Tutorial de Listas de Control de Acceso Configuracion

7/23/2019 Tutorial de Listas de Control de Acceso Configuracion

http://slidepdf.com/reader/full/tutorial-de-listas-de-control-de-acceso-configuracion 1/20

http://www.cisco.com/cisco/web/support/LA/7/75/75923_confaccesslists.html

Conceptos de ACL

Esta sección describe los conceptos de ACL.

Máscaras

Las máscaras se usan con direcciones IP en ACL IP para especificar qué debe permitirse y qué debe

denegarse. Las máscaras para configurar direcciones IP en interfaces empiean por !"" y tienen los

#alores más altos a la iquierda $por e%emplo& dirección IP !'(.)*".!'!.)!( con una máscara de

!"".!"".!"".!!+,. Las máscaras para las ACL IP son lo opuesto- por e%emplo- máscara '.'.'.!"". Esto a

#eces se denomina una máscara in#ersa o una máscara comodn. Cuando el #alor de la máscara se

subdi#ide en binario $' y ),- el resultado determina qué bits de dirección se considerarán en el

procesamiento del tráfico. La presencia de un ' indica que deben tenerse en cuenta los bits de la

dirección $coincidencia e/acta,0 un ) en la máscara indica que no es rele#ante. En esta tabla se ampla el

concepto.

Ejemplo de máscara

direcciónde red$tráfico quese #a aprocesar,

10.1.1.0

máscara 0.0.0.255

direcciónde red$binaria,

00001010.00000001.00000001.00000000

máscara$binaria,

00000000.00000000.00000000.11111111

1asándose en la máscara binaria- puede #er que los primeros tres grupos $octetos, deben coincidir

e/actamente con la dirección de red binaria dada $'''')')'.''''''').'''''''),. Los 2ltimos con%untos

de n2meros no son rele#antes $.)))))))),. Por lo tanto- todo el tráfico que empiece por )'.).). coincidira-

puesto que el 2ltimo octeto no es rele#ante. Por consiguiente- con esta máscara- se procesarán las

direcciones desde la )'.).).) 3asta la )'.).).!"" $)'.).)./,.

4este la máscara normal de !"".!"".!"".!"" para determinar la máscara in#ersa de la ACL. En estee%emplo- la máscara in#ersa está determinada para la dirección de red )5!.)*.).' con una máscara

normal de !"".!"".!"".'.





• !"".!"".!"".!"" 6 !"".!"".!"".' $máscara normal, 7 '.'.'.!"" $máscara in#ersa,

8enga en cuenta estos equi#alentes de ACL.

• El #alor source9source6:ildcard de '.'.'.'9!"".!"".!"".!"" significa cualquiera.

• El #alor source9:ildcard de )'.).).!9'.'.'.' es el mismo que 3ost )'.).).!.

4esumen de ACL

Nota: las máscaras de subred también pueden representarse como anotaciones de longitud fi%a. Por

e%emplo- )(!.)*;.)'.'9!+ representa )(!.)*;.)'.' !"".!"".!"".'.

En esta lista se describe cómo resumir un rango de redes en una sola red para la optimiación de ACL.

8enemos estas redes.

192.168.32.0/24

192.168.33.0/24192.168.34.0/24192.168.35.0/24192.168.36.0/24192.168.37.0/24192.168.38.0/24192.168.39.0/24

Los primeros dos octetos y el 2ltimo octeto son iguales para cada red. En esta tabla se e/plica cómo

resumirlas en una sola.

El tercer octeto de las redes anteriores se puede escribir como se indica en esta tabla- seg2n la posición

del bit del octeto y el #alor de dirección de cada bit.

<ecimal )!; *+ =! )* ; + ! )

=! ' ' ) ' ' ' ' '

== ' ' ) ' ' ' ' )

=+ ' ' ) ' ' ' ) '

=" ' ' ) ' ' ' ) )



=* ' ' ) ' ' ) ' '

=5 ' ' ) ' ' ) ' )

=; ' ' ) ' ' ) ) '

=( ' ' ) ' ' ) ) )

M M M M M < < <

Como los cinco primeros bits coinciden- las oc3o redes anteriores se pueden resumir en una red

$)(!.)*;.=!.'9!) o )(!.)*;.=!.' !"".!"".!+;.',. Las oc3o combinaciones posibles de los tres bits de

orden ba%o son rele#antes para los rangos de red en cuestión. Este comando define una ACL que permite

esta red. >i resta !"".!"".!+;.' $máscaa normal, de !"".!"".!"".!""- el resultado es '.'.5.!"".

access-list acl_permit permit ip 192.168.32.0

0.0.7.255

8enga en cuenta este con%unto de redes para profundiar en el tema.

192.168.146.0/24192.168.147.0/24192.168.148.0/24192.168.149.0/24

Los primeros dos octetos y el 2ltimo octeto son iguales para cada red. En esta tabla se e/plica cómo

resumirlas.

El tercer octeto de las redes anteriores se puede escribir como se indica en esta tabla- seg2n la posición

del bit del octeto y el #alor de dirección de cada bit.

<ecimal )!; *+ =! )* ; + ! )

)+* ) ' ' ) ' ' ) '



)+5 ) ' ' ) ' ' ) )

)+; ) ' ' ) ' ) ' '

)+( ) ' ' ) ' ) ' )

M M M M M ? ? ?

A diferencia del e%emplo anterior- estas redes no se pueden resumir en una sola- se necesitan dos como

mnimo. Las redes anteriores pueden resumirse en estas dos redes&

• En el caso de las redes )(!.)*;.)+*./ y )(!.)*;.)+5./- coinciden todos los bits menos el 2ltimo-

que no es rele#ante. Esto puede escribirse como )(!.)*;.)+*.'9!= $o )(!.)*;.)+*.'

!"".!"".!"+.',.

• En el caso de las redes )(!.)*;.)+;./ y )(!.)*;.)+(./- también coinciden todos los bits menos

el 2ltimo- que nue#amente no es rele#ante. Esto puede escribirse como )(!.)*;.)+;.'9!= $o

)(!.)*;.)+;.' !"".!"".!"+.',.

El siguiente resultado define la ACL resumida de las redes anteriores.

access-list 10 permit ip 192.168.146.0 0.0.1.255access-list 10 permit ip 192.168.148.0 0.0.1.255

Procesamiento de ACL

El tráfico que entra en el router se compara con las entradas de ACL seg2n el orden de las entradas en el

router. >e agregan nue#as sentencias al final de la lista. El router sigue mirando 3asta que encuentra una

coincidencia. >i el router llega al final de la lista y no 3a encontrado ninguna coincidencia- el tráfico se

rec3aa. Por este moti#o- debe tener las entradas consultadas con frecuencia al principio de la lista. @ayun rec3ao implcito para el tráfico que no está permitido. na ACL de 2nica entrada con una sola entrada

BdenyB tiene el efecto de rec3aar todo el tráfico. >i no tiene como mnimo una sentencia BpermitB en una

ACL- se bloqueará todo el tráfico. Estas dos ACL $)') y )'!, tienen el mismo efecto.

access-list 101 permit ip 10.1.1.0 0.0.0.255172.16.1.0 0.0.0.255

access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.00.0.0.255access-list 102 deny ip any any



En este e%emplo- la 2ltima entrada es suficiente. o necesita las tres primeras entradas porque 8CP

incluye 8elnet e IP incluye 8CP- el Protocolo de datagrama de usuario $<P, y el Protocolo de mensa%es

de control de Internet $ICMP,.

access-list 101 permit tcp host 10.1.1.2 host172.16.1.1 eq telnet

access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1access-list 101 permit udp host 10.1.1.2 host 172.16.1.1access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.00.0.0.255

<efinición de puertos y tipos de mensa%es

Además de definir el origen y el destino de las ACL- es posible definir los puertos- los tipos de mensa%es

ICMP y otros parámetros. na buena fuente de información para los puertos conocidos es 4DC )5'' .

Los tipos de mensa%es ICMP se e/plican en 4DC 5(! .

El router puede mostrar te/tos descripti#os de algunos puertos conocidos. se un smbolo ? para obtener

ayuda.

access-list 102 permit tcp host 10.1.1.1 host172.16.1.1 eq bgp Border Gateway Protocol (179) carge! "aracter ge!erator (19) c#d $e#ote co##a!d% (rc#d& 514)

<urante la configuración- el router también con#ierte #alores numéricos en #alores más fáciles de utiliar.

En este e%emplo- al escribir el n2mero de tipo de mensa%e ICMP- el router con#ierte el n2mero en un

nombre.

access-list 102 permit icmp host 10.1.1.1 host172.16.1.1 14

se con#ierte en

access-list 102 permit icmp host 10.1.1.1 host172.16.1.1 timestamp-reply

Aplicación de ACL

Es posible definir las ACL sin aplicarlas. o obstante- las ACL no surten efecto 3asta que se aplican a la

interfa del router. Por tanto- se recomienda aplicar la ACL en la interfa más pró/ima al origen del tráfico.

Como se muestra en este e%emplo- cuando intente bloquear el tráfico del origen al destino- puede aplicar

una ACL entrante a E' en el router A en #e de una lista saliente a E) en el router C.

<efinición de In- ut- >ource y <estination

http://www.ietf.org/rfc/rfc1700.txt?number=1700

http://www.ietf.org/rfc/rfc792.txt

http://www.ietf.org/rfc/rfc1700.txt?number=1700

http://www.ietf.org/rfc/rfc792.txt



El router utilia los términos BinB- BoutB- BsourceB y BdestinationB como referencias. >e podra comparar el

tráfico del router con el tráfico de una autopista. >i fuera un agente de polica de Lérida y quisiera parar un

camión que #a de 8arragona a 1arcelona- el origen del camión sera 8arragona y su destino 1arcelona. El

control de carretera se colocara en la frontera entre Lérida y 1arcelona $BoutB, o en la frontera entre

8arragona y Lérida $BinB,.

Aplicados a un router- dic3os términos tienen los siguientes significados.

• Out & el tráfico que ya 3a pasado por el router y está saliendo de la interfa. El origen es por

donde 3a pasado $en el otro e/tremo del router, y el destino es adonde #a.

• In& el tráfico que llega a la interfa y luego pasa por el router. El origen es por donde 3a pasado y

el destino es adonde #a $en el otro e/tremo del router,.

La ACL BinB tiene un origen en un segmento de la interfa al que se aplica y un destino fuera de cualquier

otra interfa. La ACL BoutB tiene un origen en un segmento de cualquier interfa distinta a la interfa a la

que se aplica y un destino fuera de la interfa a la que se aplica.

Edición de ACL

La modificación de una ACL requiere especial atención. Por e%emplo- si intenta eliminar una lnea concreta

de una ACL numerada como se muestra aqu- se eliminará toda la ACL.

ro'tercon!i"ure terminal !ter co!*+g'rat+o! co##a!d%& o!e per l+!e. !d w+t ",-/. ro'ter(co!*+g)access-list 101 deny icmp any any ro'ter(co!*+g)access-list 101 permit ip any any ro'ter(co!*+g)#$

ro'tersho% access-list te!ded P acce%% l+%t 101 de!y +c#p a!y a!y per#+t +p a!y a!y ro'ter ar 9 004312.784 5",:G; "o!*+g'red *ro# co!%oleby co!%ole

ro'tercon!i"ure terminal !ter co!*+g'rat+o! co##a!d%& o!e per l+!e. !d w+t ",-/. ro'ter(co!*+g)no access-list 101 deny icmp any any ro'ter(co!*+g)#$

ro'tersho% access-list ro'ter ar 9 004329.832 5",:G; "o!*+g'red *ro# co!%oleby co!%ole

Copie la configuración del router y péguela en un ser#idor 8D8P o en un editor de te/to como 1loc de

notas para modificar las ACL numeradas. <espués- realice los cambios deseados- copie la configuración y

péguela en el router.

8ambién puede 3acer lo siguiente.

ro'tercon!i"ure terminal !ter co!*+g'rat+o! co##a!d%& o!e per l+!e.



ro'ter(co!*+g)ip access-list e&tended test ro'ter(co!*+get!acl) permit ip host 2.2.2.2 host 3.3.3.3 ro'ter(co!*+get!acl) permit tcp host 1.1.1.1 host 5.5.5.5eq %%% ro'ter(co!*+get!acl) permit icmp any any ro'ter(co!*+get!acl) permit udp host 6.6.6.6 10.10.10.0

0.0.0.255 eq domain ro'ter(co!*+get!acl)#$ 1d00 5",:G; "o!*+g'red *ro# co!%ole by co!%ole%l

ro'tersho% access-list te!ded P acce%% l+%t te%t per#+t +p o%t 2.2.2.2 o%t 3.3.3.3 per#+t tcp o%t 1.1.1.1 o%t 5.5.5.5 e< www per#+t +c#p a!y a!y per#+t 'dp o%t 6.6.6.6 10.10.10.0 0.0.0.255 e< do#a+!

8odas las entradas eliminadas se borran de la ACL y todas las adiciones se agregan a su parte final.

ro'tercon!i"ure terminal !ter co!*+g'rat+o! co##a!d%& o!e per l+!e. !d w+t ",-/. ro'ter(co!*+g)ip access-list e&tended test

!--- Entrada de ACL eliminada

ro'ter(co!*+get!acl)no permit icmp any any

!--- Entrada de ACL agregada

ro'ter(co!*+get!acl) permit "re host 4.4.4.4 host 8.8.8.8

ro'ter(co!*+get!acl)#$ 1d00 5",:G; "o!*+g'red *ro# co!%ole by co!%ole%l

ro'tersho% access-list te!ded P acce%% l+%t te%t per#+t +p o%t 2.2.2.2 o%t 3.3.3.3 per#+t tcp o%t 1.1.1.1 o%t 5.5.5.5 e< www per#+t 'dp o%t 6.6.6.6 10.10.10.0 0.0.0.255 e< do#a+! per#+t gre o%t 4.4.4.4 o%t 8.8.8.8

8ambién puede agregar lneas de ACL a ACL numeradas estándar o ampliadas por n2mero de secuencia

en Cisco I>. Este es un e%emplo de la configuración&

Configure la ACL ampliada de esta manera&

$o'ter(co!*+g)access-list 101 permit tcp any any$o'ter(co!*+g)access-list 101 permit udp any any$o'ter(co!*+g)access-list 101 permit icmp any any$o'ter(co!*+g)e&it$o'ter

E%ecute el comando show access-list para #er las entradas de la ACL. Los n2meros de secuencia como)'- !' y =' también aparecen aqu.



$o'tersho% access-listte!ded P acce%% l+%t 101 10 per#+t tcp a!y a!y 20 per#+t 'dp a!y a!y 30 per#+t +c#p a!y a!y

Agregue la entrada para la lista de acceso )') con el n2mero de secuencia ".

Ejemplo 1:

$o'tercon!i"ure terminal!ter co!*+g'rat+o! co##a!d%& o!e per l+!e. !d w+t ",-/.$o'ter(co!*+g)ip access-list e&tended 101$o'ter(co!*+get!acl)5 deny tcp any any eq telnet$o'ter(co!*+get!acl)e&it$o'ter(co!*+g)e&it$o'ter

En el resultado del comando show access-list- la ACL de n2mero de secuencia " se agrega como la

primera entrada a la lista de acceso )').

$o'tersho% access-listte!ded P acce%% l+%t 101 5 deny tcp any any eq telnet 10 per#+t tcp a!y a!y 20 per#+t 'dp a!y a!y 30 per#+t +c#p a!y a!y$o'ter

Ejemplo 2:

+!ter!etro'tersho% access-listste!ded P acce%% l+%t 101 10 per#+t tcp a!y a!y 15 per#+t tcp a!y o%t 172.162.2.9 20 per#+t 'dp o%t 172.16.1.21 a!y 30 per#+t 'dp o%t 172.16.1.22 a!y

+!ter!etro'tercon!i"ure terminal!ter co!*+g'rat+o! co##a!d%& o!e per l+!e. !d w+t ",-/.+!ter!etro'ter(co!*+g)ip access-list e&tended 101

+!ter!etro'ter(co!*+get!acl)18 per tcp any host 172.162.2.11+!ter!etro'ter(co!*+get!acl)#$

+!ter!etro'tersho% access-listste!ded P acce%% l+%t 101 10 per#+t tcp a!y a!y 15 per#+t tcp a!y o%t 172.162.2.9 18 per#+t tcp a!y o%t 172.162.2.11 20 per#+t 'dp o%t 172.16.1.21 a!y 30 per#+t 'dp o%t 172.16.1.22 a!y+!ter!etro'ter

<e igual modo- puede configurar la lista de acceso estándar de esta forma&



+!ter!etro'ter(co!*+g)access-list 2 permit 172.16.1.2+!ter!etro'ter(co!*+g)access-list 2 permit 172.16.1.10+!ter!etro'ter(co!*+g)access-list 2 permit 172.16.1.11

+!ter!etro'tersho% access-liststa!dard P acce%% l+%t 2

30 per#+t 172.16.1.11 20 per#+t 172.16.1.10 10 per#+t 172.16.1.2

+!ter!etro'ter(co!*+g)ip access-list standard 2+!ter!etro'ter(co!*+g%td!acl)25 per 172.16.1.7+!ter!etro'ter(co!*+g%td!acl)15 per 172.16.1.16

+!ter!etro'tersho% access-liststa!dard P acce%% l+%t 2 15 permit 172.16.1.16 30 per#+t 172.16.1.11 20 per#+t 172.16.1.10 25 permit 172.16.1.7 10 per#+t 172.16.1.2

La principal diferencia en una lista de acceso estándar es que Cisco I> agrega una entrada por orden

descendente de dirección IP- no en un n2mero de secuencia.

Este e%emplo muestra las diferentes entradas- por e%emplo- cómo permitir una dirección IP

$)(!.)*;.)''.', o las redes $)'.)'.)'.',.

+!ter!etro'tersho% access-lists

ta!dard P acce%% l+%t 19 10 per#+t 192.168.100.0 15 per#+t 10.10.10.0& w+ldcard b+t% 0.0.0.255 19 per#+t 201.101.110.0& w+ldcard b+t% 0.0.0.255 25 de!y a!y

Agregue la entrada a la lista de acceso ! para permitir la dirección IP )5!.!!.).)&

+!ter!etro'ter(co!*+g)ip access-list standard 2+!ter!etro'ter(co!*+g%td!acl)18 permit 172.22.1.1

Esta entrada se agrega a la parte superior de la lista para dar prioridad a la dirección IP especfica enlugar de a la red.

+!ter!etro'tersho% access-liststa!dard P acce%% l+%t 19 10 per#+t 192.168.100.0 18 permit 172.22.1.1 15 per#+t 10.10.10.0& w+ldcard b+t% 0.0.0.255 19 per#+t 201.101.110.0& w+ldcard b+t% 0.0.0.255 25 de!y a!y

Nota: las ACL anteriores no se admiten en un dispositi#o de seguridad como A>A9PIF Dire:all.

4esolución de problemas



GCómo se elimina una ACL de una interfa?

Acceda al modo de configuración y escriba no delante del comando access-group- como se muestra en

este e%emplo- para quitar una ACL de una interfa.

inter!ace 'inter!ace( no ip access-"roup )in*out

GHué se puede 3acer cuando se rec3aa demasiado tráfico?

>i se rec3aa demasiado tráfico- e/amine la lógica de la lista o intente definir y aplicar una lista más

amplia. El comando show ip access-lists proporciona un recuento de paquetes en el que se indica qué

entrada de ACL se utilia.

La palabra cla#e log- al final de las entradas de ACL- indica el n2mero de listas y si el paquete se 3a

permitido o rec3aado- además de datos especficos del puerto.

Nota: la palabra cla#e log-input está presente en la #ersión )).! y posteriores del soft:are Cisco I>- as

como en cierto soft:are basado en la #ersión )).) de Cisco I> creado especficamente para el mercado

de pro#eedores de ser#icios. Este soft:are anterior no admite esta palabra cla#e. >u uso incluye la

interfa de entrada y la dirección MAC de origen all donde proceda.

GCómo se puede depurar en el ni#el de los paquetes con un router de Cisco?

En este procedimiento se e/plica el proceso de depuración. Antes de empear- compruebe que no se

3aya aplicado ninguna ACL en ese momento- que e/ista una ACL y que no esté in3abilitada la

conmutación rápida.

Nota: tenga muc3o cuidado al depurar un sistema con tráfico intenso. se una ACL para depurar un

tráfico especfico. o obstante- debe estar seguro del proceso y del flu%o de tráfico.

). E%ecute el comando access-list para capturar los datos deseados.

En este e%emplo- se 3a configurado la captura de datos de la dirección de destino )'.!.*.* o de la

dirección de origen )'.!.*.*.

access-list 101 permit ip any host10.2.6.6access-list 101 permit ip host 10.2.6.6 any

!. In3abilite la conmutación rápida en las interfaces in#olucradas. >ólo podrá #er el primer paquete

si está 3abilitada la conmutación rápida.

3. con!i" inter!ace4. no ip route-cache

". E%ecute el comando terminal monitor en modo 3abilitado para mostrar el resultado del

comando debug y mensa%es de error del sistema del terminal y la sesión actuales.

*. E%ecute el comando debug ip packet 11 o el comando debug ip packet 11 detail paraempear el proceso de depuración.



5. E%ecute el comando no debug all en modo 3abilitar y el comando inter!ace con!iguration para

detener el proceso de depuración.

;. uel#a a iniciar la memoria cac3é.

9. con!i" inter!ace10.ip route-cache

8ipos de ACL IP

Esta sección del documento describe los tipos de ACL.

<iagrama de la red

ACL estándar

Las ACL estándar son el tipo más antiguo de ACL. >u aparición se remonta a la #ersión ;.= del soft:are

Cisco I>. Las ACL estándar controlan el tráfico por medio de la comparación de la dirección de origen de

los paquetes IP con las direcciones configuradas en la ACL.

Este es el formato de la sinta/is de los comandos de una ACL estándar.

access-list access-list-number +permit*deny,+host|source source-wildcard *any,

En todas las #ersiones del soft:are- access-list-number puede ser cualquier n2mero del ) al ((. En la

#ersión )!.'.) del soft:are Cisco I>- las ACL estándar empiean a usar más n2meros $del )='' al

)(((,. Estos n2meros adicionales se denominan ACL IP ampliadas. En la #ersión )).! del soft:are Cisco

I> se aJadió la posibilidad de utiliar un #alor name de l ista en las ACL estándar.

na configuración source/source-wildcard de '.'.'.'9!"".!"".!"".!"" puede especificarse como an". El

comodn puede omitirse si está formado sólo por ceros. Por consiguiente- el 3ost )'.).).! '.'.'.' es igual

al 3ost )'.).).!.

<espués de definir la ACL- se debe aplicar a la interfa $entrante y saliente,. En #ersiones anteriores del

soft:are- BoutB era el #alor predeterminado cuando la palabra cla#e BoutB o BinB no se 3aba especificado.

En las #ersiones posteriores del soft:are- se debe especificar la dirección.

inter!ace 'inter!ace( ip access-"roup number {in|out}



Este es un e%emplo del uso de una ACL estándar para bloquear todo el tráfico e/cepto el procedente del

origen )'.).)./.

inter!ace thernet00ip address 10.1.1.1 255.255.255.0ip access-"roup 1 inaccess-list 1 permit 10.1.1.0 0.0.0.255

ACL ampliadas

Las ACL ampliadas se introdu%eron en la #ersión ;.= del soft:are Cisco I>. Controlan el tráfico por medio

de la comparación de las direcciones de origen y destino de los paquetes IP con las direcciones

configuradas en la ACL.

Este es el formato de la sinta/is de los comandos de las ACL ampliadas. >e 3an aJadido saltos de lnea

por cuestiones de espacio.

IP

access-list access-list-number =dynamic dynamic-name =timeout minutes>>?de!y @ per#+tA protocol source source-wildcard destinationdestination-wildcard =precede!ce precedence>=to% tos> =log @ log+!p't> =t+#era!ge time-range-name>

ICMP

access-list access-list-number =dynamic dynamic-name =timeout minutes>>?de!y @ per#+tA icmp source source-wildcard destination destination-

wildcard

=icmp-type @ ==icmp-type icmp-code> @ =icmp-message>>= precedence precede!ce> =tos to%> =log @ log+!p't>=t+#era!ge time-range-name>

8CP

access-list access-list-number =dynamic dynamic-name =timeout minutes>>?de!y @ per#+tA tcp source source-wildcard =operator = port>>destination destination-wildcard =operator = port>> =esta/lished >= precedence precede!ce> =tos to%> =log @ log+!p't>=t+#era!ge time-range-name>

<P



access-list access-list-number =dynamic dynamic-name =timeout #+!'te%>>?de!y @ per#+tA udp source source-wildcard =operator = port>>destination destination-wildcard =operator = port>>

= precedence precede!ce> =tos to%> =log @ log+!p't>=t+#era!ge time-range-name>

En todas las #ersiones del soft:are- access-list-number puede ser del )') al )((. En la #ersión )!.'.) del

soft:are Cisco I>- las ACL ampliadas empiean a usar más n2meros $del !''' al !*((,. Estos n2meros

adicionales se denominan ACL IP ampliadas. En la #ersión )).! del soft:are Cisco I> se aJadió la

posibilidad de utiliar un #alor name de lista en las ACL ampliadas.

El #alor de '.'.'.'9!"".!"".!"".!"" se puede especificar como an". <espués de definir la ACL- se debe

aplicar a la interfa $entrante y saliente,. En #ersiones anteriores del soft:are- BoutB era el #alor

predeterminado cuando la palabra cla#e BoutB o BinB no se 3aba especificado. En las #ersiones

posteriores del soft:are- se debe especificar la dirección.

inter!ace 'inter!ace( ip access-"roup +number|name, +in|out,

Esta ACL ampliada sir#e para permitir el tráfico en la red )'.).)./ $interna, y para recibir respuestas de

ping de fuera a la #e que impide los pings no solicitados de usuarios e/ternos $aunque permite el resto

del tráfico,.

inter!ace thernet01ip address 172.16.1.2 255.255.255.0ip access-"roup 101 inaccess-list 101 deny icmp any 10.1.1.0 0.0.0.255 echoaccess-list 101 permit ip any 10.1.1.0 0.0.0.255

Nota: algunas aplicaciones- por e%emplo- la administración de red- necesitan pings para una función de

seJal de mantenimiento. >i éste fuera el caso- sera me%or que limitara los pings de bloqueo entrantes o

que fuera más detallado en relación con los IP permitidos9denegados.

LocK6and6ey $ACL dinámicas,

La función LocK6and6ey $también conocida como ACL dinámicas, apareció en la #ersión )).) del

soft:are Cisco I>. Esta función depende de 8elnet- de la autenticación $local o remota, y de las ACL

ampliadas.

La configuración de LocK6and6ey comiena con la aplicación de una ACL ampliada para bloquear el

tráfico que pasa por el router. La ACL ampliada bloquea a los usuarios que desean pasar por el router

3asta que establecen una cone/ión desde 8elnet al router y son autenticados. Luego- se pierde la

cone/ión 8elnet y se agrega una ACL dinámica de una 2nica entrada a la ACL ampliada e/istente. <e esta

forma- se permite el tráfico durante un tiempo concreto0 se admiten tiempos de espera absolutos e

inacti#os.

Este es el formato de la sinta/is de los comandos para la configuración de LocK6and6ey con

autenticación local.

username username pass%ord password inter!ace 'inter!ace(



ip access-"roup +number|name, +in|out,

<espués de la autenticación- se agrega dinámicamente la ACL de una 2nica entrada a la ACL e/istente.

access-list access-list-number dynamic name+permit*deny, protocol+source source-wildcard *any, +destination destination-wildcard *any,precedence precedencetos tosesta/lished lo"*lo"-inputoperator destination-port|destination port

line ty line_range

lo"in local

A continuación se muestra un e%emplo básico de LocK6and6ey.

username test pass%ord 0 test

!--- Diez (minutos) es el tiempo de espera

inactivo.

username test autocommand access-ena/le host timeout10

inter!ace thernet00 ip address 10.1.1.1 255.255.255.0 ip access-"roup 101 in

access-list 101 permit tcp any host 10.1.1.1 eq telnet

!--- (minutos) es el tiempo de espera

absoluto.

access-list 101 dynamic testlist timeout 15 permitip 10.1.1.0 0.0.0.255172.16.1.0 0.0.0.255

line ty 0 4lo"in local

Cuando el usuario de )'.).).! se conecta con 8elnet a )'.).).)- se aplica la ACL dinámica. Luego se

pierde la cone/ión y el usuario puede ir a la red )5!.)*.)./.



ACL con nombre IP

Las ACL con nombre IP aparecieron en la #ersión )).! del soft:are Cisco I>. As se permite que las ACL

estándar y ampliadas reciban nombres en #e de n2meros.

Este es el formato de la sinta/is de los comandos de las ACL con nombre IP.

ip access-list +e&tended*standard, name

A continuación se muestra un e%emplo de 8CP&

permit*deny tcp source source-%ildcard operatorportdestination destination-%ildcard operator port esta/lishedprecedence precedence tos tos lo" time-ran"e time-range-

name

En este e%emplo se ilustra el uso de una ACL con nombre para bloquear todo el tráfico e/cepto la

cone/ión 8elnet del 3ost )'.).).! al 3ost )5!.)*.).).

inter!ace thernet00ip address 10.1.1.1 255.255.255.0ip access-"roup in_to_out in

ip access-list e&tended in_to_out permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet

ACL refle/i#as

Las ACL refle/i#as se introdu%eron en la #ersión )).= del soft:are Cisco I>. Permiten filtrar los paquetes

IP seg2n los datos de sesión de capa superior. >uelen utiliarse para permitir el tráfico saliente y para

limitar el tráfico entrante como respuesta a sesiones que se originan dentro del router.

Las ACL refle/i#as sólo pueden ser definidas %unto con las ACL con nombre IP ampliadas. o se pueden

definir con ACL con nombre IP numeradas o estándar- ni con ACL de otros protocolos. Las ACL refle/i#as

pueden utiliarse con%untamente con otras ACL ampliadas estándar y estáticas.

Esta es la sinta/is de los di#ersos comandos de las ACL refle/i#as.

inter!aceip access-"roup +number|name, +in*out,

ip access-list e&tended name permit protocol any any re!lect name timeoutsecondsip access-list e&tended name

ealuate name



En este e%emplo se ilustra cómo se permite el tráfico ICMP saliente y entrante- a la #e que sólo se

permite el tráfico 8CP iniciado desde dentro $el resto del tráfico se rec3aa,.

ip re!le&ie-list timeout 120

inter!ace thernet01 ip address 172.16.1.2 255.255.255.0 ip access-"roup in/ound!ilters in ip access-"roup out/ound!ilters out

ip access-list e&tended in/ound!ilters permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255ealuate tcptra!!ic

!--- As" se vincula la parte de la ACL re#le$iva

de la ACL de #iltros de salida (outbound#ilters)%

!--- llamada &tcptra##ic&% a la ACL de #iltros de entrada

(inbound#ilters).

ip access-list e&tended out/ound!ilters permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 re!lecttcptra!!ic

ACL basadas en tiempo que utilian inter#alos de tiempo

Las ACL basadas en tiempo se introdu%eron en la #ersión )!.'.).8 del soft:are Cisco I>. Aunque su

función es similar a la de las ACL ampliadas- permiten el control de acceso seg2n el tiempo. A fin de

implementar ACL basadas en tiempo- se crea un inter#alo de tiempo que define momentos especficos del

da y la semana. El inter#alo de tiempo se identifica con un nombre y se 3ace referencia a él a tra#és de

una función. Por lo tanto- las restricciones de tiempo #ienen impuestas por la propia función. El inter#alo

temporal depende del relo% del sistema del router. El relo% del router se puede utiliar- pero la caracterstica

funciona me%or con la sincroniación del Protocolo de tiempo de red $8P,.

Estos son comandos de las ACL basadas en tiempo.

!--- De#ine un intervalo de tiempo con nombre.

time-ran"e time-range-name

!--- De#ine los momentos peri'dicos.

periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm



!--- bien% de#ine los tiempos absolutos.

a/solute [start time date] [end time date]

!--- El intervalo de tiempo utilizado en la ACL

real.

ip access-list name|number<etended_definition! time-ran"ename_of_time-range

En este e%emplo- se permite una cone/ión 8elnet de la red interna a la e/terna los lunes- miércoles y

#iernes en 3orario laborable&

inter!ace thernet00ip address 10.1.1.1 255.255.255.0ip access-"roup 101 in

access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.00.0.0.255eq telnet time-ran"e :

time-ran"e : periodic ;onday <ednesday =riday 8>00 to 17>00

Entradas de ACL IP comentadas

Las entradas de ACL IP comentadas se presentaron en la #ersión )!.'.!.8 del soft:are Cisco I>. Los

comentarios facilitan la comprensión de las ACL y sir#en para las ACL IP estándar o ampliadas.

Esta es la sinta/is de los comandos de las ACL IP con nombre comentadas.

ip access-list +standard*e&tended, nameremar? remark

ésta la de los comandos de las ACL IP numeradas comentadas.

access-list access-list-number remar? remark

Aqu se ofrece un e%emplo de comentario de una ACL numerada.

inter!ace thernet00ip address 10.1.1.1 255.255.255.0ip access-"roup 101 in

access-list 101 remar? permit_telnet



access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eqtelnet

Control de acceso basado en el conte/to

El control de acceso basado en el conte/to $C1AC, fue presentado en la #ersión )!.'.".8 del soft:are

Cisco I> y requiere del con%unto de funciones de fire:all de Cisco I>. C1AC inspecciona el tráfico que

discurre por el fire:all para descubrir y administrar datos de estado de las sesiones 8CP y <P. Estos

datos de estado sir#en para crear aperturas temporales en las listas de acceso del fire:all. Para ello-

configure las listas de ip inspect en la dirección del flu%o de inicio del tráfico para permitir el tráfico de

retorno y cone/iones de datos adicionales para sesiones aceptables $sesiones que se originaron dentro

de la red interna protegida,.

Esta es la sinta/is de C1AC.

ip inspect name inspection-name protocol timeoutseconds

En este e%emplo se ilustra el uso de C1AC para inspeccionar el tráfico saliente. La ACL ampliada )))

suele bloquear el tráfico de retorno $que no es ICMP, sin que C1AC abra agu%eros para dic3o tráfico.

ip inspect name my!% !tp timeout 3600ip inspect name my!% http timeout 3600ip inspect name my!% tcp timeout 3600ip inspect name my!% udp timeout 3600ip inspect name my!% t!tp timeout 3600inter!ace thernet01

ip address 172.16.1.2 255.255.255.0 ip access-"roup 111 in ip inspect my!% outaccess-list 111 deny icmp any 10.1.1.0 0.0.0.255 echoaccess-list 111 permit icmp any 10.1.1.0 0.0.0.255

Pro/y de autenticación

El pro/y de autenticación se introdu%o en la #ersión )!.'.".8 del soft:are Cisco I>. Es imprescindible

tener configurada la función de fire:all de Cisco I>. El pro/y de autenticación sir#e para autenticar

usuarios de entrada- de salida o ambos. Los usuarios que suele bloquear una ACL pueden abrir un

na#egador Neb para que atra#iese el fire:all y autenticarse en un ser#idor 8ACAC>O o 4A<I>. El

ser#idor en#a entradas de ACL adicionales al router para permitir el paso a los usuarios después de la

autenticación.

El pro/y de autenticación es similar a la función LocK6and6ey $ACL dinámicas,. Las diferencias entre

ambos son las siguientes&

• La cone/ión 8elnet al router acti#a la función LocK6and6ey. @88P acti#a el pro/y de

autenticación a tra#és del router.

• El pro/y de autenticación tiene que usar un ser#idor e/terno.

• El pro/y de autenticación puede gestionar la adición de #arias listas dinámicas. LocK6and6eysólo puede agregar una.



• El pro/y de autenticación tiene un tiempo de espera absoluto- pero ninguno inacti#o. LocK6and6

ey tiene los dos tiempos de espera.

Consulte Cisco >ecure Integrated >oft:are Configuration CooKbooK $Compendio de configuraciones de

soft:are de Cisco seguras e integradas, para #er e%emplos de pro/y de autenticación.

ACL turbo

Las ACL turbo aparecieron en la #ersión )!.).".8 del soft:are Cisco I> y sólo se encuentran en las

plataformas 5!''- 5"'' y en otras de capacidad alta. La caracterstica ACL turbo está diseJada para

procesar las ACL más eficamente con el fin de me%orar el rendimiento del router.

se el comando access-list compiled para las ACL turbo. Este es un e%emplo de una ACL compilada.

access-list 101 permit tcp host 10.1.1.2 host172.16.1.1 eq telnetaccess-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq !tp

access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eqsyslo"access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq t!tpaccess-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq ntp

<espués de definir la ACL estándar o ampliada- use el comando global con!iguration para compilar.

!--- ndica al router *ue compile

access-list compiled

@nter!ace thernet01ip address 172.16.1.2 255.255.255.0

!--- +e aplica a la inter#az

ip access-"roup 101 in

El comando show access-list compiled muestra estadsticas sobre la ACL.

ACL basadas en tiempo distribuidas

Las ACL basadas en tiempo distribuidas aparecieron en la #ersión )!.!.!.8 del soft:are Cisco I> para

implementar las ACL basadas en tiempo en routers de la serie 5"'' preparados para P. Antes de la

aparición de la función de ACL basada en tiempo distribuida- las ACL basadas en tiempo no se admitan

en las tar%etas de lnea para los routers Cisco serie 5"''. >i se configuraban- funcionaban como ACL

normales. >i una interfa en una tar%eta de lnea se configuraba con ACL basadas en tiempo- los paquetes

conmutados en la interfa no se distribuan conmutados a tra#és de la tar%eta de lnea- pero se reen#iaban

al procesador de rutas para su procesamiento.

La sinta/is para las ACL distribuidas basadas en tiempo es la misma que la de las ACL basadas entiempo- con la adición de comandos sobre el estado de los mensa%es de comunicación entre

procesadores $IPC, entre el procesador de rutas y la tar%eta de lnea.

http://www.cisco.com/en/US/products/sw/secursw/ps1018/tsd_products_support_series_home.html

http://www.cisco.com/en/US/products/sw/secursw/ps1018/tsd_products_support_series_home.html



de/u" time-ran"e ipcsho% time-ran"e ipcclear time-ran"e ipc

ACL de recepción

Las ACL de recepción sir#en para aumentar la seguridad en los routers Cisco )!''' mediante la

protección del procesador de rutas gigabit $4P, del router frente al tráfico innecesario y potencialmente

peligroso. Las ACL de recepción se aJadieron como una renuncia especial al acelerador de

mantenimiento de la #ersión )!.'.!)>! del soft:are Cisco I> y se integraron en la #ersión )!.'$!!,>.

Consulte >4& 4ecei#e Access Control Lists $>4& Listas de control de acceso de recepción, para

obtener más información.

ACL de protección de infraestructuras

Las ACL de infraestructuras sir#en para reducir al mnimo el riesgo y la eficacia de los ataques directos a

la infraestructura- permitiendo e/plcitamente que acceda a ella sólo el tráfico autoriado y el resto de

tráfico de tránsito. Consulte Protecting our Core& Infrastructure Protection Access Control

Lists $Protección del n2cleo& Listas de control de acceso de protección de infraestructuras, para obtener

más información.

ACL de tránsito

Las listas de control de acceso de tránsito sir#en para aumentar la seguridad de la red puesto que

permiten e/plcitamente sólo el tráfico requerido en ella. Consulte 8ransit Access Control Lists& Diltering at

our Edge $Listas de control de acceso de tránsito& Diltro por su lado, para obtener más información.

http://www.cisco.com/cisco/web/support/LA/102/1028/1028951_racl.html

http://www.cisco.com/cisco/web/support/LA/102/1028/1028953_iacl.html




http://www.cisco.com/cisco/web/support/LA/102/1029/1029004_tacl.html


http://www.cisco.com/cisco/web/support/LA/102/1028/1028951_racl.html





Tutorial de Listas de Control de Acceso Configuracion

Documents

Transcript of Tutorial de Listas de Control de Acceso Configuracion