Una lista de control de acceso (ACL) es una lista de reglas que controlan y filtran el tráfico basándose en las direcciones IP de origen y destino o en los números de puerto. Esto ocurre permitiendo paquetes o bloqueando paquetes desde una interfaz en un router, switch, firewall, etc.
Las entradas individuales o declaraciones en una lista de acceso se llaman entradas de control de acceso (ACEs). Cada entrada ACE define un flujo de tráfico (origen/destino) que será permitido o bloqueado.
Además de controlar y filtrar el tráfico en una red, las ACLs también pueden utilizarse como medida de seguridad para conectarse al router permitiendo sólo las direcciones IP o redes necesarias para acceder al router vía telnet (o preferiblemente con SSH).
También tienen otros usos como el control de acceso a la gestión, el filtrado de anuncios de rutas, el filtrado de la salida de depuración, la identificación del tráfico para el cifrado en escenarios VPN, etc.
Las listas de acceso son básicamente una herramienta para emparejar paquetes interesantes que luego pueden ser sometidos a diferentes tipos de operaciones especiales.
En los dispositivos Cisco tenemos dos tipos principales de ACL. Estas son las Listas de Control de Acceso Estándar y las Listas de Control de Acceso Extendido.
- Listas de Acceso Estándar
Las listas de acceso estándar son la forma básica de lista de acceso en los routers Cisco que se pueden utilizar para hacer coincidir los paquetes por el campo de la dirección IP de origen en la cabecera del paquete. Estas listas de acceso son más simples de crear y entender, pero las opciones de coincidencia de paquetes también se limitan a la dirección de origen.
- Listas de acceso extendidas
Si desea coincidir con los paquetes en algo más que la dirección IP de origen, necesitaría una lista de acceso extendida: numerada o con nombre. Las listas de acceso extendidas pueden filtrar por las direcciones IP de origen y destino, o por una combinación de direcciones y otros campos como los puertos TCP/UDP, etc.
Tanto las listas de acceso estándar como las extendidas pueden escribirse en formato numerado o con nombre, que no son más que formas diferentes de escribir listas de acceso.
En términos de funcionalidad, las listas de acceso numeradas y con nombre son equivalentes. Lo que se puede lograr con una lista de acceso numerada también se puede lograr con una lista de acceso con nombre equivalente, y esto se aplica tanto a las ACL estándar como a las extendidas.
Algunas personas prefieren el formato con nombre, ya que es probablemente más legible, pero ambos formatos se utilizan ampliamente en la práctica y ambos son importantes para su examen de certificación de Cisco.
Por favor, consulte la Tabla 1 para conocer el rango de números que se pueden utilizar para crear listas de acceso numeradas estándar y extendidas.
Tabla 1 Rangos de números de listas de acceso
| Tipo de lista de acceso | Rango de números |
| Listas de acceso estándar IP | 1-99 |
| Listas de acceso estándar IP (rango ampliado) | 1300-1999 |
| Listas de acceso ampliadas IP | 100-199 |
| Listas de acceso ampliadas IP (rango expandido) | 2000-2699 |
Vamos a considerar estas listas de control de acceso, cómo funcionan y cómo configurarlas en los routers Cisco.
Por favor, eche un vistazo a la Figura 1 que aparece a continuación y que utilizaremos para todos nuestros ejemplos de configuración.
El escenario consiste en un único router R1 con dos interfaces Fa0/0 y Fa0/1 conectadas a la red interna y a Internet, respectivamente.
Las listas de acceso tendrían como objetivo controlar el acceso a Internet de los usuarios de la red interna. Estas listas de acceso se aplicarían a la interfaz Fa0/0 en la dirección de entrada.
Figura 1 Aplicación de la lista de acceso
Ejemplos de configuración de la lista de acceso estándar
La lista de control de acceso estándar le permitirá permitir o denegar el tráfico de una dirección IP de origen o red IP específica.
Creación de listas de acceso estándar numeradas
Comenzaremos por configurar una lista de acceso estándar primero en formato numerado y luego en formato nombrado. La lista de acceso debe permitir que Bob acceda a Internet mientras bloquea todo el acceso para Smith, registrando también los intentos fallidos de Smith.
Veamos cómo podemos hacer esto utilizando una lista de acceso estándar en formato numerado.
R1>enable
R1#configure terminal
Ingrese los comandos de configuración, uno por línea. Termine con CNTL/Z.
R1(config)#lista de acceso 1 permit host 192.168.1.3
R1(config)#lista de acceso 1 deny host 192.168.1.7 log
R1(config)#
En el ejemplo de configuración anterior hemos utilizado la palabra clave host para identificar hosts individuales, pero también se puede conseguir el mismo resultado utilizando la máscara inversa 0.0.0.0.
Apliquemos ahora esta lista de acceso a la interfaz Fa0/0 en la dirección de entrada.
R1(config)#interfaz Fa0/0
R1(config-if)#ip access-group 1 ?
in paquetes de entrada
out paquetes de salida
R1(config-if)#ip access-group 1 in
R1(config-if)#end
R1#
Las listas de acceso con nombre tienen un número del 1 al 99. Cuando usted está poniendo una lista de acceso en un router tendrá que identificar las listas de acceso con un número, por ejemplo, la lista de acceso 1 como se muestra arriba.
En cada lista de acceso habrá un implícito negar todo al final de la ACL, incluso si usted no lo especifica explícitamente. Así que si usted configuró su lista de acceso como este aquí es lo que haría.
show access-list 1
La salida será:
access-list 1 permit host 192.168.1.3
access-list 1 deny host 192.168.1.7 log
access-list 1 deny any
Creación de listas de acceso estándar con nombre
Creemos ahora una lista de acceso con nombre y la aplicamos a la interfaz Fa0/0, para conseguir el mismo efecto. En este caso, utilizaríamos la máscara inversa en lugar de la palabra clave host para hacer coincidir hosts individuales.
R1>enable
R1#configure terminal
Ingrese los comandos de configuración, uno por línea. Termine con CNTL/Z.
R1(config)#ip access-list standard Filter
R1(config-std-nacl)#permit 192.168.1.3 0.0.0
R1(config-std-nacl)#deny 192.168.1.7 0.0.0.0 log
R1(config-std-nacl)#interfaz Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
Ejemplos de configuración de listas de acceso extendidas
Una lista de control de acceso extendida le permitirá denegar o permitir el tráfico de direcciones IP y puertos específicos.
También le da la capacidad de controlar el tipo de protocolo que puede ser transferido como ICMP, TCP, UDP y así sucesivamente. El rango de las listas de control de acceso extendidas es de 100 a 199 para ACLs numeradas.
Un ejemplo de ACL extendida numerada:
access-list 110 permit tcp 92.128.2.0 0.0.0.255 any eq 80
La ACL 110 permitirá el tráfico procedente de cualquier dirección de la red 92.128.2.0 (red de origen) hacia cualquier IP de destino en el puerto 80.
La sentencia ‘any’ está ahí para permitir el tráfico hacia cualquier destino IP en el puerto 80. La primera declaración de red en el comando access-list (es decir, 92.128.2.0 0.0.255) se refiere a la fuente del tráfico, y la segunda declaración de red (la palabra clave «any» en nuestro ejemplo) se refiere al destino del tráfico.
Otro ejemplo:
access-list 111 permit ip 192.168.1.0 0.0.255 192.168.2.0 0.0.0.255
La configuración anterior permitirá todo el tráfico IP desde la red origen 192.168.1.0/24 hacia la red de destino 192.168.2.0/24.
Nótese también que la máscara de subred en la configuración de la ACL siempre se representa con una máscara inversa (es decir, en lugar de usar 255.255.255.0 usamos 0.0.0.255).
Creación de listas de acceso extendidas numeradas
Ahora configuraremos una lista de acceso extendida primero en formato numerado y luego en formato nombrado. La lista de acceso debe permitir que Bob (de nuestro diagrama de red anterior) acceda a los servidores web de Internet, mientras que bloquea todo el acceso a la web para Smith, además de registrar los intentos fallidos de Smith para abrir un sitio web.
Veamos cómo podemos hacer esto utilizando una lista de acceso extendida en formato numerado.
R1>enable
R1#configure terminal
Ingrese los comandos de configuración, uno por línea. Termine con CNTL/Z.
R1(config)#lista de acceso 100 permit tcp host 192.168.1.3 any eq www
R1(config)#lista de acceso 100 deny tcp host 192.168.1.7 any eq www log
R1(config)#interfaz Fa0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#end
R1#
Creación de listas de acceso extendidas con nombre
Ahora, vamos a configurar la misma lista de acceso extendida en el formato con nombre.
R1>enable
R1#configure terminal
Ingrese los comandos de configuración, uno por línea. Termine con CNTL/Z.
R1(config)#ip access-list extended Filter
R1(config-ext-nacl)#permit tcp 192.168.1.3 0.0.0 any eq www
R1(config-ext-nacl)#deny tcp 192.168.1.7 0.0.0.0 any eq www log
R1(config-ext-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1#
En este artículo hemos tratado brevemente las listas de acceso. Puede verificar qué listas de acceso existen en su dispositivo Cisco utilizando el comando show access-lists.
Una prueba final de las listas de acceso se realiza generando realmente el tráfico que la lista de acceso debe permitir o denegar y ver los resultados.
Cómo aplicar la ACL
Después de haber establecido la ACL en su lugar tendrá que especificar en qué dirección desea que funcione en la interfaz que se aplicará (de entrada o de salida).
Por ejemplo «in» significa de entrada a la interfaz y «out» significa de salida de la interfaz. La ACL se aplica entonces en una interfaz específica utilizando el comando «access-group».
Puedes identificar una lista de acceso dándole un nombre o un número como se ha comentado anteriormente. Este es un conjunto de comandos que utilizaría:
Router(config)#interfaz serial 0
Router(config-if)#ip access-group 111 out
Using Access Lists to secure Telnet access to a router
También puede asegurar sus líneas telnet en un router mediante ACL. Esto le permitirá permitir el acceso a la entrada de telnet sólo para ciertos hosts o redes. A continuación se muestra una configuración de ejemplo de cómo hacer esto.
access-list 25 permit 192.168.2.0 0.0.255
line vty 0 4
access-class 25 in
Con esta ACL en su lugar sólo permitirá a los hosts de la red 192.168.2.0/24 tener acceso al inicio de sesión VTY. Todos los intentos de otras redes serían bloqueados.
Otro ejemplo: Digamos que tenemos una estación de gestión específica (10.1.1.1) que debe ser permitido el acceso al router a través de telnet. Todos los demás hosts deben ser bloqueados.
access-list 10 permit host 10.1.1.1
line vty 0 4
access-class 10 in