ACLS EXTENDIDAS

 Las ACLs extendidas filtran los paquetes

basándose en la información de origen y destino
de las capas 3 y 4.
 La información de capa 4 puede incluir
información de puertos TCP y UDP.
 Las ACLs extendidas otorgan mayor flexibilidad
y control sobre el acceso a la red que las ACLs
estándar.
ROUTER(CONFIG)# ACCESS-LIST {100-199}
{PERMIT | DENY} PROTOCOLO DIR-ORIGEN
[WILDCARDORIGEN]
[OPERADOR OPERANDO] DIR-DESTINO
[WILDCARD-DESTINO] [OPERADOR OPERANDO]
[ESTABLISHED]
ROUTER(CONFIG)# ACCESS-LIST {100-199} {PERMIT | DENY}
PROTOCOLO DIR-ORIGEN [WILDCARDORIGEN]
[OPERADOR OPERANDO] DIR-DESTINO [WILDCARD-DESTINO]
[OPERADOR OPERANDO]
[ESTABLISHED]

 De manera similar a las ACLs estándar, el primer valor especifica el número

de la ACL. Las ACLs numeradas entre 100-199 o 2000-2699 son ACLs
extendidas.
 El siguiente valor especifica si lo que debe hacer es permitir o denegar de
acuerdo al criterio que sigue.
 El tercer valor indica el tipo de protocolo. El administrador debe especificar IP,
 TCP, UDP u otros sub-protocolos de IP específicos.
 La dirección IP y la máscara wildcard de origen determinan dónde se origina el
tráfico.
 La dirección IP y la máscara wildcard de destino son usadas para indicar el
destino final del tráfico de red.
 Aunque el parámetro de puerto se define como opcional, cuando se configuran
la dirección IP y máscara de destino, el administrador debe especificar el
número de puerto que corresponda, ya sea por número o por nombre de puerto
bien conocido. Si no es así, todo el tráfico con ese destino será descartado.
 Todas las ACLs asumen un deny implícito, lo
cual significa que si un paquete no coincide con
ninguna de las condiciones especificadas en la
ACL, el paquete será denegado.
 Una vez que la ACL ha sido creada, debe
incluirse al menos una sentencia permit o todo el
tráfico de la interfaz a la que se aplique será
descartado.
 Tanto las ACLs estándar como las extendidas
pueden ser usadas para describir paquetes que
entran o salen de una interfaz.
 La lista se recorre secuencialmente.

 La primera sentencia que coincida detiene la

búsqueda en la lista y define la acción que se
tomará.
 Una vez que se ha creado la ACL IP numerada,
sea estándar o extendida, el administrador debe
aplicarla a la interfaz apropiada.
 Este es el comando que se usa para aplicar la
ACL a una interfaz:
 Router(config-if)# ip access-group número-
acl {in | out}
 Este es el comando que se usa para aplicar la
ACL a una línea vty:
 Router(config-line)# access-class número-acl
{in | out}
 Es posible crear una ACL nombrada en lugar de
una ACL numerada.
 Las ACLs nombradas deben especificarse como
estándar o extendidas.
 Router(config)# ip access-list [standard |
extended] nombre_ACL
 La ejecución de este comando ubica al usuario en
el modo de subconfiguración en el que deberá
ingresar los comandos permit y deny.
 Los comandos permit y deny tienen la misma
sintaxis básica que los comandos de la ACL IP
numerada.
 Una ACL estándar nombrada puede usar
sentencias deny y permit statements.
 Router(config-std-nacl)# deny {origen [wildcard-
origen] | any}
 Router(config-std-nacl)# permit {origen [wildcard-
origen] | any}
 La ACL extendida nombrada ofrece parámetros
adicionales.
 Router(config-ext-nacl)# {permit | deny}
protocolo dir-origen [wildcard-origen] [operador
operando] dir-destino [wildcard-destino]
[operador operando] [established]
 Las ventajas del uso de ACLs nombradas
incluyen que el administrador puede borrar una
entrada específica en una ACL nombrada yendo
al modo de subconfiguración y prefijando el
comando con el parámetro no.
 El uso del parámetro no en una entrada de una
ACL numerada resultaría en la eliminación de
toda la ACL.
 El administrador también puede agregar
entradas en el medio de una ACL nombrada.
 Con una ACL numerada, los comandos sólo
pueden agregarse al final de la ACL.
 Una vez que las sentencias han sido generadas en la
ACL, el administrador debe activar la ACL en una
interfaz con el comando ip access-group, especificando
el nombre de la ACL.
 Router(config-if)# ip access-group nombre-ACL {in |
out}
 También puede usarse una ACL para permitir o
denegar a direcciones IP específicas el acceso virtual.
 Las ACLs estándar permiten la aplicación de
restricciones en la dirección IP o el rango IP de
origen.
 Las ACLs extendidas también tienen esta función
pero además aplican el protocolo de acceso, como el
puerto 23 (Telnet) o el puerto 22 (SSH).
 La ACL extendida access-class sólo soporta la palabra
clave any como destino.
 La lista de acceso debe ser aplicada en el puerto vty.
 Router(config-line)# access-class nombre-ACL {in
| out}
 Al final de una sentencia ACL, el administrador
tiene la opción de configurar el parámetro log.
 R1(config)# access-list 101 permit tcp 192.168.1.0
0.0.0.255 192.168.2.0 0.0.0.255 eq 22 log
 Si este parámetro se configura, el software IOS
de Cisco compara los paquetes en búsqueda de
una coincidencia con la sentencia.
 El router registra en una función de registro
habilitada, como la consola, el buffer interno del
router o un servidor syslog.
 Se registran muchos datos:
 Acción - permit o deny
 Protocolo - TCP, UDP o ICMP

 Direcciones de origen y destino

 Para TCP y UDP - números de puerto de origen y

destino
 Para ICMP - tipo de mensaje
 Los mensajes de registro se generan en la
primera coincidencia de paquete y luego
envintervalos de cinco minutos.
 La habilitación del parámetro log en un router
Cisco afecta seriamente al rendimientovdel
dispositivo.
 Cuando se habilita el registro, los paquetes son
transmitidos por conmutación de proceso o por
conmutación rápida.
 El parámetro log debe ser usado solamente si la
red está bajo ataque y el administrador está
intentando determinar quién es el atacante.
 En este punto, el administrador debe habilitar el
registro por el tiempo que sea necesario para
reunir la información suficiente y luego
deshabilitarlo.
ADVERTENCIAS AL TRABAJAR CON ACLS:
 deny all implícito –
 Todas las ACLs de Cisco terminan con una
sentencia "deny all« implícita.
 Incluso si esta sentencia no está a la vista en la
ACL, está allí.
 Filtrado de paquetes de ACL estándar –

 Las ACLs estándar se limitan a filtrar los

paquetes sólo por dirección de origen.
 Puede necesitar crear una ACL extendida para
implementar su política de seguridad
plenamente.
 Orden de las sentencias - Las ACLs tienen una
política de primera coincidencia.
 Cuando hay una coincidencia con una sentencia,
el proceso de verificación de la lista se detiene.
 Ciertas sentencias ACLs son más específicas que
otras y, por lo tanto, deben ocupar un lugar
anterior en la ACL.
 Por ejemplo, el bloqueo de todo el tráfico UDP al
principio de la lista niega la sentencia que
permite los paquetes SNMP que usan UDP, que
está más abajo en la lista.
 El administrador debe asegurarse de que las
sentencias que están arriba en la ACL no nieguen
sentencias posteriores.
 Filtrado direccional –
 Las ACLs de Cisco tienen un filtro direccional
que determina si los paquetes de entrada (hacia
la interfaz) o los paquetes de salida (desde la
interfaz) serán examinados.
 El administrador siempre debe revisar dos veces
la dirección de los datos que la ACL filtra.
 Modificación de ACLs –
 Cuando un router compara un paquete con una ACL,
las entradas de la ACL son examinadas desde arriba
hacia abajo.
 Cuando el router encuentra una sentencia que
coincide, el procesamiento de la ACL se detiene y se
permite o deniega el paquete según la entrada en la
ACL.
 Cuando se agregan nuevas entradas a una ACL,
siempre se agregan al final. Esto puede volverlas
inútiles si una entrada anterior es menos específica.
 Por ejemplo, si una ACL tiene una entrada que
deniega a la red 172.16.1.0/24 acceso a un servidor en
una línea, pero en la siguiente línea se lo permite a
un solo host de esa red, el host 172.16.1.5, el acceso le
será denegado.
 Esto ocurre porque el router encuentra una
coincidencia en los paquetes de 172.16.1.5 con la red
172.16.1.0/24 y deniega el tráfico sin leer la siguiente
línea
 Cuando una nueva sentencia vuelve inusable la
ACL, debe crearse una nueva ACL con el orden
de las sentencias correcto.
 La ACL vieja debe eliminarse, y la nueva ACL
debe ser asignada a la interfaz del router
correspondiente.
 Si se usa una versión 12.3 o posterior del IOS de
Cisco, se pueden usar números de secuencia para
garantizar que la nueva sentencia se agregue a la
ACL en el orden correcto.
 La ACL se procesa de arriba hacia abajo
basándose en los números de secuencia de las
sentencias (del más bajo al más alto).
 Paquetes especiales - Los paquetes generados
por el router, como las actualizaciones de la tabla
de enrutamiento, no están sujetos a las
sentencias ACL de salida en el router de origen.
 Si la política de seguridad solicita un filtrado de
este tipo de paquetes, deberá realizarlo una ACL
de entrada en un router adyacente o un
mecanismo diferente de filtrado en routers que
usen ACLs.