Professional Documents
Culture Documents
ACL
5.0Introduccin
5.0.1Introduccin
Laseguridaddelaredesuntemamuyamplioyunabuenapartedelvamsalldelalcance
deestecurso.Noobstante,unadelascapacidadesmsimportantesqueunadministradorde
rednecesitaeseldominiodelaslistasdecontroldeacceso(ACL).Losadministradoresutilizan
las ACL para detener el trfico o permitir slo el trfico especfico y, al mismo tiempo, para
detenerelrestodeltrficoensusredes.Estecaptulobrindalaoportunidaddedesarrollarsu
dominiodelasACLconunaseriedelecciones,actividadesyprcticasdelaboratorio.
Losdiseadoresderedutilizanfirewallsparaprotegerlasredescontraelusonoautorizado.
Los firewalls son soluciones de hardware o software que hacen cumplir las polticas de
seguridad de la red. Es como la cerradura de la puerta de la habitacin de un edificio. La
cerraduraslopermitequeingresenlosusuariosautorizadosconunallaveotarjetadeacceso.
Del mismo modo, los firewalls filtran el ingreso a la red de los paquetes no autorizados o
potencialmente peligrosos. En un router Cisco, puede configurar un simple firewall que
proporcionecapacidadesbsicasdefiltradodetrficomediantelasACL.
Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a
direccionesoprotocolosdecapasuperior.LasACLbrindanunamanerapoderosadecontrolar
eltrficodeentradaodesalidadelared.PuedeconfigurarlasACLparatodoslosprotocolos
deredenrutados.
El motivo ms importante para configurar las ACL es brindar seguridad a la red. En este
captulo,seexplicacmoutilizarlasACLestndaryextendidascomopartedeunasolucinde
seguridad y se ensea a configurarlas en un router Cisco. Se incluyen sugerencias,
consideraciones,recomendacionesypautasgeneralessobreelusodelasACL.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.1CmoutilizarlasACLparalaproteccinderedes
5.1.1UnaconversacinTCP
LasACLlepermitencontrolareltrficodeentradaydesalidadelared.Estecontrolpuedeser
tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las ACL
tambin pueden configurarse para controlar el trfico de red segn el puerto TCP que se
utiliza.ParacomprendercmofuncionaunaACLconTCP,observemoseldilogoduranteuna
conversacinTCPcuandodescargaunapginaWebasuequipo.
RecuerdequeTCPofreceunservicioorientadoalaconexin,confiableydestreamdebytes.
Eltrmino"orientadoalaconexin"significaquelasdosaplicacionesqueutilizanTCPdeben
establecer una conexin TCP entre s antes de intercambiar datos. TCP es un protocolo full
duplex,quesignificaquecadaconexinTCPadmiteunpardestreamsdebytes,ycadastream
fluye en una direccin. TCP incluye un mecanismo de control de flujo para cada stream de
bytesquepermitealreceptorlimitarlacantidaddedatosqueeltransmisorpuedeenviar.TCP
tambinimplementaunmecanismodecontroldecongestin.
La animacin muestra cmo se lleva a cabo una conversacin TCP/IP. Los paquetes TCP se
marcanconsealizadoresqueindicansufinalidad.SYNinicia(sincroniza)lasesin;ACKesun
acusederecibodequeserecibielpaqueteesperado,yFINfinalizalasesin.SYN/ACKacusa
recibodequelatransferenciasesincroniz.LossegmentosdedatosTCPincluyenelprotocolo
denivelsuperiornecesarioparaorientarlosdatosdelaaplicacinhacialaaplicacincorrecta.
CCNA4.AccesoalaWAN
Captulo5.ACL
ElsegmentodedatosTCPidentifica,adems,elpuertoquecoincideconelserviciosolicitado.
Porejemplo,HTTPespuerto80,SMTPespuerto25yFTPespuerto20ypuerto21.Lafigura
muestraejemplosdepuertosUDPyTCP.
5.1.2Filtradodepaquetes
Elfiltradodepaquetes,avecesdenominadofiltradoestticodepaquetes,controlaelaccesoa
lared,analizalospaquetesdeentradaydesalida,ypermiteobloqueasuingresosegnun
criterioestablecido.
Unrouteractacomofiltrodepaquetescuandoreenvaodeniegapaquetessegnlasreglas
de filtrado. Cuando un paquete llega al router de filtrado de paquetes, ste extrae
determinada informacin del encabezado del paquete y toma decisiones segn las reglas de
filtrado,yaseaautorizarelingresodelpaqueteodescartarlo.Elfiltradodepaquetesactaen
la capa de red del modelo de interconexin de sistema abierto (OSI, Open Systems
Interconnection)oenlacapaInternetdeTCP/IP.
ComodispositivodeCapa3,unrouterdefiltradodepaquetesutilizareglasparadeterminarla
autorizacinodenegacindeltrficosegnlasdireccionesIPdeorigenydedestino,elpuerto
origen y el puerto destino, y el protocolo del paquete. Estas reglas se definen mediante las
listasdecontroldeaccesooACL.
RecuerdequeunaACLesunalistasecuencialdesentenciasdepermisoodenegacinquese
aplican a direcciones IP o protocolos de capa superior. La ACL puede extraer la siguiente
informacindelencabezadodelpaquete,probarlarespectodelasreglasydecidirsi"permitir"
o"denegar"elingresosegnlossiguientescriterios:
DireccinIPdeorigen
DireccinIPdedestino
TipodemensajeICMP
LaACLtambinpuedeextraerinformacindelascapassuperioresyprobarlarespectodelas
reglas.Lainformacindelascapassuperioresincluye:
PuertoTCP/UDPdeorigen
PuertoTCP/UDPdedestino
CCNA4.AccesoalaWAN
Captulo5.ACL
Hagaclicenlosbotonesdelafiguraparaobtenerunpanoramageneralsobrelamaneraenla
que una ACL permite o deniega el paquete. Si bien las animaciones muestran el filtrado de
paquetesenlaCapa3,debeaclararsequeelfiltradopuedetomarlugartambinenlaCapa4.
Ejemplodefiltradodepaquetes
Paracomprenderelconceptodecmoelrouterutilizaelfiltradodepaquetes,imagineaun
guardiaubicadodelantedeunapuertacerrada.Lasinstruccionesdelguardiasonpermitirel
ingresosloalaspersonasqueaparezcanenunalista.Elguardiafiltralaspersonassegnel
criteriodelalistadenombresautorizados.
Por ejemplo, puede decir: "Slo permitir el acceso Web a usuarios de la red A. Denegar el
accesoWebausuariodelaredB,peropermitirleslosotrosaccesos".Consultelafiguraafin
deanalizarlarutadedecisinqueutilizaelfiltrodepaquetespararealizarestatarea.
Paraestasituacin,elfiltrodepaquetesobservacadapaquetedelasiguientemanera:
Si el paquete tiene el sealizador TCP SYN de la red A y utiliza el puerto 80, est
autorizadoaingresar.Sedeniegatodootroaccesoaesosusuarios.
SielpaquetetieneelsealizadorTCPSYNdelaredByutilizaelpuerto80,nopuede
ingresar.Sinembargo,selepermitentodoslosdemsaccesos.
ste es slo un ejemplo. El usuario puede configurar varias reglas para luego permitir o
denegar otros servicios a determinados usuarios. Tambin puede filtrar paquetes a nivel de
puertoconunaACLextendida,queseincluyeenlaSeccin3.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.1.3QuesunaACL?
LaACLesunaconfiguracinderouterquecontrolasiunrouterpermiteodeniegapaquetes
segn el criterio encontrado en el encabezado del paquete. Las ACL son unos de los objetos
ms comnmente utilizados en el software IOS de Cisco. Las ACL tambin se utilizan para
seleccionarlostiposdetrficoporanalizar,reenviaroprocesardeotrasmaneras.
Como cada paquete llega a travs de una interfaz con una ACL asociada, la ACL se revisade
arribaaabajo,unalneaalavez,ysebuscaunpatrnquecoincidaconelpaqueteentrante.La
ACLhacecumplirunaomspolticasdeseguridadcorporativasalaplicarunaregladepermiso
o denegacin para determinar el destino del paquete. Es posible configurar las ACL para
controlarelaccesoaunaredosubred.
CCNA4.AccesoalaWAN
Captulo5.ACL
Acontinuacin,lepresentamospautasparaelusodelasACL:
UtilicelasACLenroutersfirewallentresuredinternaysuredexterna,comoInternet.
Utilice las ACL en un router situado entre dos partes de la red a fin de controlar el
trficoqueentraosaledeunaparteespecficadesuredinterna.
Configure las ACL en routers de borde situados en los extremos de la red. Esto
proporciona un bfer muy bsico desde la red externa, o entre un rea menos
controladayunreamssensibledesured.
ConfigurelasACLparacadaprotocoloderedconfiguradoenlasinterfacesdelrouter
de borde. Puede configurar las ACL en una interfaz para filtrar el trfico entrante,
salienteoambos.
LastresP
PuederecordarunareglageneralparaaplicarlasACLenunroutermediantelastresP.Puede
configurarunaACLporprotocolo,pordireccinyporinterfaz.
Una ACL por protocolo: para controlar el flujo de trfico de una interfaz, se debe
definirunaACLparacadaprotocolohabilitadoenlainterfaz.
Una ACL por direccin: las ACL controlan el trfico en una direccin a la vez de una
interfaz. Deben crearse dos ACL por separado para controlar el trfico entrante y
saliente.
UnaACLporinterfaz:lasACLcontrolaneltrficoparaunainterfaz,porejemplo,Fast
Ethernet0/0.
CCNA4.AccesoalaWAN
Captulo5.ACL
EscribirunaACLpuedeserunatareadesafianteycompleja.Cadainterfazpuedetenervarios
protocolosydireccionesdefinidos.Elrouterdelejemplotienedosinterfacesconfiguradaspara
IP:AppleTalkeIPX.Esprobablequeesterouternecesite12ACLporseparado,unaACLpara
cadaprotocolo,multiplicadapordosporcadadireccinypordosporlacantidaddepuertos.
LasACLrealizanlassiguientestareas:
Limitareltrficoderedparamejorarelrendimientodesta.Porejemplo,silapoltica
corporativanopermiteel trficodevideoenlared,puedenconfigurarseyaplicarse
lasACLquebloqueaneltrficodevideo.Estoreduceconsiderablementelacargadela
redyaumentasurendimiento.
Brindar control de flujo de trfico. Las ACL pueden restringir el envo de las
actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las
condicionesdelared,sepreservaelanchodebanda.
Proporcionar un nivel bsico de seguridad para el acceso a la red. Las ACL pueden
permitirqueunhostaccedaaunapartedelaredyevitarqueotroaccedaalamisma
rea. Por ejemplo, el acceso a la red de Recursos Humanos puede restringirse a
determinadosusuarios.
Sedebedecidirqutiposdetrficoenviarobloquearenlasinterfacesdelrouter.Por
ejemplo,unaACLpuedepermitireltrficodecorreoelectrnico,perobloqueartodo
eltrficodeTelnet.
Controlarlasreasdelaredalasquepuedeaccederuncliente.
Analizar los hosts para permitir o denegar su acceso a los servicios de red. Las ACL
pueden permitir o denegar el acceso de un usuario a tipos de archivos, como FTP o
HTTP.
Las ACL inspeccionan los paquetes de la red segn un criterio, como direccin de origen, de
destino, protocolos y nmeros de puerto. Adems de permitir o denegar el trfico, una ACL
puedeclasificareltrficoparadarleprioridadenlalnea.Estacapacidadessimilaratenerun
pase VIP para un concierto o evento deportivo. El pase VIP le da a determinados invitados
privilegios que no se ofrecen al pblico en general, como el ingreso a reas restringidas y
asientosenelpalco.
5.1.4FuncionamientodelasACL
CmofuncionanlasACL
Laslistasdeaccesodefinenelconjuntodereglasqueproporcionancontroladicionalparalos
paquetesqueingresanalasinterfacesdeentrada,paquetesquepasanatravsdelroutery
CCNA4.AccesoalaWAN
Captulo5.ACL
paquetes que salen de las interfaces de salida del router. Las ACL no actan sobre paquetes
queseoriginanenelmismorouter.
LasACLseconfiguranparaseraplicadasaltrficoentranteosaliente.
LassentenciasdelaACLoperanenordensecuencial.Comparanlospaquetes conlaACL,de
arribahaciaabajo,unasentenciaalavez.
LafiguramuestralalgicaparaunaACLdeentrada.Sicoincidenunencabezadodepaquetey
una sentencia de ACL, se omite el resto de las sentencias de la lista y el paquete tiene
permitidopasarono,segnlasentenciacoincidente.Sielencabezadodelpaquetenocoincide
conunasentenciadeACL,elpaquetesepruebasegnlasiguientesentenciadelalista.Este
procesodecoincidenciacontinahastaelfinaldelalista.
Una sentencia implcita final cubre todos los paquetes para los cuales las condiciones no
resultanverdaderas.Estaltimapruebacoincidecontodoslosdemspaquetesyproduceuna
"denegacin"delpaquete.Enlugardesaliroentraraunainterfaz,elrouterdescartatodoslos
paquetes restantes. La ltima sentencia generalmente se denomina "implicit deny any
statement" (denegar implcitamente una sentencia) o "deny all traffic" (denegar todo el
trfico). Debido a esta sentencia, una ACL debe contar con, al menos, una sentencia de
permiso;delocontrario,laACLbloqueatodoeltrfico.
CCNA4.AccesoalaWAN
Captulo5.ACL
Puede aplicar una ACL a varias interfaces. Sin embargo, slo puede haber una ACL por
protocolo,pordireccinyporinterfaz.
LafiguramuestralalgicaparaunaACLdesalida.Antesdereenviarunpaqueteaunainterfaz
desalida,elrouterverificalatabladeenrutamientoparaversielpaqueteesenrutable.Sino
loes,sedescarta.Acontinuacin,elrouterverificasilainterfazdesalidaseagrupaaunaACL.
SilainterfazdesalidanoseagrupaaunaACL,elpaquetepuedeenviarsealbferdesalida.
AlgunosejemplosdelfuncionamientodelasACLdesalidasonlossiguientes.
Para las listas de salida, "permitir" significa enviar el paquete al bfer de salida y "denegar"
significadescartarlo.
LasACLyelenrutamiento,ylosprocesosdelasACLenunrouter
LafiguramuestralalgicadeenrutamientoylosprocesosdelasACLenunrouter.Cuandoun
paquetellegaalainterfazdelrouter,elprocesodelroutereselmismoseutilicenonolasACL.
Amedidaqueunatramaingresaaunainterfaz,elrouterverificasiladireccindedestinode
Capa2concuerdaconlapropiaosiesunatramadebroadcast.
Siseaceptaladireccindelatrama,lainformacindelatramaseeliminayelrouterbusca
unaACLenlainterfazdeentrada.SiexisteunaACL,entoncesseverificasielpaquetecumple
onolascondicionesdelalista.
CCNA4.AccesoalaWAN
Captulo5.ACL
Sielpaquetecoincideconlasentencia,seaceptaoserechaza.Siseaceptaelpaqueteenla
interfaz, se lo compara con las entradas de la tabla de enrutamiento para determinar la
interfazdestinoyconmutarloaaquellainterfaz.
A continuacin, el router verifica si la interfaz de destino tiene una ACL. Si existe una ACL,
entoncesseverificasielpaquetecumpleonolascondicionesdelalista.
Sielpaquetecoincideconlasentencia,seaceptaoserechaza.
SinohayACLoseaceptaelpaquete,elpaqueteseencapsulaenelnuevoprotocolodeCapa2
yseenvaporlainterfazhaciaeldispositivosiguiente.
Lasentenciadecriteriosimplcita"DenyAllTraffic"(Denegartodoeltrfico)
Al final de cada lista de acceso, se encuentra la sentencia de criterios implcita "deny all
traffic". Algunas veces se denomina "implicit deny any" (denegar implcitamente todo el
trfico). Por lo tanto, si un paquete no coincide con ninguna de las entradas de la ACL, se
bloqueaautomticamente.Lasentenciaimplcita"denyalltraffic"(denegartodoeltrfico)es
elcomportamientopredeterminadodelasACLynopuedemodificarse.
Hayunaadvertenciaclaverelacionadaconelcomportamiento"denyall"(denegartodo):para
la mayora de los protocolos, si define una lista de acceso de entrada para el filtrado del
trfico, debe incluir sentencias de criterios de lista de acceso explcitas, a fin de permitir las
actualizaciones de enrutamiento. Si no lo hace, puede, de hecho, perder la comunicacin
desde la interfaz cuando la sentencia implcita "deny all traffic" (denegar todo el trfico)
bloquealasactualizacionesdeenrutamientoalfinaldelalistadeacceso.
5.1.5TiposdeACLdeCisco
HaydostiposdeACLCisco:estndaryextendidas.
ACLestndar
LasACLestndarlepermitenautorizarodenegareltrficodesdelasdireccionesIPdeorigen.
No importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el
trfico desde la red 192.168.30.0/24. Debido a la sentencia implcita "deny any" (denegar
todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar se crean en el
mododeconfiguracinglobal.
CCNA4.AccesoalaWAN
Captulo5.ACL
ACLextendidas
LasACLextendidasfiltranlospaquetesIPenfuncindevariosatributos,porejemplo:tipode
protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen,
puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor
disparidaddecontrol.Enlafigura,laACL103permiteeltrficoqueseoriginadesdecualquier
direccinenlared192.168.30.0/24haciacualquierpuerto80dehostdedestino(HTTP).Las
ACLextendidassecreanenelmododeconfiguracinglobal.
LoscomandosparalasACLseexplicanenlosprximostemas.
5.1.6CmofuncionaunaACLestndar?
Enlafigura(Currculumelectrnico),apareceelprocesodedecisin.ElsoftwareIOSdeCisco
pruebalasdireccionesunaaunaconlascondiciones.Laprimeracoincidenciadeterminasiel
softwareaceptaorechazaladireccin.Elordendelascondicionesesmuyimportante,yaque
elsoftwaredetienelascondicionesdepruebaluegodelaprimeracoincidencia.Sinocoinciden
ningunasdelascondiciones,serechazaladireccin.
LasdostareasprincipalesinvolucradasalutilizarlasACLson:
Paso1.Crearunalistadeaccesoqueespecifiqueunnmeroonombredelistadeaccesoylas
condicionesdeacceso.
Paso2.AplicarlaACLalasinterfacesolneasdeterminal.
5.1.7NumeracinydenominacindelasACL
Utilizar ACL numeradas es un mtodo eficaz para determinar el tipo de ACL en redes ms
pequeas con ms trfico definido de manera homognea. Sin embargo, un nmero no le
informaelpropsitodelaACL.Porello,sisepartedelIOSdeCiscoVersin11.2,puedeutilizar
unnombreparaidentificarunaACLdeCisco.
CCNA4.AccesoalaWAN
Captulo5.ACL
LafiguraresumelareglaparaespecificarlasACLnumeradasylasACLdenominadas.
En cuanto a las ACL, si se pregunta por qu se saltean los nmeros del 200 al 1299, la
respuesta es porque esos nmeros son utilizados por otros protocolos. Este curso se centra
sloenlasACLIP.Porejemplo,losnmerosdel600al699sonutilizadosporAppleTalkylos
nmerosdel800al899porIPX.
5.1.8DndeubicarlasACL
TodaslasACLdebenubicarsedondemsrepercutansobrelaeficacia.Lasreglasbsicasson:
UbicarlasACLextendidaslomscercaposibledelorigendeltrficodenegado.Deesta
manera,eltrficonodeseadosefiltrasinatravesarlainfraestructuradered.
Como las ACL estndar no especifican las direcciones de destino, colquelas lo ms
cercadeldestinoposible.
ConsideremosunejemplodedndecolocarlasACLennuestrared.Laubicacindelainterfaz
ylareddependedeloquedeseequerealicelaACL.
Enlafigura,eladministradordeseaqueeltrficoqueseoriginaenlared192.168.10.0/24no
ingrese a la red 192.168.30.0/24. Una ACL en la interfaz de salida de R1 deniega a R1 la
posibilidad de enviar trfico a otros lugares. La solucin es colocar una ACL estndar en la
interfaz de entrada de R3 para detener todo el trfico desde la direccin de origen
CCNA4.AccesoalaWAN
Captulo5.ACL
Considere que los administradores slo pueden colocar las ACL en los dispositivos que ellos
controlan. Por lo tanto, su ubicacin debe determinarse segn la extensin del control del
administrador de red. En esta figura, el administrador de las redes 192.168.10.0/24 y
192.168.11.0/24(designadasenesteejemploDiezyOnce,respectivamente)deseadenegarel
trficoTelnetyFTPdesdeOncealared192.168.30.0/24(Treintaenesteejemplo).Almismo
tiempo,sedebepermitirtodoeltrficorestantedesdeDiez.
CCNA4.AccesoalaWAN
Captulo5.ACL
Hay varias maneras de realizar esta tarea. Una ACL extendida en R3 que bloquea el trfico
Telnet y FTP desde Once podra realizar la tarea, pero el administrador no controla R3. Esa
solucinsiguepermitiendo,adems,queeltrficonodeseadoatraviesetodalared,slopara
bloquearloeneldestino.Estoafectalaeficaciageneraldelared.
UnasolucinesutilizarunaACLextendidadesalidaqueespecifiquelasdireccionesdeorigeny
de destino (Diez y Treinta respectivamente), y diga "El trfico Telnet y FTP desde Diez no
puedellegarhastaTreinta."ColoqueestaACLextendidaenelpuertodesalidaS0/0/0deR1.
Una desventaja de esta solucin es que el trfico desde Once tambin est sujeto a cierto
procesamientodelaACL,inclusosisepermiteeltrficoTelnetyFTP.
LamejorsolucinesacercarsealorigenycolocarunaACLextendidaenlainterfazdeentrada
Fa0/2 de R1. Esto garantiza que los paquetes desde Diez no ingresen a R1 y que luego no
puedanatravesarhaciaOnceniinclusoingresaraR2oR3.Ansepermiteeltrficoconotras
direccionesypuertosdedestinohaciaR1.
5.1.9PautasgeneralesparalacreacindelasACL
MejoresprcticasdelasACL
UtilizarlasACLrequiereatencinaldetalleyungrancuidado.Loserrorespuedensercostosos
enloquerespectaatiempodeinactividad,tareasderesolucindeproblemasyunserviciode
reddeficiente.AntesdecomenzaraconfigurarunaACL,serequiereunaplanificacinbsica.
LafigurapresentapautasqueconformanlabasedelalistademejoresprcticasdeunaACL.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.2ConfiguracindelasACLestndar
5.2.1Cmoingresarsentenciasdecriterios
AntesdecomenzaraconfigurarunaACLestndar,revisaremosconceptosimportantessobre
lasACLqueabarcamosenlaSeccin1.
Recuerdequecuandoeltrficoingresaalrouter,selocomparaconlassentenciasdeACLen
funcindelordendelasentradasenelrouter.Elroutercontinaprocesandolassentenciasde
ACLhastalograrunacoincidencia.Porello,debecolocarlaACLmsutilizadaalprincipiodela
lista.Sinoseencuentrancoincidenciascuandoelrouterllegaalfinaldelalista,eltrficoes
denegado porque las ACL tienen una sentencia de denegacin implcita para todo el trfico
quenocumpleconloscriteriosdeprueba.UnaACLdeunanicaentradaconslounaentrada
dedenegacinllegaadenegartodoeltrfico.Debeteneralmenosunasentenciadepermiso
enunaACLosebloqueatodoeltrfico.
Porejemplo,lasdosACL(101y102)delafiguratienenelmismoefecto.Lared192.168.10.0
puedeaccederalared192.168.30mientrasque192.168.11.0nopuede.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.2.2ConfiguracindelasACLestndar
LgicadelasACLestndar
Enlafigura,serevisanlasdireccionesdeorigendelospaquetesqueingresanaFa0/0:
accesslist2deny192.168.10.1
accesslist2permit192.168.10.00.0.0.255
accesslist2deny192.168.0.00.0.255.255
accesslist2permit192.0.0.00.255.255.255
Silospaquetestienenpermiso,seenrutanatravsdelrouterhaciaunainterfazdesalida.Sise
lesniegaelpermiso,selosdescartaenlainterfazdeentrada.
ConfiguracindelasACLestndar
Para configurar las ACL estndar numeradas en un router Cisco, primero debe crear la ACL
estndary,luego,activarlaenunainterfaz.
ElcomandodeconfiguracinglobalaccesslistdefineunaACLestndarconunnmeroentre1
y99.ElsoftwareIOSdeCiscoVersin12.0.1extendielrangoypermitedesde1300a1999
para brindar un mximo de 798 ACL estndar posibles. Estos nmeros adicionales son
denominadosACLIPexpandidos.
LasintaxiscompletadelcomandoACLestndares:
CCNA4.AccesoalaWAN
Captulo5.ACL
LafiguramuestraunaexplicacindetalladadelasintaxisparaunaACLestndar.
Porejemplo,paracrearunaACLnumeradanombrada10quepermitalared192.168.10.0/24,
debeingresar:
R1(config)#accesslist10permit192.168.10.0
LaformanodeestecomandoeliminalaACLestndar.Enlafigura,elresultadodelcomando
showaccesslistmuestralasACLactualesconfiguradasenelrouterR1.
ParaeliminarlaACL,seutilizaelcomandodeconfiguracinglobalnoaccesslist.Laejecucin
delcomandoshowaccesslistconfirmaquelalistadeacceso10hasidoeliminada.
CCNA4.AccesoalaWAN
Captulo5.ACL
Por lo general, los administradores crean las ACL y comprenden plenamente el propsito de
cada sentencia dentro de la ACL. Sin embargo, cuando se vuelve a revisar una ACL ms
adelante,puedenosertanevidentecomoantes.
El siguiente tema explica cmo utilizar la mscara wildcard para identificar redes y hosts
especficos.
5.2.3MscarawildcarddelasACL
Mscaraswildcard
Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras wildcard. Una
mscarawildcardesunasecuenciadedgitosbinariosqueleindicanalrouterqupartesdel
nmero de subred observar. Aunque las mscaras wildcard no tienen una relacin funcional
con las mscaras de subred, s proporcionan una funcin similar. La mscara determina qu
parte de la direccin IP de origen y destino aplicar a la concordancia de direcciones. Los
nmeros 1 y 0 de la mscara identifican cmo considerar los bits de direcciones IP
correspondientes.Sinembargo,seutilizancondistintospropsitosysiguendistintasreglas.
Lasmscaraswildcardymscarasdesubredtienenunalongitudde32bitsyutilizanunos(1)y
ceros(0)binarios.Lasmscarasdesubredutilizanunosycerosbinariosparaidentificarlared,
subred y porcin de host de una direccin IP. Las mscaras wildcard utilizan unos y ceros
binariosparafiltrardireccionesIPindividualesoengrupoparapermitirodenegarelaccesoa
recursos segn la direccin IP. Al configurar cuidadosamente las mscaras wildcard, puede
permitirodenegarunaovariasdireccionesIP.
CCNA4.AccesoalaWAN
Captulo5.ACL
Las mscaras wildcard y mscaras de subred difieren en la forma en la que concuerdan sus
unosycerosbinarios.Lasmscaraswildcardutilizanlassiguientesreglasparahacercoincidir
susunosycerosbinarios.
La figura muestra la forma en la que las diferentes mscaras wildcard filtran direcciones IP.
Comopuedeobservarenelejemplo,recuerdequeel0binariorepresentaunacoincidencia,y
el1binario,ignorar.
Nota:Lasmscaraswildcardgeneralmentesondenominadasmscarasinversas.Elmotivoes
que,adiferenciadeunamscaradesubredcuyo1binariorepresentaunacoincidenciayel0
binariolafaltadecoincidencia,loinversoesverdadero.
Usodelamscarawildcard
Latabladelafiguramuestralosresultadosdeaplicarunamscarawildcard0.0.255.255auna
direccinIPde32bits.Recuerdequeun0binarioindicaunvalorcoincidente.
CCNA4.AccesoalaWAN
Captulo5.ACL
MscaraswildcardparahacercoincidirsubredesIP
Calcularlamscarawildcardpuedeseruntantoconfusoalprincipio.Lafiguraproporcionatres
ejemplosdemscaraswildcard.
En el primer ejemplo, la mscara wildcard indica que cada bit de la direccin IP 192.168.1.1
debe coincidir en forma exacta. La mscara wildcard es equivalente a la mscara de subred
255.255.255.255.
Enelsegundoejemplo,lamscarawildcardindicaquetodocoincide.Lamscarawildcardes
equivalentealamscaradesubred0.0.0.0.
Eneltercerejemplo,lamscarawildcardindicaquecoincidecualquierhostdentrodelared
192.168.1.0/24.Lamscarawildcardesequivalentealamscaradesubred255.255.255.0.
Estosejemploseranbastantesencillos.Sinembargo,elclculodelasmscaraswildcardpuede
serunpocomscomplicado.
Losdosejemplosdelafigurasonmscomplicadosquelosltimostresquesemostraron.Enel
ejemplo1,losprimerosdosoctetosylosprimeroscuatrobitsdelterceroctetodebencoincidir
de manera exacta. Los ltimos cuatro bits del tercer octeto y el ltimo octeto pueden ser
CCNA4.AccesoalaWAN
Captulo5.ACL
cualquiernmerovlido.Estodacomoresultadounamscaraqueverificade192.168.16.0a
192.168.31.0.
Elejemplo2muestraunamscarawildcardquecoincideconlosprimerosdosoctetosyelbit
ms insignificante del tercero. El ltimo octeto y los primeros siete bits del tercer octeto
puedensercualquiernmerovlido.Elresultadoesunamscaraquepermiteodeniegatodos
loshostsdesdesubredesimparesdelaredprincipal192.168.0.0.
Calcularmscaraswildcardpuedesercomplicado,peropuedehacerlofcilmenterestandola
mscaradesubredde255.255.255.255.
Por ejemplo, supongamos que desea permitir el acceso a todos los usuarios de la red
192.168.3.0.Silamscaradesubredes255.255.255.0,puedetomar255.255.255.255yrestar
delamscaradesubred255.255.255.0ocomosemuestraenlafigura.Lasolucingenerala
mscarawildcard0.0.0.255.
Supongamosquedeseapermitirelaccesoalaredalos14usuariosdelasubred192.168.3.32
/28.LamscaradesubredparalasubredIPes255.255.255.240;tome255.255.255.255yreste
de la mscara de subred 255.255.255.240. Esta vez la solucin genera la mscara wildcard
0.0.0.15.
En este tercer ejemplo, supongamos que desea hacer coincidir slo las redes 192.168.10.0 y
192.168.11.0.Nuevamente,tome255.255.255.255yrestelamscaradesubredregularque,
enestecaso,es255.255.252.0.Elresultadoes0.0.3.255.
CCNA4.AccesoalaWAN
Captulo5.ACL
Puedeobtenerelmismoresultadoconlassiguientesdossentencias:
R1(config)#accesslist10permit192.168.10.0
R1(config)#accesslist10permit192.168.11.0
Esmseficazconfigurarlamscarawildcarddelasiguientemanera:
R1(config)#accesslist10permit192.168.10.00.0.3.255
Noparecesermseficaz,peroconsiderehacercoincidirlared192.168.16.0a192.168.31.0de
lasiguientemanera:
R1(config)#accesslist10permit192.168.16.0
R1(config)#accesslist10permit192.168.17.0
R1(config)#accesslist10permit192.168.18.0
R1(config)#accesslist10permit192.168.19.0
R1(config)#accesslist10permit192.168.20.0
R1(config)#accesslist10permit192.168.21.0
R1(config)#accesslist10permit192.168.22.0
R1(config)#accesslist10permit192.168.23.0
R1(config)#accesslist10permit192.168.24.0
R1(config)#accesslist10permit192.168.25.0
R1(config)#accesslist10permit192.168.26.0
R1(config)#accesslist10permit192.168.27.0
R1(config)#accesslist10permit192.168.28.0
R1(config)#accesslist10permit192.168.29.0
R1(config)#accesslist10permit192.168.30.0
R1(config)#accesslist10permit192.168.31.0
Puedeverqueesmseficientealconfigurarlasiguientemscarawildcard:
R1(config)#accesslist10permit192.168.16.00.0.15.255
Palabrasclavedelamscaradebitswildcard
Trabajar con representaciones decimales de bits wildcard binarios puede ser una tarea muy
tediosa. Para simplificarla, las palabras clave host y any ayudan a identificar los usos ms
comunesdelasmscaraswildcard.Conestaspalabrasclavenonecesitaingresarlasmscaras
wildcard al identificar un host o red especficos. Tambin facilitan la lectura de una ACL al
proporcionarpistasvisualesencuantoalorigenodestinodelcriterio.
Laopcinhostreemplazalamscara0.0.0.0.Estamscaraindicaquetodoslosbitsde
direccionesIPdebencoincidiroqueslounhostcoincide.
CCNA4.AccesoalaWAN
Captulo5.ACL
Ejemplo1:ProcesodelasmscaraswildcardconunanicadireccinIP
Enelejemplo,enlugardeingresar192.168.10.100.0.0.0,puedeutilizarhost192.168.10.10.
Ejemplo2:ProcesodelasmscaraswildcardconunadireccinIPquecoincidecontodas
Enelejemplo,enlugardeingresar0.0.0.0255.255.255.255,puedeusarlapalabraclaveany.
Palabrasclaveanyyhost
En la figura tenemos dos ejemplos. El Ejemplo 1 muestra cmo utilizar la opcin any para
reemplazar0.0.0.0porladireccinIPconmscarawildcardde255.255.255.255.
ElEjemplo2muestracmoutilizarlaopcinhostparareemplazarlamscarawildcard.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.2.4CmoaplicarlasACLestndaralasinterfaces
ProcedimientosdeconfiguracindelasACLestndar
LuegodeconfigurarunaACLestndar,selavinculaaunainterfazconelcomandoipaccess
group:
Router(configif)#ipaccessgroup{nmerodelistadeacceso|nombredelistadeacceso}{in|
out}
Para eliminar una ACL de una interfaz, primero ingrese el comando no ip accessgroup en la
interfazyluegoelcomandoglobalnoaccesslistparaeliminartodalaACL.
HagaclicenelbotnEjemplo1queapareceenlafiguraparaobtenerunejemplodeunaACL
quepermiteunanicared.
CCNA4.AccesoalaWAN
Captulo5.ACL
Esta ACL slo permite que el trfico de la red de origen 192.168.10.0 sea enviado por la
interfazS0/0/0.Sebloqueaeltrficodelasdemsredes,exceptola192.168.10.0.
LaprimeralneaidentificalaACLcomolistadeacceso1.Permiteeltrficoquecoincideconlos
parmetrosseleccionados.Enestecaso,ladireccinIPylamscarawildcardqueidentificala
red de origen es 192.168.10.0 0.0.0.255. Recuerde que existe la sentencia implcita y oculta
"denyall",equivalenteaagregarlalneaaccesslist1deny0.0.0.0255.255.255.255.
Elcomandodeconfiguracindeinterfazipaccessgroup1outvinculayadjuntalaACL1ala
interfazSerial0/0/0comofiltrodesalida.
Por ello, la ACL 1 slo permite hosts de la red 192.168.10.0 /24 para salir del router R1.
Deniegacualquierotrared,inclusola192.168.11.0.
HagaclicenelbotnEjemplo2queapareceenlafiguraparaobtenerunejemplodeunaACL
quedeniegaunhostespecfico.
Esta ACL reemplaza el ejemplo anterior, pero adems bloquea el trfico de una direccin
especfica.ElprimercomandoborralaversinanteriordelaACL1.Lasiguientesentenciade
ACL deniega el host PC1 ubicado en 192.168.10.10. Est permitido cualquier otro host de la
red 192.168.10.0 /24. Nuevamente, la sentencia implcita de denegacin coincide con
cualquierotrared.
NuevamenteseaplicalaACLalainterfazS0/0/0endireccinsaliente.
HagaclicenelbotnEjemplo3queapareceenlafiguraparaobtenerunejemplodeunaACL
quedeniegaunasubredespecfica.
CCNA4.AccesoalaWAN
Captulo5.ACL
EstaACLreemplazaelejemploanteriorperoanbloqueatrficodelequipohostPC1.Permite,
adems,quetodoeltrficodeLANsalgadelrouterR1.
Losprimerosdoscomandossonlosmismosqueelejemploanterior.Elprimercomandoborra
laversinanteriordelaACL1ylasiguientesentenciadeACLdeniegaelhostPC1ubicadoen
192.168.10.10.
Laterceralneaesnuevaypermitetodosloshostsdelasredes192.168.x.x/16.Ahora,esto
significa que todos los hosts de la red 192.168.10.0 /24 s coinciden, pero ahora tambin
coincidenloshostsdelared192.168.11.0.
Nuevamente se aplica la ACL a la interfaz S0/0/0 en direccin saliente. Por ello, las dos LAN
conectadasalrouterR1puedensalirdelainterfazS0/0/0,aexcepcindelhostPC1.
UsodelasACLparacontrolarelaccesoVTY
Elcomandoaccessclassdelmododeconfiguracindelnearestringelasconexionesentrantes
ysalientesentreunaVTYparticular(enundispositivoCisco)ylasdireccionesdeunalistade
acceso.
Las listas de acceso extendidas y estndar se aplican a paquetes que viajan a travs de un
router. No estn diseadas para bloquear paquetes que se originan dentro del router. De
CCNA4.AccesoalaWAN
Captulo5.ACL
forma predeterminada, la ACL Telnet extendida de salida no impide las sesiones Telnet
iniciadasporelrouter.
FiltrareltrficodeTelnetgeneralmenteesunafuncindeunaACLIPextendida,porquefiltra
unprotocolodenivelsuperior.Sinembargo,comoustedutilizaelcomandoaccessclasspara
filtrar sesiones de Telnet entrantes y salientes mediante direcciones de origen y para aplicar
filtrosalaslneasVTY,puedeutilizarlassentenciasdeACLestndarparacontrolarelacceso
VTY.
Lasintaxisdelcomandoaccessclasses:
accessclassaccesslistnumber{in[vrfalso]|out}
El parmetro in restringe las conexiones entrantes entre un dispositivo Cisco particular y las
direcciones de la lista de acceso, mientras que el parmetro out restringe las conexiones
salientesentreundispositivoCiscoparticularylasdireccionesdelalistadeacceso.
EnlafigurasemuestraunejemplodondesepermiteVTY0y4.Porejemplo,laACLdelafigura
seconfiguraparapermitirelaccesodelasredes192.168.10.0y192.168.11.0alasVTY04.
TodaslasdemsredesnotienenaccesoalasVTY.
CuandoconfigurelaslistasdeaccesoenlasVTY,tengaenconsideracinlosiguiente:
SlosepuedenaplicarlistasdeaccesonumeradasalasVTY.
DebenestablecerselasmismasrestriccionesentodaslasVTYporqueunusuariopuede
intentarconectarseacualquieradeellas.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.2.5EdicindeACLnumeradas
EdicindelasACLnumeradas
Es muy recomendable crear una ACL en un editor de texto, como el Bloc de notas de
Microsoft.EstolepermitecrearoeditarunaACLyluegopegarlaenelrouter.Enelcasode
unaACLexistente,puedeusarelcomandoshowrunningconfigparavisualizarlaACL,copiarla
ypegarlaeneleditordetexto,hacerloscambiosnecesariosyvolveracargarla.
Por ejemplo, supongamos que la direccin IP del host de la figura fue ingresada
incorrectamente.Enlugardelhost192.168.10.100,deberahaberseingresado192.168.10.11.
Acontinuacin,lemostramoslospasosquesedebenseguirparaeditarycorregirlaACL20:
Paso2.ResaltelaACL,cpielayluegopguelaenelBlocdenotasdeMicrosoft.Editelalista
comoseanecesario.CuandovisualicecorrectamentelaACLenelBlocdenotasdeMicrosoft,
resltelaycpiela.
Paso3.Enelmododeconfiguracinglobal,deshabilitelalistadeaccesoconelcomandono
accesslist20.Delocontrario,seagreganlasnuevassentenciasalaACLactual.Luegopeguela
nuevaACLenlaconfiguracindelrouter.
Sedebeaclararquealutilizarelcomandonoaccesslist,ningunaACLprotegesured.Tengaen
cuenta,adems,quesicometeunerrorenlanuevalista,debedeshabilitarlaysolucionarel
problema. En ese caso, una vez ms su red no contar con una ACL durante el proceso de
correccin.
CCNA4.AccesoalaWAN
Captulo5.ACL
ComentariosenlasACL
Puedeusarlapalabraclaveremarkparaincluircomentarios(observaciones)sobreentradasen
cualquierACLIPestndaroextendida.Lasobservacionesfacilitanlacomprensinyelanlisis
delaACL.Cadalneadeobservacinestlimitadaa100caracteres.
La observacin puede ir antes o despus de una sentencia permit o deny. Debe ser
consecuente con la ubicacin de las observaciones para que quede claro qu observacin
describequsentenciapermitodeny.Porejemplo,seraconfusoteneralgunasobservaciones
antesdelasentenciapermitodenyasociadayalgunasdespus.
ParaincluiruncomentarioenunaACLIPnumeradaestndaroextendida,useelcomandode
configuracinglobalaccesslistnumerodelistadeaccesoremarkcomentario.Paraeliminar
laobservacin,utilicelaformanodeestecomando.
Enelprimerejemplo,laACLestndarpermiteelaccesoalaestacindetrabajoquepertenece
aJonesydeniegaelaccesoalaestacindetrabajoqueperteneceaSmith.
ParaunaentradaenunaACLnombrada,useelcomandodeconfiguracinremarkaccesslist.
Paraeliminarlaobservacin,utilicelaformanodeestecomando.Elsegundoejemplomuestra
unaACLextendidanombrada.RecuerdedeladefinicinanteriordelasACLextendidasquese
utilizan para controlar nmeros de puerto y servicios especficos. En el segundo ejemplo, la
observacinindicaquelasubreddeJonesnotienepermitidoutilizarTelnetsaliente.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.2.6CreacindeACLestndarnombradas
AsignarunnombreaunaACLfacilitalacomprensindesufuncin.Porejemplo,unaACLque
deniegaFTPpuededenominarseNO_FTP.AlidentificarunaACLconunnombreenlugardeun
nmero,elmododeconfiguracinylasintaxisdelcomandosonuntantodiferentes.
LafiguramuestralospasosparacrearunaACLestndarnombrada.
Paso1.Desdeelmododeconfiguracinglobal,useelcomandoipaccesslistparacrearuna
ACL nombrada. Los nombres de las ACL son alfanumricos, deben ser nicos y no deben
comenzarconunnmero.
Paso 2. Desde el modo de configuracin de una ACL nombrada, use las sentencias permit o
deny para especificar una o ms condiciones que determinen si se enva o descarta un
paquete.
Paso3.RegresealmodoEXECprivilegiadoconelcomandoend.
CCNA4.AccesoalaWAN
Captulo5.ACL
Enlafigura,elresultadoenpantallamuestraloscomandosutilizadosparaconfigurarunaACL
estndar nombrada en el router R1, la interfaz Fa0/0 que deniega el acceso del host
192.168.11.10alared192.168.10.0.
NonecesitaquelosnombresdelasACLestnenmaysculas,perosedestacanalvisualizarel
resultadoderunningconfig.
5.2.7MonitoreoyverificacindeACL
AlfinalizarlaconfiguracindeunaACL,useloscomandosshowdelIOSdeCiscoparaverificar
la configuracin. En la figura, el ejemplo de la parte superior muestra la sintaxis del IOS de
CiscoparavisualizarloscontenidosdetodaslasACL.Elejemplodelaparteinferiormuestrael
resultado del comando show accesslists en el router R1. Los nombres en mayscula de las
ACL,SALESyENG,sedestacanenelresultadoquesemuestraenlapantalla.
Recuerde por qu comenz a configurar las ACL en primer lugar: deseaba implementar las
polticas de seguridad de su organizacin. Ahora que comprob que las ACL se configuraron
comopretenda,elsiguientepasoesconfirmarquefuncionensegnloplaneado.
LaspautasanalizadasalprincipiodeestaseccinsugierenqueconfigurelasACLenunaredde
prueba y, luego, las implemente en la red de produccin. Si bien el anlisis sobre cmo
preparar una situacin de prueba de las ACL no est dentro del alcance de este curso, debe
saberqueconfirmarquelasACLfuncionensegnloplaneadopuedeserunprocesocomplejo
ylento.
5.2.8EdicindelasACLnombradas
LasACLnombradastienenunagranventajasobrelasACLnumeradasporquesonmsfciles
de editar. A partir del software IOS de Cisco versin 12.3, las ACL IP nombradas le permiten
borrar entradas individuales en una ACL especfica. Puede usar secuencias de nmeros para
CCNA4.AccesoalaWAN
Captulo5.ACL
insertarsentenciasencualquierpartedelaACLnombrada.Siutilizaunaversinanteriordel
softwareIOSdeCisco,puedeagregarsentenciassloalfinaldelaACLnombrada.Comopuede
borrar entradas individuales, puede modificar su ACL sin necesidad de borrar y luego
reconfigurartodalaACL.
El ejemplo de la figura muestra una ACL aplicada a la interfaz S0/0/0 de R1. Restringi el
accesoalservidorWeb.Siobservamosesteejemplo,puedeverdoselementosqueannose
incluyeronenestecurso:
En el primer resultado del comando show, puede ver que la ACL con el nombre
WEBSERVER tiene tres lneas numeradas que indican las reglas de acceso para el
servidorWeb.
Paraotorgaraccesoaotraestacindetrabajodelalistaslodebeingresarunalnea
numerada. En el ejemplo, se agrega la estacin de trabajo con la direccin IP
192.168.10.15.
Elltimoresultadodelcomandoshowverificaquelanuevaestacindetrabajotenga
acceso.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.3ConfiguracindelasACLextendidas
5.3.1ACLextendidas
PruebadepaquetesconACLextendidas
Para lograr un control ms preciso del filtrado del trfico, puede usar ACL extendidas
numeradas del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas
posibles.AlasACLextendidastambinselespuedeasignarunnombre.
LasACLextendidasseutilizanconmsfrecuenciaquelasACLestndarporqueproporcionan
unmayorcontroly,porlotanto,complementansusolucindeseguridad.AligualquelasACL
estndar,lasextendidasverificanladireccindeorigendelpaquete,perotambinverificanla
direccin de destino, los protocolos y los nmeros de puerto (o servicios). Esto ofrece un
criteriomsampliosobreelcualfundamentarlaACL.Porejemplo,unaACLextendidapuede
permitir de manera simultnea el trfico de correo electrnico de una red a un destino
especficoy,alavez,denegarlatransferenciadearchivosylanavegacinWeb.
LafiguramuestralarutadedecisinlgicautilizadaporunaACLextendidacreadaparafiltrar
direcciones de origen y de destino, nmeros de puerto y protocolo. En este ejemplo, la ACL
filtra primero la direccin de origen, luego el puerto y el protocolo de origen. Luego filtra la
direccindedestino;posteriormente,elpuertoyelprotocolodedestinoytomaunadecisin
finaldepermisoodenegacin.
Recuerde que las entradas de las ACL se procesan una despus de la otra, por lo que la
decisin 'No' no necesariamente significa 'Denegar'. Mientras recorre la ruta de decisin
lgica, observe que 'No' significa seguir hasta la siguiente entrada hasta probar todas las
entradas. Una vez que se hayan procesado todas las entradas, se toma la decisin final de
'Permitir'o'Denegar'.
LasiguientepginamuestraunejemplodeunaACLextendida.
Pruebadepuertosyservicios
LaposibilidaddefiltrarprotocolosynmerosdepuertolepermitecrearACLextendidasmuy
especficas. Mediante el nmero de puerto adecuado, puede especificar una aplicacin al
configurarelnmerodepuertooelnombredeunpuertobienconocido.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.3.2ConfiguracindelasACLextendidas
Los procedimientos para configurar las ACL extendidas son los mismos que para las ACL
estndar: primero crea la ACL extendida y luego la activa en una interfaz. Sin embargo, la
sintaxis y los parmetros del comando tienen ms complejidades para admitir las funciones
adicionalesdelasACLextendidas.
CCNA4.AccesoalaWAN
Captulo5.ACL
La figura muestra la sintaxis de comando comn para las ACL extendidas. El campo de
desplazamiento proporciona detalles de las palabras clave y los parmetros. A medida que
avanceestecapitulo,encontrarexplicacionesyejemplosquelepermitirnentendermejor.
LafiguramuestraunejemplodecmosepuedecrearunaACLextendidaespecficaparalas
necesidades de su red. En este ejemplo, el administrador de red debe restringir el acceso a
InternetparapermitirslolanavegacinWeb.LaACL103seaplicaaltrficoquesaledelared
192.168.10.0,ylaACL104altrficoqueingresaalared.
La ACL 103 cumple con la primera parte del requisito. Permite el trfico que ingresa de
cualquier direccin en la red 192.168.10.0 para dirigirse a cualquier destino, sujeto a la
limitacinqueeltrficosedirigesoloalospuertos80(HTTP)y443(HTTPS).
La naturaleza de HTTP requiere que el trfico regrese a la red, pero el administrador de red
desea restringirlo a intercambios HTTP desde los sitios Web solicitados. La solucin de
seguridad debe denegar cualquier otro trfico que ingrese a la red. La ACL 104 lo hace
bloqueando el trfico entrante, a excepcin de las conexiones establecidas. HTTP establece
conexionesapartirdelasolicitudoriginalyluegomedianteelintercambiodemensajesACK,
FINySYN.
Observequeelejemploutilizaelparmetroestablished.
Esteparmetropermiterespuestasaltrficoqueseoriginadesdelared192.168.10.0/24ala
interfaz de entrada s0/0/0. Se produce una coincidencia si el datagrama TCP tiene ajustados
losbitsACKoreset(RST)queindicanqueelpaqueteperteneceaunaconexinexistente.Sin
el parmetro established en la sentencia de ACL, los clientes pueden enviar trfico a un
servidorWeb,peronolorecibendeeseservidor.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.3.3CmoaplicarlasACLextendidasalasinterfaces
Aprendamos cmo configurar una lista de acceso extendida a partir del ejemplo anterior.
RecuerdequedeseamospermitiralosusuariosnavegarensitiosWebsegurosynoseguros.
Primeroconsideresieltrficoquedeseafiltraresentranteosaliente.Intentaraccederasitos
WebdeInternetimplicalasalidadetrfico.RecibircorreoselectrnicosdeInternetimplicala
entrada de trfico a la empresa. Sin embargo, al considerar cmo aplicar una ACL a una
interfaz,elingresoylasalidatienensignificadosdiferentes,segnelpuntodevista.
Enelejemplodelafigura,R1tienedosinterfaces.Tieneunpuertoserial,S0/0/0,yunoFast
Ethernet, Fa0/0. El trfico entrante de Internet ingresa a la interfaz S0/0/0, pero sale de la
interfaz Fa0/0 para llegar a PC1. El ejemplo aplica la ACL a la interfaz serial en ambas
direcciones.
CCNA4.AccesoalaWAN
Captulo5.ACL
EnelcasodelasACLextendidas,puedeelegirutilizarnmerosdepuertocomosemuestraen
el ejemplo o denominar un puerto bien conocido. En un ejemplo anterior de una ACL
extendida,lassentenciasseredactarondelasiguientemanera:
accesslist114permittcp192.168.20.00.0.0.255anyeqftp
accesslist114permittcp192.168.20.00.0.0.255anyeqftpdata
ObservequeparaFTPesprecisomencionarftpyftpdata.
Este ejemplo deniega el trfico de Telnet desde 192.168.11.0 hacia la interfaz Fa0/0, pero
permite todo el otro trfico IP de cualquier otro origen a cualquier destino desde la interfaz
Fa0/0.Observeelusodelapalabraclaveanyquesignificadesdecualquierladohaciacualquier
lado.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.3.4CreacindelasACLextendidasnombradas
Puede crear ACL extendidas nombradas bsicamente de la misma manera que crea las ACL
estndarnombradas.LoscomandosparacrearunaACLnombradasondiferentessegnsies
estndaroextendida.
DesdeelmodoEXECprivilegiado,sigaestospasosparacrearunaACLextendidaconnombres.
Paso2.EnelmododeconfiguracindeACLnombrada,especifiquelascondicionesquedesea
permitirodenegar.
Paso3.RegresealmodoEXECprivilegiadoyverifiquesuACLconelcomandoshowaccesslists
[nmero|nombre].
Paso4.Comoopcinypasorecomendado,guardesusentradasenelarchivodeconfiguracin
conelcomandocopyrunningconfigstartupconfig.
Para eliminar una ACL extendida nombrada, use el comando de configuracin global no ip
accesslistextendednombre.
LafiguramuestralaversindesignadadelaACLquecreantes.
CCNA4.AccesoalaWAN
Captulo5.ACL
5.4ConfiguracindeACLcomplejas
5.4.1QusonlasACLcomplejas?
TiposdeACLcomplejas
Las ACL estndar y extendidas pueden ser la base de las ACL complejas que brindan mayor
funcionalidad.LatabladelafiguraresumelastrescategorasdeACLcomplejas.
5.4.2ACLdinmicas
QusonlasACLdinmicas?
ElbloqueoesunacaractersticadeseguridaddefiltradodetrficoqueutilizaACLdinmicas,a
veces denominadas ACL de bloqueo. Est disponible slo para trfico IP. Las ACL dinmicas
dependen de la conectividad Telnet, de la autenticacin (local o remota) y de las ACL
extendidas.
LaconfiguracindelasACLdinmicascomienzaconlaaplicacindeunaACLextendidapara
bloquear trfico que atraviesa de router. Los usuarios que deseen atravesar el router son
bloqueados por la ACL extendida hasta que utilizan Telnet para conectarse al router y ser
autenticados. En ese momento, se interrumpe la conexin a Telnet, y se agrega una ACL
dinmicadenicaentradaalaACLextendidaexistente.Estaentradapermiteeltrficoporun
perodo determinado; es posible que se produzcan errores por inactividad y superacin del
tiempodeespera.
CundoutilizarlasACLdinmicas
LassiguientessonalgunasrazonescomunesparautilizarACLdinmicas:
Cuandodeseaunusuarioremotoogrupodeusuariosremotosespecficoparaacceder
alhostdentrodelared,conectndosedesdesushostsremotosatravsdeInternet.El
bloqueoautenticaalusuarioyluegopermiteelaccesolimitadoatravsdesurouter
firewallparaunhostosubredporunperodolimitado.
Cuandodeseaqueunsubconjuntodehostsdeunaredlocalaccedaaunhostdeuna
redremotaprotegidaporunfirewall.Conelbloqueo,puedepermitirelaccesoalhost
remoto slo a los conjuntos de hosts locales que desee. El bloqueo requiere que los
CCNA4.AccesoalaWAN
Captulo5.ACL
BeneficiosdelasACLdinmicas
Las ACL dinmicas tienen los siguientes beneficios de seguridad comparadas con las ACL
estndaryestticasextendidas:
Usodeunmecanismodedesafoparaautenticarlosusuariosindividuales
Administracinsimplificadaeninternetworksmsgrandes
Enmuchoscasos,reduccindelacantidaddeprocesamientodeunrouternecesario
paralasACL
Reduccin de la oportunidad de intromisiones a la red por parte de piratas
informticos
Creacindeaccesodinmicoalusuarioatravsdeunfirewall,sincomprometerotras
restriccionesdeseguridadconfiguradas
Enlafigura,elusuariodePC1esunadministradorquerequiereaccesodepuertatraseraala
red192.168.30.0/24ubicadaenelrouterR3.SeconfigurunaACLdinmicaparapermitirel
accesoFTPyHTTPalrouterR3sloportiempolimitado.
EjemplosdeACLdinmicas
CCNA4.AccesoalaWAN
Captulo5.ACL
SibienladescripcindetalladadelaconfiguracindeunaACLdinmicaestfueradelalcance
deestecurso,estilrevisarlospasosdeconfiguracin.
PaseelcursordelmousesobrecadaPasoquesemuestraenlafigurapararevisarlospasosde
configuracindelasACLdinmicas.
5.4.3ACLreflexivas
QusonlasACLreflexivas?
LasACLreflexivasobliganaltrficoderespuestadeldestino,deunrecientepaquetesaliente
conocido,adirigirsealorigendeesepaquetesaliente.Estoaportaunmayorcontroldeltrfico
que se permite ingresar a la red e incrementa las capacidades de las listas de acceso
extendidas.
LosadministradoresderedutilizanlasACLreflexivasparapermitireltrficoIPensesionesque
se originan en su red y, al mismo tiempo, denegar el trfico IP en sesiones que se originan
fuera de la red. Estas ACL permiten que el router administre el trfico de sesin en forma
dinmica.Elrouterexaminaeltrficosalientey,cuandoveunaconexin,agregaunaentrada
a una ACL temporal para permitir la devolucin de respuestas. Las ACL reflexivas contienen
slo entradas temporales. Estas entradas se crean automticamente cuando se inicia una
nueva sesin IP (con un paquete saliente, por ejemplo) y las entradas se eliminan
automticamentecuandofinalizalasesin.
Las ACL reflexivas proporcionan una forma ms exacta de filtrado de sesin que una ACL
extendidaqueutilizaelparmetroestablishedpresentadoanteriormente.Sibiensonsimilares
en cuanto al concepto del parmetro established, las ACL reflexivas tambin funcionan para
UDP e ICMP, que no tienen bits ACK ni RST. La opcin established tampoco funciona con
aplicaciones que alteran de forma dinmica el puerto de origen para el trfico de sesin. La
CCNA4.AccesoalaWAN
Captulo5.ACL
sentenciapermitestablishedsloverificalosbitsACKyRST,noladireccindeorigennilade
destino.
LasACLreflexivasnoseaplicandirectamenteaunainterfaz,estn"anidadas"dentrodeuna
ACLIPextendidanombradaqueseaplicaalainterfaz.
Las ACL reflexivas slo pueden definirse con ACL IP extendidas nombradas. No pueden
definirse con ACL numeradas ni estndar nombradas ni con otras ACL protocolo. Las ACL
reflexivaspuedenutilizarseconotrasACLestndaryextendidasestticas.
BeneficiosdelasACLreflexivas
LasACLreflexivastienenlossiguientesbeneficios:
Ayudanaprotegerlareddepiratasinformticosypuedenincluirseenunfirewall.
Proporcionanunniveldeseguridadcontraataquesdesuplantacindeidentidadyde
denegacindeservicios.LasACLreflexivassonmuchomsresistentesalosataquesde
suplantacindeidentidadporquedebencoincidirmscriteriosdefiltroantesdedejar
ingresarunpaquete.Porejemplo,severificanlasdireccionesdeorigenydedestinoy
losnmerosdepuerto,nosolamentelosbitsACKyRST.
Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan un mayor
controldelospaquetesqueingresanalared.
EjemplodeACLreflexivas
LafiguramuestraunejemplodondeunadministradornecesitaunaACLreflexivaquepermita
trfico ICMP entrante y saliente, y que permita slo el trfico TCP que se inici desde el
CCNA4.AccesoalaWAN
Captulo5.ACL
interior de la red. Supongamos que todo el otro trafico ser denegado. La ACL reflexiva se
aplicaalainterfazdesalidadeR2.
SibienlaconfiguracincompletadelasACLreflexivasestfueradelalcancedeestecurso,la
figuramuestraunejemplodelospasosnecesariosparaconfigurarunaACLreflexiva.
PaseelcursordelmousesobrecadaPasoquesemuestraenlafigurapararevisarlospasosde
configuracindelasACLreflexivas.
5.4.4ACLbasadaseneltiempo
QusonlasACLbasadaseneltiempo?
LaACLbasadaeneltiempoessimilarenfuncinalaACLextendida,peroadmitecontrolde
acceso basado en el tiempo. Para implementar las ACL basadas en el tiempo, debe crear un
rangohorarioque definalahoraespecfica del da ylasemana. Debeidentificarelrango de
tiempo con un nombre y, luego, remitirse a l mediante una funcin. Las restricciones
temporalessonimpuestasenlamismafuncin.
LasACLbasadaseneltiempotienenmuchosbeneficios.
Ofrecenaladministradorderedmscontroldelospermisosydenegacionesdeacceso
alosrecursos.
Permitenalosadministradoresderedcontrolarlosmensajesderegistro.Lasentradas
delasACLpuedenregistrareltrficoendeterminadosmomentosdelda,peronode
forma permanente. De esta manera, los administradores pueden simplemente
CCNA4.AccesoalaWAN
Captulo5.ACL
denegar el acceso, sin tener que analizar los diferentes registros que se generan
durantelashoraspico.
EjemplodeACLbasadasentiempo
SibienlosdetallesdelaconfiguracincompletadelasACLbasadasentiempoestnfueradel
alcance de este curso, el siguiente ejemplo muestra los pasos necesarios. En el ejemplo, se
permite una conexin Telnet desde la red interna hacia la red externa los lunes, mircoles y
viernesduranteelhorariocomercial.
Paso2.ApliqueelrangodetiempoalaACL.
CCNA4.AccesoalaWAN
Captulo5.ACL
Paso3.ApliquelaACLalainterfaz.
Elrangodetiempodependedelrelojdelsistemadelrouter.Lacaractersticafuncionamejor
con la sincronizacin del protocolo de hora de red (NTP), pero puede utilizarse el reloj del
router.
5.4.5ResolucindeproblemasrelacionadosconloserrorescomunesdelasACL
El uso de los comandos show descritos anteriormente revela la mayora de los errores ms
comunesde lasACLantesdeque causenproblemasensured. Afortunadamente,elusuario
utilizaunbuenprocedimientodepruebaparaprotegersureddeerroresdurantelaetapade
desarrollodelaimplementacindelasACL.
CuandoobserveunaACL,comprelaconlasreglasqueaprendisobrelacreacincorrectade
ACL.Lamayoradeloserroresseproduceporqueseomitenlasreglasbsicas.Dehecho,los
errores ms comunes suceden al ingresar las sentencias de ACL en el orden incorrecto y sin
aplicaruncriterioadecuadodelasreglas.
Observemos una serie de problemas comunes y sus soluciones. Haga clic en cada ejemplo
mientrasleelasexplicaciones.
CCNA4.AccesoalaWAN
Captulo5.ACL
Lared192.168.10.0/24nopuedeusarTFTPparaconectarsealared192.168.30.0/24.Puede
verelerrorenelresultadodelcomandoshowaccesslists?
Solucin: la red 192.168.10.0 /24 no puede usar TFTP para conectarse a la red 192.168.30.0
/24porqueTFTPutilizaelprotocolodetransporteUDP.Lasentencia30delalistadeacceso
120permiteelrestodeltrficoTCP.ComoTFTPutilizaUDP,estimplcitamentedenegado.La
sentencia30debeseripanyany.
EstaACLfuncionasiseaplicaaFa0/0deR1oaS0/0/1deR3,oaS0/0/0oaR2endireccin
entrante. Sin embargo, segn la regla que indica ubicar las ACL extendidas lo ms cerca del
origen,lamejoropcinesenFa0/0deR1porquepermitequeeltrficonodeseadosefiltre
sinatravesarlainfraestructuradelared.
CCNA4.AccesoalaWAN
Captulo5.ACL
La red 192.168.10.0 /24 puede usar Telnet para conectarse a 192.168.30.0 /24, pero no se
permiteestaconexin.Analiceelresultadodelcomandoshowaccesslistseintenteencontrar
unasolucin.DndeaplicaraestaACL?
Solucin:lared192.168.10.0/24puedeusarTelnetparaconectarsealared192.168.30.0/24
porqueelnmerodepuertoTelnetenlasentencia10delalistadeacceso130apareceenla
ubicacinincorrecta.Lasentencia10actualmentedeniegacualquierorigenconunnmerode
puertoigualaldeTelnetqueintenteestablecerunaconexinacualquierdireccinIP.Sidesea
denegareltrficoTelnetqueingresaaS0,debedenegarelnmerodepuertodedestinoigual
aldeTelnet,porejemplo,denytcpanyanyeqtelnet.
Elhost192.168.10.10puedeusarTelnetparaconectarsea192.168.30.12,peronosepermite
estaconexin.Analiceelresultadodelcomandoshowaccesslists.
Solucin:elhost192.168.10.10puedeusarTelnetparaconectarsea192.168.30.12porqueno
hayreglasquedenieguenelhost192.168.10.10osuredcomoelorigen.Lasentencia10dela
listadeacceso140deniegalainterfaz delrouterdesdedondeparteel trfico.Sin embargo,
comoestospaquetespartendelrouter,tienenunadireccindeorigende192.168.10.10yno
ladireccindelainterfazdelrouter.
ComolasolucinparaelError2,estaACLdebeaplicarseaFa0/0deR1endireccinentrante.
CCNA4.AccesoalaWAN
Captulo5.ACL
Elhost192.168.30.12puedeusarTelnetparaconectarsea192.168.10.10,peronosepermite
estaconexin.Observeelresultadodelcomandoshowaccesslistsyencuentreelerror.
Solucin: el host 192.168.30.12 puede usar Telnet para conectarse a 192.168.10.10 por la
direccinenlaqueseaplicalalistadeacceso150alainterfazS0/0.Lasentencia10deniegala
direccindeorigende192.168.30.12,peroesadireccinsloseraelorigensieltrficofuera
salienteynoentranteenlainterfazS0/0.
5.5Prcticasdelaboratoriodelcaptulo
5.5.1Listasbsicasdecontroldeacceso
5.5.2Desafodelaslistasdecontroldeacceso
5.5.3Resolucindeproblemasdelaslistasdecontroldeacceso
5.6Resumendelcaptulo
5.6.1Resumen
LaACLesunguindeconfiguracinderouterqueutilizaelfiltradodepaquetesparacontrolar
si un router permite o deniega el ingreso de paquetes, segn el criterio ubicado en el
encabezadodelpaquete.LasACLtambinseutilizanparaseleccionarlostiposdetrficopor
analizar, reenviar o procesar de otras maneras. Las ACL son uno de los objetos ms
comnmenteutilizadosenelsoftwareIOSdeCisco.
ExistendistintostiposdeACL:estndar,extendidas,nombradasynumeradas.Enestecaptulo
aprendi la finalidad de cada tipo de ACL y dnde deben colocarse en su red. Aprendi a
configurarlasACLeninterfacesdeentradaydesalida.Sedescribieronlostiposespecialesde
ACL:dinmicas,reflexivasytemporizadas.Se destacaronlaspautasymejoresprcticaspara
desarrollarACLfuncionalesyeficaces.
CCNA4.AccesoalaWAN
Captulo5.ACL
Conelconocimientoylashabilidadesqueadquirienestecaptulo,puedeconfigurarcontoda
confianza, pero con cuidado, ACL estndar, extendidas y complejas, verificar esas
configuracionesysolucionarsusproblemas.
CCNA4.AccesoalaWAN