Hace una semana empecé a escribir este post pero hoy ya lo he acabado, así que espero que os guste, trata sobre qué son las listas de acceso y adjunto una práctica sobre ella.
¿Qué es una lista de control de acceso o ACL?
Son listas secuenciales que dan permiso o deniegan direcciones IP o protocolos en una red y se aplican a una interfaz del router. Su utilización permite controlar y limitar el tráfico, controlar áreas de red y analizar hosts. Operan en la capa de Red y de Transporte.
La aceptación y rechazo se pueden basar en dirección origen, dirección destino, protocolo de capa superior y número de puerto. Las ACL no actúan sobre paquetes que se originan en el router dónde se encuentran sino sobre los paquetes que entran o salen. ACL pueden controlar la mayoría de protocolos en un router Cisco. Sólo se puede especificar una ACL por protocolo y por interfaz.
El lugar dónde se encuentre una ACL influye en la reducción del tráfico innecesario: las ACL extendidas se deben colocar lo más cerca posible del origen del tráfico denegado y las ACL estándar lo más cerca posible del destino.
Existen varios tipos de listas de control de acceso, aunque los más importantes son los dos primeros:
-
Estándar
Permiten o deniegan el tráfico desde una IP de origen. No importa el destino ni los puertos. Como número identificativo usan entre 1 y 99.
-
Extendida
Filtran por tipo de protocolo, IP de origen, IP de destino, puerto de origen, puerto de destino, información adicional, puertos TCP UDP. Como número identificativo usan entre 101 y 199.
- Nombradas: Se utiliza una cadena alfanumérica en lugar de números del 1- 199. Se suelen usar cuando todos los identificativos han sido utilizados.
Estos son tipos de listas de control de acceso complejas:
- Dinámicas: Permite tráfico por un tiempo, producen errores por inactividad y superar el tiempo de espera.
- Reflexivas: Sólo entradas temporales, sesiones de forma dinámica y sólo lleva a cabo la conexión si sólo es iniciado en una dirección. Usan los protocolos UDP e ICMP.
- Basadas en tiempo: Similar a las ACL extendida con control de acceso basado en tiempo, rango horario, identifica el rango con nombre y se remite a él con una función, se puede poner restricciones temporales.
Práctica: LISTA CONTROL ACCESO BÁSICAS (ACL)
Primero vamos a hacer una lista estándar:
R3(config)# ip Access-list standard MIESTANDAR
R3(config-acl)# deny 192.168.11.0 0.0.0.255
R3(config-acl)# permit any
R3(config-acl)# exit
R3(config)# interface serial 0/0
R3(config-if)# ip acces-group MIESTANDAR in
R3(config-if)# end
Una vez hecho esto vamos a probar a realizar una lista de control de acceso extendida:
R3(config)# ip Access-list extended MIEXTENDIDA
R3(config-acl)# deny ip 192.168.10.0 0.0.0.255 host 209.168.200.225
R3(config-acl)# permit ip any any
R3(config-acl)# exit
R3(config)# interface serial 0/0
R3(config-if)# ip acces-group MIEXTENDIDA out
R3(config-if)# end
Finalmente, voy a realizar una lista de control de acceso estándar para controlar las líneas telnet:
R3(config)# ip Access-list standard MIOTRAESTANDAR
R3(config-acl)# permit 10.2.2.0 0.0.0.3
R3(config-acl)# permit 192.168.30.0 0.0.0.255
R3(config-acl)# deny any
R3(config-acl)# exit
R3(config)# line vty 0 4
R3(config-if)# acces-class MIOTRAESTANDAR in
R3(config-if)# end
Finalmente decir que cuando incluimos la lista de control de acceso a una interfaz o a una línea telnet o de consola introduzco el comando “in” o “out”. Usamos “in” si el tráfico o paquetes son entrantes, y en caso contrario “out” cuando los paquetes o tráfico es saliente.
¡Un saludo!