LISTAS DE

CONTROL DE
ACCESO
Cisco ccna 4. Capitulo 5.
Por: Ericka Rodrguez
Jacob Morales Jurez.

OBJETIVOS

Introduccin .

Explicar como se utilizan las ACL.

Configurar las ACL estandar en una Red.

Configurar las ACL extendidas en una

Red.

OBJETIVOS

Introduccin.

Explicar como se utilizan las ACL.

Configurar las ACL estandar en una Red.

Configurar las ACL extendidas en una

Red.

INTRODUCCIN
La seguridad de la red es un tema muy amplio, una de las
capacidades ms importantes que un administrador de red
necesita, es el dominio de las listas de control de acceso
(ACL).
Los administradores utilizan las ACL para detener el trfico
o permitir slo el trfico especfico y, al mismo tiempo,
para detener el resto del trfico en sus redes.
Los diseadores de red utilizan firewalls
redes contra el uso no autorizado. En
puede configurar un simple firewall
capacidades bsicas de filtrado de trfico

para proteger las

un router Cisco,
que proporcione
mediante las ACL.

OBJETIVOS

Introduccin.

Explicar como se utilizan

las ACL.

Configurar las ACL estandar en una Red.

Configurar las ACL extendidas en una

Red.

COMO SE UTILIZAN LAS ACL?

Una conversacin TCP/IP

Las ACL le permiten controlar el trfico de entrada y

de salida de la red. Este control puede ser tan simple
como permitir o denegar los hosts o direcciones de
red. Sin embargo, las ACL tambin pueden
configurarse para controlar el trfico de red segn el
puerto TCP que se utiliza.
Para comprender cmo funciona una ACL con TCP,
observemos el dilogo durante una conversacin TCP
cuando descarga una pgina Web a su equipo.

COMO SE UTILIZAN LAS ACL?

Una conversacin TCP/IP

Cuando solicita datos de un servidor Web, IP se encarga de

la comunicacin entre la PC y el servidor. TCP se encarga
de la comunicacin entre su navegador Web (aplicacin) y
el software de servidor de red.
Cuando enva un correo electrnico, visita una pgina Web
o descarga un archivo, TCP es el responsable de desglosar
los datos en paquetes para IP, antes de enviarlos, y de
integrar los datos de los paquetes al recibirlos. El proceso
de TCP es muy similar a una conversacin, donde dos
nodos de una red aceptan transferir datos entre s.

COMO SE UTILIZAN LAS ACL?

Una conversacin TCP/IP

COMO SE UTILIZAN LAS ACL?

Filtrado de Paquetes

El filtrado de paquetes, a veces denominado filtrado esttico de

paquetes, controla el acceso a la red, analiza los paquetes de entrada y
de salida, y permite o bloquea su ingreso segn un criterio establecido.
Un router acta como filtro de paquetes cuando reenva o deniega
paquetes segn las reglas de filtrado. El filtrado de paquetes acta en la
capa de red del modelo de interconexin de sistema abierto (OSI, Open
Systems Interconnection) o en la capa Internet de TCP/IP.
Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza
reglas para determinar la autorizacin o denegacin del trfico segn las
direcciones IP de origen y de destino, el puerto origen y el puerto
destino, y el protocolo del paquete. Estas reglas se definen mediante las
listas de control de acceso o ACL.

COMO SE UTILIZAN LAS ACL?

Filtrado de Paquetes

Una ACL es una lista secuencial de sentencias de permiso o denegacin que

se aplican a direcciones IP o protocolos de capa superior. La ACL puede
extraer la siguiente informacin del encabezado del paquete, probarla
respecto de las reglas y decidir si "permitir" o "denegar" el ingreso segn los
siguientes criterios:

Direccin IP de origen
Direccin IP de destino
Tipo de mensaje ICMP

La ACL tambin puede extraer informacin de las capas superiores y probarla

respecto de las reglas. La informacin de las capas superiores incluye:

Puerto TCP/UDP de origen

Puerto TCP/UDP de destino

COMO SE UTILIZAN LAS ACL?

Filtrado de Paquetes

COMO SE UTILIZAN LAS ACL?

A continuacin, le presentamos pautas para el uso de las ACL:

Utilice las ACL en routers firewall entre su red interna y su red

externa.
Utilice las ACL en un router situado entre dos partes de la red a
fin de controlar el trfico que entra o sale de una parte
especfica de su red interna.
Configure las ACL en routers de borde situados en los extremos
de la red.
Configure las ACL para cada protocolo de red configurado en
las interfaces del router de borde.

COMO SE UTILIZAN LAS ACL?

Las ACL realizan las siguientes tareas:

Limitar el trfico de red para mejorar el rendimiento de sta.

Brindar control de flujo de trfico.
Proporcionar un nivel bsico de seguridad para el acceso a la
red.
Se debe decidir qu tipos de trfico enviar o bloquear en las
interfaces del router.
Analizar los hosts para permitir o denegar su acceso a los
servicios de red.

COMO SE UTILIZAN LAS ACL?

Cmo funcionan las ACL?

COMO SE UTILIZAN LAS ACL?

Cmo funcionan las ACL?

Las listas de acceso definen el conjunto de reglas

que proporcionan control adicional para los
paquetes que ingresan a las interfaces de entrada,
paquetes que pasan a travs del router y paquetes
que salen de las interfaces de salida del router.
Las ACL no actan sobre paquetes que se originan
en el mismo router. Las ACL se configuran para ser
aplicadas al trfico entrante o saliente.

COMO SE UTILIZAN LAS ACL?

Cmo funcionan las ACL?

ACL de entrada: los paquetes entrantes se procesan

antes de ser enrutados a la interfaz de salida. Una
ACL de entrada es eficaz porque guarda la carga de
bsquedas de enrutamiento si el paquete se descarta.
Si el paquete est autorizado por las pruebas, luego
se procesa para el enrutamiento.

ACL de salida: los paquetes entrantes se enrutan a la

interfaz de salida y luego son procesados a travs de
la ACL de salida.

COMO SE UTILIZAN LAS ACL?

Tipos de ACL de Cisco
Hay dos tipos de ACL Cisco: estndar y extendidas.

ACL estndar
Las ACL estndar le permiten autorizar o denegar el
trfico desde las direcciones IP de origen. No importan
el destino del paquete ni los puertos involucrados. El
ejemplo permite todo el trfico desde la red
192.168.30.0/24. Debido a la sentencia implcita "deny
any" (denegar todo) al final, todo el otro trfico se
bloquea con esta ACL. Las ACL estndar se crean en el
modo de configuracin global.

COMO SE UTILIZAN LAS ACL?

Tipos de ACL de Cisco
ACL extendidas

Las ACL extendidas filtran los paquetes IP en funcin de

varios atributos, por ejemplo: tipo de protocolo,
direcciones IP de origen, direcciones IP de destino,
puertos TCP o UDP de origen, puertos TCP o UDP de
destino e informacin opcional de tipo de protocolo para
una mejor disparidad de control.
En la figura, la ACL 103 permite el trfico que se origina
desde cualquier direccin en la red 192.168.30.0/24 hacia
cualquier puerto 80 de host de destino (HTTP). Las ACL
extendidas se crean en el modo de configuracin global.

COMO SE UTILIZAN LAS ACL?

Tipos de ACL de Cisco

COMO SE UTILIZAN LAS ACL?

Cmo funciona una ACL estndar?

La ACL estndar es una coleccin secuencial de

condiciones de permiso o denegacin que aplican a las
direcciones IP. No se incluyen el destino del paquete ni
los puertos involucrados.
La primera coincidencia determina si el software
acepta o rechaza la direccin. El orden de las
condiciones es muy importante, ya que el software
detiene las condiciones de prueba luego de la primera
coincidencia. Si no coinciden ningunas de las
condiciones, se rechaza la direccin.

COMO SE UTILIZAN LAS ACL?

Cmo funciona una ACL estndar?

Las dos tareas principales involucradas al utilizar las ACL

son:
Paso 1. Crear una lista de acceso que especifique un
nmero o nombre de lista de acceso y las condiciones de
acceso.
Paso 2. Aplicar la ACL a las interfaces o lneas de terminal.

COMO SE UTILIZAN LAS ACL?

Numeracin y denominacin de las ACL

Utilizar ACL numeradas es un mtodo eficaz para determinar el

tipo de ACL en redes ms pequeas con ms trfico definido de
manera homognea. Sin embargo, un nmero no le informa el
propsito de la ACL. Por ello, si se parte del IOS de Cisco
Versin 11.2, puede utilizar un nombre para identificar una ACL
de Cisco.
En cuanto a las ACL, si se pregunta por qu se saltean los
nmeros del 200 al1299, la respuesta es porque esos nmeros
son utilizados por otros protocolos. Este curso se centra slo en
las ACL IP. Por ejemplo, los nmeros del 600 al 699 son
utilizados por AppleTalk y los nmeros del 800 al 899 por IPX.

COMO SE UTILIZAN LAS ACL?

Dnde ubicar las ACL

La ubicacin adecuada de las ACL para filtrar el trfico no deseado

proporciona un funcionamiento ms eficiente de la red. Las ACL pueden
actuar como firewalls para filtrar paquetes y eliminar el trfico no
deseado. El lugar donde ubique las ACL puede reducir el trfico
innecesario. Por ejemplo, el trfico que se deniega en un destino remoto
no debe usar los recursos de la red en el camino hacia ese destino.
Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las
reglas bsicas son:
Ubicar las ACL extendidas lo ms cerca posible del origen del trfico
denegado. De esta manera, el trfico no deseado se filtra sin atravesar la
infraestructura de red.
Como las ACL estndar no especifican las direcciones de destino,
colquelas lo ms cerca del destino posible.

OBJETIVOS

Introduccin.

Explicar como se utilizan las ACL.

Configurar las ACL estandar

en una Red.

Configurar las ACL extendidas en una

Red.

CONFIGURACIN DE LAS ACL

ESTNDAR

La ACL estndar es una coleccin secuencial

de condiciones de permiso o denegacin que
aplican a las direcciones IP. No se incluyen el
destino del paquete ni los puertos
involucrados.

CONFIGURACIN DE LAS ACL

ESTNDAR

Lgica de las ACL estndar

CONFIGURACIN DE LAS ACL

ESTNDAR
Sintaxis
access-list (nmero-de-lista) (deny | permit)
(ip origen) (wildcard origen)

CONFIGURACIN DE LAS ACL

ESTNDAR

Sintaxis

Ejemplo: Bloquear toda la subred

172.17.3.0/24, excepto la mquina 172.17.3.10.

access-list 1 permit host 172.17.3.10

access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit any
Para asignarlo a una interface:
interface Fa0/0
ip access-group 1 out

CONFIGURACIN DE LAS ACL

ESTNDAR

Luego de configurar una ACL estndar, se la

vincula a una interfaz con el comando ip
access-group.

Router(config-if)#ip access-group {nmero de

lista de acceso | nombre de lista de acceso}
{in | out}

CONFIGURACIN DE LAS ACL

ESTNDAR

Ejemplos:

CONFIGURACIN DE LAS ACL

ESTNDAR

Ejemplos:

CONFIGURACIN DE LAS ACL

ESTNDAR

Ejemplos:

CONFIGURACIN DE LAS ACL

ESTNDAR

Creacin de una ACL estndar nombrada

Asignar un nombre a una ACL facilita la comprensin de su

funcin. Por ejemplo, una ACL que deniega FTP puede
denominarse NO_FTP. Al identificar una ACL con un
nombre en lugar de un nmero, el modo de configuracin
y la sintaxis del comando son un tanto diferentes.

CONFIGURACIN DE LAS ACL

ESTNDAR

OBJETIVOS

Introduccin.

Explicar como se utilizan las ACL.

Configurar las ACL estandar en una

Red.

Configurar las ACL

extendidas en una Red.

CONFIGURACIN DE LAS ACL

EXTENDIDAS.
Para lograr un control ms preciso del filtrado
del trfico, puede usar ACL extendidas
numeradas del 100 al 199 y del 2000 al 2699,
lo que ofrece un total de 799 ACL extendidas
posibles. A las ACL extendidas tambin se les
puede asignar un nombre.

CONFIGURACIN DE LAS ACL

EXTENDIDAS.

Sintaxis

CONFIGURACIN DE LAS ACL

EXTENDIDAS.

Ejemplo:

CONFIGURACIN DE LAS ACL

EXTENDIDAS.

Aplicar una ACL a una interfaz

GRACIAS POR
SU ATENCIN