LISTAS DE CONTROL DE ACCESO (ACL) Qu son las ACLs?

Las ACL son listas de instrucciones que se aplican a una interfaz del router. Estas listas indican al router qu tipos de paquetes se deben aceptar y qu tipos de paquetes se deben denegar. La aceptacin y rechazo se pueden basar en ciertas especificaciones, como direccin origen, direccin destino y nmero de puerto. Las ACL le permiten administrar el trfico y examinar paquetes especficos, aplicando la ACL a una interfaz del router. Cualquier trfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL. Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo Internet (IP) y el Intercambio de paquetes de internetwork (IPX), para filtrar los paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. Las ACL filtran el trfico de red controlando si los paquetes enrutados se envan o se bloquean en las interfaces del router. El router examina cada paquete para determinar si se debe enviar o descartar, segn las condiciones especificadas en la ACL. Entre las condiciones de las ACL se pueden incluir la direccin origen o destino del trfico, el protocolo de capa superior, u otra informacin. Las ACL se deben definir por protocolo. En otras palabras, es necesario definir una ACL para cada protocolo habilitado en una interfaz si desea controlar el flujo de trfico para esa interfaz. Las ACL se pueden utilizar como herramientas para el control de redes, agregando la flexibilidad necesaria para filtrar los paquetes que fluyen hacia adentro y hacia afuera de las interfaces del router.

Razones para el uso de ACL Entre estas razones para usarlas encontramos:

Limitar el trfico de red y mejorar el rendimiento de la red. Las ACL pueden designar ciertos paquetes para que un router los procese antes de procesar otro tipo de trfico, segn el protocolo. Esto se denomina colocacin en cola, que asegura que los routers no procesarn paquetes que no son necesarios. Como resultado, la colocacin en cola limita el trfico de red y reduce la congestin. Brindar control de flujo de trfico. Las ACL pueden restringir o reducir el contenido de las actualizaciones de enrutamiento. Estas restricciones se usan para limitar la propagacin de la informacin acerca de redes especficas por toda la red. Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea. Al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le deniega el acceso a dicha red. Si no se configuran ACL en su router, todos los paquetes que pasan a travs del router supuestamente tendran acceso permitido a todas las partes de la red. Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del router. Por ejemplo, se puede permitir que se enrute el trfico de correo electrnico, pero bloquear al mismo tiempo todo el trfico de telnet.

Prueba de paquetes con ACL

El orden en el que se ubican las sentencias de la ACL es importante. Cuando el router est decidiendo si desea enviar o bloquear un paquete, el software del Sistema Operativo de Internetworking de Cisco (IOS) prueba el paquete, verificando si cumple o no cada sentencia de condicin, en el orden en que se crearon las sentencias. IMPORTANTE: Una vez que se verifica que existe una coincidencia, no se verifican otras sentencias de condicin. Si se crea una sentencia de condicin que permita todo el trfico, no se verificar ninguna sentencia agregada ms adelante. Si necesita sentencias adicionales, en una ACL estndar o extendida se debe eliminar la ACL y volver a crearla con las nuevas sentencias de condiciones. Es por este motivo que es una buena idea editar una configuracin de router en un PC con un editor de texto y luego enviarla al router usando el Protocolo de transferencia de archivos trivial (TFTP). Se puede crear una ACL para cada protocolo que desea filtrar para cada interfaz de router. Para algunos protocolos, se crea una ACL para filtrar el trfico entrante, y otra para filtrar el trfico saliente. Funcionamiento de las ACL

Una ACL es un grupo de sentencias que define cmo los paquetes: Entran a las interfaces de entrada Se reenvan a travs del router Salen de las interfaces de salida del router El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o no. Cuando un paquete entra en una interfaz, el router verifica si un paquete es enrutable o puenteable. Ahora, el router verifica si la interfaz de entrada tiene una ACL. Si existe, ahora se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete es permitido, entonces se compara con las entradas de la tabla de enrutamiento para determinar la interfaz destino. A continuacin, el router verifica si la interfaz destino tiene una ACL. Si no la tiene, el paquete puede ser enviado directamente a la interfaz destino; por ejemplo, si usa E0, que no tiene ACL, el paquete usa E0 directamente. Las sentencias de la ACL operan en orden secuencial lgico. Si se cumple una condicin, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si las sentencias de la ACL no se verifican, se impone una sentencia implcita de "denegar cualquiera". Esto significa que, aunque la sentencia "denegar cualquiera" no se vea explcitamente en la ltima lnea de una ACL, est all.

Diagrama de flujo del proceso de comparacin de las ACL

Cuando la primera prueba indica que cumple la condicin, a un paquete se le deniega el acceso al destino. Se descarta y se elimina en la papelera de bits, y no se expone a ninguna de las pruebas de la ACL que siguen. Si el paquete no concuerda con las condiciones de la primera prueba, pasa a la siguiente sentencia de la ACL. Las ACL permiten controlar lo que los clientes pueden acceder en la red. Las condiciones en un archivo de ACL pueden: Excluir ciertos hosts para permitir o denegar acceso a parte de su red Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.

TAREAS DE CONFIGURACIN DE LAS ACL Creacin de ACL

Entre las tareas clave para la creacin de ACL se incluyen las siguientes: Las ACL se crean utilizando el modo de configuracin global. Al especificar un nmero ACL del 1 al 99 se instruye al router que debe aceptar las sentencias de las ACL estndar. Al especificar un nmero ACL del 100 al 199 se instruye al router para aceptar las sentencias de las ACL extendidas. Se deben seleccionar y ordenar lgicamente las ACL de forma muy cuidadosa. Los protocolos IP permitidos se deben especificar; todos los dems protocolos se deben denegar. Se deben seleccionar los protocolos IP que se deben verificar; todos los dems protocolos no se verifican. Ms adelante en el procedimiento, tambin se puede especificar un puerto destino opcional para mayor precisin.

Agrupacin de ACL en interfaces

Aunque cada protocolo tiene su propio conjunto de tareas especficas y reglas que se requieren para proporcionar filtrado de trfico, en general la mayora de los protocolos requieren los dos pasos bsicos. El primer paso es crear una definicin de ACL, y el segundo es aplicar la ACL a una interfaz. Las ACL se asignan a una o ms interfaces y pueden filtrar el trfico entrante o saliente, segn la configuracin. Las ACL salientes son generalmente ms eficientes que las entrantes, y por lo tanto siempre se prefieren. Un router con una ACL entrante debe verificar cada paquete para ver si cumple con la condicin de la ACL antes de conmutar el paquete a una interfaz saliente.

Asignacin de un nmero nico a cada ACL

Al configurar las ACL en un router, se debe identificar cada ACL de forma exclusiva, asignando un nmero a la ACL del protocolo. Cuando se usa un nmero para identificar una ACL, el nmero debe estar dentro del intervalo especfico de nmeros que es vlido para el protocolo. Se pueden especificar ACL por nmeros para los protocolos enumerados para la tabla. La tabla tambin incluye el intervalo de nmeros de ACL que es vlido para cada protocolo. Despus de crear una ACL numerada, debe asignarla a una interfaz para poderla usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas, necesita eliminar todas las sentencias en la ACL numerada mediante el comando no access-list listnumber.

Propsito y funcin de los bits de la mscara wildcard Una mscara wildcard es una cantidad de 32 bits que se divide en cuatro octetos, en la que cada octeto contiene 8 bits. Un bit de mscara wildcard de 0 significa "verificar el valor de bit correspondiente" y un bit 1 de una mscara wildcard significa "no verificar (ignorar) el valor de bit correspondiente". Una mscara wildcard se compara con una direccin IP. Los nmeros uno y cero se usan para identificar cmo tratar los bits de la direccin IP correspondientes. Las ACL usan mscaras wildcard para identificar una sola o mltiples direcciones para las pruebas de aprobar o rechazar. El trmino mscara wildcard es la denominacin aplicada al proceso de comparacin de bits de mscara y proviene de una analoga con el "wildcard" (comodn) que equivale a cualquier otro naipe en un juego de pquer. Aunque ambas son cantidades de 32 bits, las mscaras wildcard y las mscaras de subred IP operan de manera diferente. Los ceros y unos en una mscara de subred determinan las porciones de red, subred y host de la direccin IP correspondientes. Los ceros y unos en un wildcard, como se ha observado, determinan si los bits correspondientes en la direccin IP se deben verificar o ignorar para los fines de la ACL. Los bits de ceros y unos en una mscara wildcard de ACL hacen que la ACL verifique o ignore el bit correspondiente en la direccin IP. En la figura, se aplica este proceso de mscara wildcard.

Digamos que desea verificar una direccin IP para verificar la existencia de subredes que se pueden permitir o denegar. Supongamos que la direccin IP es una direccin Clase B (es decir, que los primeros dos octetos son el nmero de red) con 8 bits de divisin en subredes (el tercer octeto es para las subredes). Es necesario usar bits de mscara wildcard IP para permitir todos los paquetes desde cualquier host en las subredes 172.30.16.0 a 172.30.31.0. La figura muestra un ejemplo de cmo usar la mscara wildcard para hacer esto. Para empezar, la mscara wildcard verifica los primeros dos octetos (172.30), utilizando los bits de cero correspondientes en la mscara wildcard. Como no interesan las

direcciones de host individuales (un identificador de host no tiene .00 al final de la direccin), la mscara wildcard ignora el octeto final, utilizando los bits unos correspondientes en la mscara wildcard. En el tercer octeto, la mscara wildcard es 15 (00001111), y la direccin IP es 16 (00010000). Los primeros cuatro ceros en la mscara wildcard indican al router que debe comparar los primeros cuatro bits de la direccin IP (0001). Como los ltimos cuatro bits se ignoran, todos los nmeros dentro del intervalo de 16 (00010000) a 31 (00011111) coinciden porque comienzan con el patrn 0001. Para los cuatro bits finales (menos significativos) en este octeto, la mscara wildcard ignora el valor porque en estas posiciones, el valor de la direccin puede ser cero o uno binarios, y los bits wildcard correspondientes son unos. En este ejemplo, la direccin 172.30.16.0 con la mscara wildcard 0.0.15.255 coincide con las subredes 172.30.16.0 a 172.30.31.0. La mscara wildcard no coincide con ninguna otra subred.

Comando any Para los usos ms comunes de las mscaras wildcard, se pueden usar abreviaturas. Estas abreviaturas reducen la cantidad de cosas que hay que escribir cuando se configuran condiciones de prueba de direcciones. Por ejemplo, supongamos que desea especificar que una prueba de ACL debe permitir cualquier direccin destino. Para indicar cualquier direccin IP, se debe introducir 0.0.0.0; luego, se debe indicar que la ACL debe ignorar (es decir, permitir sin verificar) cualquier valor, la mscara wildcard correspondiente para esta direccin debe ser de todos unos (es decir, 255.255.255.255). En lugar de escribir 0.0.0.0 255.255.255.255, se puede usar solamente la palabra any como palabra clave.

Por ejemplo, en lugar de usar esto:

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255

se puede usar esto:

Router(config)# access-list 1 permit any

Comando host Otra condicin comn en la que Cisco IOS permite una abreviatura en la mscara wildcard de ACL es cuando se desea que coincidan todos los bits de una direccin de host IP. Por ejemplo, supongamos que desea especificar que una prueba de ACL debe permitir una direccin de host IP especfica. Para indicar una direccin IP de host, debe introducir la direccin completa (por ejemplo: 172.30.16.29); luego, para indicar que la ACL debe verificar todos los bits en la direccin, la mscara wildcard correspondiente para esta direccin debe ser de todos ceros (es decir, 0.0.0.0). Se puede usar la abreviatura host para comunicar la misma condicin de prueba al software de ACL Cisco IOS. En el ejemplo, en lugar de escribir 172.30.16.29 0.0.0.0, se puede usar la palabra host frente a la direccin. Por ejemplo, en lugar de usar esto:

Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

se puede usar esto: Router(config)# access-list 1 permit host 172.30.16.29

ACL ESTNDAR Qu son las ACL estndar? Se deben usar las ACL estndar cuando se desea bloquear todo el trfico de una red, permitir todo el trfico desde una red especfica o denegar conjuntos de protocolo. Las ACL estndar verifican la direccin origen de los paquetes que se deben enrutar. El resultado permite o deniega el resultado para todo un conjunto de protocolos, segn las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen de E0 para establecer la direccin origen y protocolo. Si se permiten, los paquetes salen a travs de S0, que se agrupa en la ACL. Si no se permite, se descarta.

Escribir un comando de ACL estndar vlido utilizando todos los parmetros disponibles. Se usa la versin estndar del comando de configuracin global access-list para definir una ACL estndar con un nmero. Este comando se usa en el modo de comando de configuracin global. La sintaxis completa del comando es: Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ] [log] Se usa la forma no de este comando para eliminar una ACL estndar. Esta es la sintaxis: Router(config)# no access-list access-list-number

La tabla muestra descripciones de los parmetros utilizados en esta sintaxis.

Cmo se verifican las listas de acceso Se usa el comando EXEC show access-lists para mostrar el contenido de todas las ACL. Adems, se usa el comando EXEC show access-lists seguido del nombre o nmero de una ACL para mostrar el contenido de una ACL.

El comando ip access-group agrupa una ACL existente a una interfaz. Slo se permite una ACL por puerto por protocolo por direccin. El formato del comando es:

Router(config-if)#ip access-group access-list-number {in | out}

ACL EXTENDIDAS Qu son las ACL extendidas?

Las ACL extendidas se usan con mayor frecuencia para verificar condiciones porque ofrecen una mayor cantidad de opciones de control que las ACL estndar. Se puede usar una ACL extendida cuando se desea permitir el trfico de la Web pero denegar el Protocolo de transferencia de archivos (FTP) o telnet desde las redes que no pertenecen a la empresa. Las ACL extendidas verifican las direcciones origen y destino de los paquetes. Tambin pueden verificar protocolos, nmeros de puerto y otros parmetros especficos. Esto ofrece mayor flexibilidad para describir las verificaciones que debe realizar la ACL. Se pueden permitir o denegar paquetes segn su origen o destino. Para una sola ACL, se pueden definir mltiples sentencias. Cada una de estas sentencias debe hacer referencia al mismo nombre o nmero identificatorio, para relacionar las sentencias a la misma ACL. Se puede establecer cualquier cantidad de sentencias de condicin, con la nica limitacin de la memoria disponible. Por cierto, cuantas ms sentencias se establezcan, mayor ser la dificultad para comprender y administrar la ACL. Por lo tanto, la documentacin de las ACL evita la confusin.

La ACL estndar (numerada del 1 al 99) probablemente no pueda ofrecer el tipo de control de filtrado de trfico que se necesita. Las ACL estndar filtran el trfico segn una direccin y mscara origen. Las ACL estndar tambin pueden permitir o denegar todo el conjunto de protocolos Internet (IP). Puede ser necesario encontrar una forma ms precisa de control del trfico y el acceso. Para un control ms preciso de filtrado de trfico se usan las ACL extendidas. Las sentencias de las ACL extendidas verifican la direccin origen y destino. Adems, al final de la sentencia de la ACL extendida, se obtiene precisin adicional con un campo que especifica el nmero de puerto de protocolo opcional TCP o del Protocolo de datagrama del usuario (UDP). Estos pueden ser nmeros de puerto conocidos para TCP/IP. Algunos de los nmeros de puerto ms comunes aparecen en la figura. Se puede especificar la operacin lgica que la ACL extendida efectuar en protocolos especficos. Las ACL extendidas usan un nmero dentro del intervalo del 100 al 199.

Parmetros de las ACL extendida La forma completa del comando access-list es: Router(config)# access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask operator operand] [established]

El comando ip access-group enlaza una ACL extendida existente a una interfaz. Recuerde que slo se permite una ACL por interfaz, por protocolo por direccin. El formato del comando es: Router(config-if)# ip access-group access-list-number {in | out}

Nmeros de puerto UDP y TCP Las ACL extendidas que especifican direcciones destino y origen o protocolos especficos deben identificarse con nmeros dentro del intervalo 100 a 199. Las ACL extendidas que incluyen nmeros de puerto de nivel superior TCP o UDP, adems de las dems pruebas, tambin deben identificarse con nmeros dentro de este mismo intervalo. Algunos de los nmeros de puerto reservados UDP y TCP aparecen en la tabla.

Configuracin de las ACL nombradas Las ACL nombradas permiten que las ACL IP estndar y extendidas se identifiquen con una cadena alfanumrica (nombre) en lugar de la representacin numrica actual (1 a 199). Las ACL nombradas se pueden usar para eliminar entradas individuales de una ACL especfica. Esto permite modificar sus ACL sin eliminarlas y luego reconfigurarlas. Se usan las ACL nombradas cuando:

Se desea identificar intuitivamente las ACL utilizando un nombre alfanumrico. Existen ms de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado.

Se debe tener en cuenta lo siguiente antes de implementar las ACL nombradas: Las ACL nombradas no son compatibles con las versiones de Cisco IOS anteriores a la versin 11.2. No se puede usar el mismo nombre para mltiples ACL. Adems, las ACL de diferentes tipos no pueden tener el mismo nombre. Por ejemplo, no es vlido especificar una ACL estndar llamada Jorge y una ACL extendida con el mismo nombre. Para nombrar la ACL, se utiliza el siguiente comando: Router(config)# ip access-list {standard | extended} name

En el modo de configuracin de ACL, se especifica una o ms condiciones de permitir o denegar. Esto determina si el paquete debe pasar o debe descartarse: Router(config {std- | ext-}nacl)# deny {source [source-wildcard] | any} O Router(config {std- | ext-}nacl)# permit {source [source-wildcard] | any}.

ACL NOMBRADAS Comando deny Se utiliza el comando de configuracin de ACL deny para establecer condiciones para una ACL nombrada. La sintaxis completa del comando es: deny {source [source-wildcard] | any}

Se usa la forma no de este comando para eliminar una condicin de denegar, utilizando la siguiente sintaxis: no deny {source [source-wildcard] | any} El ejemplo que aparece en la figura establece una condicin de denegar para una ACL estndar denominada Internetfilter:

Comando permit Se utiliza el comando de configuracin de lista de acceso permit para establecer condiciones para una ACL nombrada estndar. La sintaxis completa del comando es: permit {source [source-wildcard] | any}[log] Se usa la forma no de este comando para eliminar una condicin de una ACL, utilizando la siguiente sintaxis: no permit {source [source-wildcard]| any} Se usa este comando en el modo de configuracin de lista de acceso, despus del comando ip access-list, para definir las condiciones bajo las cuales un paquete pasa por la ACL. USO DE LAS ACL CON PROTOCOLOS Protocolos para los cuales se pueden crear las ACL Las ACL pueden controlar la mayora de los protocolos. Se introduce un nmero en el intervalo de nmeros de protocolo como el primer argumento de la sentencia ACL global. El router identifica cul es el software de ACL que se debe usar segn esta entrada numerada. Muchas ACL son posibles para un protocolo. Se selecciona un

nmero diferente del intervalo de nmeros de protocolo para cada nueva ACL; sin embargo, se puede especificar slo una ACL por protocolo por interfaz. Para algunos protocolos, se pueden agrupar hasta dos ACL a una interfaz: una ACL entrante y una saliente. Con otros protocolos, se agrupa slo una ACL, que verifica los paquetes entrantes y salientes. Si la ACL es entrante, cuando el router recibe un paquete, el software Cisco IOS verifica las sentencias de condiciones de la ACL para buscar coincidencias. Si el paquete se permite, el software sigue procesando el paquete. Si el paquete se deniega, el software lo descarta colocndolo en la papelera de bits. Si la ACL es saliente, despus de recibir y enrutar un paquete a la interfaz saliente, el software verifica las sentencias de condiciones de la ACL para buscar coincidencias. Si el paquete se permite, el software lo transmite. Si el paquete se deniega, el software lo descarta envindolo a la papelera de bits.

UBICACIN DE LAS ACL Regla: "Se colocan las ACL extendidas lo ms cerca posible del origen del trfico denegado" Segn el lugar donde se ubique una sentencia de ACL, se puede reducir el trfico innecesario. El trfico que ser denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino. La regla es colocar las ACL extendidas lo ms cerca posible del origen del trfico denegado. Las ACL estndar no especifican direcciones destino, de manera que se debe colocar la ACL estndar lo ms cerca posible del destino.

Uso de las ACL en routers firewall Se deben utilizar ACL en routers firewall, que a menudo se sitan entre la red interna y una red externa, como Internet. El router firewall proporciona un punto de aislamiento, de manera que el resto de la estructura interna de la red no se vea afectada. Tambin se pueden usar las ACL en un router situado entre dos partes de la red a fin de controlar el trfico que entra o sale de una parte especfica de la red interna.

Para aprovechar las ventajas de seguridad de las ACL, como mnimo se deben configurar las ACL en los routers fronterizos, que son routers situados en las fronteras de la red. Esto proporciona proteccin bsica con respecto a la red externa, u otra parte menos controlada de la red, para un rea ms privada de la red. En estos routers fronterizos, se pueden crear ACL para cada protocolo de red configurado en las interfaces del router. Se pueden configurar las ACL para que el trfico entrante, el trfico saliente, o ambos, sean filtrados en una interfaz.

Arquitectura de firewall para proteccin contra los intrusos Una arquitectura de firewall es una estructura que existe entre usted y el mundo exterior para protegerlo de los intrusos. En la mayora de los casos, los intrusos vienen de la Internet mundial y de los miles de redes remotas que interconecta. Normalmente, un firewall de red se compone de varias mquinas diferentes. En esta arquitectura, el router conectado a Internet (es decir, el router exterior) obliga todo el trfico entrante a pasar por el gateway de la aplicacin. El router conectado a la red interna (es decir, el router interior) acepta los paquetes slo del gateway de aplicacin. En efecto, el gateway controla la entrega de servicios basados en red que entran y salen de la red interna. Por ejemplo, slo ciertos usuarios pueden estar autorizados a comunicarse con Internet, o slo a ciertas aplicaciones se les puede permitir establecer conexiones entre un host interior y exterior. Si la nica aplicacin que se permite es el correo electrnico, entonces slo se permiten paquetes de correo electrnico a travs del router. Esto protege el gateway de aplicacin y evita que se supere su capacidad con paquetes que de otra manera se descartaran.

VERIFICACIN DE LAS ACL Verificacin de las ACL e interpretacin del resultado

El comando show ip interface muestra informacin de interfaz IP e indica si se ha establecido alguna ACL. El comando show access-lists muestra el contenido de todas las ACL. Cuando se introduce el nombre o nmero de una ACL como una opcin para este comando, aparece una lista especfica.