ACL (Listas de Control de Acceso)

Resumen, para el curso de Cisco Por Hilmar Zonneveld

Propsito
Este resumen les puede servir a los estudiantes de CCNA como referencia. De ninguna manera debe ser considerado como un sustituto de la lectura del captulo correspondiente, de la asistencia a la presentacin del instructor o - peor aun! - de participar en las prcticas.

Bibliografa
En la versin 2 del del curso CCNA, el tema de las ACL aparece en el semestre 3. En la versin 3 del curso CCNA, el tema aparece en el semestre 2. Una bsqueda en www.cisco.com puede ser muy provechosa. Por ejemplo,http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tec h_note09186a00800a5b9a.shtml contiene una descripcin general de las ACL. Protocolos IP y nmeros de puerto: RFC 1700, en http://www.ietf.org/rfc/rfc1700.txt?number=1700.

Propsito de las ACL

Las ACL permiten un control del trfico de red, a nivel de los routers. Pueden ser parte de una solucin de seguridad (junton con otros componentes, como antivirus, anti-espas, firewall, proxy, etc.).

Puntos varios, que se deben recordar

Una ACL es una lista de una o ms instrucciones. Se asigna una lista a una o ms interfaces. Cada instruccin permite o rechaza trfico, usando uno o ms de los siguientes criterios: el origen del trfico; el destino del trfico; el protocolo usado.

El router analiza cada paquete, comparndolo con la ACL correspondiente. El router compara la ACL lnea por lnea. Si encuentra una coincidencia, toma la accin correspondiente (aceptar o rechazar), y ya no revisa los restantes renglones. Es por eso que hay que listar los comandos desde los casos ms especficos, hasta los ms generales. Las excepciones tienen que estar antes de la regla general! Si no encuentra una coincidencia en ninguno de los renglones, rechaza automticamente el trfico. Consideren que hay un "deny any" implcito, al final de cada ACL. Cualquier lnea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificacin, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar all. Las ACL estndar (1-99) slo permiten controlar en base a la direccin de origen. Las ACL extendidas (100-199) permiten controlar el trfico en base a la direccin de origen; la direccin de destino; y el protocolo utilizado. Tambin podemos usar ACL nombradas en vez de usar un rango de nmeros. El darles un nombre facilita entender la configuracin (y por lo tanto, tambin facilita hacer correcciones). No tratar las listas nombradas en este resumen. Si consideramos slo el trfico de tipo TCP/IP, para cada interface puede haber slo una ACL para trfico entrante, y una ACL para trfico saliente. Sugerencia para el examen: Se deben conocer los rangos de nmeros de las ACL, incluso para protocolos que normalmente no nos interesan.

Wildcards

"Wildcard" significa "comodn", como el joker en el juego de naipes. Tanto en la direccin de origen, como (en el caso de las ACL extendidas) en la direccin de destino, se especifican las direcciones como dos grupos de nmeros: un nmero IP, y una mscara wildcard. Si se traduce a binario, los "1" en la mscara wildcard significan que en la direccin IP correspondiente puede ir cualquier valor. Para permitir o denegar una red o subred, la mscara wildcard es igual a la mscara de subred, cambiando los "0" por "1" y los "1" por "0" (en binario). Sin embargo, las mscaras wildcard tambin permiten ms; por ejemplo, se pueden denegar todas las mquinas con nmeros IP impares, o permitir el rango de IP 1-31, en varias subredes a la vez.

Ejemplos:

Permitir o denegar un IP especfico: 172.16.0.1 0.0.0.0. Se puede abreviar como host 172.16.0.1. Permitir o denegar una subred: 172.16.0.0 0.0.0.255. (El ejemplo corresponde a una subred /24, es decir, mscara de subred = 255.255.255.0.) Permitir o denegar a todos: 0.0.0.0 255.255.255.255. Se puede abreviar como any.

Colocacin de las ACL

Las ACL estndar se colocan cerca del destino del trfico. Esto se debe a sus limitaciones: no se puede distinguir el destino. Las ACL extendidas se colocan cerca del origen del trfico, por eficiencia - es decir, para evitar trfico innecesario en el resto de la red.

Direccin del trfico

El tema "in" vs. "out" suele causar confusiones, por eso es convienente la siguiente explicacin. La direccin in o out (entrada o salida) se refiere al router que estn configurando en ese momento. Por ejemplo, con la siguiente configuracin de routers (A, B, C son routers; X, Y son hosts (o redes)): X ------ A ------ B ------ C ------- Y Se puede controlar el trfico de X a Y en el router A, B o C. Por ejemplo, el en router A, se puede controlar el trfico entrante (in), en la interface que est a su izquierda. En el mismo router, tambin es posible controlar el trfico saliente (out), en la interface que est a su derecha. De la misma manera, se puede controlar el trfico en el router B: entrante, a la izquierda; o saliente, por la derecha; o de igual manera en el router C. (Lo ms recomendable en este caso es usar una lista extendida, en el router A, y aplicarla a la interface a su izquieda, direccin "in" - entrante.) Tambin se debe recordar que normalmente el trfico fluye en dos direcciones. Por ejemplo, si "Y" es un servidor Web, tericamente, en el router C, interface a

la derecha, se podra bloquear la solicitud al servidor (out), o tambin la respuesta del servidor (in).

ACL estndar
Sintaxis para un rengln (se escribe en el modo de configuracin global):
access-list (nmero) (deny | permit) (ip origen) (wildcard origen)

Ejemplo: Bloquear toda la subred 172.17.3.0/24, excepto la mquina 172.17.3.10.

access-list 1 permit host 172.17.3.10 access-list 1 deny 172.17.3.0 0.0.0.255 access-list 1 permit any

Para asignarlo a una interface:

interface F0 ip access-group 1 out

ACL extendidas
Sintaxis para cada rengln:
access-list (nmero) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino) [(operador) (operando)]

El "protocolo" puede ser (entre otros) IP (todo trfico de tipo TCP/IP), TCP, UDP, ICMP. El "operando" puede ser un nmero de puerto (por ejemplo 21), o una sigla conocida, por ejemplo, "ftp". Ejemplo 1: Repetir el ejemplo de la ACL estndar, pero se especifica que se quiere permitir o denegar el trfico con destino al servidor, que est en 172.16.0.1:
access-list 101 permit ip host 172.17.3.10 host 172.16.0.1 access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1 access-list 101 permit ip any any

Ejemplo 2: Permitir trfico HTTP y "ping" (ICMP) al servidor 172.16.0.1, para todos. Denegar todo lo dems.

access-list 102 permit icmp any host 172.16.0.1 access-list 102 permit tcp any host 172.16.0.1 eq www

Comandos varios
show ip interface (muestra asignaciones de ACL) show access-lists (muestra el contenido de las ACL) debug ip packet 101 [detail] (permite analizar cmo se aplican las ACL)