Listas de Control de Acceso

Hace una semana empecé a escribir este post pero hoy ya lo he acabado, así que espero que os guste, trata sobre qué son las listas de acceso y adjunto una práctica sobre ella.

¿Qué es una lista de control de acceso o ACL?

Son listas secuenciales que dan permiso o deniegan direcciones IP o protocolos en una red y se aplican a una interfaz del router. Su utilización permite controlar y limitar el tráfico, controlar áreas de red y analizar hosts. Operan en la capa de Red y de Transporte.

La aceptación y rechazo se pueden basar en dirección origen, dirección destino, protocolo de capa superior y número de puerto. Las ACL no actúan sobre paquetes que se originan en el router dónde se encuentran sino sobre los paquetes que entran o salen. ACL pueden controlar la mayoría de protocolos en un router Cisco. Sólo se puede especificar una ACL por protocolo y por interfaz.

El lugar dónde se encuentre una ACL influye en la reducción del tráfico innecesario: las ACL extendidas se deben colocar lo más cerca posible del origen del tráfico denegado y las ACL estándar lo más cerca posible del destino.

Existen varios tipos de listas de control de acceso, aunque los más importantes son los dos primeros:

  • Estándar

Permiten o deniegan el tráfico desde una IP de origen. No importa el destino ni los puertos. Como número identificativo usan entre 1 y 99.

  • Extendida

Filtran por tipo de protocolo, IP de origen, IP de destino, puerto de origen, puerto de destino, información adicional,  puertos TCP UDP. Como número identificativo usan entre 101 y 199.

 

  • Nombradas: Se utiliza una cadena alfanumérica en lugar de números del 1- 199. Se suelen usar cuando todos los identificativos han sido utilizados.

Estos son tipos de listas de control de acceso complejas:

  • Dinámicas: Permite tráfico por un tiempo, producen errores por inactividad y superar el tiempo de espera.
  • Reflexivas: Sólo entradas temporales, sesiones de forma dinámica y sólo lleva a cabo la conexión si sólo es iniciado en una dirección. Usan los protocolos UDP e ICMP.
  • Basadas en tiempo: Similar a las ACL extendida con control de acceso basado en tiempo, rango horario, identifica el rango con nombre y se remite a él con una función, se puede poner restricciones temporales.

 

 Práctica: LISTA CONTROL ACCESO BÁSICAS (ACL)

Capt22ura

Primero vamos a hacer una lista estándar:

R3(config)# ip Access-list standard MIESTANDAR

R3(config-acl)# deny 192.168.11.0 0.0.0.255

R3(config-acl)# permit any

R3(config-acl)# exit

R3(config)# interface serial 0/0

R3(config-if)# ip acces-group MIESTANDAR in

R3(config-if)# end

 Una vez hecho esto vamos a probar a realizar una lista de control de acceso extendida:

R3(config)# ip Access-list extended MIEXTENDIDA

R3(config-acl)# deny ip 192.168.10.0 0.0.0.255 host 209.168.200.225

R3(config-acl)# permit ip any any

R3(config-acl)# exit

R3(config)# interface serial 0/0

R3(config-if)# ip acces-group MIEXTENDIDA out

R3(config-if)# end

 Finalmente, voy a realizar una lista de control de acceso estándar para controlar las líneas telnet:

R3(config)# ip Access-list standard MIOTRAESTANDAR

R3(config-acl)# permit 10.2.2.0 0.0.0.3

R3(config-acl)# permit 192.168.30.0 0.0.0.255

R3(config-acl)# deny any

R3(config-acl)# exit

R3(config)# line vty 0 4

R3(config-if)# acces-class MIOTRAESTANDAR in

R3(config-if)# end

 

Finalmente decir que cuando incluimos la lista de control de acceso a una interfaz o a una línea telnet o de consola introduzco el comando “in” o “out”. Usamos “in” si el tráfico o paquetes son entrantes, y en caso contrario “out” cuando los paquetes o tráfico es saliente.

¡Un saludo!