Listas de Control de Acceso en Router Cisco

Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.

Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir “tráfico interesante” (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN.

WILCARD

  • “Wildcard” significa “comodín”, como el joker en el juego de naipes.
  • Tanto en la dirección de origen, como (en el caso de las ACL extendidas) en la dirección de destino, se especifican las direcciones como dos grupos de números: un número IP, y una máscara wildcard.
  • Si se traduce a binario, los “1” en la máscara wildcard significan que en la dirección IP correspondiente puede ir cualquier valor.
  • Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de subred, cambiando los “0” por “1” y los “1” por “0” (en binario).
  • Sin embargo, las máscaras wildcard también permiten más; por ejemplo, se pueden denegar todas las máquinas con números IP impares, o permitir el rango de IP 1-31, en varias subredes a la vez.

ACL:

En redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes. Las listas de acceso de control pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.

Existen dos tipos de ACL:

  • ACL estándar, donde solo tenemos que especificar una dirección de origen;
  • ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.

Comandos para crear ACLS:

Crear una ACL estándar:

(config)#access-list <# lista>

Ejemplos:

(config)#access-list 1 deny 10.5.3.0 0.0.0.255

(config)#access-list 1 permit host 10.5.3.37

(config)#access-list 1 permit any
Parámetros:

# Lista: Estándar de 1 a 99, extendida de 100 a 199

Acción:

Protocolo: ip | tcp | udp | icmp

comparación: gt | lt | eq

gt = greater than, lt = lesser than, eq = equal

Origen de una sola ip: host

Origen de cualquier ip: any

Origen de una red:

La wildcard será en la mayoría de los casos el inverso de la máscara

Crear una ACL extendida:

(config)#access-list <# lista> [comparación] [puerto origen] [comparación] [puerto destino]

Ejemplos:

(config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80

(config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255

(config)#access-list 105 deny 10.5.3.0 0.0.0.255 any

Origen o destino de una sola ip: host

Origen o destino de cualquier ip: any

Origen o destino de una red:

La wildcard será en la mayoría de los casos el inverso de la máscara

Aplicar la lista sobre un puerto:

Debe ingresarse primero al puerto deseado y luego aplicarla allí, ya sea entrante o saliente:

(config-if)#ip access-group <# lista>

Ejemplo:

(config)#interface seria 0/0

(config-if)#ip access-group 100 out

Para aplicarla al tráfico que va dirigido al router propiamente (telnet por ejemplo), debe hacerse sobre las terminales virtuales

(config)#line vty 0 4

(config-line)#access-class <# lista>

Ejemplo:

(config-line)#access-class 105 in

Borrar una ACL:

(config)#no access-list <# lista>

Ejemplo:

(config)#no access-list 105

Anuncios