ACL (Listas de Control de Acceso)

Resumen, para el curso de Cisco Por Hilmar Zonneveld

Propsito
Este resumen les puede servir a los estudiantes de CCNA como referencia. De ninguna manera debe ser considerado como un sustituto de la lectura del captulo correspondiente, de la asistencia a la presentacin del instructor o - peor aun! - de participar en las pr"cticas.

Bibliografa
En la versin # del del curso CCNA, el tema de las AC$ aparece en el semestre %. En la versin % del curso CCNA, el tema aparece en el semestre #. &na b's(ueda en ))).cisco.com puede ser mu* provec+osa. Por e,emplo, +ttp-..))).cisco.com.en.&/.products.s).securs).ps0102.products3tec+3note14025a1 1211a6b4a.s+tml contiene una descripcin 7eneral de las AC$. Protocolos 8P * n'meros de puerto- R9C 0:11, en +ttp-..))).ietf.or7.rfc.rfc0:11.t;t< number=0:11.

Propsito de las ACL

$as AC$ permiten un control del tr"fico de red, a nivel de los routers. Pueden ser parte de una solucin de se7uridad >,unton con otros componentes, como antivirus, antiespas, fire)all, pro;*, etc.?.

Puntos varios, que se deben recordar

&na AC$ es una lista de una o m"s instrucciones. /e asi7na una lista a una o m"s interfaces. Cada instruccin permite o rec+a@a tr"fico, usando uno o m"s de los si7uientes criterios- el ori7en del tr"ficoA el destino del tr"ficoA el protocolo usado. El router anali@a cada pa(uete, compar"ndolo con la AC$ correspondiente. El router compara la AC$ lnea por lnea. /i encuentra una coincidencia, toma la accin correspondiente >aceptar o rec+a@ar?, * *a no revisa los restantes ren7lones. Es por eso (ue +a* (ue listar los comandos desde los casos m"s especficos, +asta los m"s 7enerales. $as e;cepciones tienen (ue estar antes de la re7la 7eneral!

/i no encuentra una coincidencia en nin7uno de los ren7lones, rec+a@a autom"ticamente el tr"fico. Consideren (ue +a* un Bden* an*B implcito, al final de cada AC$. Cual(uier lnea a7re7ada a una AC$ se a7re7a al final. Para cual(uier otro tipo de modificacin, se tiene (ue borrar toda la lista * escribirla de nuevo. /e recomienda copiar al Cloc de Notas * editar all. $as AC$ est"ndar >0-44? slo permiten controlar en base a la direccin de ori7en. $as AC$ e;tendidas >011-044? permiten controlar el tr"fico en base a la direccin de ori7enA la direccin de destinoA * el protocolo utili@ado. DambiEn podemos usar AC$ nombradas en ve@ de usar un ran7o de n'meros. El darles un nombre facilita entender la confi7uracin >* por lo tanto, tambiEn facilita +acer correcciones?. No tratarE las listas nombradas en este resumen. /i consideramos slo el tr"fico de tipo DCP.8P, para cada interface puede +aber slo una AC$ para tr"fico entrante, * una AC$ para tr"fico saliente. /u7erencia para el e;amen- /e deben conocer los ran7os de n'meros de las AC$, incluso para protocolos (ue normalmente no nos interesan.

ildcards

BFildcardB si7nifica BcomodnB, como el ,oGer en el ,ue7o de naipes. Danto en la direccin de ori7en, como >en el caso de las AC$ e;tendidas? en la direccin de destino, se especifican las direcciones como dos 7rupos de n'meros- un n'mero 8P, * una m"scara )ildcard. /i se traduce a binario, los B0B en la m"scara )ildcard si7nifican (ue en la direccin 8P correspondiente puede ir cual(uier valor. Para permitir o dene7ar una red o subred, la m"scara )ildcard es i7ual a la m"scara de subred, cambiando los B1B por B0B * los B0B por B1B >en binario?. /in embar7o, las m"scaras )ildcard tambiEn permiten m"sA por e,emplo, se pueden dene7ar todas las m"(uinas con n'meros 8P impares, o permitir el ran7o de 8P 0-%0, en varias subredes a la ve@.

E,emplos

Permitir o dene7ar un 8P especfico- !"#$!%$&$! &$&$&$&. /e puede abreviar como 'ost !"#$!%$&$!. Permitir o dene7ar una subred- !"#$!%$&$& &$&$&$#((. >El e,emplo corresponde a una subred .#H, es decir, m"scara de subred = #66.#66.#66.1.? Permitir o dene7ar a todos- &$&$&$& #(($#(($#(($#((. /e puede abreviar como an).

Colocacin de las ACL

$as AC$ est"ndar se colocan cerca del destino del tr"fico. Esto se debe a sus limitaciones- no se puede distin7uir el destino. $as AC$ e;tendidas se colocan cerca del ori7en del tr"fico, por eficiencia - es decir, para evitar tr"fico innecesario en el resto de la red.

Direccin del tr*fico

El tema BinB vs. BoutB suele causar confusiones, por eso es convienente la si7uiente e;plicacin. $a direccin in o out >entrada o salida? se refiere al router (ue est"n confi7urando en ese momento. Por e,emplo, con la si7uiente confi7uracin de routers >A, C, C son routersA I, J son +osts >o redes??I ------ A ------ C ------ C ------- J /e puede controlar el tr"fico de I a J en el router A, C o C. Por e,emplo, el en router A, se puede controlar el tr"fico entrante >in?, en la interface (ue est" a su i@(uierda. En el mismo router, tambiEn es posible controlar el tr"fico saliente >out?, en la interface (ue est" a su derec+a. Ke la misma manera, se puede controlar el tr"fico en el router C- entrante, a la i@(uierdaA o saliente, por la derec+aA o de i7ual manera en el router C. >$o m"s recomendable en este caso es usar una lista e;tendida, en el router A, * aplicarla a la interface a su i@(uieda, direccin BinB - entrante.? DambiEn se debe recordar (ue normalmente el tr"fico flu*e en dos direcciones. Por e,emplo, si BJB es un servidor Feb, tericamente, en el router C, interface a la derec+a, se podra blo(uear la solicitud al servidor >out?, o tambiEn la respuesta del servidor >in?.

ACL est*ndar
/inta;is para un ren7ln >se escribe en el modo de confi7uracin 7lobal?access-list (nmero) (deny | permit) (ip origen) (wildcard origen)

E,emplo- Clo(uear toda la subred 0:#.0:.%.1.#H, e;cepto la m"(uina 0:#.0:.%.01.

access-list 1 permit host 172.17.3.10 access-list 1 deny 172.17.3.0 0.0.0.255 access-list 1 permit any

Para asi7narlo a una interfaceinterface 0 ip access-gro!p 1 o!t

ACL e+tendidas
/inta;is para cada ren7lnaccess-list (nmero) (deny | permit) (protocolo) ("# origen) (wildcard origen) ("# destino) (wildcard destino)

$(operador) (operando)%

El BprotocoloB puede ser >entre otros? 8P >todo tr"fico de tipo DCP.8P?, DCP, &KP, 8CLP. El BoperandoB puede ser un n'mero de puerto >por e,emplo #0?, o una si7la conocida, por e,emplo, BftpB. E,emplo 0- Repetir el e,emplo de la AC$ est"ndar, pero se especifica (ue se (uiere permitir o dene7ar el tr"fico con destino al servidor, (ue est" en 0:#.05.1.0access-list 101 permit ip host 172.17.3.10 host 172.1&.0.1 access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.1&.0.1 access-list 101 permit ip any any

E,emplo #- Permitir tr"fico HDDP * Bpin7B >8CLP? al servidor 0:#.05.1.0, para todos. Kene7ar todo lo dem"s.
access-list 102 permit icmp any host 172.1&.0.1 access-list 102 permit tcp any host 172.1&.0.1 e' www

Comandos varios
show ip interface (m!estra asignaciones de ()*) show access-lists (m!estra el contenido de las ()*) de+!g ip pac,et 101 $detail% (permite anali-ar c.mo se aplican las ()*)