Listas de Control de Acceso (ACL)

Fundacin ESLARED
Nstor Angulo Reina
Mayela Uzctegui B.
Descripcin General
Una ACL es una coleccin secuencial de instrucciones de
permiso o rechazo que se aplican a direcciones o protocolos de
capa superior
Realizan las capacidades bsicas del filtrado
Se impide el acceso no autorizado a la red
Se permite el acceso autorizado
Se aplican a una interfaz del router
Indican que tipos de paquetes se deben aceptar y qu tipos de
paquetes se deben denegar
Se pueden crear para todos los protocolos enrutados de red
(IP,IPX)
Deben ser definidas por protocolo

2
Descripcin General
El orden en que se colocan las instrucciones es importante
Una vez que se verifica que existe una coincidencia con una
instruccin, no se verifican las instrucciones subsiguientes
Si se crea una instruccin que permita todo el trfico no se verificarn
las instrucciones siguientes
Las ACL verifican los encabezados del paquete y de la capa superior

3
Usos de las ACL
Limitar el trfico de red y as mejorar su rendimiento
Se puede designar ciertos paquetes para que sean procesados por
el router antes que otros segn el protocolo
Los routers no procesarn paquetes que no sean necesarios
Se limita, as, el trfico y se reduce la congestin
Brindar control de flujo de trfico
Las ACL pueden restringir o reducir el contenido de las
actualizaciones de enrutamiento por la red
Proporcionan un nivel bsico de seguridad para el acceso a la
red
A un host se le puede permitir el aceso a una parte de la red y a
otro se le puede negar el acceso a la misma rea

4
Usos de las ACL
Se puede decidir el tipo de trfico que pasa por las interfaces
Se puede permitir que se enrute el trfico del correo pero bloquear,
al mismo tiempo, todo el trfico de telnet

5
Funcionamiento de las ACL
Cuando un paquete entra en una interfaz, el enrutador verifica
si es enrutable o no
Si no es enrutable se ignora
Si es enrutable:
El enrutador verifica si la interfaz de entrada tiene una ACL
Si existe, la ACL verifica, en forma secuencial, si el paquete cumple
con las condiciones de la lista (permitido negado)
Si es negado se desecha
Si es permitido se pasa a la tabla de enrutamiento para determinar
la interfaz de salida
El router verifica si la interfaz de salida tiene ACL
Si no la tiene el paquete se enva directamente a la interfaz de
salida

6
Funcionamiento de las ACL
Si tiene ACL se verifica el paquete con dicha lista para ver si es
permitido o negado
Recordemos que las sentencias de la ACL se ejecutan en forma
secuencial
Si se cumple una condicin el paquete se permite o se niega y el
resto de las sentencias de la ACL no se verifican
Si no se cumple ninguna de las instrucciones de la ACL se impone
una sentencia implcita de negar cualquiera
Esto significa que aunque negar cualquiera no est escrita en la
lista en la ltima lnea de una ACL, est all.

7
Creacin de las ACL
Las ACL se crean utilizando el modo de configuracin global
Se especifican mediante un nmero o un nombre (IOS v 11.2)
Se dividen en ACL Estndar y ACL Extendidas
Las ACL estndar se numeran del 1 al 99
Las ACL extendidas se numeran del 100 al 199

8
Creacin de las ACL
Deben especificarse los protocolos IP permitidos, todos los
dems se deben negar
Los pasos bsicos para crear una ACL son:
Crear la lista de enlace (ACL)

Aplicar la lista a una interfaz

Las ACL pueden filtrar trfico entrante o trfico saliente.

Un router con una ACL entrante debe verificar cada paquete

para ver si cumple con la condicin de la ACL antes de

conmutar el paquete a una interfaz saliente

9
Mscara wildcard (comodn)
Como una direccin IP una mscara wildcard consta de 32 bits
agrupados en 4 octetos de 8 bits cada uno
Un 0 (cero) en una mscara wildcard significa que se debe verificar
el valor del bit correspondiente
Un 1 (uno) significa que no se debe verificar el valor del bit
correspondiente
Una mscara wildcard se compara con una direccin IP
Los 1 y los 0 se usan para identificar como se debe tratar los bits
correspondientes en la direccin IP
Las ACL usan estas mscaras para identificar una sola o
mltiples direcciones para las pruebas de aprobar o rechazar

10
Mscara wildcard (comodn)

11
Ejemplo de Wildcard
Sea la red Clase B 172.30.0.0 la cual ha prestado 8 bits para
formar subredes. Se desea utilizar un filtro sobre las subredes
172.30.16.0 hasta la subred 172.30.31.0
Como las subredes estn definidas en el tercer octeto, los tres
primeros octetos debern ser verificados.
Deber verificarse la red (los dos primeros octetos) y la

subred (tercer octeto)

El ltimo octeto no debe ser verificado pues pertenece al campo
de los hosts
La parte correspondiente al nombre de la red, 172.30 se puede
escribir en la wildcard como : 0.0 (a verificar)
El ltimo octeto no debe no debe verificarse (255)

12
Ejemplo de Wildcard
Tenemos ya parte de la Wildcard: 0.0.x.255
Hallemos el nmero digital correspondiente a x
En la direccin IP el nmero de la red a filtrar es 16, esto es, en
binario: 00010000
Deber verificarse los 4 primeros dgitos de la direccin IP (0001)
por lo que esta parte de la mscara ser : 0000
Los 4 ltimos dgitos de la direccin IP no es necesario verificarlos
por lo que los ltimos 4 dgitos de la mscara ser: 1111
La x de la wildcard ser: 00001111 = 15
Luego wildcard ser: 0.0.15.255
La accin de la la wildcard sobre las subredes se observa en el
tercer octeto, va de: 00010000 hasta 00011111 = 31

13
 Ejemplo de Wildcard
Luego, las subredes que se pueden filtrar estn comprendidas entre:
172.30.16.0 hasta 172.30.31.0

14
Abreviaturas de la wildcard
Any
Equivale a permitir sin verificar cualquier direccin IP

(0.0.0.0)
any => 0.0.0.0 255.255.255.255 (direc. IP wildcard)
Ejemplo:
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
se puede usar:
Router(config)# access-list 1 permit any

15
Abreviaturas de la wildcard
Host
Equivale a verificar todos los bits de una direccin IP
especfica
host 172.30.16.29 => 172.30.16.29 0.0.0.0
Ejemplo:
Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0
se puede usar:
Router(config)# access-list 1 permit host 172.30.16.29

16
Tipos de ACL
ACL estndar
Se numeran del 1 al 99
Se utilizan para:
Bloquear todo el trfico de una red

Permitir todo el trfico desde una red especfica

Denegar conjuntos de protocolos

Las ACL estndar verifican la direccin origen de los paquetes que

se deben enrutar
Permiten o niegan todo un conjunto de protocolos, segn las

direcciones de red, subred y host

Si se permiten se envan a la interfaz de salida repectiva

Si se niegan se descartan

17
Sintaxis de la ACL estndar
La sintxis completa del comando es:
Router(config)# access-list access-list-number {deny |
permit} source-address [wildcard mask]
Para eliminar una ACL estndar se usa la forma no de este
comando
Router(config)# no access-list access-list-number
Para aplicar una lista de acceso a una interfaz determinada se
utiliza el comando ip access-group
router(config-if)#ip access-group access-list-number {in | out}
Ejemplo:
interface ethernet 0
ip access-group 1 out

18
ACL estndar
Si la wildcard se compone de slo ceros, se puede omitir con
direcciones individuales direcciones de host
Los siguientes dos comandos tienen el mismo efecto:
access-list 2 permit host 36.48.0.3
access-list 2 permit 36.48.0.3 0.0.0.0

19
Visualizacin de las ACL estndar
Se visualizan mediante los comandos:
show access-list [access-list-number|access-list-name]
Las listas de acceso IP se visualizan mediante los comandos
show ip access-list [access-list-number|access-list-name

20
Ejemplos de ACL estndar
Lista de acceso stndar que permite el acceso de los
host de las tres redes especificadas
access-list 1 permit 192.5.34.0 0.0.0.255
access-list 1 permit 128.88.0.0 0.0.255.255
access-list 1 permit 36.0.0.0 0.255.255.255
Cualquier otro acceso est implcitamente denegado

21
Ejemplos de ACL estndar
Permitir el trfico slo desde la red 172.16.0.0

22
Ejemplos de ACL estndar
Impedir que el host 172.16.4.13 entre en la red 172.16.3.0
Todo lo dems est permitido

23
ACL extendidas
Se numeran desde 100 hasta 199
Se usan con mayor frecuencia porque ofrecen una mayor
cantidad de opciones de control que las ACL estndar
Verifican las direcciones origen y destino de los paquetes
Verifican protocolos
Verifican nmeros de puertos
Otros parmetros especficos
Ofrecen una mayor flexibilidad en el filtrado
Se pueden permitir o negar paquetes segn su origen destino
Se puede permitir el trfico de ciertos paquetes tal como el correo
electrnico y negar el uso de telnet y ftp remotos

24
Sintaxis de las ACL extendidas
La sintaxis es como sigue:
Router(config)# access-list access-list-number {permit |
deny} protocol source-address source-wildcard [operator
port] destination-address destination-wildcard [operator
port] [established] [log]
Las ACL se asocian a la interfaz respectiva mediante el comando
access-group
Recuerde que slo se permite una ACL por interfaz, por
protocolo por direccin.
El formato del comando es:
Router(config-if)# ip access-group access-list-number {in | out}

25
ACL extendidas
Protocol: IP, TCP, UDP, ICMP, IGRP
Operator Port. Pueden ser:
lt (menor que)
gt (mayor que)
eq (igual a)
neq (diferente a)
Estos Operadores deben ir seguidos del nmero de puerto
Ejemplo:
eq 21 => eq ftp
Established: permite el trfico TCP si los paquetes usan una
conexin establecida.
Log: envia un mensaje a la consola cada vez que se ejecuta la
sentencia

26
Nmeros de puerto reservado

27
Parmetros de la ACL extendida
La secuencia de los parmetros es muy importante
Cuando se estn verificando los nmeros de los puertos estos
deben colocarse inmediatamente despus de la direccin IP
access-list 101 deny tcp any eq telnet any
Siguiendo la sintaxis vemos que el parmetro eq (igual) est
verificando el puerto, en este caso el nmero de puerto del
origen
access-list 101 deny tcp any any eq telnet
En este caso se est verificando el nmero del puerto destino
La asignacin de los puertos se puede hacer en forma numrica
o utlizando los nmeros de puerto reservado

28
Ejemplos de ACL extendida
access-list 101 deny tcp any host 10.1.1.1 eq 23
access-list 101 deny tcp any host 10.1.1.1 eq telnet
access-list 101 deny udp 1.0.0.0 0.255.255.255 lt 1023 any
access-list 101 deny udp 1.0.0.0 0.255.255.255 lt 1023 44.1.2.3
0.0.255.255
access-list 101 deny ip 33.1.2.0 0.0.0.255 44.1.2.3
0.0.255.255
access-list 101 deny icmp 33.1.2.0 0.0.0.255 44.1.2.3
0.0.255.255 echo

29
Ejemplo 1
Bloquea el puerto 21 para transferencia de archivos (FTP) a la red
172.16.3.0
Lo dems esta permitido
La ACL se aplica a la interfaz E0

30
Ejemplo 2
Bobures tiene negado el acceso a los servidores FTP de la red R1
Lagunillas tiene negado el acceso al servidor Web Server 1

31
Ejemplo 2 - ACL aplicada en R1

32
ACL - Consideraciones
Donde deben colocarse las listas acceso?
En el ejemplo 1 se colocaron en R1
Las recomendaciones de Cisco son:
Colocar la ACL tan cerca de origen de los paquetes como sea
posible
Colocar las sentencias ms frecuentemente usadas (matched) en la
parte superior de la ACL para mejorar el comportamiento
Las ACL, segn sto, debern colocarse en R2 y R3
Esto se realiza a continuacin

33
Ejemplo 2 - ACL aplicada en R2

interfaz Serial0
ip address 172.16.12.2 255.255.255.0
ip access-group 101 out

interfaz Serial1
ip address 172.16.14.2 255.255.255.0
ip acces-group 101 out

access-list 101 deny tcp host 172.16.2.10 host 172.16.1.100 eq http

access-list 101 permit ip any any

34
Ejemplo 2 - ACL aplicada en R3

35
 ACL NOMBRADAS
Las ACL nombradas IP se introdujeron en el software Cisco IOS Versin 11.2, permitiendo
que las ACL extendidas y estndar tuvieran nombres en lugar de nmeros. Las ventajas
que ofrece una lista de acceso nombrada son las siguientes:
Identifica intuitivamente las ACL usando un nombre alfanumrico.
El IOS no limita el nmero de las ACL nombradas que se pueden configurar.
Las ACL nombradas tienen la capacidad de modificar las ACL sin tener que eliminarlas y
luego reconfigurarlas. Cabe notar que las listas de acceso nombradas permiten eliminar
sentencias pero slo permiten que las sentencias se agreguen al final de la lista. An con las
ACL nombradas, se recomienda utilizar un editor de textos para crearlas.
Tenga en cuenta lo siguiente antes de implementar las ACL nombradas:
Las ACL nombradas no son compatibles con las versiones de Cisco IOS anteriores a la
versin 11.2.
No se puede utilizar el mismo nombre para varias ACL. Por ejemplo, no se permite da el
nombre de George a ACL estndar y extendida.

36
ACL TELNET/SSH
Permitir el acceso Telnet a sola una estacion de trabajo, PERO, permitir que
cualquier estacion de trabajo en la red tenga acceso SSH, y ademas, hacer LOG
de toda actividad dirigida a mi linea VTY. POr ultimo, puedo usar la ACL con
nombre (named ACL) y no simplemente un numero.

ip access-list extended ACCESO_VTY

permit tcp host 10.0.0.2 any eq telnet log
permit tcp any any eq 22 log
deny tcp any any log
!
line vty 0 4
access-class ACCESO_VTY in

Router(config)#access-list 11 permit 192.168.1.0 0.0.0.255

Router(config)#line vty 0 4

Router(config-line)#access-class 11 in

37
 ACL NOMBRADAS
Ejemplo

ip access-list extended INB

(config-ext-nacl)#permit 172.16.0.0 0.0.255.255 172.17.0.0 0.0.255.255
(config-ext-nacl)#deny any any

stas listas se aplican como se aplican todas las acls y se verifican con los
mismos comandos. show ip access-list y show ip interface.

38
 ACL COMPLEJAS
Dentro de las ACLs complejas tenemos 3 tipos: dinmicas, reflexivas y basadas en
tiempo.
ACLs dinmicas
stas usan un mecanismo bsico de autenticacin, generalmente Telnet, para
activar la ACL, lo que permite usar una ACL como mecanismo de autenticacin o vincular
una ACL con la autenticacin de los usuarios con medios reconocidos. La idea consiste en
crear una regla en la ACL que slo se activar si es disparada por algn evento,
en ste caso un acceso por telnet al enrutador. La regla en cuestin agrega antes de la
accin (permit/deny) las palabras reservadas dynamic testlist timeout
<n>, donde n es la cantidad de minutos que la regla ser activa una vez que es
disparada, luego de estos parmetros va la regla ordinaria que se har activa, por
ejemplo permit ip host 10.1.1.1 any. Como esta ltima regla est asociada con un acceso
por telnet como disparador, en las lneas de vty se debe poner un comando
especial autocommand access-enable host timeout 5, que establece el acceso permitido al
telnet como disparador de la acl dinmica.

39
ACL Dinmica
Ejemplo
access-list 101 permit ip any host 10.1.1.1 eq telnet
access-list 101 dynamic testlist timeout 10 permit ip 172.16.0.0
0.0.255.255 172.17.0.0 0.0.255.255
interface fa 0/0
ip access-group 101 in
username cesarcabrera password cecab123
line vty 0 4
login local
autocommand access-enable host timeout 5

40
 ACL REFLEXIVA
ACLs reflexivas son un caso particular de ACL nombrada extendida, por lo tanto no
se pueden configurar en acl numeradas ni en acls nombradas estndar.
Se le pone un identificador al trfico que inicia la acl reflexiva, luego en la otra direccin se
le ordena que evale si el trfico corresponde con la regla marcada para permitirlo si
coincide. Finalmente se instalan las listas, una de entrada y otra de salida en la misma
interfaz (el trfico entra y sale por la misma interfaz).
ip access-list extended OUTB
permit udp 172.16.0.0 0.0.255.255 any reflect UDPTRAFFIC
permit icmp 172.16.0.0.0.0.255.255 any reflect ICMPTRAFF
ip access-list extended INB
evaluate UDPTRAFFIC
evaluate ICMPTRAFF
interface ser 0/0
ip access-group OUTB out
ip access-group INB in
El listado anterior instala una lista de acceso reflexiva que permite el trfico de UDP e ICMP slo si se
origin en la red 172.16.0.0/16.

41
 ACL BASADAS EN TIEMPO
La idea de estas acls son que se activan en las fechas y horarios que se hayan
establecido previamente, la precondicin evidente es que el enrutador debe tener
configuradas su hora y fecha correctamente, para sto se puede configurar
manualmente, confiando que el equipo no se vaya a reiniciar por ningn motivo y que el
administrador va a mantener actualizado el reloj en caso contrario. Otra alternativa (ms
confiable) es configurar un servidor ntp para que el enrutador mantenga su tiempo
actualizado.
La configuracin de las acls basadas en tiempo consiste en crear un rango de tiempo
(time-range) el cual es despus usado en las reglas de la ACL.
time-range NOCHES
periodic Monday Tuesday Wednesday Thursday Friday 17:00 to 00:00
access-list 101 permit tcp 172.16.0.0 0.0.255.255 any eq www time-range NOCHES
int fa 0/0
ip access-group 101 out
El anterior listado crea una lista de acceso que se permite el acceso a Internet para la red
172.16.0.0 slo despus de las 17hrs en das de trabajo (Lunes a Viernes).

42
 ACL en IPv6
Switch(config)# ipv6 access-list CISCO
Switch(config-ipv6-acl)# deny tcp any any gt 5000
Switch config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log
Switch(config-ipv6-acl)# permit icmp any any
Switch(config-ipv6-acl)# permit any any

http://www.cisco.com/c/en/us/td/docs/switc
hes/lan/catalyst3750/software/release/12-
2_55_se/configuration/guide/scg3750/swv6a
cl.html
43
 Ejemplo 3
El servidor Web (Dallas) est disponible a
todos los usuarios
La transferencia UDP y los servidores en
Bobures no estn disponibles a las
direcciones IP de la parte superior de
cada red
Mscara de las subredes 255.255.255.0
Los paquetes entre los hosts de la red
Viga y Valencia estn permitidos, slo, si
los paquetes son enrutados a travs del
enlace serial directo
Los hosts Portuguesa y Penny pueden
conectarse a todos los hosts menos a
Londres
Todas las dems conexiones estn
permitidas

44
45
46
Ejemplo 3 ACL del Vigia

47
Ejemplo 3 ACL de Valencia

48
Ejemplo 3 ACL de Mrida

49
Ejemplo 3 ACL de Mrida-Segunda solucin

50
Listas de Control de Acceso (ACL)

FIN

51