ACL (Listas de Control de Acceso)

Resumen, para el curso de Cisco

Por Hilmar Zonneveld

Propósito
Este resumen les puede servir a los estudiantes de CCNA como referencia. De ninguna
manera debe ser considerado como un sustituto de la lectura del capítulo
correspondiente, de la asistencia a la presentación del instructor o - ¡peor aun! - de
participar en las prácticas.

Bibliografía
En la versión 2 del del curso CCNA, el tema de las ACL aparece en el semestre 3.

En la versión 3 del curso CCNA, el tema aparece en el semestre 2.

Una búsqueda en www.cisco.com puede ser muy provechosa. Por ejemplo,

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00
800a5b9a.shtml contiene una descripción general de las ACL.

Protocolos IP y números de puerto: RFC 1700, en

http://www.ietf.org/rfc/rfc1700.txt?number=1700.

Propósito de las ACL

Las ACL permiten un control del tráfico de red, a nivel de los routers. Pueden ser parte
de una solución de seguridad (junton con otros componentes, como antivirus, anti-
espías, firewall, proxy, etc.).

Puntos varios, que se deben recordar

• Una ACL es una lista de una o más instrucciones.
• Se asigna una lista a una o más interfaces.
• Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes
criterios: el origen del tráfico; el destino del tráfico; el protocolo usado.
• El router analiza cada paquete, comparándolo con la ACL correspondiente.
• El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la
acción correspondiente (aceptar o rechazar), y ya no revisa los restantes
renglones.
• Es por eso que hay que listar los comandos desde los casos más específicos,
hasta los más generales. ¡Las excepciones tienen que estar antes de la regla
general!
 • Si no encuentra una coincidencia en ninguno de los renglones, rechaza
automáticamente el tráfico. Consideren que hay un "deny any" implícito, al final
de cada ACL.
• Cualquier línea agregada a una ACL se agrega al final. Para cualquier otro tipo
de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Se
recomienda copiar al Bloc de Notas y editar allí.
• Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de
origen.
• Las ACL extendidas (100-199) permiten controlar el tráfico en base a la
dirección de origen; la dirección de destino; y el protocolo utilizado.
• También podemos usar ACL nombradas en vez de usar un rango de números. El
darles un nombre facilita entender la configuración (y por lo tanto, también
facilita hacer correcciones). No trataré las listas nombradas en este resumen.
• Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface puede haber
sólo una ACL para tráfico entrante, y una ACL para tráfico saliente.
• Sugerencia para el examen: Se deben conocer los rangos de números de las
ACL, incluso para protocolos que normalmente no nos interesan.

Wildcards
• "Wildcard" significa "comodín", como el joker en el juego de naipes.
• Tanto en la dirección de origen, como (en el caso de las ACL extendidas) en la
dirección de destino, se especifican las direcciones como dos grupos de
números: un número IP, y una máscara wildcard.
• Si se traduce a binario, los "1" en la máscara wildcard significan que en la
dirección IP correspondiente puede ir cualquier valor.
• Para permitir o denegar una red o subred, la máscara wildcard es igual a la
máscara de subred, cambiando los "0" por "1" y los "1" por "0" (en binario).
• Sin embargo, las máscaras wildcard también permiten más; por ejemplo, se
pueden denegar todas las máquinas con números IP impares, o permitir el rango
de IP 1-31, en varias subredes a la vez.

Ejemplos:

• Permitir o denegar un IP específico: 172.16.0.1 0.0.0.0. Se puede abreviar como

host 172.16.0.1.
• Permitir o denegar una subred: 172.16.0.0 0.0.0.255. (El ejemplo corresponde a
una subred /24, es decir, máscara de subred = 255.255.255.0.)
• Permitir o denegar a todos: 0.0.0.0 255.255.255.255. Se puede abreviar como
any.

Colocación de las ACL

• Las ACL estándar se colocan cerca del destino del tráfico. Esto se debe a sus
limitaciones: no se puede distinguir el destino.
• Las ACL extendidas se colocan cerca del origen del tráfico, por eficiencia - es
decir, para evitar tráfico innecesario en el resto de la red.
Dirección del tráfico
El tema "in" vs. "out" suele causar confusiones, por eso es convienente la siguiente
explicación.

La dirección in o out (entrada o salida) se refiere al router que están configurando en ese
momento. Por ejemplo, con la siguiente configuración de routers (A, B, C son routers;
X, Y son hosts (o redes)):

X ------ A ------ B ------ C ------- Y

Se puede controlar el tráfico de X a Y en el router A, B o C.

Por ejemplo, el en router A, se puede controlar el tráfico entrante (in), en la interface

que está a su izquierda. En el mismo router, también es posible controlar el tráfico
saliente (out), en la interface que está a su derecha.

De la misma manera, se puede controlar el tráfico en el router B: entrante, a la

izquierda; o saliente, por la derecha; o de igual manera en el router C.

(Lo más recomendable en este caso es usar una lista extendida, en el router A, y
aplicarla a la interface a su izquieda, dirección "in" - entrante.)

También se debe recordar que normalmente el tráfico fluye en dos direcciones. Por
ejemplo, si "Y" es un servidor Web, teóricamente, en el router C, interface a la derecha,
se podría bloquear la solicitud al servidor (out), o también la respuesta del servidor (in).

ACL estándar
Sintaxis para un renglón (se escribe en el modo de configuración global):

access-list (número) (deny | permit) (ip origen) (wildcard origen)

Ejemplo: Bloquear toda la subred 172.17.3.0/24, excepto la máquina 172.17.3.10.

access-list 1 permit host 172.17.3.10

access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit any

Para asignarlo a una interface:

interface F0
ip access-group 1 out

ACL extendidas
Sintaxis para cada renglón:

access-list (número) (deny | permit) (protocolo) (IP origen) (wildcard

origen) (IP destino) (wildcard destino)
 [(operador) (operando)]

El "protocolo" puede ser (entre otros) IP (todo tráfico de tipo TCP/IP), TCP, UDP,
ICMP.

El "operando" puede ser un número de puerto (por ejemplo 21), o una sigla conocida,
por ejemplo, "ftp".

Ejemplo 1: Repetir el ejemplo de la ACL estándar, pero se especifica que se quiere

permitir o denegar el tráfico con destino al servidor, que está en 172.16.0.1:

access-list 101 permit ip host 172.17.3.10 host 172.16.0.1

access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1
access-list 101 permit ip any any

Ejemplo 2: Permitir tráfico HTTP y "ping" (ICMP) al servidor 172.16.0.1, para todos.
Denegar todo lo demás.

access-list 102 permit icmp any host 172.16.0.1

access-list 102 permit tcp any host 172.16.0.1 eq www

Comandos varios
show ip interface (muestra asignaciones de ACL)
show access-lists (muestra el contenido de las ACL)
debug ip packet 101 [detail] (permite analizar cómo se aplican las
ACL)