las máscaras wildcard
Palabra clave: host
Reemplaza la wildcard 0.0.0.0, que
busca la coincidencia de los 32 bits de
la dirección IPv4.
Se utiliza para filtrar la dirección de un
host.
Palabra clave: any
Sustituye la dirección y wildcard
255.255.255.255.
Se utiliza para omitir la dirección
IPv4 completa o que se acepte
cualquier dirección.
Reglas para aplicar las
ACL
● Una ACL por protocolo.
● Una ACL por sentido.
● Una ACL por interfaz
 ● Creación y configuración de ACLs
según las políticas de seguridad de
Pautas para la creación la organización.
● Documentar y describir el
de ACLs propósito de la ACL.
● Probar la ACL en un entorno de
prueba antes de de implementarla
en una red de produccion.
2. Tipos de ACL
Creación de ACLs

1. Crear la ACL numerada o nombrada.

2. Asociar la ACL a un interfaz y configurar el sentido.

Nota: Colocar la ACL tan cerca del destino como sea posible
ACL estándar numerada IPv4
Creación de la ACL en configuración global:

access-list number {deny | permit | remark} source-address wildcard-address [log]

● number: número entre 1-99 y 1300-1999, sirve para identificar la ACL como estándar.

● deny | permit | remark: indican la acción que realiza la ACE en cuanto identifique coincidencia.

● source-address: dirección de origen que se desea filtrar.

● wildcard-address: indica los bits que deben coincidir para que la ACE se ejecute.

● log: genera un mensaje de registro informativo en la consola acerca del paquete que coincide
con la entrada.
ACL estándar numerada IPv4

Aplicación de la ACL en una interfaz:

ip access-group {access-list-number} {in | out}

Ejemplo de ACL:
ACL estándar nombrada IPv4
Creación de la ACL en configuración global:

ip access-list standard name

{deny | permit | remark} source-address wildcard-address [log]
● name: distinguen mayúsculas y minúsculas, no permite espacios, es alfanumérico.

● deny | permit | remark: indican la acción que realiza la ACE en cuanto identifique coincidencia.

● source-address: dirección de origen que se desea filtrar.

● wildcard-address: indica los bits que deben coincidir para que la ACE se ejecute.

● log: genera un mensaje de registro informativo en la consola acerca del paquete que coincide
con la entrada.
ACL estándar nombrada IPv4

Aplicación de la ACL en una interfaz:

ip access-group {access-list-name} {in | out}

Ejemplo de ACL:
Verificación de ● show ip interface id-interfaz
● show access-lists
ACL ● show running-config
Protección de puertos 1. Crear la ACL definiendo los
VTY rangos o direcciones
individuales que tendrán
permitido el acceso.
Definir qué direcciones IP tienen 2. Asociar la ACL con la interfaz
permitido el acceso a la CLI de los virtual VTY
dispositivos
access-class number/name { in | out }
3. Configuración y verificación de las ACL
Simulación
Preguntas
¡Gracias!