ACL (Listas de Control de Acceso)

Proposito de las ACL

Las ACL permiten un control del tr�fico de red, a nivel de los routers. Pueden ser parte
de una solucion de seguridad (junton con otros componentes, como antivirus, anti-
esp�as, firewall, proxy, etc.).

Puntos varios, que se deben recordar

• Una ACL es una lista de una o m�s instrucciones.
• Se asigna una lista a una o m�s interfaces.
• Cada instruccion permite o rechaza tr�fico, usando uno o m�s de los
siguientes criterios: el origen del tr�fico; el destino del tr�fico; el protocolo
usado.
• El router analiza cada paquete, compar�ndolo con la ACL correspondiente.
• El router compara la ACL l�nea por l�nea. Si encuentra una coincidencia,
toma la acci�n correspondiente (aceptar o rechazar), y ya no revisa los restantes
renglones.
• Es por eso que hay que listar los comandos desde los casos m�s espec�ficos,
hasta los m�s generales. �Las excepciones tienen que estar antes de la regla
general!
• Si no encuentra una coincidencia en ninguno de los renglones, rechaza
autom�ticamente el tr�fico. Consideren que hay un "deny any" impl�cito, al
final de cada ACL.
• Cualquier l�nea agregada a una ACL se agrega al final. Para cualquier otro tipo
de modificaci�n, se tiene que borrar toda la lista y escribirla de nuevo. Se
recomienda copiar al Bloc de Notas y editar all�.
• Las ACL est�ndar (1-99) s�lo permiten controlar en base a la direcci�n de
origen.
• Las ACL extendidas (100-199) permiten controlar el tr�fico en base a la
direcci�n de origen; la direcci�n de destino; y el protocolo utilizado.
• Tambi�n podemos usar ACL nombradas en vez de usar un rango de n�meros.
El darles un nombre facilita entender la configuraci�n (y por lo tanto, tambi�n
facilita hacer correcciones). No tratar� las listas nombradas en este resumen.
• Si consideramos s�lo el tr�fico de tipo TCP/IP, para cada interface puede
haber s�lo una ACL para tr�fico entrante, y una ACL para tr�fico saliente.
• Sugerencia para el examen: Se deben conocer los rangos de n�meros de las
ACL, incluso para protocolos que normalmente no nos interesan.

Wildcards
• "Wildcard" significa "comod�n", como el joker en el juego de naipes.
• Tanto en la direcci�n de origen, como (en el caso de las ACL extendidas) en la
direcci�n de destino, se especifican las direcciones como dos grupos de
n�meros: un n�mero IP, y una m�scara wildcard.
 • Si se traduce a binario, los "1" en la m�scara wildcard significan que en la
direcci�n IP correspondiente puede ir cualquier valor.
• Para permitir o denegar una red o subred, la m�scara wildcard es igual a la
m�scara de subred, cambiando los "0" por "1" y los "1" por "0" (en binario).
• Sin embargo, las m�scaras wildcard tambi�n permiten m�s; por ejemplo, se
pueden denegar todas las m�quinas con n�meros IP impares, o permitir el
rango de IP 1-31, en varias subredes a la vez.

Ejemplos:

• Permitir o denegar un IP espec�fico: 172.16.0.1 0.0.0.0. Se puede abreviar

como host 172.16.0.1.
• Permitir o denegar una subred: 172.16.0.0 0.0.0.255. (El ejemplo corresponde a
una subred /24, es decir, m�scara de subred = 255.255.255.0.)
• Permitir o denegar a todos: 0.0.0.0 255.255.255.255. Se puede abreviar como
any.

Colocaci�n de las ACL

• Las ACL est�ndar se colocan cerca del destino del tr�fico. Esto se debe a sus
limitaciones: no se puede distinguir el destino.
• Las ACL extendidas se colocan cerca del origen del tr�fico, por eficiencia - es
decir, para evitar tr�fico innecesario en el resto de la red.

Direcci�n del tr�fico

El tema "in" vs. "out" suele causar confusiones, por eso es convienente la siguiente
explicaci�n.

La direcci�n in o out (entrada o salida) se refiere al router que est�n configurando en

ese momento. Por ejemplo, con la siguiente configuraci�n de routers (A, B, C son
routers; X, Y son hosts (o redes)):

X ------ A ------ B ------ C ------- Y

Se puede controlar el tr�fico de X a Y en el router A, B o C.

Por ejemplo, el en router A, se puede controlar el tr�fico entrante (in), en la interface

que est� a su izquierda. En el mismo router, tambi�n es posible controlar el tr�fico
saliente (out), en la interface que est� a su derecha.

De la misma manera, se puede controlar el trafico en el router B: entrante, a la

izquierda; o saliente, por la derecha; o de igual manera en el router C.

(Lo mas recomendable en este caso es usar una lista extendida, en el router A, y
aplicarla a la interface a su izquieda, direccion "in" - entrante.)
Tambien se debe recordar que normalmente el trafico fluye en dos direcciones. Por
ejemplo, si "Y" es un servidor Web, teoricamente, en el router C, interface a la derecha,
se podria bloquear la solicitud al servidor (out), o tambien la respuesta del servidor (in).

ACL estándar
Sintaxis para un renglon (se escribe en el modo de configuracion global):

access-list (numero) (deny | permit) (ip origen) (wildcard origen)

Ejemplo: Bloquear toda la subred 172.17.3.0/24, excepto la maquina 172.17.3.10.

access-list 1 permit host 172.17.3.10

access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit any

Para asignarlo a una interface:

interface F0
ip access-group 1 out

ACL extendidas
Sintaxis para cada rengl�n:

access-list (n�mero) (deny | permit) (protocolo) (IP origen) (wildcard

origen) (IP destino) (wildcard destino)
[(operador) (operando)]

El "protocolo" puede ser (entre otros) IP (todo tr�fico de tipo TCP/IP), TCP, UDP,
ICMP.

El "operando" puede ser un n�mero de puerto (por ejemplo 21), o una sigla conocida,
por ejemplo, "ftp".

Ejemplo 1: Repetir el ejemplo de la ACL est�ndar, pero se especifica que se quiere

permitir o denegar el tr�fico con destino al servidor, que est� en 172.16.0.1:

access-list 101 permit ip host 172.17.3.10 host 172.16.0.1

access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1
access-list 101 permit ip any any

Ejemplo 2: Permitir tr�fico HTTP y "ping" (ICMP) al servidor 172.16.0.1, para todos.
Denegar todo lo dem�s.

access-list 102 permit icmp any host 172.16.0.1

access-list 102 permit tcp any host 172.16.0.1 eq www