GUÍA DE LABORATORIO

LISTAS DE CONTROL DE ACCESO

Área EEyT
 Confeccionado por:

Dirección Área Electricidad, Electrónica

y Telecomunicaciones

Derechos Reservados
Titular del Derecho: INACAP
N° de inscripción en el Registro de Propiedad Intelectual # __.__de fecha __-__-__.
© INACAP 2003.
 LISTAS DE CONTROL DE ACCESO (ACL)

Los administradores de red deben buscar maneras de impedir el acceso no autorizado a

la red, permitiendo por otro lado el acceso autorizado. Aunque las herramientas de
seguridad, como las contraseñas, equipos de callback y dispositivos de seguridad física
son de ayuda, a menudo carecen de la flexibilidad del filtrado básico de tráfico, y los
controles específicos que la mayoría de los administradores prefieren. Por ejemplo, un
administrador de red puede permitir que los usuarios tengan acceso a Internet, pero
puede no considerar conveniente que los usuarios externos hagan telnet a la LAN.

Los routers proporcionan capacidades básicas de filtrado de tráfico, como bloqueo del
tráfico de Internet, con listas de control de acceso (ACL). Una ACL es una colección
secuencial de sentencias de permiso o rechazo que se aplican a direcciones o
protocolos de capa superior. Existen las ACL estándar y extendidas.

Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo
Internet (IP) y el Intercambio de Paquetes de Internetwork (IPX), para filtrar los
paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router
para controlar el acceso a una red o subred.

Conceptos previos:

En los Router Cisco, las listas de acceso tienen un identificador de acuerdo a su tipo. La
siguiente tabla muestra los identificadores.

Tipo de lista de acceso Identificador

IP estándar 1-99
IP extendida 100-199
Código del tipo puente 200-299
IPX estándar 800-899
IPX extendido 900-999
IPX SAP 1000-1099

Listas de acceso IP estándar:

Las listas de acceso estándar permiten o prohíben paquetes en base a la dirección IP de

origen del paquete.
Máscara Wildcard:

Las listas de acceso IP estándar y extendidas utilizan una máscara WILDCARD. Al igual
que una dirección IP, una máscara wildcard es una cantidad de 32 bits escrita en un
formato decimal con puntos.
La máscara wildcard le indica al Router qué bits de la dirección usar en las
comparaciones. Los bits de direcciones correspondientes a los bits de máscara wildcard
establecidos en 1 se ignoran en las comparaciones, mientras que los bits de direcciones
de máscara wildcard establecidos en 0 se usan en las comparaciones.

Listas de acceso IP extendida:

Las listas de acceso extendidas ofrecen mayor control que las listas de acceso estándar,
debido a que permiten habilitar filtrado en base a las direcciones de origen y destino del
paquete IP.

Comandos:

A continuación de definen los comandos más utilizados para la creación de listas de

acceso.

Comando Descripción
Access-list-number Identifica la lista a la que pertenece la
entrada.
Permit / deny Indica si la entrada permite o impide el
tráfico a la red especificada.
Source Indica la dirección IP de origen.
Destination Indica la dirección IP destino.
Source-Wildcard Identifica qué bits del campo de
Destination-Wildcard dirección deben coincidir.
Any Aplicar a todos
Show access-list Muestra las listas de acceso de todos lo
protocolos
EJEMPLOS

Ejemplo de lista de acceso estándar:

INTERNET

10.48.0.3
B C

D
A
Workstation Workstation

Workstation
Workstation
10.51.0.0

Ethernet
E0
Router A 10.48.0.0

La configuración de la lista de acceso para el router A:

Router(config)#access-list 2 permit 10.48.0.3

Router(config)#access-list 2 deny 10.48.0.0 0.0.255.255
Router(config)#access-list 2 permit 10.0.0.0 0.255.255.255
Router(config)#! (note: all other access implicitly denied)
Router(config)#interface Ethernet 0
Router(config)#ip access group 2 in

• El host B puede comunicarse con el host A. Está permitido por la primera línea
de la lista de acceso, que utiliza una máscara de host implícita.
• El host C no puede comunicarse con el host A. El host D está en una subred que
esta explícitamente permitida por la tercera línea de la lista de acceso.
• El host D puede comunicarse con el host A. El host D esta en una subred que
esta explícitamente permitida por la tercera línea de la lista de acceso.
• Los usuarios de Internet no pueden comunicarse con el host A. Los usuarios que
estén fuera de esta red no están explícitamente permitidos, por lo que son
denegados por defecto con el “deny any” implícito al final de la lista de acceso.
Ejemplo de lista de acceso IP extendida:

INTERNET

Correo
DNS FTP
172.22.1.2
172.22.2.0 B
Navegador

Tower box Tower box Tower box

Workstation
Workstation
S0 172.22.3.0

Ethernet E1
E0
Router B 172.22.1.0 Router A

access-list 118 permit tcp any 172.22.0.0 0.0.255.255 eq www established

access-list 118 permit tcp any host 172.22.1.2 eq smtp
access-list 118 permit udp any any eq dns
access-list 118 permit udp 172.22.3.0 0.0.0.255 172.22.1.0 o.0.0.255 eq snmp
access-list 118 deny icmp any 172.22.0.0 0.0.255.255 echo
access-list 118 permit icmp any any echo reply
!
interface Ethernet 0
ip access-group 118 out

En el ejemplo anterior, la lista de acceso 118 se aplica como saliente a la interfaz Ethernet 0
del router A.

Esta configuración permite que las respuestas a las consultas del navegador del cliente A en
Internet vuelvan a entrar en la red corporativa (ya que se trata de sesiones establecidas).
Las consultas mediante navegador desde orígenes externos no son permitidas explícitamente
y son descartadas por el deny any implícito del final de la lista de acceso.

También permite enviar correo electrónico SMTP exclusivamente al servidor de correo. El

servidor está autorizado para resolver peticiones DNS. La subred 172.22.1.0 es controlada
por el grupo de administración de red que está ubicado en servidor del cliente B, por lo que
las consultas de administración de red SNMP, se les permitirá llegar a estos dispositivos del
servidor. Los intentos de hacer un ping a la red corporativa desde afuera de la red de la
subred 172.22.3.0 fallarán, ya que la lista de acceso bloquea las peticiones echo. Sin
embargo, las respuestas a las peticiones echo generadas desde dentro de la red corporativa
serán autorizadas a volver a entrar a la red.
EJERCICIOS

1.- Es necesario realizar el diseño de red LAN para una empresa con múltiples
sucursales. Se requiere que cada sucursal tenga dos redes:

• Una red para ventas.

• Una red para administración.

Cada segmento exclusivo de LAN se debe conectar a una puerta Ethernet

independiente en el router para brindar servicios a esa LAN.

Como parte de la solución de seguridad, se necesita desarrollar una ACL para el

router de acceso al sitio local que deniegue acceso a los usuarios del segmento de
LAN de ventas al segmento de LAN administrativo, otorgando al mismo tiempo
acceso completo de la LAN administrativa al segmento de LAN de ventas.

Indique la configuración necesaria en el Router para satisfacer el requerimiento.

2.- Indique la configuración para una lista de acceso IP numerada que detenga los
paquetes provenientes de la subred 134.141.7.0, 255.255.255.0, aplicada en una
interfaz serial 0 de un Router. Permita que todos los demás paquetes pasen.

3.- Indique la configuración para una lista de acceso IP que permita solamente
paquetes de las subredes 193.7.6.48/28 a la 193.7.6.128/28, que son enviados al
servidor Web de la subred 128.1.0.0, en la puerta serial 0 de algún Router.

4.- Indique la configuración para una lista de acceso IP que detenga los paquetes
desde la subred 10.3.4.0/24, a cualquier servidor Web, aplicada en la salida de
una interfaz serial 0 de algún Router. También detenga los paquetes del host
134.141.5.4 de entrada en la interfaz serial 0. Permita cualquier otro tráfico.

5.- Indique una máscara Wildcard para poder hacer Match al grupo de subredes que
van desde la 115.10.12.0/22 hasta la 115.10.64.0/22

6.- Indique la máscara wildcard necesaria para filtrar 15 host de la subred

200.10.8.96/27, partiendo del host 200.10.8.103/27 hasta el host
200.10.8.117/27.

7.- ¿Qué filtra la siguiente lista de acceso? (dirección IP 10.0.0.0/15)

Access-list 53 deny 10.0.0.0 0.7.255.255

Access-list 53 permit any

8.- ¿Qué filtra la siguiente lista de acceso? (dirección IP 125.8.0.0/25)

Access-list 36 permit host 125.8.7.11

Access-list 36 deny 125.8.7.8 0.0.0.7
Access-list 36 permit any
9.- Cree Una lista de acceso y colóquela en la ubicación adecuada para satisfacer los
siguientes requisitos.

Impedir que todos los host de la subred 172.16.1.0/24, a excepción del host
172.16.1.3, accedan al servidor web de la subred 172.16.4.0. Permitir que todos
los demás host, incluyendo los del mundo exterior, accedan al servidor Web.

NO
172.16.0.0

B
172.16.1.4 172.16.1.3

Workstation

Workstation Workstation
S0 172.22.3.0

Ethernet E1
E0 E1 E0
172.16.1.0 Router B
Router A 172.16.2.0

172.16.4.0

Workstation
Tower box Tower box Tower box

DNS FTP www cliente

4.2 4.3 4.4 4.5