FACULTAD DE CIENCIAS E INGENIERÍA

ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA

ELECTRÓNICA CON MENCIÓN EN TELECOMUNICACIONES

PROYECTO DE INVESTIGACIÓN

Sistema ACL

PRESENTADA POR:

1. RELAIZA VALENCIA, RICHARD A. CÓDIGO Nº 11205028

LIMA - PERÚ

2018
CONTENIDO

LISTAS DE CONTROL DE ACCESO ............................................................................................... 3

INTRODUCCIÓN ................................................................................................................................... 3
WILCARD ............................................................................................................................................... 4
OBJETIVOS DE LAS ACL .................................................................................................................. 5
FUNCIONAMIENTO DE LAS ACL ................................................................................................... 5
CREACIÓN DE ACL ............................................................................................................................ 7
ACL.......................................................................................................................................................... 7
CREAR UNA ACL ESTÁNDAR ......................................................................................................... 8
PARÁMETROS ..................................................................................................................................... 8
ACCIÓN .................................................................................................................................................. 8
ORIGEN DE UNA RED ........................................................................................................................ 9
CREAR UNA ACL EXTENDIDA ........................................................................................................ 9
ORIGEN O DESTINO DE UNA RED ................................................................................................. 9
BORRAR UNA ACL ........................................................................................................................... 11
¿CÓMO FUNCIONA LAS ACL? ...................................................................................................... 11
TIPOS DE ACL .................................................................................................................................... 12
ACL SINTAXIS .................................................................................................................................... 12
EJEMPLO............................................................................................................................................. 13
ACL EXTENDIDA ............................................................................................................................... 14
DEFINIR ACL EXTENDIDA, SINTAXIS: ........................................................................................ 15
ACL CON NOMBRE ........................................................................................................................... 15
¿DÓNDE SE APLICAN LAS ACL? ................................................................................................. 16
NORMAS .............................................................................................................................................. 16
ACLS COMPLEJAS .......................................................................................................................... 17
• ACLs dinámicas: ........................................................................................................................... 17
• ACLs reflexivas: ............................................................................................................................ 17
• ACLs basadas en tiempo:............................................................................................................ 17
CONCLUSIÓN ..................................................................................................................................... 18
BIBLIOGRAFIAS ................................................................................................................................ 18
LISTAS DE CONTROL DE ACCESO

INTRODUCCIÓN

Una lista de control de acceso o ACL (del inglés, access control list) es un concepto
de seguridad informática usado para fomentar la separación de privilegios. Es una
forma de determinar los permisos de acceso apropiados a un determinado objeto,
dependiendo de ciertos aspectos del proceso que hace el pedido.

Una lista de control de acceso es un concepto de seguridad informática usada para

fomentar la separación de privilegios. Es una forma de determinar los permisos de
acceso a un objeto determinado. Para definir permisos o accesos en base a si un
usuario es dueño de un archivo, pertenece a su grupo o si no sucede ninguno de
esos casos, es que utilizamos las reglas de control de acceso. Ellas definen quien
puede hacer cada tarea y de qué forma. Las ACL brindan niveles de seguridad
personalizables, combinado con el manejo de usuarios y grupos, de acuerdo al
escenario que se nos presente.

Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como
enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o
denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también
tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico
suficientemente importante como para activar o mantener una conexión) en RDSI.

El motivo por el que suele gestionarse en una clase o sistema separado y no en cada
una de las partes que pretenden asociarse a permisos es por seguir las reglas
SOLID, en este caso la S (Principio de responsabilidad única), lo cual te permite
incluso escalar mejor. Se asemejaría a un sistema de control de accesos físico típico
de un edificio, donde esa parte está centralizada en un lugar. Este lugar solo necesita
saber dos cosas: Quien eres (por ejemplo un ID de una tarjeta, tu id de usuario) y
que quieres hacer. Él te responde si tienes permiso de hacerlo o no. Con este
enfoque este mismo sistema no solo puede ser utilizado para acceder a lugares si no
para cualquier cosa que necesite separarse de personas que pueden y no pueden
hacer cosas, por ejemplo: acceder a una página o sección, publicar un comentario,
hacer una amistad, enviar un correo,... En redes informáticas, ACL se refiere a una
lista de reglas que detallan puertos de servicio o nombres de dominios (de redes)
que están disponibles en un terminal u otro dispositivo de capa de red, cada uno de
ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio.
Tantos servidores individuales como enrutadores pueden tener ACL de redes. Las
listas de control de acceso pueden configurarse generalmente para controlar tráfico
entrante y saliente y en este contexto son similares a unos cortafuegos.

WILCARD

“Wildcard” significa “comodín”, como el joker en el juego de naipes.

Tanto en la dirección de origen, como (en el caso de las ACL extendidas) en la

dirección de destino, se especifican las direcciones como dos grupos de números: un
número IP, y una máscara wildcard.

Si se traduce a binario, los “1” en la máscara wildcard significan que en la dirección

IP correspondiente puede ir cualquier valor.

Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara
de subred, cambiando los “0” por “1” y los “1” por “0” (en binario).

Sin embargo, las máscaras wildcard también permiten más; por ejemplo, se pueden
denegar todas las máquinas con números IP impares, o permitir el rango de IP 1-31,
en varias subredes a la vez.
OBJETIVOS DE LAS ACL

En resumen, los objetivos que se persiguen con la creación de ACL son:

 Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir

el tráfico de vídeo, por ejemplo, las ACL pueden reducir ampliamente la
carga de la red y en consecuencia mejorar el rendimiento de la misma.
 Controlar el flujo del tráfico. Las ACL pueden restringir el envío de
las actualizaciones de enrutamiento. Si no se necesitan actualizaciones
debido a las condiciones de la red, se preserva el ancho de banda.
 Proporcionar un nivel básico de seguridad para el acceso a la red. Por
ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y
evitar que otro acceda a la misma área. Por ejemplo, el host-1 se le permite
el acceso a la red de
 Producción, y al host-2 se le niega el acceso a esa red.
 Establecer qué tipo de tráfico se envía o se bloquea en las interfaces del
router. Por ejemplo, permitir que se envíe el tráfico relativo al correo
electrónico, y se bloquea el tráfico de ftp.
 Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de
archivos, tales como FTP o HTTP.

FUNCIONAMIENTO DE LAS ACL

Para explicar el funcionamiento utilizaremos el software Cisco IOS.

El orden de las sentencias ACL es importante .

 Cuando el router está decidiendo si se envía o bloquea un paquete, el IOS

prueba el paquete, verifica si cumple o no cada sentencia de condición, en el
orden en que se crearon las sentencias.
  Una vez que se verifica que existe una coincidencia, no se siguen verificando
otras sentencias de condición.
Por lo tanto, Cisco IOS verifica si los paquetes cumplen cada sentencia de condición
de arriba hacia abajo, en orden. Cuando se encuentra una coincidencia, se ejecuta la
acción de aceptar o rechazar y ya no se continúa comprobando otras ACL.

Por ejemplo, si una ACL permite todo el tráfico y está ubicada en la parte superior de
la lista, ya no se verifica ninguna sentencia que esté por debajo.

Si no hay coincidencia con ninguna de las ACL existentes en el extremo de la lista se

coloca por defecto una sentencia implícita deny any (denegar cualquiera). Y, aunque
la línea deny any no sea visible sí que está ahí y no permitirá que ningún paquete
que no coincida con alguna de las ACL anteriores sea aceptado. Se puede añadir de
forma explícita por aquello de 'verla' escrita y tener esa tranquilidad.
Veamos el proceso completo:

1. Cuando entra una trama a través de una interfaz, el router verifica si

la dirección de capa 2 (MAC) concuerda o si es una trama de broadcast.
2. Si se acepta la dirección de la trama, la información de la trama se elimina
y el router busca una ACL en la interfaz entrante.
3. Si existe una ACL se comprueba si el paquete cumple las condiciones de
la lista.
4. Si el paquete cumple las condiciones, se ejecuta la acción de aceptar o
rechazar el paquete.
5. Si se acepta el paquete en la interfaz, se compara con las entradas de la
tabla de enrutamiento para determinar la interfaz destino y conmutarlo a
aquella interfaz. Luego el router verifica si la interfaz destino tiene una
ACL.
6. Si existe una ACL, se compara el paquete con las sentencias de la lista y
si el paquete concuerda con una sentencia, se acepta o rechaza el
paquete según se indique.
 7. Si no hay ACL o se acepta el paquete, el paquete se encapsula en el
nuevo protocolo de capa 2 y se envía por la interfaz hacia el dispositivo
siguiente.

CREACIÓN DE ACL

Utilizamos la herramienta de simulación Packet Tracer y una topología de red

muy sencilla, formada por un router, dos switch y 2PCs, cada uno de ellos en
una subred.

Trabajaremos desde el modo de configuración global: (config)#

Hay dos tipos de ACL y utilizan una numeración para identificarse:

 ACL estándar: del 1 al 99

 ACL extendida: del 100 al 199

ACL

Existen dos tipos de listas de control de acceso: listas fijas y listas variables.

Existen dos tipos de ACL:

ACL estándar, donde solo tenemos que especificar una dirección de origen;

ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de

destino.

Comandos para crear ACLS:

CREAR UNA ACL ESTÁNDAR

(config)#access-list <# lista>

Ejemplos:

(config)#access-list 1 deny 10.5.3.0 0.0.0.255

(config)#access-list 1 permit host 10.5.3.37

(config)#access-list 1 permit any

PARÁMETROS

# Lista: Estándar de 1 a 99, extendida de 100 a 199

ACCIÓN

Protocolo: ip | tcp | udp | icmp

comparación: gt | lt | eq

gt = greater than, lt = lesser than, eq = equal

Origen de una sola ip: host

Origen de cualquier ip: any

ORIGEN DE UNA RED

La wildcard será en la mayoría de los casos el inverso de la máscara

CREAR UNA ACL EXTENDIDA

(config)#access-list <# lista> [comparación] [puerto origen] [comparación] [puerto

destino]

Ejemplos:

(config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80

(config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255

(config)#access-list 105 deny 10.5.3.0 0.0.0.255 any

Origen o destino de una sola ip: host

Origen o destino de cualquier ip: any

ORIGEN O DESTINO DE UNA RED

La wildcard será en la mayoría de los casos el inverso de la máscara

APLICAR LA LISTA SOBRE UN PUERTO

Debe ingresarse primero al puerto deseado y luego aplicarla allí, ya sea entrante o
saliente:

(config-if)#ip access-group <# lista>

Ejemplo:

(config)#interface seria 0/0

(config-if)#ip access-group 100 out

Para aplicarla al tráfico que va dirigido al router propiamente (telnet por ejemplo),
debe hacerse sobre las terminales virtuales

(config)#line vty 0 4

(config-line)#access-class <# lista>

Ejemplo:

(config-line)#access-class 105 in
BORRAR UNA ACL

(config)#no access-list <# lista>

Ejemplo:

(config)#no access-list 105

¿CÓMO FUNCIONA LAS ACL?

Paquetes a
interfaces de destino

Comparar si
Primera prueba

no
si
Comparar
Las sentencias 2da prueba
Acl operan en
Permitir a la interfaz
Orden secuencial no De destino

Comparar
si
ultima prueba Permitir o denegar

No (implicación implícita) Denegar

- Deny all traffic
- Implicit deny statemen Papelera de
Descarte de
Paquetes
TIPOS DE ACL

ACL ESTÁNDAR

Donde solo tenemos que especificar una dirección de origen.

• (config)#access-list n {permit | deny} source {source-mask}

• Ejemplos:

• (config)#access-list 1 deny 10.5.3.0 0.0.0.255

• (config)#access-list 1 permit host 10.5.3.37

• (config)#access-list 1 permit any

ACL SINTAXIS

Las ACL estándar en un router Cisco siempre se crean primero y luego se asignan
a una interfaz.

Tienen la configuración siguiente:

Router (config) # access-list numACL permit|deny origen [wild-mask]

El comando de configuración global access-list define una ACL estándar con
un número entre 1 y 99.

Se aplican a los interfaces con:

Router (config-if) # ip access-group numACL in|out

 In: tráfico a filtrar que ENTRA por la interfaz del router
 out: tráfico a filtrar que SALE por la interfaz del router.
  wild-mask: indica con 0 el bit a evaluar y con 1 indica que el bit
correspondiente se ignora. Por ejemplo, si queremos indicar un único host
192.168.1.1 especifico: 192.168.1.1 con wild-mask 0.0.0.0 y si queremos
especificar toda la red clase C correspondiente lo hacemos con 192.168.1.0
y wild-mask 0.0.0.255.

Para la creación de ACL estándar en importante:

 Seleccionar y ordenar lógicamente las ACL.

 Seleccionar los protocolos IP que se deben verificar.
 Aplicar ACL a interfaces para el tráfico entrante y saliente.
 Asignar un número exclusivo para cada ACL.

EJEMPLO

Supongamos que queremos crear en un Router0 una ACL con el número 1

(numACL) que deniegue el host 192.168.1.2. Desde configuración global:
Router0 (config) # access-list 1 deny 192.168.1.2 0.0.0.0
Si queremos eliminar una ACL:
Router0 (config) # no access-list
Para mostrar las ACL:
Router0# show access-list
Standard IP access list 1
deny host 192.168.1.2
permit any
Recordar que para salir del modo de configuración global (config) hay que
escribir 'exit'.
Ahora hay que utilizar el comando de configuración de interfaz para seleccionar
una interfaz a la que aplicarle la ACL:

Router0 (config) # interface FastEthernet 0/0

Por último utilizamos el comando de configuración de interfaz ip access-group
para activar la ACL actual en la interfaz como filtro de salida:

Router0 (config-if) # ip access-group 1 out

ACL EXTENDIDA

En cuya sintaxis aparece el protocolo y una dirección de origen y de destino.

Las ACL extendidas filtran paquetes IP según:

 Direcciones IP de origen y destino
 Puertos TCP y UDP de origen y destino
 Tipo de protocolo (IP, ICMP, UDP, TCP o número de puerto de protocolo).
Las ACLs extendidas usan un número dentro del intervalo del 100 al 199.
Al final de la sentencia de la ACL extendida se puede especificar, opcionalmente, el
número de puerto de protocolo TCP o UDP para el que se aplica la sentencia:
 20 y 21: datos y programa FTP
 23: Telnet
 25: SMTP
 53: DNS
 69: TFTP

(config)#access-list n {permit | deny} protocol source {source-mask} destination

{destinationmask} [eq destination-port]

Ejemplos

• (config) #access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80

• (config) #access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255

• (config) #access-list 105 deny 10.5.3.0 0.0.0.255 any

DEFINIR ACL EXTENDIDA, SINTAXIS:

 numACL: Identifica número de lista de acceso utilizando un número dentro

del intervalo 100-199
 protocolo: IP, TCP, UDP, ICMP, GRE, IGRP
 fuente | destino: Identificadores de direcciones origen y destino
 mascara-fuente | mascara-destino: Máscaras de wildcard
 operador: lt, gt, eq, neq
 operando: número de puerto
 established: permite que pase el tráfico TCP si el paquete utiliza una
conexión establecida.
o Respecto a los protocolos:
o Sólo se puede especificar una ACL por protocolo y por interfaz.
o Si ACL es entrante, se comprueba al recibir el paquete.
o Si ACL es saliente, se comprueba después de recibir y enrutar el
paquete a la interfaz saliente.
o Se puede nombrar o numerar un protocolo IP

ACL CON NOMBRE

Permite dar nombres en vez de números a las ACL estándar o extendidas.

APLICAR LA LISTA A UN INTERFACE

•Ejemplo:

•(config)#interface serial 0/0

•(config-if)#ip access-group 100 out

¿DÓNDE SE APLICAN LAS ACL?

•Las listas de acceso estándar se deben colocar cerca del destino.

•Las listas de acceso extendidas se deben colocar cerca de la fuente.

Ejemplo: Si se desea bloquear el tráfico del origen al destino, mejor aplicar una ACL
entrante a E0 en el router A en vez de una lista saliente a E1 en el router C

•In: el tráfico que llega a la interfaz y luego pasa por el router.

•Out: el tráfico que ya ha pasado por el router y está saliendo de la interfaz.

NORMAS

•Se puede tener una lista de acceso por protocolo, por dirección y por interfaz.

•No se puede tener dos listas de acceso a la dirección entrante de una interfaz.

•Se puede tener una lista de acceso de entrada y una de salida aplicada a una
interfaz.
Otros comandos ACL

•Mostrar las listas de acceso: Router#show access-list

•Borrar una ACL: Router(config)#no access-list n

•La modificación de una ACL requiere especial atención. Si intenta eliminar una línea
concreta de una ACL numerada, se eliminará toda la ACL

ACLS COMPLEJAS

• La idea de las ACLs complejas es complementar las ACLs estándar y extendidas

con comportamientos que las hacen útiles en contextos más interesantes.

• Dentro de las ACLs complejas tenemos 3 tipos: dinámicas, reflexivas y basadas en

tiempo

• ACLs dinámicas: usan un mecanismo básico de autenticación para activar la ACL.

La idea consiste en crear una regla en la ACL que sólo se activará si es disparada
por algún evento

• ACLs reflexivas: son un tipo de firewall primitivo que permite el tráfico sólo si es
iniciado en una dirección

• ACLs basadas en tiempo: se activan en las fechas y horarios que establecidos

previamente.
CONCLUSIÓN

Hemos visto dos formas diferentes de definir y utilizar las ACL. Como
mecanismo para extender/reducir los privilegios de archivos y directorios en un
sistema de archivos y como mecanismo de control del tráfico entrante y saliente
en dispositivos router. Pero en ambos casos el objetivo es la separación
de privilegios y así establecer los permisos adecuados en cada caso particular.

Pero existe otro ámbito de utilización de las listas de control de acceso también muy
interesante, que es en los servidores proxys. Servidores proxy como Squid, entre
otros, disponen de esta herramienta que permite determinar qué equipos accederán
a Internet a través del proxy y cuáles no.

En cualquiera de estos casos de aplicación de las listas de control de

acceso comprobamos el gran papel que desempeñan como media de seguridad
lógica, ya que su cometido siempre es controlar el acceso a los recursos o activos
del sistema.

BIBLIOGRAFIAS

1.- Collaboration, M. (or" MMC. contained in the site means any set of copyrightable.