listas de control de acceso en router

5/28/2018 Listas de Control de Acceso en Router

1/14

Listas de Control de Acceso enRouter CiscoUna Lista de Control de Accesoo ACL(del ingls, Access Control List) es un concepto de seguridadinformtica usado para fomentar la separacin de privilegios. Es una forma de determinar los

permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del

proceso que hace el pedido.

Las ACLs permiten controlar el flujo del trfico en equipos de redes, tales como routers y switches.

Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna

condicin. Sin embargo, tambin tienen usos adicionales, como por ejemplo, distinguir trfico

interesante (trfico suficientemente importante como para activar o mantener una conexin) en

ISDN.

WILCARD Wildcard significa comodn, como el joker en el juego de naipes.

Tanto en la direccin de origen, como (en el caso de las ACL extendidas) en la direccin de destino,se especifican las direcciones como dos grupos de nmeros: un nmero IP, y una mscara wildcard.

Si se traduce a binario, los 1 en la mscara wildcard si gnifican que en la direccin IP

correspondiente puede ir cualquier valor.

Para permitir o denegar una red o subred, la mscara wildcard es igual a la mscara de subred,

cambiando los 0 por 1 y los 1 por 0 (en binario).

Sin embargo, las mscaras wildcard tambin permiten ms; por ejemplo, se pueden denegar todas

las mquinas con nmeros IP impares, o permitir el rango de IP 1-31, en varias subredes a la vez.

ACL:En redes de computadoras, ACLse refiere a una lista de reglas que detallan puertos de servicio onombres de dominios (de redes) que estn disponibles en una terminal u otro dispositivo de capa de

red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el

servicio. Tantos servidores individuales como routers pueden tener ACLs de redes. Las listas de

acceso de control pueden configurarse generalmente para controlar trfico entrante y saliente y en

este contexto son similares a unos cortafuegos.

Existen dos tipos de ACL:

ACL estndar, donde solo tenemos que especificar una direccin de origen;

ACL extendida, en cuya sintaxis aparece el protocolo y una direccin de origen y de destino.
http://alexalvarez0310.wordpress.com/2009/05/17/listas-de-control-de-acceso/http://alexalvarez0310.wordpress.com/2009/05/17/listas-de-control-de-acceso/http://alexalvarez0310.wordpress.com/2009/05/17/listas-de-control-de-acceso/http://alexalvarez0310.wordpress.com/2009/05/17/listas-de-control-de-acceso/


2/14

Comandos para crear ACLSCrear una ACL estndar(config)#access-list

Ejemplos:

(config)#access-list 1 deny 10.5.3.0 0.0.0.255

(config)#access-list 1 permit host 10.5.3.37

(config)#access-list 1 permit any

Parmetros:

# Lista: Estndar de 1 a 99, extendida de 100 a 199

Accin:

Protocolo: ip | tcp | udp | icmp

comparacin: gt | lt | eq

gt = greater than, lt = lesser than, eq = equal

Origen de una sola ip: host

Origen de cualquier ip: any

Origen de una red:

La wildcard ser en la mayora de los casos el inverso de la mscara

Crear una ACL extendida(config)#access-list [comparacin] [puerto origen] [comparacin] [puerto destino]

Ejemplos:

(config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80

(config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255

(config)#access-list 105 deny 10.5.3.0 0.0.0.255 any

Origen o destino de una sola ip: host

Origen o destino de cualquier ip: any

Origen o destino de una red:


3/14

La wildcard ser en la mayora de los casos el inverso de la mscara

Aplicar la lista sobre un puertoDebe ingresarse primero al puerto deseado y luego aplicarla all, ya sea entrante o saliente:

(config-if)#ip access-group

Ejemplo:

(config)#interface seria 0/0

(config-if)#ip access-group 100 out

Para aplicarla al trfico que va dirigido al router propiamente (telnet por ejemplo), debe hacerse

sobre las terminales virtuales

(config)#line vty 0 4

(config-line)#access-class

Ejemplo:

(config-line)#access-class 105 in

Borrar una ACL(config)#no access-list

Ejemplo:

(config)#no access-list 105

POSTED ON:0 6 - 1 7 - 2 0 1 3 WITH: 3 C O M M E N T S

Hola a todos,

Hoy voy a explicar cmo configurar las listas de acceso de un router cisco. Estas listas de

acceso consisten en un sencillo firewall que se integra en el router y son una de lasprimeras lneas de defensa que se suelen implementar en una red.

/***************************************************************

1. RED

2. DEFINICION DE REGLAS A IMPLEMENTAR

3. COMO FUNCIONAN LAS ACCESS-LISTS
http://highsec.es/2013/06/http://highsec.es/2013/06/http://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#commentshttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Redhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Definicionhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#ComoFuncionanhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#ComoFuncionanhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Definicionhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Redhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#commentshttp://highsec.es/2013/06/


4/14

1. SINTAXIS

2. DEFINICION DE REGLAS

4. IMPLEMENTACION PRACTICA DE LAS REGLAS

****************************************************************/

RED:

Para empezar vamos a ver la topologa de la red sobre la cual voy a realizar el ejemplo.

Figura 1

Como se puede apreciar la red consta de 4 segmentos, indicados con los nombres Net0,

Net1, Net2 y Net3. Hay que recalcar que la Net0 est conectada a internet. Vamos a usar el

ordenador Host como atacante para realizar conexiones y ver si las medidas aplicadas

en el firewall surten efecto.
http://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Sintaxishttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#DefinicionReglashttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Implementacionhttp://highsec.es/wp-content/uploads/2013/06/esquema-de-red.pnghttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Implementacionhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#DefinicionReglashttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Sintaxis


5/14

Al ser un ejemplo, vamos a suponer que todos los ordenadores de la Net1, Net2 y Net3 (en

este caso correspondientes a H1, H2, H3 y H4, pero podra haber ms) tienen IP pblica y

estn accesibles a travs de internet desde la Net0).

OJO: El rango de IPs que he usado en el ejemplo corresponden a rangos de IPs

PRIVADAS, pero como estamos en un entorno de pruebas vamos a suponer que sonpblicas.

ATENCIN: Esta implementacin de tener toda la red o subredes con IPs pbl icas es muy

desaconsejable porque estn expuestas a ataques directos desde internet. Preferible sera

hacer Nat (consiste en que el router intercambia la ip pblica por privadas) en el router R1

en el interfaz e0/0 y que a partir de ah para adentro de la subred todas las IPs fuesen

privadas tal como se muestra en la figura 2.

Figura 2

Con la topologa de la figura 2, desde internet(Net0 y Host) nose podran

establecer conexiones entrantespara conectar con la Net1, Net2 ni Net3 (pero si salientes
http://highsec.es/wp-content/uploads/2013/06/ips-pub-priv.png


6/14

desde Net1, Net2 y Net3 hacia internet); solo si el administradordel router R1 redirige la

DMZ a una IP privada de la subred, sta ip estara accesible ante una conexin entrante

desde internet.

Pero como lo que queremos es aprender a usar las Access-lists vamos a usar la red con

todas las ips pblicas como muestra la figura 3:

Figura 3

DEFINICION DE REGLAS A IMPLEMENTAR:

Las condiciones que vamos a implementar son las siguientes:

El trfico ICMP debe estar permitido en las subredes Net2 y Net3, pero tiene que estar

filtrado hacia la Net1 y el exterior (Host e Internet);Ejemplo1: desde Net2 se debe resolver

un ping awww.google.es,pero desde un sitio de internet Nose podr resolver un ping a la

Net2 ni Net3.Ejemplo2:desde la Net2 se debe resolver un ping a la Net1, pero desde la

Net1 Nose podr resolver el ping hacia la Net2 ni Net3.
http://www.google.es/http://highsec.es/wp-content/uploads/2013/06/ips-publicas.pnghttp://www.google.es/


7/14

Las conexiones entrantes (UDP o TCP) desde Host e Interne t, Slose permiten a la

subred Net1 (DMZ).

Las conexiones salientes (UDP o TCP) deben poder realizarse desde Net2 y Net3.

Todos los nodos de las subredes Net2 y Net3 deben poder establecer conexiones

TCP/UDP sin ningn problema.

Las conexiones salientes (UDP y TCP) iniciadas en la Net1 tienen que estar prohibidas,Slo se debern contestar aquellas peticiones TCP iniciadas desde Internet o Net2 y Net3.

Un esquema de cmo quedara la topologa sera la siguiente:

Figura 4

COMO FUNCIONAN LAS ACCESS-LISTS:

SINTAXIS:

Existen distintos tipos de access-list, en este caso vamos a usar las ms genricas

(estndar y las extendidas) tal como se describe en la Figura 5.
http://highsec.es/wp-content/uploads/2013/06/esquema-securizado.png


8/14

TIPO PROTOCOLO RANGO ID ACL FILTRADO

Estndar IP 1..99 && 1300..1999 IP origen, IP de

Extendida IP 100..199 && 2000..2699 IP origen, IP des

Figura 5

Sintxis que pueden tener las listas de acceso segn protocolos:

IP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]

{deny | permit} protocol source source-wildcard destination

destination-wildcard

[precedence precedence] [tos tos] [log | log-input]

[time-range time-range-name]

[fragments]

ICMP


{deny | permit}

icmp source source-wildcard destination destination-wildcard [icmp-type

[icmp-code] | [icmp-message]] [precedenceprecedence] [tos tos] [log |

log-input] [time-range time-range-name]

[fragments]


9/14

TCP


{deny | permit} tcp

source source-wildcard [operator [port]] destination destination-wildcard

[operator [port]] [established] [precedence precedence] [tos tos] [log |

log-input] [time-range time-range-name]

[fragments]

UDP


{deny | permit} udp

source source-wildcard [operator [port]] destination destination-wildcard

[operator [port]] [precedence precedence] [tos tos] [log | log-input]

[time-range time-range-name]

[fragments]

Voy a poner ejemplos reales de cada uno de los protocolos para comprender mejor su

funcionamiento y explicar detalles:

Filtrado IP:

Una regla nemotcnica para acordase del orden de las ips es pensar permitir/denegar

trfico ipDExxx.xxx.xxx.xxx (mscara si hay)A HACIAxxx.xxx.xxx.xxx (mscara si

hay).


10/14

access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.100.0

0.0.0.255

Esta regla permite el trfico IP DEcualquier IP entre 192.168.10.0 y 192.168.10.255 (este

rango lo ha provocado la mscara 0.0.0.255) A HACIAcualquier IP entre 192.168.100.0 y

192.168.100.255 (este rango lo ha provocado la mscara 0.0.0.255).

Si alguna vez hemos trabajado con mscaras de subred, notamos que para conseguir el

rango 192.168.10.0 -192.168.10.255 la mscara habitual sera 255.255.255.0. Sin embargo,

Cisco utiliza una mscara inversa, intercambiando unos por ceros.

Otro ejemplo:

access-list 101 permit ip 192.168.10.9 0.0.0.0 192.168.100.0

0.0.0.255

En este caso la regla permite el trfico de IP DEla IP 192.168.10.9 (en este caso la mscara

son todo ceros, lo que quiere decir que la regla no es extensible a ninguna IP ms queesa) A HACIAcualquier IP entre 192.168.100.0 y 192.168.100.255 (este rango lo ha

provocado la mscara 0.0.0.255).

Como sera un rollo escribir la mscara 0.0.0.0 cada vez que queremos autorizar o denegar

una sola IP, Cisco ha creado la nomenclatura host. La palabra host equivale a aplicar la

mscara 0.0.0.0 sobre una IP y ha de colocarse antes de la IP a la que afecte. Vamos a

reescribir la regla anterior aplicando este concepto.

access-list 101 permit ip host 192.168.10.9 192.168.100.0

0.0.0.255

Filtrado ICMP:


11/14

access-list 102 permit icmp host 192.168.2.10 any echo

Esta regla permite el trfico ICMP-peticin (pregunta) DEla IP 192.168.2.10A

HACIAcualquier IP.

Vemos que la ltima palabra es la palabra echo. El protocolo ICMP se compone de una

pregunta (echo request) y una respuesta (echo reply). La nomenclatura que ha definido

Cisco para referirse a cada uno de ellos es: echopara echo request y echo-replypara

echo reply. Por tanto esta reglaSOLO permitir las preguntas echo o echo request.

access-list 102 deny icmp 192.168.2.0 0.0.0.255 any echo-reply

Esta regla deniega el trfico ICMP-contestacin (respuesta) DEcualquier IP entre192.168.2.0 y 192.168.2.255 (este rango lo ha provocado la mscara 0.0.0.255) A

HACIAcualquier direccin IP.

Filtrado TCP:

access-list 103 permit tcp any host 192.168.2.3 gt 1023

established

Esta regla permite trfico TCP-establecido DEcualquier IP A HACIA192.168.2.3 siempre

que el puerto de conexin sea mayor a 1023.

La ltima palabra, established, se refiere a que solo afectar a aquellas conexiones que

hayan sido establecidas previamente (SYN-ACK/RST). Por ejemplo, el host 192.168.2.3

inicia una conexin TCP con un sitio de internet y la respuesta TCP es filtrada y aceptada

por la access-list. Una conexin TCP iniciada desde cualquier sitio hacia 192.168.2.3

contendr un SYN y no matchear con la regla.

DEFINICION DE REGLAS:

El procedimiento para crear una access-list y que se ponga en funcionamiento es el

siguiente:

1 enable // activa el router


12/14

2

3

4

56

789

conf t // accedemos a la configuracininterface ethernet0/1 // seleccionamos el interfaz en el que cre

ip access-group 101 in // definimos el access-group, su numero (1

exit // salimos de la configuracion del interfazip access-list 101 permit icmp any any // aadimos una regla a la

ip access-list 101 permit tcp any any eq 22 // aadimos una segunda re

exit // salimos de la configuracinwrite // escribimos las access list, sera el equi

configuraciones

El primer paso para crear una access-list es definir el interfaz del router donde se aplicarn

las reglas. Por regla general, un router tendr como mnimo 2 interfaces, una para la red

local (LAN) y otra para la red ms amplia (WAN). Lnea 3.

Una vez que ya tenemos seleccionado el interfaz donde vamos a aplicar las reglas, hay que

definir cuando filtrar los paquetes; a la entrada (in) o a la saida (out) y que nmero le vamos

a poner al access-group. Lnea 4.

Salimos del interfaz mediante exit (Lnea 5) y ya estamos listos para escribir las reglas.

Algunos comandos tiles para poder editar las listas de acceso son:

access-list XXX remark Comentario so bre la access l ist: Aade comentarios a las access

lists (comando vlido slo cuando estamos Dentrode la configuracin del router).

no access-list XXX:Borra la access-list nmero XXX (comando vlido slo cuando

estamos Dentrode la configuracin del router).

show access-lists:Muestra todas las access-lists actuales (comando vlido slo cuandoestamos Fuerade la configuracin del router).

Cuando nos equivoquemos, no podremos borrar una regla especfica de la access-list; sino

que tendremos que borrar el access-group entero.Por ello conviene no poner todas las

reglas sobre la misma access-list, sino dividirlas segn funcionalidad o reestricciones para

hacerlas mas comprensibles y manejables.

Por defecto, el procedimiento que realiza un Router cuando recibe un paquete es ir

comparando las caractersticas de ste paquete con las reglas que tiene establecidas en las

access-list (esta comparacin se realiza en orden creciente de access-list; p.e.:1,2,3,101,102,205,) y en cuanto matchee (coincida el patrn) con una access-list,

ejecutar lo que tenga puesto para esa regla (o permit o deny) y dejar de comparar

automticamente con el resto.

Es por ste motivo por el que hay que prestar especial atencin al orden en que se definen

las reglas.


13/14

Otro punto importante, es que en cuanto definimos una sola regla access-list, no hay que

olvidarse de que por Defectopara ese interfaz del routeren el sentido (in o out) en que

hallamos definido el access-group, se creara una regla al final deny any any.Por tanto,

cuando creamos un access-group en un interfaz virgen, hay que tener en cuenta todo lo

que hasta entonces se haba permitido en el sentido de ese interfaz, para reflejarlo en otro

access-group y que protocolos que tendran que funcionar, sigan funcionando sin problema.

IMPLEMENTACION PRACTICA DE LAS REGLAS:

Puede haber varias configuraciones de access-lists para cumplir con las polticas, yo voy a

mostrar una pero no tiene porque ser la mejor.

El trfico ICMP debe estar permitido en las subredes Net2 y Net3, pero tiene que estar

filtrado hacia la Net1 y el exterior (Host e Internet);Ejemplo1: desde Net2 se debe resolver

un ping awww.google.es,pero desde un sitio de internet Nose podr resolver un ping a la

Net2 ni Net3.Ejemplo2:desde la Net2 se debe resolver un ping a la Net1, pero desde laNet1 Nose podr resolver el ping hacia la Net2 ni Net3.1

23

4

56

7

8

9

1011

1213

14

15

1617

18

19

20

enableconf t

interface ethernet0/0ip access-group 101 inexit

access-list 101 remark permite icmp replys del exterior (Internet y Host)

access-list 101 permit icmp any any echo-replyinterface ethernet0/0ip access-group 102 out

exitacccess-list 102 remark permite todo el icmp saliente de 0/0access-list 102 permit icmp any any echo


access-list 105 remark permite tcp establecido de Net1 hacia Net2 y Net3access-list 105 permit tcp any any establishedaccess-list 105 remark permite icmp replys desde Net1 hacia Net2access-list 105 permit icmp any any echo-replyaccess-list 105 permit icmp any 10.1.1.0 0.0.0.255 echo

Las conexiones entrantes (UDP o TCP) desde Host e Internet, Slose permiten a lasubred Net1 (DMZ).1

2

34

5

6


access-list 103 remark permite tcp y udp solo hacia DMZ, permite tcp y udp

access-list 103 permit tcp any 10.1.1.0 0.0.0.255access-list 103 permit udp any 10.1.1.0 0.0.0.255access-list 103 permit tcp any 10.1.2.0 0.0.1.255 establised //El UDP al n
http://www.google.es/http://www.google.es/


14/14

7 equivalente.

Las conexiones salientes (UDP o TCP) deben poder realizarse desde Net2 y Net3.1

23

456

interface ethernet0/0ip access-group 104 outexit

access-list 104 remark permite tcp y udp de subredes hacia internetaccess-list 104 permit tcp any anyaccess-list 104 permit udp any any

Todos los nodos de las subredes Net2 y Net3 deben poder establecer conexiones

TCP/UDP entre ellos sin ningn problema.

Dadas las reglas que hemos puesto esto est permitido

Las conexiones salientes (UDP y TCP) iniciadas en la Net1 tienen que estar prohibidas,

Slo se debern contestar aquellas peticiones TCP iniciadas desde Internet o Net2 y Net3.

Regla ya puesta como primera access-list del access-group 105.1 access-list 105 permit tcp any any established

listas de control de acceso en router

Documents

access control list

list ejemplos

trfico de red

cont listas de control

listas deacceso de control

acl extendidaconfig

acl estndarconfig

acl extendidas