LISTAS DE CONTROL

DE ACCESO (ACL)

PROFESOR:
GABRIEL MONTAO

AUTORES:
T.S.U CARVAJAL, ERICK
T.S.U RODRIGUEZ, RAFAEL
T.S.U ROJAS, JESS

CUMAN FEBRERO 2015

CONTENIDO
LISTA DE CONTROL DE ACCESO (ACL).
TIPOS DE ACL.
ACL ESTNDAR (NUMERADA/NOMBRADA)
PUERTOS TCP
PUERTOS UDP
PROTOCOLOS DE CONFIGURACIN
ACL EXTENDIDA
ACL EN VLAN.

LISTA DE CONTROL DE ACCESO

ACL (Access Control List)

LISTA DE CONTROL DE ACCESO

Una Lista de Control de Acceso o ACL (Access
Control List) es un concepto de seguridad
informtica usado para fomentar la separacin
de privilegios. Es una forma de determinar los
permisos

de

acceso

apropiados

un

determinado objeto, dependiendo de ciertos

aspectos del proceso que hace el pedido.

LISTA DE CONTROL DE ACCESO

En redes de computadoras, ACL se refiere a
una lista de reglas que detallan puertos de
servicio o nombres de dominios (de redes) que
estn disponibles en una terminal u otro
dispositivo de capa de red, cada uno de ellos
con una lista de terminales y/o redes que
tienen permiso para usar el servicio. Tantos
servidores individuales como routers pueden
tener ACLs de redes.

TIPOS DE ACL

TIPOS DE ACL
ACLs, estndar y extendidas (numeradas y
nombradas):
Las ACLs estndar nicamente permiten
establecer filtros basados en la direccin IP de
origen.
Las ACLs extendidas pueden realizar el filtrado
en base a prcticamente cualquier campo de la
cabecera IP, ICMP, TCP, UDP, etc. Cada ACL
est compuesta por un conjunto de reglas que
se evalan en el orden en que se han
7
declarado.

TIPOS DE ACL
Las reglas que componen una ACL estndar o
extendida se definen en modo Configuracin
Global mediante el comando access-list.
Router(config)# access-list 30 permit
192.168.40.0 0.0.0.255

LISTA DE CONTROL DE ACCESO

Al menos una sentencia debe ser una sentencia
de permiso, sino todo el trfico ser denegado.

La sentencia final es una denegacin implcita.

La ACL debe aplicarse a una interfaz para que
funcione .

ACL ESTNDAR
(numeradas/nombradas)

ACL ESTNDAR NUMERADA

Las ACL estndar filtran segn la direccin IP
de origen (Nmero identificacin: [1 - 99] y
[1300 a 1999]
sintaxis ACL estndar numerada:

config)#access-list 1-99 (permit/deny/remark) ip <Red-host> Wilcard [deny a

11

ACL ESTNDAR NUMERADA

La ACL se aplica en forma entrante
(inbound) o saliente (outbound).

La direccin se obtiene a partir de la

perspectiva del router.

Las ACL estndar deben ser configuradas en

el puerto o interfaz ms cercano al destino
negado.

12

ACL ESTNDAR NOMBRADA

El nombre descriptivo reemplaza el nmero
de ACL.
Las sentencias subsiguientes (permit/deny).
Sintaxis definicin ACL estndar nombrada:
Router(config)# ip access-list {standard } name

13

MASCARA WILCARD
Wildcard significa comodn, como el joker
en el juego de cartas. Tanto en la direccin de
origen, como (en el caso de las ACL
extendidas) en la direccin de destino, se
especifican las direcciones como dos grupos de
nmeros: un nmero IP, y una mscara
wildcard.
Si se traduce a binario, los 1 en la mscara
wildcard significan que en la direccin IP
correspondiente puede ir cualquier valor.
Para permitir o denegar una red o subred, la

14

MASCARA WILCARD
Utilizar el parmetro host en lugar de una
wildcard 0.0.0.0
192.168.15.99 0.0.0.0 es lo mismo que host
192.168.15.99
Usar el parmetro any en lugar de la wildcard
255.255.255.255
0.0.0.0 255.255.255.255 es lo mismo que any

15

RESUMEN ACL ESTNDAR

(numeradas/nombradas)

MASCARA WILCARD
Pasos para determinar tipo y ubicacin de las
ACLs:
Determinar los requisitos del filtrado de
trfico
Decidir qu tipo de ACL utilizar (estndar o
extendida)
Determinar el router y la interfaz a los cuales
aplicar la ACL
Determinar en qu direccin filtrar el trfico

17

VEMOSLO MS CLARO EN
CISCO PACKET TRACER

PUERTOS TCP

PUERTOS TCP
TCP usa el concepto de nmero de puerto para
identificar

las

aplicaciones

emisoras

receptoras. Cada lado de la conexin TCP tiene

asociado un nmero de puerto (de 16 bits sin
signo, con lo que existen 65536 puertos posibles)
asignado por la aplicacin emisora o receptora.
Los puertos son clasificados en tres categoras:
bien conocidos,
registrados, y
dinmicos/privados.

20

PUERTOS TCP
Los puertos bien conocidos son asignados por
la Internet Assigned Numbers Authority (IANA),
van del 0 al 1023 y son usados normalmente
por el sistema o por procesos con privilegios.3
Las aplicaciones que usan este tipo de puertos
son ejecutadas como servidores y se quedan a
la escucha de conexiones. Algunos ejemplos
son: FTP (21), SSH (22), Telnet (23), SMTP (25)
y HTTP (80).

21

PUERTOS TCP
Los

puertos

registrados

son

normalmente

empleados por las aplicaciones de usuario de

forma

temporal

cuando

conectan

con

los

servidores, pero tambin pueden representar

servicios que hayan sido registrados por un
tercero (rango de puertos registrados: 1024 al
49151).

22

PUERTOS TCP
Los

puertos

dinmicos/privados

tambin

pueden ser usados por las aplicaciones de

usuario, pero este caso es menos comn. Los
puertos

dinmicos/privados

no

tienen

significado fuera de la conexin TCP en la que

fueron

usados

dinmicos/privados:

(rango
49152

de
al

puertos
65535,

recordemos que el rango total de 2 elevado a

la potencia 16, cubre 65536 nmeros, del 0 23
al

PUERTOS UDP

PUERTOS UDP
El uso principal de UDP es para protocolos
como DHCP, BOOTP,DNS y dems protocolos
en los que el intercambio de paquetes de la
conexin/desconexin son mayores, o no son
rentables

con

respecto

la

informacin

transmitida, as como para la transmisin de

audio y vdeo en real, donde no es posible
realizar

retransmisiones

por

los

estrictos

25
requisitos de retardo que se tiene en estos

PUERTOS UDP
UDP

utiliza

puertos

para

permitir

la

comunicacin entre aplicaciones. El campo de

puerto tiene una longitud de 16 bits, por lo que
el rango de valores vlidos va de 0 a 65.535. El
puerto 0 est reservado, pero es un valor
permitido como puerto origen si el proceso
emisor

no

espera

recibir

mensajes

como

respuesta. UDP distingue entre puertos bien

conocidos, registrados y efmeros.

26

PUERTOS UDP
bien conocidos : puertos del 1 al 1023
registrados : puertos del 1024 al 49.151
efmeros : puertos del 49.152 al 65.535
Los puertos efmeros son utilizados como
puertos temporales, sobre todo por los clientes
al comunicarse con los servidores.

27

PUERTOS UDP
Los puertos UDP mas usados son:
Puerto 7.- echo.
Puerto 53.- sistema de nombre de dominio.
DNS
Puerto 67.- servicio de protocolo de inicio.
BOOTP
Puerto 69.- protocolo trivial de transferencia
de archivo. TFTP
Puerto 138.- servicio de datagrama. NETBIOS28

ACL EXTENDIDA

ACL EXTENDIDA
Las ACL extendidas filtran en el origen y el
destino as como tambin en el nmero de
puerto y protocolo
(Nmero identificacin: [100 a 199] y [2000 a
2699])

30

TIPOS DE ACL
ACL extendida: sintaxis
Router(config)#Access-list 100-199 permit/deny ip/tcp/udp/icmp... <Red-host
de origen> Wilcard <Red-host de destino> Wilcard <eq> puerto (solo aplica
en protocolos tcp/udp)

31

PROTOCOLOS DE
CONFIGURACIN

EIGRP

PROTOCOLOS DE
CONFIGURACIN.
Enhaced Interior Gateway

Protocol:

Protocolo

de

Routing

enrutamiento

de

gateway interior mejorado) es un protocolo de

encaminamiento vector distancia avanzado,
propiedad de Cisco Systems, que ofrece lo
mejor de los algoritmos de vector de distancias
y del estado de enlace.

33

GRE

PROTOCOLOS DE
CONFIGURACIN.
Generic Routing Encapsulation:

es un

protocolo del nivel de transporte que puede

encapsular una amplia variedad de tipos de
protocolos diferentes dentro de tneles IP,
creando una red punto a punto entre dos
mquinas que estn comunicndose por este
protocolo. Su uso principal es crear tneles
VPN.
34

ICMP

PROTOCOLOS DE
CONFIGURACIN.
Internet Control Message Protocol:

El Protocolo de Mensajes de Control de Internet

o ICMP es el sub protocolo de control y
notificacin de errores del Protocolo de Internet
(IP). Como tal, se usa para enviar mensajes de
error, indicando por ejemplo que un servicio
determinado no est disponible o que un router
o host no puede ser localizado. Tambin puede
35
ser utilizado para transmitir mensajes ICMP

PROTOCOLOS DE
CONFIGURACIN.
IGMP Internet Group Multicast Protocol: El
protocolo

de

red

IGMP

se

utiliza

para

intercambiar informacin acerca del estado de

pertenencia entre enrutadores IP que admiten
la multidifusin y miembros de grupos de
multidifusin. Los hosts miembros individuales
informan acerca de la pertenencia de hosts al
grupo de multidifusin y los enrutadores de
multidifusin

sondean

peridicamente

el

36

IGRP

PROTOCOLOS DE
CONFIGURACIN.
Interior
Gateway Routing Protocol:

Protocolo de enrutamiento de gateway interior, es

un protocolo propietario patentado y desarrollado
por CISCO que se emplea con el protocolo TCP/IP
segn el modelo (OSI) Internet. La versin original
del IP fue diseada y desplegada con xito en
1986. Se utiliza comnmente como IGP para
intercambiar
Autnomo,

datos
pero

dentro
tambin

de

un

Sistema

se

ha

utilizado

37
extensivamente como Exterior Gateway Protocol

IP

PROTOCOLOS DE
CONFIGURACIN.
Internet
Protocol: Protocolo de Internet

IP es un protocolo de comunicacin de datos

digitales clasificado funcionalmente en la Capa
de Red segn el modelo internacional OSI. Su
funcin principal es el uso bidireccional en
origen

destino

de

comunicacin

para

transmitir datos mediante un protocolo no

orientado a conexin que transfiere paquetes
conmutados a travs de distintas redes fsicas
38

PROTOCOLOS DE
IPinIP IP CONFIGURACIN.
in IP tunneling: es un protocolo que
encapsula un paquete IP en otro paquete IP.
Para encapsular un paquete IP en otro paquete
IP,

se

aade

una

cabecera

exterior

con

SourceIP , el punto de entrada del tnel y al

punto Destino, el punto de la salida del tnel.
Mientras hace esto, el paquete interno es no
modificado (excepto el TTL de campo, que se
decrementa).

39

NOS

PROTOCOLOS DE
CONFIGURACIN.
KA9Q
NOS: Siglas que definen

implementacin

del

protocolo

TCP/IP

una
de

internet (y otros asociados al mismo) que

emplean cualquier dispositivo para acceder a
la red aunque en su da la popularizaron los
que empleaban programas de acceso a la red
va radio. Debe el nombre a Phil Karn, un
radioaficionado que lo emple por primera vez
en un PC con un sistema operativo MS-DOS.

40

OSPF

PROTOCOLOS DE
CONFIGURACIN.
Open
Shortest Path First: El

ms

corto

primero,

un

camino

protocolo

de

encaminamiento jerrquico de pasarela interior

o IGP (Interior Gateway Protocol), que usa el
algoritmo SmoothWall Dijkstra enlace-estado
(LSE - Link State Algorithm) para calcular la
ruta ms idnea.

41

PROTOCOLOS DE
CONFIGURACIN.
Transmission
Control Protocol (TCP)

Protocolo de Control de Transmisin, es uno de

los

protocolos

fundamentales

en

Internet.

Muchos programas dentro de una red de datos

compuesta por computadoras, pueden usar
TCP para crear conexiones entre s a travs
de las cuales puede enviarse un flujo de datos.
El protocolo garantiza que los datos sern
entregados en su destino sin errores y en 42
el

User

PROTOCOLOS DE
CONFIGURACIN.
Datagram
Protocol (UDP)

es

un

protocolo del nivel de transporte basado en el

intercambio de datagramas (Encapsulado de
capa 4 Modelo OSI). Permite el envo de
datagramas a travs de la red sin que se haya
establecido previamente una conexin, ya que
el

propio

informacin
cabecera.

datagrama
de

incorpora

direccionamiento

suficiente
en

su
43

PLICANDO ACLs EXTENDIDA E

CISCO PACKET TRACER