Cisco Networking Academy Program

Listas de Control de Acceso (ACL)

Listas de Control de Acceso

Qu son?
Las ACLs esencialmente son listas de condiciones para analizar el libre acceso o no a una red o dispositivo. Es una herramienta muy poderosa para el administrador ya que con ella puede realizar el control del acceso en ambos sentidos: desde y hacia su red. Pueden filtrar el trfico no deseado, por sta razn son utilizadas para la implementacin de polticas de seguridad en una empresa o comercio. Al aplicar una lista de acceso, se obliga al router a analizar cada uno de los paquetes que lo atraviesa, reduciendo de sta forma considerablemente la perfomance de ste dispositivo.

Listas de Control de Acceso

Cmo trabajan?
Los paquetes son comparados con cada lnea de la lista de acceso en orden secuencial segn como han sido ingresadas. La comparacin se realiza hasta que se encuentra una coincidencia. IMPORTANTE Al final de toda lista de acceso se establece en forma implcita una denegacin de todo el trfico: deny all

Listas de Control de Acceso

Una lista ACL es un grupo de sentencias que definen si se aceptan o rechazan los paquetes en interfaces entrantes o salientes. Estas decisiones se toman haciendo coincidir una sentencia de condicin en una lista de acceso y luego realizando la accin de aceptacin o rechazo definida en la sentencia. Si se cumple una condicin, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si todas las sentencias ACL no tienen coincidencias, se coloca una sentencia implcita que dice deny any o deny all al final de la lista por defecto.

Listas de Control de Acceso

Tipos de ACLs
Listas de Acceso Estndar Filtran paquetes considerando solamente la direccin IP de origen. Listas de Acceso Extendidas Filtran paquetes considerando tanto la direccin IP de origen como la de destino y los nmeros de puerto de la capa de transporte.

Listas de Control de Acceso

Listas de Acceso Estndar

Listas de Control de Acceso

Listas de Acceso Extendidas

Listas de Control de Acceso

Aplicacin
Listas de Acceso de Ingreso (in) El paquete es procesado por la lista de acceso antes de ser conmutado al puerto de salida. Listas de Acceso de salida (out) El paquete es conmutado hacia el puerto de salida y all es procesado por la lista de acceso.

TABLA DE ENRUTAMIENTO C 172.16.1.0 C 172.16.2.0 R 172.16.3.0 R 172.17.4.0 s0 s1 s1 s1

PAQUETE IP

PAQUETE IP

Listas de Control de Acceso

Lista de acceso de ingreso ip access-group ip access-group ip access-group ip access-group ip access-group ip access-group ip access-group ip access-group ip access-group ip access-group PAQUETE ip access-group IP ip access-group ip access-group ip access-group ip access-group Chequeo ip access-group ip access-group 101 in 101 in DE ENRUTAMIENTO TABLA 101 in C 172.16.1.0 s0 101 in C 172.16.2.0 s1 101 in R 172.16.3.0 s1 101 in R 172.17.4.0 s1 101 in 101 in 101 in 101 in 101 in 101 in 101 in 101 in 101 in 101 in 101 in

Listas de Control de Acceso

Lista de acceso de salida ip access-group ip access-group TABLA DE ENRUTAMIENTO ip access-group C 172.16.1.0 s0 ip access-group C 172.16.2.0 s1 ip access-group R 172.16.3.0 s1 ip access-group R 172.17.4.0 s1 ip access-group ip access-group ip access-group ip access-group ip access-group ip access-group ip access-group ip access-group ip access-group Chequeo ip access-group ip access-group 101 101 101 101 101 101 101 101 101 101 101 101 101 101 101 101 101 out out out out out out out out out out out out out out out out out

PAQUETE IP

Lista de acceso estndar

Configuracin
Utilice el comando access-list....

Router(config)#access-list ? <1-99> IP standard access list

Lista de acceso estndar

Configuracin
Utilice el comando access-list....
Debe indicar si va a introducir un comando de permiso o denegacin de acceso

Router(config)#access-list 10 ? deny Specify packets to reject Permit Specify packets to forward

Lista de acceso estndar

Configuracin
Utilice el comando access-list....
Debe indicar si va a introducir un comando de permiso o denegacin de acceso Puede filtrar tanto un grupo de direcciones como referirse a cualquier host de origen o a un host especfico. Router(config)#access-list 10 deny ? A.B.C.D Address to match any Any source host host A single host address

Lista de acceso estndar

Configuracin
El uso de mscaras de wildcard permite especificar tanto un host individual como un grupo de hosts, subred o red de origen.
La mscara de wildcard debe acompaar a la direccin de la red, subred o host que se desea filtrar. En esta mscara, el dgito binario en 0 indica que los mismos dgitos de la direccin IP deben coincidir exactamente. Router(config)#access-list 10 deny 192.168.2.10 0.0.0.0

Mscara de wildcard

Direccin IP de origen

Lista de acceso estndar

Configuracin
Aplique la lista de acceso a la interface

Router(config)#interface serial 0

Router(config-if)#ip access-group 10 out

Mscara de wildcard
Tips
Direccin binaria de 32 dgitos divididos en 4 octetos. A diferencia de las mscaras de subred, los 0 indican los dgitos significativos 00000000.00000000.11111111.11111111 a considerar. 0 . 0 . 255 . 255 10011001.00111010.00110111.11000011 El comando host reemplaza a una mscara de wildcard 0.0.0.0 00000000.00000000.11111111.11111111 10011001.00111010.00110111.11000011 El comando any reemplaza a una mscara de wildcard 255.255.255.255 00000000.00000000.00000000.00000000 10011001.00111010.00110111.11000011 La mscara de wildcard no necesariamente toma una red ohost completa, subred 11111111.11111111.11111111.11111111 puede tambin considerar bits aislados. any 10011001.00111010.00110111.11000011 11111111.11111111.11111111.11111110

Mscara de wildcard
un ejemplo de cmo opera

Mscara de wildcard
un ejemplo de cmo opera

Lista de acceso extendida

Configuracin
Como para las listas de acceso estndar, utilice el comando access-list....

Router(config)#access-list ? <100-199> IP extended access list

Lista de acceso extendida

Configuracin
Como para las listas de acceso estndar, utilice el comando access-list....
Ahora, debe indicar si va a introducir un comando de permiso o denegacin de acceso.

Router(config)#access-list 105 ? deny Specify packets to reject Permit Specify packets to forward

Lista de acceso extendida

Configuracin
Como para las listas de acceso estndar, utilice el comando access-list....
Ahora, debe indicar si va a introducir un comando de permiso o denegacin de acceso. Si desea establecer un filtro utilizando criterios de capa de aplicacin, debe seleccionar ahora el protocolo que desea filtrar

Router(config)#access-list 105 deny ? tcp

Lista de acceso extendida

Configuracin
A continuacin debe ingresarse la direccin IP de origen que se desea filtrar, utilizando la mscara de wildcard para indicar un host, red, subred o grupo.

Router(config)#access-list 105 deny tcp ? A.B.C.D Source address Any Any source host Host A single source host

Lista de acceso extendida

Configuracin
A continuacin debe ingresarse la direccin IP de origen que se desea filtrar, utilizando la mscara de wildcard para indicar un host, red, subred o grupo.
Luego debe ingresar la direccin IP de destino, con los mismos criterios.

Router(config)#access-list 105 deny tcp host 192.168.2.5 ? A.B.C.D source address Any any source host Host A single source host

Lista de acceso extendida

Configuracin
A continuacin debe ingresarse la direccin IP de origen que se desea filtrar, utilizando la mscara de wildcard para indicar un host, red, subred o grupo.
Luego debe ingresar la direccin IP de destino, con los mismos criterios. Finalmente, el sistema le requerir que ingrese el puerto TCP de destino

Router(config)#access-list 105 deny tcp host 192.168.2.5 any ? eq 21

Lista de acceso extendida

Configuracin
Router(config)#access-list 105 deny tcp host 192.168.2.5 any eq 21

ACL IP extendida Deniega el acceso Paquetes TCP Puerto TCP de destino

Direccin IP de destino

Direccin IP de origen

Mscara de wildcard
otro ejemplo de cmo opera Objetivo: permitir solo direcciones IP pares

Listas de Control de Acceso

TIPs
Solo se puede asignar una lista de acceso por interface. Organice su lista de acceso de modo que los criterios ms especficos estn al inicio. No se puede remover una lnea de una lista de acceso. Toda lista de acceso debe tener al menos un comando permit. Primero cree la lista de acceso y luego aplquela a la interface. Las listas de acceso estn diseadas para filtrar el trfico que atraviesa el router. Ubique las listas de acceso estndar lo ms cerca posible del destino. Ubique las listas de acceso extendidas lo ms cerca posible del origen.

Lista de acceso nombradas

Tips
Pueden ser tanto listas de acceso estndar como extendidas.

No se identifican por un nmero sino por un nombre.

Se crean dentro de un submodo de configuracin de las listas de acceso nombradas. Permiten editar las lneas de la lista sin necesidad de borrarlas.

Lista de acceso nombradas

Configuracin
1. Cree la lista de acceso nombrada
Rter(config)#ip access-list extended server-access Rter(config-ext-nacl)#permit tcp any host 131.108.101.99 eq smtp Rter(config-ext-nacl)#permit udp any host 131.108.101.99 eq domain Rter(config-ext-nacl)#Ctrl+Z

2.

Aplqueal a la interface que corresponda

Rter(config)#interface ethernet 0 Rter(config-if)#ip access-group server-access out Rter(config-if)#Ctrl+Z

Lista de acceso de terminal virtual

Configuracin