ACL ESTANDAR

Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar) que se aplican a los protocolos de capa superior o a las direcciones. Las ACL son una herramienta potente para controlar el tráfico hacia y desde la red. Se pueden configurar ACL para todos los protocolos de red enrutada.

En un router Cisco, puede configurar un firewall simple que proporcione capacidades básicas de filtrado de tráfico mediante ACL. Los administradores utilizan las ACL para detener el tráfico o para permitir solamente tráfico específico en sus redes.

El motivo más importante para configurar ACL es aportar seguridad a una red.

Funcionamiento de ACL

ACL se puede configurar para “permitir el acceso web a los usuarios de la red A, pero denegar el resto de los servicios a los usuarios de esa red. Denegar el acceso HTTP a los usuarios de la red B, pero permitir que los usuarios de esa red tengan todos los otros tipos de acceso”, de manera lógica. Consulte la ilustración para examinar la ruta de decisión que utiliza el filtro de paquetes para llevar a cabo esta tarea.

Para esta situación, el filtro de paquetes examina cada paquete de la siguiente manera:

  • Si el paquete es un SYN de TCP de la red A que utiliza el puerto 80, tiene permiso para pasar. El resto de los tipos de acceso se deniega a esos usuarios.
  • Si el paquete es un SYN de TCP de la red B que utiliza el puerto 80, se bloquea. Sin embargo, se permite el resto de los tipos de acceso.

 

 

Comparación entre ACL de IPv4 estándar y extendidas

 

ACL estándar

Las ACL estándar se pueden utilizar para permitir o denegar el tráfico de direcciones IPv4 de origen únicamente. El destino del paquete y los puertos involucrados no se evalúan.

En el ejemplo de la figura , se permite todo el tráfico de la red 192.168.30.0/24. Debido al “deny any” (denegar todo) implícito al final, todo el resto del tráfico se bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración global.

ACL extendidas

Las ACL extendidas filtran paquetes IPv4 según varios tributos:

  • Tipo de protocolo
  • Dirección IPv4 de origen
  • Dirección IPv4 de destino
  • Puertos TCP o UDP de origen
  • Puertos TCP o UDP de destino
  • Información optativa de tipo de protocolo para un control más preciso

En la figura, la ACL 103 permite el tráfico que se origina desde cualquier dirección en la red 192.168.30.0/24 hasta cualquier

red IPv4 si el puerto de host de destino es 80 (HTTP). Las ACL extendidas se crean en el modo de configuración global.

 

Lógica de las ACL estándar

En la ilustración, se revisa la dirección de origen de los paquetes que ingresan al router a través de la interfaz G0/0 según las siguientes entradas:

access-list 2 deny 192.168.10.10

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Si se permiten los paquetes, se enrutan a través del router hacia una interfaz de salida. Si se deniegan los paquetes, se descartan en la interfaz de entrada.

 

Configurar las ACL estándar.

Para utilizar ACL estándar numeradas en un router Cisco, primero debe crear la ACL estándar y, a continuación, activarla en una interfaz.

El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99. La versión 12.0.1 del software IOS de Cisco amplió ese intervalo y permite que se utilicen los números que van de 1300 a 1999 para las ACL estándar. Esto permite que se genere un máximo de 798 ACL estándar posibles. A estos números adicionales se los denomina “ACL de IP extendidas”.

La sintaxis completa del comando de ACL estándar es la siguiente:

Router(config)# access-list access-list-number

 { deny | permit | remark } Origen [source-wildcard ]

[ log ]

En la figura , se explica detalladamente la sintaxis para una ACL estándar.

Las ACE pueden permitir o denegar un solo host o un rango de direcciones host. Para crear una instrucción de host en la ACL numerada 10 que permita un host específico con la dirección IP 192.168.10.0, debe introducir lo siguiente:

R1(config)# access-list 10 permit host 192.168.10.10

Como se muestra en la figura 2, para crear una instrucción que permita un rango de direcciones IPv4 en una ACL numerada 10 que permite todas las direcciones IPv4 en la red 192.168.10.0/24, debe introducir lo siguiente:

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

Para eliminar la ACL, se utiliza el comando de configuración global no access-list. La ejecución del comando show access-list confirma que se eliminó la lista de acceso 10

para asegurar que el administrador y otras personas recuerden el propósito de las instrucciones, se deben incluir comentarios (remarks). La palabra clave remark se utiliza en los documentos y hace que sea mucho más fácil comprender las listas de acceso. El texto de cada comentario tiene un límite de 100 caracteres. La ACL que se muestra en la figura 3, que es bastante simple, se utiliza a modo de ejemplo. Cuando se revisa la ACL en la configuración mediante el comando show running-config, también se muestra el comentario

Øla ACL 3 contiene dos ACE. La primera ACE utiliza una máscara wildcard para denegar un rango de direcciones que incluye todos los hosts en la red 192.168.10.0/24. La segunda ACE es una instrucción de host que examina un host específico: 192.168.10.10. Este es un host dentro del rango de hosts que se configuró en la instrucción anterior. Es decir, 192.168.10.10 es un host en la red 192.168.10.0/24. La lógica interna del IOS para las listas de acceso estándar rechaza la segunda instrucción y envía un mensaje de error, porque es un subconjunto de la instrucción anterior.

Øla ACL 4 tiene las mismas dos instrucciones, pero en orden inverso. Esta es una secuencia válida de instrucciones, porque la primera instrucción se refiere a un host específico, no a un rango de hosts.

Øla ACL 5 muestra que se puede configurar una instrucción de host después de una instrucción que denota un rango de hosts. El host no debe estar dentro del rango que abarca una instrucción anterior. La dirección host 192.168.11.10 no forma parte de la red 192.168.10.0/24, por lo que se trata de una instrucción válida.

 

Procedimientos de configuración de ACL estándar

Después de que se configura una ACL estándar, se vincula a una interfaz mediante el comando ip access-group del modo de configuración de interfaz:

Router(config-if)# ip access-group { access-list-number | nombre-lista-acceso } { pre | out }

Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la interfaz y, a continuación, introduzca el comando global no access-list para eliminar la ACL completa.

En la figura, se enumeran los pasos y la sintaxis para configurar y aplicar una ACL estándar numerada en un router.

Esta ACL solo permite que se reenvíe mediante la interfaz S0/0/0 el tráfico de la red de origen 192.168.10.0. El tráfico proveniente de redes distintas de la red 192.168.10.0 se bloquea.

En la primera línea, se identifica la ACL como lista de acceso 1. Esta lista permite el tráfico que coincide con los parámetros seleccionados. En este caso, la dirección IPv4 y la máscara wildcard que identifican a la red de origen son 192.168.10.0 0.0.0.255. Recuerde que existe una denegación implícita de todas las instrucciones que equivale a agregar la línea access-list 1 deny 0.0.0.0 255.255.255.255.

El comando de configuración de interfaz ip access-group 1 out vincula la ACL 1 a la interfaz Serial 0/0/0 como filtro de salida.

Por lo tanto, la ACL 1 solo permite que los hosts de la red 192.168.10.0/24 salgan por el router R1. Esta lista deniega cualquier otra red, incluida la red 192.168.11.0.

 

Configuración de ACL de IPv4 estándar con nombre

La asignación de nombres a las ACL hace más fácil comprender su función.

 

Crear una ACL estándar con nombre.

ØEn el modo de configuración global, utilice el comando ip access-list para crear una ACL con nombre. Los nombres de las ACL son alfanuméricos, distinguen mayúsculas de minúsculas y deben ser únicos.

ØEn el modo de configuración de ACL con nombre, utilice las instrucciones permit o deny a fin de especificar una o más condiciones para determinar si un paquete se reenvía o se descarta.

ØAplique la ACL a una interfaz con el comando ip access-group. Especifique si la ACL se debe aplicar a los paquetes cuando ingresan por la interfaz (in) o cuando salen de la interfaz (out).

En la figura , configurar una ACL estándar con nombre en el router R1, en la que la interfaz G0/0 deniega el acceso del host 192.168.11.10 a la red 192.168.10.0. La ACL se llama NO_ACCESS.

 

Crear Comentarios sobre los ACL

Para incluir un comentario para las ACL de IPv4 estándar o extendidas numeradas, utilice el comando de configuración global access-list lista-acceso_número remark comentario. Para eliminar el comentario, utilice la versión no de este comando.

Modificación de ACL de IPv4

En el primer resultado del comando show, se puede ver que la ACL con el nombre NO_ACCESS tiene dos líneas numeradas que indican las reglas de acceso para una estación de trabajo con la dirección IPv4 192.168.11.10.

El comando ip access-list standard se utiliza para configurar las ACL con nombre. Se pueden insertar o eliminar instrucciones desde el modo de configuración de listas de acceso con nombre. El comando no número-secuencia se utiliza para eliminar instrucciones individuales.

 

Uso de una ACL para controlar el acceso a VTY

El comando access-class configurado en el modo de configuración de línea restringe las conexiones de entrada y salida entre una VTY determinada (en un dispositivo de Cisco) y las direcciones en una lista de acceso.

Las listas de control de acceso estándar y extendidas se aplican a los paquetes que se transportan a través de un router, no están diseñadas para bloquear los paquetes que se originan en el router. Una ACL extendida para Telnet de salida no evita las sesiones de Telnet iniciadas por el router de manera predeterminada.

Por lo general, se considera que el filtrado del tráfico de Telnet o SSH es una función de una ACL de IP extendida, porque filtra un protocolo de nivel superior. Sin embargo, debido a que se utiliza el comando access-class para filtrar sesiones de Telnet/SSH entrantes o salientes por dirección de origen, se puede utilizar una ACL estándar.

La sintaxis del comando access-class es la siguiente:

Router (config)# access-class número-lista-acceso { pre vrf-also ] | out }

El parámetro in limita las conexiones de entrada entre las direcciones en la lista de acceso y el dispositivo de Cisco, mientras que el parámetro out limita las conexiones de salida entre un dispositivo de Cisco en particular y las direcciones en la lista de acceso.

 

 

Yousef Sarhan

Alumno del curso: Cisco CCNA R&S

Centro: Tajamar

Año: 2015-2016