1

Listas de control de acceso

Filtrado de trfico: es el proceso de analizar los contenidos de un paquete para determinar si
debe ser permitido o bloqueado.
El filtrado de paquetes puede ser simple o complejo, denegando o permitiendo el trfico
basado en:
Direccin IP de origen
Direccin IP de destino
Direcciones MAC
Protocolos
Tipo de aplicacin
Uno de los mtodos ms comunes de filtrado de trfico es el uso de listas de control de acceso
(ACL). Las ACL pueden utilizarse para administrar y filtrar el trfico que ingresa a una red,
as como tambin el trfico que sale de ella.
El tamao de una ACL vara desde una sentencia que permite o deniega el trfico de un
origen, hasta cientos de sentencias que permiten o deniegan paquetes de varios orgenes. El
uso principal de las ACL es identificar los tipos de paquetes que se deben aceptar o denegar.
Las ACL identifican el trfico para varios usos, por ejemplo:
Especificar hosts internos para NAT
Identificar o clasificar el trfico para funciones avanzadas tales como QoS y colas
Restringir el contenido de las actualizaciones de enrutamiento
Limitar el resultado de la depuracin
Controlar el acceso de terminales virtuales a los routers
El uso de las ACL puede provocar los siguientes problemas potenciales:
La carga adicional sobre el router para verificar todos los paquetes se traduce en
menos tiempo para el reenvo de paquetes.
Las ACL con diseos defectuosos colocan una carga an mayor sobre el router y
podran interrumpir el uso de la red.
Las ACL colocadas de forma incorrecta bloquean el trfico que debe ser permitido y
permiten el trfico que debe ser bloqueado.
Las listas de control de acceso consisten de una o ms sentencias. En cada sentencia
puede haber permiso o denegacin de trfico segn parmetros especficos. El trfico
se compara con cada sentencia de la ACL en forma secuencial hasta encontrar una
coincidencia o hasta que no haya ms sentencias.
2

La ltima sentencia de una ACL es siempre una denegacin implcita. Esta sentencia se
inserta automticamente al final de cada ACL, aunque no est presente fsicamente. La
denegacin implcita bloquea todo el trfico. Esta funcin impide la entrada accidental
de trfico no deseado.
El administrador aplica una ACL entrante o saliente a una interfaz de router. La
direccin se considera entrante o saliente desde la perspectiva del router. El trfico que
ingresa a un interfaz ser entrante y el trfico que sale de ella ser saliente.
Cuando un paquete llega a una interfaz, el router controla los siguientes parmetros:
o Hay una ACL asociada con la interfaz?
o La ACL es entrante o saliente?
o El trfico coincide con los criterios para permitir o para denegar?
Mscara Wildcard de ACL
Para bloquear varias direcciones o rangos de direcciones se deben utilizar varias sentencias o
una mscara wildcard. El uso de una direccin de red IP con una mscara wildcard
proporciona una flexibilidad mucho mayor. Una mscara wildcard puede bloquear un
intervalo de direcciones o una red entera con una sentencia.
Las mscaras wildcard utilizan ceros para indicar la parte de una direccin IP que debe
coincidir exactamente y unos para indicar la parte de una direccin IP que no debe coincidir
con un nmero especfico.
La mscara wildcard 0.0.0.0 requiere una coincidencia exacta con los 32 bits de la direccin IP.
Esta mscara equivale al uso del parmetro host.
Ejemplos

3

La mscara wildcard especifica un host o un intervalo de direcciones que se deben permitir o
denegar.
Al crear una sentencia ACL, la direccin IP y la mscara wildcard se convierten en los campos
de comparacin. Todos los paquetes que entran o salen de una interfaz se comparan con cada
una de las sentencias de la ACL para determinar si hay coincidencia. La mscara wildcard
determina cuntos bits de la direccin IP entrante coinciden con la direccin de comparacin.
A modo de ejemplo, la siguiente sentencia permite todos los hosts de la red 192.168.1.0 y
bloquea todos los dems:
access-list 1 permit 192.168.1.0 0.0.0.255
La mscara wildcard especifica que slo los primeros tres octetos deben coincidir. Por lo
tanto, si los primeros 24 bits del paquete entrante coinciden con los primeros 24 bits del
campo de comparacin, se permite el paquete. Cualquier paquete con una direccin IP de
origen comprendida dentro del intervalo de 192.168.1.1 a 192.168.1.255 coincide con la
combinacin de direccin y mscara de comparacin del ejemplo. Todos los dems paquetes
son denegados por la sentencia ACL deny any implcita.
Ejemplo



4

Calculo mascara wildcard
En una red empresarial con un esquema de direccionamiento IP jerrquico, con frecuencia es
necesario filtrar el trfico de la subred.
Si se usan 3 bits para dividir en subredes la red 192.168.77.0, la mscara de subred es
255.255.255.224. Si se resta la mscara de subred de la mscara compuesta por todos los 255, el
resultado es la mscara wildcard 0.0.0.31. Para permitir los hosts de la subred 192.168.77.32, la
sentencia ACL es:
access-list 44 permit 192.168.77.32 0.0.0.31
Los primeros 27 bits de cada paquete coinciden con los primeros 27 bits de la direccin de
comparacin. El intervalo general de direcciones permitidas por esta sentencia va de
192.168.77.33 a 192.168.77.63, que es el intervalo de todas las direcciones de la subred
192.168.77.32.
La creacin de mscaras wildcard precisas para sentencias ACL proporciona el control
necesario para ajustar detalladamente el flujo de trfico.
La red 192.168.77.0, con la mscara de subred 255.255.255.192 o /26, crea las siguientes cuatro
subredes:
192.168.77.0/26
192.168.77.64/26
192.168.77.128/26
192.168.77.192/26
Para crear una ACL para filtrar cualquiera de estas cuatro subredes, reste la mscara de
subred 255.255.255.192 de la mscara compuesta por todos los 255, que da como resultado la
mscara wildcard 0.0.0.63. Para permitir el trfico proveniente de las dos primeras subredes,
use dos sentencias ACL:
access-list 55 permit 192.168.77.0 0.0.0.63
access-list 55 permit 192.168.77.64 0.0.0.63
Las dos primeras redes tambin se sumarizan en 192.168.77.0/25. La resta de la mscara de
subred sumarizada de 255.255.255.128 de la mscara con todos los 255 da como resultado una
mscara wildcard de 0.0.0.127. Al usar esta mscara se agrupan estas dos subredes en una
sentencia ACL en lugar de hacerlo en dos sentencias.
access-list 5 permit 192.168.77.0 0.0.0.127
5

Al crear una ACL, hay dos parmetros especiales que se pueden utilizar en lugar de una
mscara wildcard: host y any.
Parmetro host
Para filtrar un nico host especfico, use la mscara wildcard 0.0.0.0 despus de la direccin
IP o el parmetro host antes de la direccin IP.
R1(config)#access-list 9 deny 192.168.15.99 0.0.0.0
es igual a:
R1(config)#access-list 9 deny host 192.168.15.99
Parmetro any
Para filtrar todos los hosts, use parmetros formados por unos (1) configurando la mscara
wildcard 255.255.255.255. Cuando se usa la mscara wildcard 255.255.255.255, se considera
que todos los bits coinciden, por lo tanto la direccin IP normalmente se representa como
0.0.0.0. Otra forma de filtrar todos los hosts es usar el parmetro any.
R1(config)#access-list 9 permit 0.0.0.0 255.255.255.255
es igual a:
R1(config)#access-list 9 permit any

Considere el ejemplo siguiente, donde se deniega un host especfico y se permiten todos los
dems:
R1(config)#access-list 9 deny host 192.168.15.99
R1(config)#access-list 9 permit any
El comando permit any permite todo el trfico que no est especficamente denegado en la
ACL. Cuando se utiliza esta configuracin, ningn paquete llega al parmetro deny any
implcito al final de la ACL.




6

Tipos de ACL
ACL estndar
La ACL estndar es la ms simple de las tres clases. Al crear una ACL IP estndar, las ACL
filtran segn la direccin IP de origen de un paquete. Las ACL estndar permiten o deniegan
el acceso de acuerdo con la totalidad del protocolo, como IP. De esta manera, si un dispositivo
host es denegado por una ACL estndar, se deniegan todos los servicios provenientes de ese
host. Este tipo de ACL sirve para permitir el acceso de todos los servicios de un usuario
especfico, o LAN, a travs de un router y, a la vez, denegar el acceso de otras direcciones IP.
Las ACL estndar estn identificadas por el nmero que se les ha asignado. Para las listas de
acceso que permiten o deniegan el trfico IP, el nmero de identificacin puede variar entre 1
y 99 y entre 1300 y 1999.
ACL extendidas
Las ACL extendidas filtran no slo segn la direccin IP de origen, sino tambin segn la
direccin IP de destino, el protocolo y los nmeros de puertos. Las ACL extendidas se
utilizan ms que las ACL estndar porque son ms especficas y ofrecen un mayor control. El
rango de nmeros de las ACL extendidas va de 100 a 199 y de 2000 a 2699.
ACL nombradas
Las ACL nombradas (NACL, Named ACL) son ACL estndar o extendidas a las que se hace
referencia mediante un nombre descriptivo en lugar de un nmero. Cuando se configuran
ACL nombradas, el IOS del router utiliza un modo de subcomando de NACL.




7

Colocacin de las ACL
Las ACL estndar son fciles de crear e implementar. Sin embargo, las ACL estndar slo
filtran segn la direccin de origen y filtrarn todo el trfico independientemente del tipo o
destino del mismo. Con rutas hacia varias redes, es posible que una ACL estndar colocada
demasiado cerca del origen bloquee involuntariamente el trfico que se debe permitir. Por lo
tanto, es importante colocar las ACL estndar tan cerca del destino como sea posible.
Coloque una ACL extendida cerca de la direccin origen. Al observar la direccin origen y
destino, la ACL bloquea los paquetes destinados para una red de destino especfica antes de
que abandonen el router de origen. Los paquetes se filtran antes de cruzar la red, lo que
ayuda a conservar el ancho de banda.
Cuando determine la direccin en la cual se debe aplicar una ACL, visualice el flujo de trfico
desde la perspectiva del router.
El trfico entrante es trfico que ingresa a una interfaz del router desde afuera. El router
compara el paquete entrante con la ACL antes de buscar la red destino en la tabla de
enrutamiento. Cuando determine la direccin en la cual se debe aplicar una ACL, visualice el
flujo de trfico desde la perspectiva del router.
El trfico saliente est dentro del router y lo abandona a travs de una interfaz.
Configuracin de las ACL
La configuracin de una lista de control de acceso exige la realizacin de dos pasos: creacin
y aplicacin.
1. Creacin de ACL estndar
Ingrese el modo de configuracin global. Con el comando access-list, introduzca las
sentencias de la lista de control de acceso. Introduzca todas las sentencias con el mismo
nmero de ACL hasta que la lista de control de acceso est completa.
La sintaxis de la sentencia de la ACL estndar es:

access-list [access-list-number] [deny|permit] [source address] [source-wildcard][log]

Dado que cada paquete se compara con cada una de las sentencias de ACL hasta
encontrar una coincidencia, el orden en el que se colocan las sentencias dentro de la ACL
puede afectar la latencia introducida. Por lo tanto, ordene las sentencias de manera que
las condiciones ms comunes aparezcan en la ACL antes que las menos comunes. Por
ejemplo: las sentencias que encuentran una coincidencia para la mayor cantidad de trfico
deben ser colocadas al principio de la ACL.
8


No obstante, debe tener en cuenta que una vez que se encuentra una coincidencia, el
paquete ya no se compara con ninguna de las otras sentencias dentro de la ACL. Esto
significa que si una lnea permite un paquete, pero una lnea que se encuentra ms abajo
en la ACL lo deniega, el paquete ser permitido. Por ello, planifique la ACL de modo que
los requisitos ms especficos aparezcan antes que los ms generales. En otras palabras:
rechace un host especfico de una red antes de permitir el resto de toda la red.

Documente la funcin de cada seccin o sentencia de la ACL mediante el comando
remark:
access-list [list number] remark [text]
Para eliminar una ACL, use el comando:
no access-list [list number]

Ejemplo








9

2. Aplicacin
Asigne una ACL a una o ms interfaces y especifique el trfico entrante o saliente. Aplique
una ACL estndar tan cerca del destino como sea posible.
R2(config-if)#ip access-group [access list number] [in | out]
Los siguientes comandos colocan access-list 5 en la interfaz R2 Fa0/0 que filtra trfico
entrante:
R2(config)#interface fastethernet 0/0
R2(config-if)#ip access-group 5 in
La direccin predeterminada de una ACL aplicada a una interfaz es out. Aunque out es el
comando predeterminado, es muy importante especificar la direccin para evitar confusiones
y garantizar que el trfico se filtre en la direccin correcta.
Para eliminar una ACL de una interfaz y que la ACL quede intacta, use el comando
no ip access-group interface.
Hay varios comandos de ACL que evalan la sintaxis correcta, el orden de las sentencias y su
colocacin en las interfaces.
show ip interface : Muestra informacin de la interfaz IP e indica las ACL asignadas.
show access-lists [access list number]: Muestra los contenidos de todas las ACL del router.
Tambin muestra la cantidad de coincidencias para cada sentencia de permiso o denegacin
desde la aplicacin de la ACL. Para ver una lista especfica, agregue el nombre o nmero de la
ACL como opcin a este comando.
show running-config: Muestra todas las ACL configuradas en un router, incluso si no estn
aplicadas a una interfaz.

10

Creacin de ACL Extendidas
Una diferencia clave en la sintaxis de las ACL extendidas es el requisito de especificar un
protocolo despus de la condicin de permitir o denegar. Este protocolo puede ser IP, e
indicar todo el trfico IP, o puede indicar el filtrado en un protocolo IP especfico, como TCP,
UDP, ICMP y OSPF.
Estructura




Por lo general, hay muchas maneras diferentes de cumplir un conjunto de requisitos.
Por ejemplo: una empresa tiene un servidor con la direccin: 192.168.3.75. Tiene los siguientes
requisitos:
Permitir el acceso a los hosts de la LAN 192.168.2.0.
Permitir el acceso al host 192.168.1.66.
Denegar el acceso a los hosts de la LAN 192.168.4.0.
Permitir el acceso a todas las personas de la empresa.
Hay al menos dos soluciones posibles que cumplen con estos requisitos. Al planificar la ACL,
intente minimizar las sentencias siempre que sea posible.
Condicin: permit/deny Protocolo: IP/TCP/UDP Direccin IP de Origen
Direccin IP Destino
Condicin de coincidencia: eq/gt/it
Aplicacin: nombre/puerto
11


Algunas formas de minimizar sentencias y reducir la carga de procesamiento del router
incluyen:
Haga coincidir el trfico de gran volumen y deniegue el trfico bloqueado
anteriormente en la ACL. Este enfoque garantiza que los paquetes no se comparen con
sentencias posteriores.
Consolide varias sentencias de permitir y denegar en una nica sentencia mediante
intervalos.
Considere la posibilidad de denegar un grupo particular en lugar de permitir un grupo
opuesto y ms grande.

12

Algunos de los protocolos disponibles para el filtrado incluyen IP, TCP, UDP e ICMP.
Las ACL extendidas tambin filtran en nmeros de puertos destino. Estos nmeros de puerto
describen la aplicacin o el servicio exigido por el paquete. Cada aplicacin tiene asignado un
nmero de puerto registrado.
El router debe investigar la trama Ethernet para extraer todas las direcciones IP y la
informacin necesaria acerca de los nmeros de puerto, para su comparacin con las ACL.
El filtrado basado en una aplicacin particular exige el conocimiento del nmero de puerto
para esa aplicacin. Las aplicaciones estn asociadas con un nmero de puerto y un nombre.
Una ACL puede hacer referencia al puerto 80 o HTTP.

Adems de introducir los nmeros de puerto, se debe especificar una condicin antes de
comparar una sentencia. Las abreviaturas ms utilizadas son:
eq: equivale a
gt: mayor que
lt: menor que

13

Cuando se evala una ACL extendida, es importante tener en cuenta los siguientes puntos
clave:
La palabra clave tcp permite o deniega protocolos como FTP, HTTP, Telnet y otros.
La frase clave permit ip se usa para permitir todos los protocolos IP, incluidos TCP,
UDP e ICMP.

Configuracin del acceso a la VTY
Para iniciar sesin en el router remoto utilizan un programa como Telnet o un cliente Secure
Shell (SSH). Telnet transmite el nombre de usuario y la contrasea en texto sin formato y por
lo tanto no es muy seguro. SSH transmite la informacin de nombre de usuario y contrasea
en formato encriptado.
Cuando un administrador de red se conecta a un router remoto mediante Telnet, el router
inicia una sesin entrante. Telnet y SSH son herramientas de administracin de redes dentro
de banda y requieren el protocolo IP y una conexin de red para el router.
El objeto de la restriccin del acceso a la terminal virtual de teletipo (VTY) es aumentar la
seguridad de la red. Si una ACL se aplica al puerto vty del router que permite slo
direcciones IP especficas, se denegar el acceso a todas las personas que intenten hacer telnet
hacia el router desde una direccin IP no permitida en la ACL.
El proceso que se utiliza para crear la lista de control de acceso VTY es igual al de una
interfaz. No obstante, para aplicar la ACL a una lnea VTY se utiliza un comando diferente.
En lugar de usar el comando ip access-group, utilice el comando access-class.

14

Ejercicio # 1







15

Ejercicio #2








16

Ejercicio #3









17

Ejercicio #4





18

Ejercicio #5
19

Ejercicio # 6





















20

Ejercicio # 7