Access-lists

Las Access-list (ACL) son una secuencia de instrucciones permit o deny que se aplican a
los protocolos de capa superior o a las direcciones. Estos comandos controlan si un
router reenva o descarta paquetes segn el encabezado del mismo.
Las ACL realizan las siguientes tareas:

Limitan el trfico de red para aumentar su rendimiento

Proporcionar control de flujo de trfico
Proporcionar nivel bsico de seguridad
Filtrar el trfico segn su tipo
Filtrar a los hosts
Clasificar tipo de trfico para procesar paquetes por prioridad

Comunicacin TCP
La sesin comienza, se sincroniza (SYN). Se recibe un acuse de recibo (ACK) del
segmento esperado y se finaliza la sesin (FIN). Cuando la transferencia est
sincronizada se enva un acuse de recibo (SYN/ACK)

TCP identifican el puerto que coincide con el servicio solicitado.

Filtrado de paquetes
El filtrado de paquetes estticos controla el acceso a una red mediante el anlisis de los
paquetes, extrae informacin del encabezado y decide si el paquete se reenva o descarta
dependiendo de las reglas de los filtros configurados.
Las instrucciones de una ACL se denominan entradas de control de acceso (ACE), tambin
conocidas como instrucciones de ACL, las ACE se crean para filtrar el trfico segn algunos
criterios especficos, como la direccin de origen o destino, protocolos o nmeros de puertos,
las ACL pueden trabajar en la capa de red (capa 3) o la capa de transporte (capa 4).

El trfico de la red al pasar por alguna interfaz configurada con ACL el router procede a
comparar la informacin del paquete con cada ACE, esto de manera secuencial y si la
informacin coincide con una de las ACE, el router acta segn la orden dada en dicha ACE.

En capa 3 la ACL evala:

Direccin ip de origen
Tipo de mensaje ICMP

En capa 4 la ACL evala:

Direccin ip de origen
Direccin ip de destino
Puerto de origen TCP/UDP
Puerto de destino TCP/UDP

Las ACL se configuran para aplicarse al trfico de entrada o salida

ACL de entrada: Los paquetes entrantes se procesan antes de enrutarse a la interfaz

de salida. Estas ACL ahorran la sobrecarga.
ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y despus se
procesan mediante ACL de salida. Estas ACL son ideales cuando se aplica el mismo
filtro a los paquetes que vienen de diferentes interfaces y tienen una misma interfaz
de salida.

Cuando se ejecutan comandos de ACL siempre existe una denegacin implcita. Al final de cada
ACL, este comando bloquea todo el trfico.

ACL estndar y extendidas

Existen dos tipos de ACL en IPV4:

ACL estndar: Se utilizan para permitir o denegar trfico de direcciones IPV4 de origen
nicamente. El destino y los puertos no se evalan. Solo trabaja en capa 3.
ACL Extendida: Se utilizan para filtrar paquetes IPV4 por diferentes atributos.

Los valores que evala una ACL extendida son:

Direccin de origen
Direccin de destino
Puertos TCP/UDP de origen
Puertos TCP/UDP de destino

Las ACL estndar y extendidas se identifican con un nmero o nombre, las ACL numeradas son
eficaces en redes pequeas con un trfico definido. Las ACL identificadas con nombres solo
son posibles a partir de la versin 11.2 del IOS CISCO.
Las ACL numeradas son:
Estandar de la 1 a la 99 y 1300 a 1999
Extendida de 100 a la 199 y 2000 a 2699

Los nmeros del 200 al 1299 son nmeros utilizados por otros protocolos, en su mayora son
antiguos
u
obsoletos.

Mscara wildcard
Las mscaras wildcard son una cadena de 32 bits que el router utiliza para determinar los bits
de la direccin que debe examinar para encontrar una coincidencia. Las ACE usan mscara
wildcard.
La wildcard utiliza los valores uno y cero para filtrar direcciones IP individuales o grupo de
direcciones para permitir o denegar el acceso.
La wildcard se le denomina tambin mscara inversa, ya que los valores son los contrarios a los
de una mscara de red ya que el valor 0 corresponde a una coincidencia y el 1 no.
La
forma
ms
sencilla
de
calcular
una
wildcard
es:
A la direccin 255.255.255.255 se le resta la mscara de red/subred y de esta forma se
consigue la mscara wildcard.

Palabras claves wildcard

Host: reemplaza la mscara 0.0.0.0, es decir, deben coincidir todos los bits de la ip
dada
Any: sustituye la direccin IP y la mscara 255.255.255.255, esta palabra define que se
le permita o deniegue el acceso a cualquier direccin IP

Creacin de ACL

No deben configurarse en ambos sentidos, la cantidad de ACL y el sentido aplicado a

la interfaz depende de los requisitos.
Utilizar las ACL en los routers y firewalls ubicados entre la red interna y la red externa.
Utilizar las ACL en un router ubicado entre dos partes de la red para controlar el trfico
que entra o sale de una parte especfica de la red interna.
Configurar las ACL en un router frontera.
Configurar las ACL para cada protocolo de red configurado en las interfaces.

Las tres P
Al configurar ACL se puede pensar en las tres P: Por Protocolo, Por sentido y Por Interfaz

ACL por Protocolo: Para controlar el flujo de trfico en una interfaz, se debe definir
una ACL para cada protocolo habilitado en la interfaz.
ACL por sentido: Las ACL controlan el trfico entrante o saliente de cada interfaz, una
a la vez, por lo que se deben crear dos ACL diferentes para controlar cada una.
ACL por interfaz: Se puede configurar una ACL para una interfaz especfica.

Ubicacin de ACL
Cada ACL debe colocarse donde tenga mayor impacto en la eficiencia.

ACL extendidas: Las ACL extendidas se colocan lo ms cerca posible del origen del
trfico que se filtrar, dado que el trfico no deseado se deniega cerca de la red de
origen, sin que cruce la infraestructura de la red.

ACL estndar: Se colocan tan cerca del destino como sea posible, ya que , si se coloca
cerca del origen del trfico evitar que llegue a cualquier otra red.

Otros aspectos a considerar son:

Alcance del control del administrador de red: Depende de si el administrador que

configur la ACL controla la red de origen como destino.
Ancho de banda de las redes involucradas: El filtrado del trfico evitar que se
consuma el ancho de banda si se coloca en el origen.
Facilidad de configuracin: Depende de las necesidades de la red, si se necesita el
ancho de banda o facilidad, ya que una ACL estandar consume el ancho de banda al
colocarse cerca del destino pero solo es una ACL, la otra forma es con ACL extendidas,
que se configuraran varias pero no gastara ancho de banda.

ACL estndar IPV4

Al ingresar trfico al router, se compara el mismo con todas las ACE que se hayan ejecutado en
la ACL, el trfico se compara en el orden en que se hayan entrado los comandos y al hallar una
coincidencia deja de buscar en las dems ACE alguna coincidencia, al no haber coincidencia se
deniega el trfico por la denegacin implcita de las ACL.
Ejemplo de la lgica usada en ACL estndar

Configuracin de ACL Estndar

Se crea la Access-list en modo de configuracin global, con el comando
Router(config)# acces-list {nmero de ACL de 1 al 99 o de 1300 a 1999}
{deny/permit/remark} { (origen) A.B.C.D/any/host} {wildcard (solo cuando el origen es
decimal punteado)} {log (opcional)}
Se vincula la ACL con una interfaz del router
Router(config-if)# ip access-group {nmero de ACL/Nombre de la ACL} {in/out}
Para eliminar una ACL

Se elimina grupo de acceso

Router(config-if)# no ip access-group {nmero de ACL } {in/out}

Se elimina la ACL

Router(config)# no acces-list {nmero de ACL}

Configuracin de ACL estndar con nombre

Se crea la Access-list en modo de configuracin global, con el comando
Router(config)# ip access-list {standard } {Nombre que se le dar al ACL}

Se configura en el modo de ACL

Router(config-std -nacl)# {permit/deny/remark} {A.B.C.D/any/host/} {Wildcard (solo cuando

se ingresa decimal punteado} {log}

Se vincula la ACL con una interfaz del router

Router(config-if)# ip access-group {Nombre de la ACL} {in/out}

Verificacin de las ACL

Estos comandos se ejecutan en modo privilegiado
Router# Show ip interface brief

Con ste comando se muestra la configuracin de las interfaces, cuando se han configurado
ACL en las interfaces, se muestra el nombre o nombre de la ACL y el sentido en el que se le
aplic la ACL

Router# Show Access-list

Router# Clear access-list counters {Nmero de ACL/Nombre}

Las ACL llevan un control de cuantas coincidencias hay para cada ACE, estas coincidencias se
pueden
ver
por
el
mismo
comando
para
ver
las
ACL

Y se pueden borrar la cantidad de coincidencias con el comando

El IOS del router es responsable de la secuencia interna de de las ACE estndar, por lo tanto no
necesariamente la secuencia que posea el router de las ACE sea la misma de cmo se
introdujeron al equipo, mediante HASH, el IOS organiza las ACE de una manera que sea ms
eficiente la bsqueda de las ACE. Esta funcin solo se utiliza para los hosts de ACL extandar,
para ACL extendidas e IPv6 no se usa este algoritmo.

ACL en lneas VTY

La seguridad de las lneas VTY se puede mejorar a travs de las restricciones de acceso a VTY,
estas restricciones de acceso permiten definir que direcciones IP se les permite o deniega el
acceso al modo EXEC del router, esto se logra a travs de configurar una ACL y una instruccin
Access-class en las lneas vty, esto se puede realizar tanto para TELNET como para SSH.
Router(config-line)# Access-class {numero de ACL} {in/out}

Los parametros in y out

In limita las conexiones de entrada entre las direcciones en la ACL y el

dispositivo.
Out limita las conexiones de salida entre un dispositivo en particular y
las direcciones del ACL

Nota: Las lneas VTY solo aceptan ACL numeradas.

Access-list extendida
Las ACL extendidas se utilizan ms que las ACL estandar ya que proporcionan un grado mayor
de control, debido a que revisan direcciones ip de origen como las ACL estandar pero a su vez
tambin revisan direcciones ip de destino, protocolos y nmeros de puerto.

Para configurar una ACL extendida, se configura similar a una ACL estandar, la diferencia radica
en la sintaxis de los comandos y los parmetros.

Se crea la Access-list en modo de configuracin global, con el comando

Router(config)# acces-list {Numero de 10 al 200 o de 2000 a 2699} {permit/deny/remark}

{protocolo} {A.B.C.D/any/host/(origen)} {Wildcard (solo cuando se ingresa decimal
punteado}
{operador}
{puerto/servicio}
{A.B.C.D/any/host(destino}
{operador}
{puerto/servicio} {established}

El parmetro established permite que solo las respuestas al trfico procedente de la red
192.168.10.0/24 vuelvan a esa red. Si el segmento TCP que regresa tiene los bits ACK o de
restablecimiento (RST) establecidos, que indican que el paquete pertenece a una conexin
existente, se produce una coincidencia. Sin el parmetro established en la instruccin de ACL,
los clientes pueden enviar trfico a un servidor web, pero no recibir el trfico que vuelve de
dicho servidor.

ACL extendidas con nombre

Se crea la Access-list en modo de configuracin global, con el comando

Router(config)# ip access-list {extended } {Nombre que se le dar al ACL}

Se configura en el modo de ACL

Router(config-ext-nacl)# {permit/deny/remark} {protocolo} {A.B.C.D/any/host/(origen)}

{Wildcard (solo cuando se ingresa decimal punteado} {operador} {puerto/servicio}
{A.B.C.D/any/host(destino} {Wildcard (solo cuando se ingresa decimal punteado}
{operador} {puerto/servicio} {established}

Al igual que con las ACL estandar, las ACL extendidas son aplicadas a una
interfaz con el comando

Router(config-if)# ip access-group {nmero de ACL/Nombre de la ACL} {in/out}

Las ACL extendidas son analizadas como son ingresadas al router, el IOS no utiliza el algoritmo
de HASH en las ACE de las ACL extendidas.

Access-list IPv6

A diferencia de IPv4 las ACL en IPv6 solo son por nombre, en IPv6 no existen ACL numeradas y
son equivalentes a las ACL extendidas en IPv4, adems en una red que maneje tanto IPv4
como IPv6 no pueden existir una ACL IPv4 y una ACL IPv6 con el mismo nombre.

Creacin de una ACL en IPv6

Se crea la ACL con el comando

Router(config)# ipv6 access-list {Nombre de la ACL}

Router(config-ipv6-acl)#
{permit/deny/remark}
{protocolo}
{X:X:X:X::X/<0128>/any/host(origen)} {operador} {puerto/servicio} {X:X:X:X::X/<0-128>/any/host(destino)}
{operador} {puerto/servicio} {established}

Se debe vincular la ACL con una interfaz

Router(config-if)# ipv6 traffic-filter {Nombre de la ACL} {in/out}

Lista de Comandos ACL

Router(config)# acces-list {nmero de ACL de 1 al 99 o de 1300 a 1999}

{deny/permit/remark} { (origen) A.B.C.D/any/host} {wildcard (solo cuando el origen es
decimal punteado)} {log (opcional)}
Router(config-if)# ip access-group {nmero de ACL/Nombre de la ACL} {in/out}
Router(config-if)# no ip access-group {nmero de ACL } {in/out}
Router(config)# no acces-list {nmero de ACL}
Router(config)# ip access-list {standard } {Nombre que se le dar al ACL}
Router(config-std -nacl)# {permit/deny/remark} {A.B.C.D/any/host/} {Wildcard (solo cuando
se ingresa decimal punteado} {log}
Router(config-if)# ip access-group {Nombre de la ACL} {in/out}
Router(config-line)# Access-class {numero de ACL} {in/out}
Router(config)# acces-list {Numero de 10 al 200 o de 2000 a 2699} {permit/deny/remark}
{protocolo} {A.B.C.D/any/host/(origen)} {Wildcard (solo cuando se ingresa decimal
punteado}
{operador}
{puerto/servicio}
{A.B.C.D/any/host(destino}
{operador}
{puerto/servicio} {established}
Router(config)# ip access-list {extended } {Nombre que se le dar al ACL}
Router(config-ext-nacl)# {permit/deny/remark} {protocolo} {A.B.C.D/any/host/(origen)}
{Wildcard (solo cuando se ingresa decimal punteado} {operador} {puerto/servicio}
{A.B.C.D/any/host(destino} {Wildcard (solo cuando se ingresa decimal punteado}
{operador} {puerto/servicio} {established}
Router(config-if)# ip access-group {nmero de ACL/Nombre de la ACL} {in/out}
Router(config)# ipv6 access-list {Nombre de la ACL}
Router(config-ipv6-acl)#
{permit/deny/remark}
{protocolo}
{X:X:X:X::X/<0128>/any/host(origen)} {operador} {puerto/servicio} {X:X:X:X::X/<0-128>/any/host(destino)}
{operador} {puerto/servicio} {established}
Router(config-if)# ipv6 traffic-filter {Nombre de la ACL} {in/out}

Comandos de verificacin
Router# Show ip interface brief
Router# Show ipv6 interface brief

Router# Show Access-list

Router# Clear access-list counters {Nmero de ACL/Nombre}