Listas de Control de

Acceso
(ACL)
Qué son las ACL

ACLs:
 Condiciones aplicadas al tráfico que viaja a través
de la interfaz del router.
 Indican al router qué tipo de paquetes aceptar o
rechazar basándose en condiciones específicas.
 Permiten la administración del tráfico y aseguran el
acceso hacia y desde una red.
 Se puede crear en todos los protocolos de red
enrutados: IP, IPX ...
 Se pueden configurar en el router para controlar el
acceso a una red o subred.
Qué son las ACL

Las ACL se definen según el protocolo, la
dirección o el puerto.

Para controlar el flujo de tráfico en una interfaz:

 Se debe definir ACL para cada protocolo enrutado
habilitado
 Se necesita crear ACLs por separado para cada
dirección del tráfico, una para el tráfico entrante y
otra para el saliente.
Qué son las ACL

Razones para crear ACLs:
 Limitar el tráfico de red y mejorar el rendimiento de la
red: Por ejemplo, restricción de video
 Brindar control de flujo de tráfico. P.e: restringir el envío
de actualizaciones de enrutamiento.
 Proporcionar nivel básico de seguridad para el acceso a
la red.

Si ACL no están configuradas en el router:

 Todos los paquetes tendrán acceso a todas las partes de
la red.
Funcionamiento de las ACL

siguiente
Tipos de ACLs
Tipos de ACLs
ACL Estándar

Verifican dirección origen de los paquetes IP.

Permiten o rechazan el acceso a todo un conjunto

de protocolos, según las direcciones de red, subred o
host origen

Las ACL estándar no especifican las direcciones

destino, de modo que se deben colocar lo más cerca
posible del destino.
Creación de ACLs Estándar
1. Ingresar al modo de configuración global.
Router(config)#

2. Decidir número de la ACL que identifique que es

estándar (1-99 o 1300-1999)

3. Ingresar sentencias de ACL utilizando comando

access-list, con los parámetros necesarios.

Router(config)#access-list número-lista {deny | permit |

remark} dirección-origen [wildcard ] [log]
Máscara Wilcard.

Cantidad de 32-bits: cuatro octetos de 1s y 0s.

Se compara contra una dirección IP.

1 y 0 identifican cómo tratar los bits de la
dirección IP
 0: Comprueba el valor del bit correspondiente
 1: Ignora ignora el valor del bit correspondiente

1s y 0s filtran direcciones IP individuales o en
grupos, permitiendo o rechazando el acceso a
recursos según el valor de las mismas.

Ejemplo:
Máscara Wilcard.
Valor de dirección y posición
128 64 32 16 8 4 2 1 en el octeto de cada bit

Ejemplos

0 0 0 0 0 0 0 0 = Comprobar todos los bits

de dirección

Ignorar los últimos 6 bits

0 0 1 1 1 1 1 1 = de dirección

Ignorar los últimos 4 bits

0 0 0 0 1 1 1 1 = de dirección

Comprobar los últimos 2

1 1 1 1 1 1 0 0 = bits de dirección

No Comprobar la
1 1 1 1 1 1 1 1 = dirección (ignorar los bits
del octeto
 Máscara Wilcard.
Access-list 1 permit 172.16.0.0 0.0.255.255
1 01 011 00 0 00 100 00 0 00 000 00 0 00 000 00

0 00 000 00 0 00 000 00 1 11 111 11 1 11 111 11

1 01 011 00 0 00 100 00

Paquete entrante: 172.18.4.2

1 01 011 00 0 00 100 10 0 00 001 00 0 00 000 10

1 0 1 0 1 10 0 0 0 0 1 0 0 1 0

Paquete descartado
Máscara Wilcard.

Palabras claves especiales utilizadas en las ACL:

Any:
 Reemplaza la dirección IP con 0.0.0.0 y la máscara
wildcard por 255.255.255.255.
 Esta opción concuerda con cualquier dirección con la
que se la compare.

Host:
 Reemplaza la máscara 0.0.0.0.
 Esta máscara necesita todos los bits de la dirección ACL
y la concordancia de dirección del paquete.
 Esta opción sólo concuerda con una dirección.
Creación de ACLs Estándar

Remark:
 Similar a un comentario
 Facilita entendimiento de la ACL.
 Limitado a 100 caracteres.

access-list 1 remark Permit only Jones workstation

access-list 1 permit 171.69.2.88

Creación de ACLs Estándar

4. Asignar la lista a la interfaz apropiada:

Usar el comando ip access-group.

Especificar ubicación entrante o saliente de la
ACL
 Entrante: filtra el tráfico que entra por una interfaz
 Saliente: filtra el tráfico que sale por una interfaz
 Para decidir si ACL es entrante o saliente, mire las
interfaces como si se observara desde dentro del
router
Creación de ACLs Estándar

Router(config)#ip access-group {número-lista-

acceso | nombre-lista-acceso} {in | out}

Recordar:
 Sentencias se procesan de forma secuencial
hasta que se encuentre una concordancia.
 Si no hay concordancia, se rechaza el paquete.
 Hay un deny any (denegar cualquiera) implícito
al final de todas las ACLs.
Creación de ACLs Estándar

Reglas básicas a la hora de crear ACLs
 Deben filtrar desde lo particular a lo general:

Primero filtrar hosts específicos

Luego grupos (filtros generales).
 Primero se examina la condición de concordancia.
El permiso o rechazo se examina SÓLO si la
concordancia es cierta.
 Nunca trabaje con una ACL que se utiliza de forma
activa.
 Siempre, las líneas nuevas se agregan al final de la
lista de acceso.
Creación de ACLs Estándar

Reglas básicas a la hora de crear ACLs (2)
 El comando no access-list x elimina la lista X.
 No es posible agregar y quitar líneas de manera
selectiva en las ACL numeradas.
 Los filtros salientes no afectan al tráfico que se
origina en el router local.
ACL Estándar

Eliminar ACL estándar:

Router(config)#no access-list número-lista-acceso

ACL Extendida

Utilizadas con más frecuencia que las estándar
porque ofrecen un mayor control.

Verifican: Direcciones origen y destino de
paquetes, protocolos y números de puerto.

Mayor flexibilidad para establecer qué verifica la
ACL.

Sintaxis es engorrosa.

Se utilizan también las palabras any y host

Regla General: Aplicarlas lo más cerca posible al
origen.
ACL Extendida
access-list número-lista-acceso {deny | permit} protocolo ip-origen
wildcard-origen ip-destino wildcard-destino operador
puerto-o-nombre-de-aplicación

Protocolo:
 Nombre o número de un protocolo de Internet: eigrp, icmp,
igrp, ip, tcp, udp, ...
 Para referirse a cualquier protocolo de Internet utiliza palabra
clave ip
ACL Extendida

Operadores lógicos: eq, neq, gt, lt

ACL Extendida
Algunos números TCP/UDP reservados

Número Puerto Descripción

20 ftp-data
21 ftp
23 telnet
25 Smtp
69 Tftp
80 http
Ubicación de las ACL
Importante

Si las ACL se colocan en el lugar correcto:
 Filtran el tráfico
 Toda la red se hace más eficiente.

Regla:
 Colocar ACL extendidas lo más cerca posible del
origen del tráfico denegado.
 Las ACL estándar no especifican las direcciones
destino, de modo que se deben colocar lo más cerca
posible del destino.
Creación de ACLs Extendidas
1. Ingresar al modo de configuración global.
Router(config)#

2. Decidir número de la ACL que identifique

que es estándar (100-199 o 2000-2699)

3. Ingresar sentencias de ACL utilizando

comando access-list, con los parámetros
necesarios.
Creación de ACLs Extendidas

4. Asignar la lista a la interfaz apropiada:

Usar el comando ip access-group.

Especificar ubicación entrante o saliente de la
ACL
 Entrante: filtra el tráfico que entra por una interfaz
 Saliente: filtra el tráfico que sale por una interfaz
 Para decidir si ACL es entrante o saliente, mire las
interfaces como si se observara desde dentro del
router
Verificación de las ACLs.

show ip interface:
 Muestra información de la interfaz IP e indica si se
ha establecido alguna ACL.

show access-lists:
 Muestra el contenido de todas las ACL en el router.
 Para ver una lista específica, agregue el nombre o
número ACL como opción a este comando.

show running-config
 Muestra las listas de acceso en el router y la
información de asignación de interfaz.
Ejercicios
Crear ACL estándar que
deniegue el tráfico desde el
host 192.5.5.25 a la red
210.93.105.0 pero permita
el tráfico desde todos los
demás hosts. Escríbala de
3 formas. Dónde se debe
aplicar?
Ejercicios

Router(config)# access-list 22 deny 192.5.5.25 0.0.0.0

Router(config)# access-list 22 permit any

Router(config)# access-list 22 deny host 192.5.5.25

Router(config)# access-list 22 permit any
Ejercicios

Crear una lista de acceso que impida que el host 192.5.5.148 acceda a
un sitio web ubicado en 210.93.105.50. Dónde se debe ubicar esta ACL?
 Ejercicios

access-list 100 deny tcp 192.5.5.148 0.0.0.0 210.93.105.50 0.0.0.0 eq 80

access-list 100 permit tcp any any
 Ejercicios

Qué hace la anterior ACL?

Escriba los comandos que aplican la ACL del diagrama
 Ejercicios

Router2(config)# interface ethernet 0

Router2(config-if)# ip access-group 10 out
 Ejercicios

Qué hace la siguiente lista de acceso?.

access-list 111 deny tcp 204.204.7.89 0.0.0.0 196.6.13.254 0.0.0.0 eq 21

access-list 111 permit tcp any any

¿Escriba los comandos que colocan esta ACL en la ubicación correcta?

 Ejercicios

Router2(config)# interface fa0/0

Router2(config-if)# ip access-group 111 in
Ejercicios
Se introdujeron los siguientes comandos en un router:

Router(config)# access-list 2 deny 172.16.5.24

Router(config)# access-list 2 permit any

¿Qué se puede concluir acerca de este conjunto de comandos?

•Las sentencias de la lista de acceso están mal configuradas

•Se denegará acceso a todos los nodos en 172.16.0.0 cuando se

apliquen estas sentencias.

•Se asume la máscara wildcard por defecto, 0.0.0.0.

•Se asume la máscara wildcard por defecto, 255.255.255.255

Ejercicios

Suponiendo que la ACL se aplica correctamente a una interfaz, ¿qué efecto

tiene la ACL en el tráfico de red?

•Se deniega el acceso ftp del host 192.168.15.4 a cualquier destino, pero se
permite todo el acceso restante

•Todo el tráfico ftp al host 192.168.15.4 se denegará

•Todo el tráfico desde esa interfaz se denegará

•No se denegará ningún tráfico porque no existe una sentencia de "permit"

en esta ACL
 Ejercicios

Suponiendo que la ACL se aplica correctamente a una interfaz, ¿qué efecto

tiene la ACL en el tráfico de red?

•Todo el tráfico a la red 172.16.0.0 se denegará

•Se permitirá todo el tráfico TCP hacia y desde la red 172.16.0.0
•Se denegará todo el tráfico telnet desde la red 172.16.0.0 a cualquier
destino
•Todo el tráfico de puerto 23 a la red 172.16.0.0 se denegará
•Todo el tráfico desde la red 172.16.0.0 se denegará a cualquier otra red
ACL Nombradas

Introducidas en el Cisco IOS Versión 11.2

Permiten que ACL extendidas y estándar tengan
nombres en lugar de números.

Ventajas de ACLs nombradas:
 Identifica ACL usando un nombre alfanumérico.
 No limita número de ACL nombradas configuradas.
 Tienen la capacidad de modificar las ACL sin tener que
eliminarlas y luego reconfigurarlas.
 Permiten eliminar sentencias pero sólo permiten que las
sentencias se agreguen al final de la lista.
ACL Nombradas

Tener en cuenta:

 ACL nombradas no son compatibles con versiones

de Cisco IOS anteriores a la versión 11.2.
 No se puede utilizar el mismo nombre para varias
ACL.
 Se crean con el comando ip access-list.
Acceso a Terminales Virtuales

ACLs extendidas y estándar se aplican a paquetes que
viajan a través de un router.

No diseñadas para bloquear paquetes que se originan
dentro del router.

Una lista de acceso extendida Telnet saliente, por
defecto no impide las sesiones Telnet iniciadas por el
router.
Acceso a Terminales Virtuales