RedesChile.

NET 2010

Access List (ACL)

Una Lista de Control de Acceso o ACL (del ingls, Access Control List) es un concepto de seguridad informtica usado para fomentar la separacin de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.

Las ACLs permiten controlar el flujo del trfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna condicin. Sin embargo, tambin tienen usos adicionales, como por ejemplo, distinguir "trfico interesante" (trfico suficientemente importante como para activar o mantener una conexin) en VPN.

Cisco define 5 tipos ACL siendo las dos ms importantes la estndar y la extendida.

La ACL estndar debe estar ubicada los ms cerca del destino de la transmisin de los datos.

Por su parte la ACL extendida debe estar ubicada lo ms cerca del origen de la transmisin de datos.

Las ACL estndar se utilizan para filtrar todo tipo de trfico. Esto en contraposicin de las ACL extendidas cuya funcin es filtrar un protocolo en especial.

Finalmente es importante recordar que las ACL se identifican con un nmero. Las estndar van en el rango 1-99 y las extendidas en el rango 100-199.

Rafael Medina Mardones

Pgina 1

RedesChile.NET 2010
Dicho esto nos centraremos en lo ms complicado a la hora de generar una ACL. Las wildcards.

Construccin de ACL

Las wildcards en una ACL nos indicaran hasta donde o mejor dicho hasta que host estamos realizando una determinada operacin. Es decir nos permiten seleccionar un rango de host, donde el inicio es la direccin IP de la ACL y el termino de rango es la wildcard. Por otro lado es muy importante recordar que en una wildcard solo se permiten los siguientes nmeros: 0, 1, 3, 7, 15, 31, 63, 127 y 255. Vamos a los ejemplos:

Ejemplo 1

Construya una ACL que deniegue todo el trafico de la red 192.168.0.0/24 hacia la red 10.0.0.0/24

Rafael Medina Mardones

Pgina 2

RedesChile.NET 2010

LO PRIMERO QUE DEBEMOS DETERMINAR ES QUE TIPO DE ACL ES EL INDICADO EN ESTE EJEMPLO ES UNA ACL ESTANDAR YA QUE SE PIDE DENEGAR TODO EL TRAFICO. LUEGO DEBEMOS SABER EN QUE ROUTER IRA LA ACL. EN ESTE CASO EN R2, YA QUE ES EL ROUTER MAS CERCANO AL DESTINO. FINALMENTE DEBEMOS RECONOCER EN QUE INTERFAZ APLICAR LA ACL EN ESTE CASO LA F0/0 YA QUE ES LA INTERFAZ MAS CERCANA AL DESTINO.

OK ahora que ya sabemos lo esencial construyamos la ACL.

R2(config)#access-list 1 deny 192.168.0.0 0.0.0.255 R2(config)#access-list 1 permit any R2(config)#interface fastEthernet 0/0 R2(config-if)#ip access-group 1 out

Rafael Medina Mardones

Pgina 3

RedesChile.NET 2010
OK fjate en la primera lnea. El inicio del rango de aplicacin de la ACL es la ip 192.168.0.0 y termina en exactamente 0.0.0.255 host mas. Este valor 0.0.0.255 es la wildcard. Pero como podemos revisar manualmente hasta donde avanza la IP con la wildcard que utilizamos? La respuesta es simple..

CONVIERTE A BINARIO Y APLICA LO SIGUIENTE: LOS 0 EN LA WILDCARD OBLIGAN Y LOS 1 OMITEN

Que quiero decir con esto. Si tienes un 0 en la WC entonces estas obligado a recibir el mismo bit de la IP. Pero si tienes un 1 en la WC marca una X por que da lo mismo, es decir omite IP WILDCARD 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 x x x x x x x x Finalmente reemplaza todas las X por un 1 para posteriormente convertir a decimal (en el caso del ejemplo 11111111 es decir 255). Entonces llegamos a 255 y por lo tanto abarcamos toda la red.

Ejemplo 2 Rafael Medina Mardones Pgina 4

RedesChile.NET 2010

Construya una ACL que deniegue todo el trafico de los host 100 al 200 de la red 192.168.0.0/24 hacia la red 10.0.0.0/24

LOS PRINCIPIOS BASICOS DE ESTE PROBLEMA SON LOS MISMOS DEL ANTERIOR EJEMPLO. ESTAMOS FRENTE A UNA ACL ESTANDAR PARA SER CONFIGURADA EN R2 EN SU INTERFAZ F0/0.

LO QUE CAMBIA ES LA APLICACIN DE LAS WILDCARD, YA QUE CUANDO TRABAJAS CON RANGOS ESPECIFICOS ES UN POCO MAS DIFICIL.

Veamos como quedan los clculos:

Rafael Medina Mardones

Pgina 5

RedesChile.NET 2010
128 64 32 16 8 IP (100) IP (104) IP (112) IP (128) IP (192) IP (200) 0 0 0 1 1 1 1 1 1 0 1 1 1 1 1 0 0 0 0 0 1 0 0 0 0 1 0 0 0 1 4 2 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 WILDCARD MAXIMO 0.0.0.3 0.0.0.7 0.0.0.15 0.0.0.127 0.0.0.63 0.0.0.7 WILDCARD A UTILIZAR 0.0.0.3 0.0.0.7 0.0.0.15 0.0.0.63 0.0.0.7 0.0.0.0

Si no entendiste nada PON ATENCIN A ESTO:

PASO 1: Transformar a binario la IP de inicio (en este caso la 100)

PASO 2: Sumar todos los 0 que se ubiquen al final del binario y que estn de forma continua (en la primera lnea son los ltimos 2 dgitos, en la segunda lnea los ltimos 3 dgitos, en la cuarta lnea los ltimos 7 dgitos, etc, etc, etc). Esta suma te dar como resultado la wildcard mas grande que puedes utilizar. NADA ms grande que eso, podras utilizar una wildcard menor, pero jams una mayor.

PASO 3: Suma la IP + la wildcard (en el caso de la primera lnea 100 + 3 = 103), esto dar como resultado hasta que IP avanzo la wildcard (en este caso la 103, por lo tanto la prxima lnea de la ACL comenzara en la IP 104).

PASO 4: Vuelve al paso 1 y repite hasta llegar al final del rango solicitado AHORA VAMOS A OBSERVAR LA LINEA CORRESPONDIENTE A LA IP 128. ESTO POR QUE LA WILDCARD MAS GRANDE QUE PODEMOS UTILIZAR ES LA 127, PERO CON ESTO QUEDAMOS SOBRE Rafael Medina Mardones Pgina 6

RedesChile.NET 2010
EL RANGO SOLCITADO.. ENTONCES UTILIZAREMOS UNA WILDCARD MAS PEQUEA, PERO QUE SE NOS ACERQUE LO MAS POSIBLE A NUESTRO DESTINO (EN ESTE CASO 200) POR LO TANTO UTILIZAREMOS LA 63. FINALMENTE QUIERO EXPLICAR LA ULTIMA LINEA LA IP 200. AQU HEMOS UTILIZADO LA WILDCARD 0 TAMBIEN CONOCIDA COMO DE HOST YA QUE ESTA SIMPLEMENTE ABARCA UNA IP (EN ESTE CASO LA 200. PARA SER MAS CLAROS 200 + 0 = 200).

ENTONCES LA ACL QUEDA ASI:

R2(config)#access-list 1 deny 192.168.0.100 0.0.0.3 R2(config)#access-list 1 deny 192.168.0.104 0.0.0.7 R2(config)#access-list 1 deny 192.168.0.112 0.0.0.15 R2(config)#access-list 1 deny 192.168.0.128 0.0.0.63 R2(config)#access-list 1 deny 192.168.0.192 0.0.0.7 R2(config)#access-list 1 deny 192.168.0.200 0.0.0.0 R2(config)#access-list 1 permit any R2(config)#int f0/0 R2(config-if)#ip access-group 1 out

Rafael Medina Mardones

Pgina 7