Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas como “entradas de
control de acceso” (ACE).
El filtrado de paquetes, a veces denominado “filtrado de paquetes estático”, controla el acceso a una red mediante el
análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según determinados criterios,
como la dirección IP de origen, la dirección IP de destino y el protocolo incluido en el paquete.
REGLAS ACL
• Los paquetes se comparan con las reglas en forma descendente • Si un paquete coincide con una
regla , se procesa y se omiten el resto de reglas. • Al final de cada ACL existe un regla de denegación
explicita de paquetes.
ACL TIPOS
ACL ESTÁNDART
• Filtran mediante la IP de origen • No tienen en
cuenta el destino del paquete ni los puertos
• Objetivo: Permitir o denegar el tráfico • El orden de las condiciones es importante para
su correcto funcionamiento. • Filtra solamente mediante direcciones IP. • La dirección IP
se compara con cada condición en orden secuencial. • Donde encuentre la primera
coincidencia se determina si se permite o deniega el tráfico de ese paquete. • Si no
coincide el paquete con ninguna regla el paquete se descarta. • Aplicación 2 pasos
obligatorios: • Generar la ACL y sus reglas, identificada por un número o nombre. •
Aplicar la ACL a la interfaz o línea terminal necesaria utilizando su identificador.
EDICIÓN DE ACL ESTÁNDART
• Numerada • Solamente permiten añadir sentencias al final de la ACL
• Se recomienda generar las ACL en un bloc de notas para aplicar
modificaciones. • Una vez que ha sido generada la ACL puede ser
cargada fácilmente en el dispositivo. • Si la ACL existe se puede usar
el comando show running-config para copiar su contenido. • Cuando es
necesario modificar una línea se elimina la ACL anterior y se añade la
nueva.
ACL EXTENDIDA:
• Pueden filtrar mediante la IP de origen e IP de
destino • Filtrado adicional basándose en los puertos
TCP y UDP utilizados • Además de filtrar por las capas
superiores
• Permiten un tráfico más preciso del tráfico de la red. • Pueden usar direcciones de
destino, puertos y protocolos como parámetros. • Los parámetros adicionales ayudan
a definir listas de mayor control. • Permiten usar operadores lógicos para indicar un
puerto único o un rango. • Sus opciones incluyen soporte de filtrado de aplicaciones
comunes.
PARÁMETROS DE LA ACL EXTENDIDA
• Principales: • Identificador: número o nombre de la ACL • Operación: la operación de
filtrado que llevara a cabo la sentencia (permit/deny). • Protocolo: Especifica el
protocolo a filtrar (tcp, ip, icmp). • Direcciones: Dirección o rango unido a la máscara
de wildcard que definirán el ámbito de filtrado.
• Opcionales: • Remark: documentar comentarios con respeto a la funcionalidad de la
ACL. • Operator: Operador de comparación para los puertos (it, gt, eq, neq, range). •
Port: número o nombre de un puerto TCP y UDP (http, ftp, etc). • Established: Indica
una conexión establecida para el protocolo TCP
NUMERACIÓN DE ACL
TIPO Y PROTOCOLO NUMERACIÓN:ACL IP Estándar Números (1-99) y
(1300-1999), ACL IP Extendida Números (100-199) y (2000-2699) ,ACL Appletalk
Números 600-699, ACL IPX Números 800-899
ACL UBICACION
• Una ubicación eficiente de la ACL permite mejorar el rendimiento de la red. • Está ubicación depende
del tipo de ACL y sus funciones. • Tener en cuenta que las ACL estándar no especifican direcciones
destino. • Reglas generales de ubicación: • Se recomienda colocar las ACL estándar lo más cerca posible
del destino. • Se recomienda configurar las ACL extendidas cerca del origen de tráfico que se filtrará. •
La colocación de la ACL y, por lo tanto, el tipo de ACL que se utiliza también pueden depender del
alcance del control del administrador de red, del ancho de banda de las redes que intervienen y de la
facilidad de configuración.
ACL Denominación
• Versión 11.2 de IOS Cisco pueden asignarse nombres a las ACL. • Las ACL denominadas permiten añadir o borrar entradas en la
ACL. • La asignación de nombres permite un mayor control de las ACL. • Los nombres de las ACL pueden incluir caracteres
alfanuméricos. • Se recomienda la escritura del nombre en letras mayúsculas. • El nombre debe comenzar obligatoriamente con
una letra. • Los nombres no pueden incluir espacios ni signos de puntuación.
Pautas de creación de ACL
Las tres P
Una ACL por protocolo: para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada
protocolo habilitado en la interfaz.
▪ Una ACL por sentido: las ACL controlan el tráfico en una interfaz de a un sentido por vez. Se deben crear dos ACL diferentes
para controlar el tráfico entrante y saliente.
Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo,
GigabitEthernet 0/0.
• Planificar la implementación de las ACL según las políticas de seguridad. •
Permite asegurar los procedimientos de seguridad de la organización • Realizar
un estudio previo de las operaciones que realizara cada ACL • Mejora la
interacción de las diferentes ACL y evita problemas de implementación. •
Generar las ACL desde un bloc de notas. • Permite la generación de scripts
reutilizables y la edición simplificada de cada ACL, además de documentar las
ACL. • Probar las ACL en un entorno de laboratorio o desarrollo. • Asegura el
funcionamiento adecuado de la ACL antes de funcionar en el entorno real. •
Permite comprobar previamente la interacción con el resto de sistemas y ACL. •
Evita la aparición de fallos durante la implementación en la red de producción
MÁSCARA DE WILDCARD EN ACL
• Permite indicar el rango específico de direcciones. • Asignan el rango de direcciones
de la dirección de red que será filtrado. • Proporcionan una función similar a la de las
máscaras de subred. • Su uso permite definir reglas de direcciones ip individuales o
grupos. • A la wildcard también se le llama máscara inversa. • Los bits de la wildcard
determinan el rango de la dirección IP que será usada. • Su longitud es de 32 bits y
están formadas por ceros y unos binarios • El bit cero permite el uso del valor
correspondiente a la dirección de red. • El bit uno ignora el valor correspondiente a la
dirección de red.
Wildcard palabras clave
• HOST • Indica el filtrado de un host único cuya dirección será colocada tras la
palabra clave.
• ANY • Indica el rango de todas las direcciones ip disponibles. • En las ACL extendidas
será necesario colocar el parámetro dos veces para cubrir ambos rangos. • Cualquier
regla configurada con ANY denegara o permitirá todo el tráfico al procesar el
mensaje.
Denegación
explicita • Deny
all traffic O bien
• Implicit deny
any
ACL estándar SEGURIDAD
• La configuración de una ACL estándar funcional consta de dos pasos: • Creación de
ACL y sus reglas de filtrado. • Asignación de la ACL en una interface del dispositivo.
• Las opciones para crear una ACL estándar son: • Listas de acceso numeradas
identificadas por valores numéricos. • Listas de acceso nombradas identificadas por
cadenas alfanuméricas.
• Identificadores de las ACL estándar: • Numeradas de 1 a 99 (además de 1300 a 1999
para ver. 12.0.1 o sup.) • Nombradas pueden incluir caracteres alfanuméricos, sin
espacios y sin signos de puntuación.
Comandos de verificación
• Show running-config • Muestra configuración en ejecución y los detalles relacionados
con las ACL´s • Show Access-list • Información de las ACL´s creadas y sus sentencias. •
Show ip interface [identificador de la interface] • Muestra asignaciones de las ACL´s a
la interfaz. • Debug ip packet detail [identificador de la ACL] • Permite analizar como
se aplican las listas de acceso.