UNIDAD 8. ACL's.
UNIDAD 8. ACL's.
UNIDAD 8. ACL's.
Introducción
En este tema veremos la lista de control de acceso para denegar o permitir acceso a distintas IP's, la
om
n .c
io
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
certificados.levelcomformacion.com
1 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Objetivos
om
n .c
io
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
certificados.levelcomformacion.com
2 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Mapa Conceptual
[[[Elemento Multimedia]]]
om
.c
n
io
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
certificados.levelcomformacion.com
3 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Introducción y ACL's
Las listas de acceso (ACL) son sentencias que permiten o deniegan tráfico en función de varios
parámetros, como pueden ser las direcciones de red origen o destino, los puertos a nivel de capa de
La principal función de las ACL es incrementar la seguridad de la red. Con las ACLs se pueden
bloquear el flujo de información no deseada en una interfaz ya sea de salida o de entrada, filtrar el
om
uso de un protocolo según la ip origen de la comunicación o denegar ese puerto si la red no es
.c
confiable.
n
io
Sin embargo las ACLs no solo se usan en temas de seguridad, sino que también, sirven para definir
ac
un cierto tipo de tráfico con el que luego queramos trabajar, en aplicaciones tan variadas como
rm
pueden ser NAT (Network Address Translation), en BGP, para filtrar rutas al crear políticas de
encaminamiento o en QoS para englobar un tráfico y después priorizarlo, como con LLQ o CBWFQm
fo
en otras palabras, engloba las redes o parámetros con los que luego queremos trabajar. Las listas de
m
acceso se pueden dividir en varios grupos, según la permeabilidad que queramos establecer a la
co
certificados.levelcomformacion.com
4 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
om
n .c
io
ac
rm
fo
m
l co
ve
.le
d os
ca
Las Listas de acceso estándar hacen referencia solo al tráfico origen, por tanto son menos flexibles
ifi
certificados.levelcomformacion.com
5 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Ejercicio ACL's
Ejemplo práctico:
om
En el caso de que la línea afecte a un solo host:
.c
Access-list 1 deny host 192.168.1.5
n
io
El primer comando, Access-list, crea la lista de acceso con un número y establecemos una condición
ac
de permitir o denegar sobre la dirección IP origen especificada, con la correspondiente wildcard
mask.
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
Es importante remarcar que al final de cualquier lista de acceso, compuesta de varias sentencias,
hay implícito un deny any que filtra cualquier tráfico que no haya sido englobado por líneas
anteriores.
Es decir, que si no permitimos nada, se denegara cualquier IP por la sentencia deny Any.
Una buena práctica por tanto, si hemos especificado ya el tráfico a eliminar, seria colocar esta línea:
certificados.levelcomformacion.com
6 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Si queremos dejar pasar el tráfico proveniente de un solo equipo y luego denegar todo lo demás,
Así no hace falta especificar nada más porque todo lo que no se cumpla en la primera sentencia será
om
Pongamos en el supuesto que tenemos dos departamentos, uno de informática con la red
.c
172.16.1.1/24 y otro de invitados con la 192.168.1.0/26 queremos que solamente el de informática y
n
io
un equipo con la ip 192.168.1.5 de la otra red puedan acceder por telnet o ssh al dispositivo.
ac
rm
fo
m
l co
ve
De esta forma tan sencilla se puede supervisar los host de origen para permitirles o denegarles la
.le
conexión.
d os
ca
ifi
rt
ce
certificados.levelcomformacion.com
7 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
ACL's continuación
destino y el puerto:
om
Puerto/protocolo.
n .c
io
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
Por ejemplo:
Access-list 101 deny icmp any any Access-list 103 permit tcp any host 1.0.0.1 eq 80
certificados.levelcomformacion.com
8 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
La primera sentencia deniega el tráfico icmp, como por ejemplo ping, hacia ningún destino.
La segunda permite el acceso por http de cualquier origen hacia la ip 1.0.0.1 En este caso, en las
om
Finalmente, para definir las interfaces donde se aplica esa lista de acceso dispondremos de la
siguiente forma:
n .c
Router(config-if)#ip Access-group 1 in/out
io
ac
Sólo se puede aplicar una lista de acceso de entrada y otra de salida. En el caso de que queramos
rm
asociar un conjunto de ACL, deberemos combinarlas en una sola.
fo
Las listas de acceso estándar se han de colocar lo más cercano posible al tráfico origen, las
m
extendidas al destino.
l co
Al trabajar con unas u otras listas de acceso, tenemos que tener en cuenta las siguientes premisas:
ve
.le
Deny any o deny Ip any any implícito al final de cada una de las sentencias, aunque no se
os
Las sentencias se van leyendo en orden, por lo que siempre se recomienda que se coloquen las
rt
En este caso, como la primera línea siempre es cierta, nunca pasará a leer la segunda, por lo que el
certificados.levelcomformacion.com
9 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Conclusiones:
Sólo se puede colocar una lista de acceso de entrada y otra de salida por interfaz
A la hora de agregar una línea nueva, SIEMPRE se añade al final, por lo que si deseamos
agregar una sentencia más específica que la última que hemos añadido, nos obliga a eliminar la
lista de acceso y volverla a hacer en el orden adecuado. Para ello procederemos con un No
Access-list núm.
om
Nunca se filtra la información que sale del propio router
.c
Las listas de acceso se pueden agregar también mediante el programa SDM.
n
io
De forma muy sencilla y sin utilizar comandos, existen dos mecanismos con los que podemos crear
ac
listas de acceso complejas de la siguiente manera desde el software de administración SDM:
rm
fo
SDM se puede descargar de forma gratuita desde la página de CISCO en el siguiente enlace -->
m
DOWNLOAD.
l co
ve
izquierda.
d os
ca
ifi
rt
ce
certificados.levelcomformacion.com
10 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
om
n .c
io
ac
rm
fo
m
l co
Desde esta ventana elegiremos la interfaz de entrada y la de salida para especificar el sentido del
ve
tráfico.
.le
os
Para definir las ACL le daremos al signo más(+) que sale junto al texto Add.
d
Desde ahí podremos especificar todas las opciones para una ACL extendida, como el puerto origen o
ca
certificados.levelcomformacion.com
11 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
om
n .c
io
ac
rm
fo
Una vez englobado todos los aspectos que queremos cubrir con la sentencia, le damos a OK. En el
m
Si le damos a aceptar y tenemos previamente esta opción seleccionada en el menú editar >
d
preferencias, nos saldrá automáticamente los comandos que se van a introducir a raíz de nuestra
ca
acción.
ifi
rt
ce
Esto nos permite aprender y ver qué líneas se insertarán dentro de la running-config y luego
certificados.levelcomformacion.com
12 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
om
Aquí tenéis, además, un ejemplo de una lista de acceso extendida nombrada. La ventaja de éstas
n .c
frente a las otras es que podemos especificar la posición de una línea nueva (recordemos que
io
siempre se agregaban al final) y eliminar una sentencia cualquiera dentro de la lista de acceso
ac
(imposible en una ACL estándar o extendida numerada).
rm
Otra opción es definirlas a través de tareas adicionales, donde tenemos un potente editor de ACL,
fo
que podemos dividirlo en las siguientes opciones:
m
co
Access rules. Utilización de las ACL para filtrar el tráfico permitiendo o denegando su paso.
l
ve
Nat-Rules. Utilización de las ACL para definir qué trafico con direccionamiento privado va a
.le
ser traducido.
QoS Rules. Especifica el tráfico que va a ser englobado mediante una ACL para ser priorizado.
os
Nosotros para el temario que nos ocupa nos encargaremos del primer conjunto de reglas, las de
rt
certificados.levelcomformacion.com
13 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
om
n .c
io
ac
rm
fo
m
l co
ve
.le
La forma de llevarlo a cabo es similar a los pasos que hemos visto un poco más arriba.
d os
También conocidas como lock-and-key, permiten autenticar al usuario antes de que pueda pasar la
rt
información a través del router. Se basan en la conectividad mediante Telnet y las listas de Acceso
ce
extendidas.
En un principio, cualquier tráfico está bloqueado hasta que un usuario quiera pasar información a
través del router. Para ello, previamente debemos autenticarnos mediante telnet, para que de forma
automática se coloque una lista de acceso dinámica con una duración predeterminada para esa IP
ACL tiene bastantes ventajas, como el proceso de autentificación, se reduce la carga del procesador
del router porque no debe sopesar cada paquete que recibe y no compromete otros niveles de
certificados.levelcomformacion.com
14 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
seguridad ya que podremos personalizar el uso de cada cliente en función del usuario.
A la hora de procesar la información y validarla, podemos realizar la comprobación bien contra una
base de datos local definida en el propio router o podemos redirigirlo contra un servidor Radius o
Programas como el Cisco Secure ACS permite un diseño muy permeable y flexible sobre los
om
El primer paso será crear una lista de acceso, numerada o nombrada extendida. Una de las primeras
.c
entradas debe permitir el acceso por telnet o ssh al router para poder enviar las credenciales del
n
usuario
io
ac
La autenticación será el segundo paso establecido bien mediante una base de datos local, un
rm
servidor AAA externo o bien mediante el proceso básico de login y password definido dentro de las
fo
VTY (tiene como defecto que todos los usuarios tienen la misma contraseña).
m
El proceso de autentificación.
os
Se reduce la carga del procesador del router porque no debe sopesar cada paquete que
d
recibe.
ca
ifi
Finalmente, debemos habilitar el método de autenticación dinámica al definir la lista de acceso, que
certificados.levelcomformacion.com
15 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
om
n .c
io
En este ejemplo, la ACL 101 permite el acceso por telnet desde cualquier equipo, mientras que la
ac
segunda sentencia es la que se establecerá de manera dinámica, permitiendo pasar todo flujo de
comunicación. rm
fo
m
l co
ve
.le
Asociamos la lista de acceso a la interfaz, especificamos la seguridad dentro de las líneas virtuales y
os
con autocommand establecemos que cuando el host se valide de manera correcta, se cierre la
d
conexión y se instale la lista de acceso dinámica. Si no hay actividad durante 5 minutos, la sesión
ca
determinadas IOS.
rt
ce
certificados.levelcomformacion.com
16 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
om
n .c
io
Nuestra intención es que el host con la 192.168.10.2 no sea capaz de hacer ping a la 5.0.0.1 hasta
ac
que se loguee previamente por telnet en el R1 y aporte sus credenciales.
rm
fo
Para ello primero daremos de alta un usuario que utilizaremos como manera de autenticarse al
m
cliente:
co
Después crearemos la lista de acceso que permita el acceso por Telnet o SSH al router
.le
El timeout definido especifica el uso de la “ventana” que se abre al loguearse de forma correcta.
Aquí podríamos hacer referencia a un servidor Radius o a cualquier otro método que nos permita la
certificados.levelcomformacion.com
17 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Y dentro de la configuración de línea estableceremos este comando que provoca la desconexión por
especificado.
Hagamos la comprobación:
om
Mediante el ping a la 5.0.0.1 comprobamos que no tenemos acceso a la Loopback del router:
n .c
io
ac
rm
fo
m
co
Hacemos telnet al router y nos verificamos correctamente. Veremos que la conexión se cierra
en el momento:
l
ve
.le
d os
ca
ifi
rt
ce
certificados.levelcomformacion.com
18 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Para comprobar que todo ha sido fruto de nuestra lista de acceso dinámica, ejecutaremos el
om
En esta pantalla nos sale el tiempo que nos queda para que la ventana se cierre por inactividad. Si
n .c
En este caso 300 segundos o 5 minutos:
io
ac
rm
Para saber las ACL asociadas a una interfaz, podemos escribir:
fo
m
O
l
ve
Falso
rt
ce
Verdadero
certificados.levelcomformacion.com
19 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Recuerda
[[[Elemento Multimedia]]]
om
.c
n
io
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
certificados.levelcomformacion.com
20 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Autoevaluación
Indica la respuesta correcta: Las listas de acceso (ACL) son sentencias que
permiten o deniegan tráfico en función de varios parámetros.
om
No, nunca.
.c
n
Si.
io
ac
rm
Indica si el siguiente enunciado es verdadero o falso: La principal función de las
ACL es incrementar la seguridad de la red.
fo
m
co
Falso
l
ve
Verdadero
.le
os
estándar hacen referencia solo al tráfico origen, por tanto son menos flexibles
ca
Falso
Verdadero
certificados.levelcomformacion.com
21 / 22
[AFO018569] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[MOD016760] IFCM014PO MANAGING CISCO NETWORK SEGURITY (MCNS)
[UDI098606] ACL's.
Falso
Verdadero
om
Falso
.c
n
io
Verdadero
ac
rm
fo
m
l co
ve
.le
d os
ca
ifi
rt
ce
certificados.levelcomformacion.com
22 / 22