ACL (Listas de Control de Acceso)

ACL (Listas de Control de Acceso)

Resumen, para el curso de Cisco

Por Hilmar Zonneveld

Propósito

Este resumen les puede servir a los estudiantes de CCNA como referencia. De ninguna manera debe ser considerado como un sustituto de la lectura del capítulo correspondiente, de la asistencia a la presentación del instructor o - ¡peor aun! - de participar en las prácticas.

Bibliografía

En la versión 2 del del curso CCNA, el tema de las ACL aparece en el semestre 3.

En la versión 3 del curso CCNA, el tema aparece en el semestre 2.

Una búsqueda en www.cisco.com puede ser muy provechosa. Por ejemplo, http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml contiene una descripción general de las ACL.

Protocolos IP y números de puerto: RFC 1700, en http://www.ietf.org/rfc/rfc1700.txt?number=1700.

Propósito de las ACL

Las ACL permiten un control del tráfico de red, a nivel de los routers. Pueden ser parte de una solución de seguridad (junton con otros componentes, como antivirus, anti-espías, firewall, proxy, etc.).

Puntos varios, que se deben recordar

Wildcards

Ejemplos:

Colocación de las ACL

Dirección del tráfico

El tema "in" vs. "out" suele causar confusiones, por eso es convienente la siguiente explicación.

La dirección in o out (entrada o salida) se refiere al router que están configurando en ese momento. Por ejemplo, con la siguiente configuración de routers (A, B, C son routers; X, Y son hosts (o redes)):

X ------ A ------ B ------ C ------- Y

Se puede controlar el tráfico de X a Y en el router A, B o C.

Por ejemplo, el en router A, se puede controlar el tráfico entrante (in), en la interface que está a su izquierda. En el mismo router, también es posible controlar el tráfico saliente (out), en la interface que está a su derecha.

De la misma manera, se puede controlar el tráfico en el router B: entrante, a la izquierda; o saliente, por la derecha; o de igual manera en el router C.

(Lo más recomendable en este caso es usar una lista extendida, en el router A, y aplicarla a la interface a su izquieda, dirección "in" - entrante.)

También se debe recordar que normalmente el tráfico fluye en dos direcciones. Por ejemplo, si "Y" es un servidor Web, teóricamente, en el router C, interface a la derecha, se podría bloquear la solicitud al servidor (out), o también la respuesta del servidor (in).

ACL estándar

Sintaxis para un renglón (se escribe en el modo de configuración global):

access-list (número) (deny | permit) (ip origen) (wildcard origen)

Ejemplo: Bloquear toda la subred 172.17.3.0/24, excepto la máquina 172.17.3.10.

access-list 1 permit host 172.17.3.10
access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit any

Para asignarlo a una interface:

interface F0
  ip access-group 1 out

ACL extendidas

Sintaxis para cada renglón:

access-list (número) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino)
    [(operador) (operando)]

El "protocolo" puede ser (entre otros) IP (todo tráfico de tipo TCP/IP), TCP, UDP, ICMP.

El "operando" puede ser un número de puerto (por ejemplo 21), o una sigla conocida, por ejemplo, "ftp".

Ejemplo 1: Repetir el ejemplo de la ACL estándar, pero se especifica que se quiere permitir o denegar el tráfico con destino al servidor, que está en 172.16.0.1:

access-list 101 permit ip host 172.17.3.10 host 172.16.0.1
access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1
access-list 101 permit ip any any

Ejemplo 2: Permitir tráfico HTTP y "ping" (ICMP) al servidor 172.16.0.1, para todos. Denegar todo lo demás.

access-list 102 permit icmp any host 172.16.0.1
access-list 102 permit tcp any host 172.16.0.1 eq www

Comandos varios

show ip interface (muestra asignaciones de ACL)
show access-lists (muestra el contenido de las ACL)
debug ip packet 101 [detail] (permite analizar cómo se aplican las ACL)
1