Listas de Control de Acceso (ACL)
Proposito de una ACL ¿Que es una ACL?
Una ACL dicho de manera más técnica es una lista de control de acceso, donde podremos obser que el router controlará el acceso de los paquetes y decidirá según la información que hemos añadido a nuestra ACL si descartar o reenviar los paquetes.
Varias de las tareas que puede realizar una ACL son, por ejemplo:
– Limitar el tráfico de red para aumentar el rendimiento.
– Proporcionan control de flujo de tráfico.
– Filtran el tráfico según el tipo de tráfico.
– Proporcionan a nivel básico de seguridad para el acceso a la red.
– Pueden también filtrar a los hosts para permitirles o denegarles el acceso a los servicios de red.
Los routers de manera predeterminada no tienen una ACL configurada, por lo que no se filtara ningún tipo de tráfio tanto entrante como saliente, será labor del administrador de redes crear las listas si la empresa u organización asi lo requieren.
Además de permitir o denegar el tráfico, las listas de control de acceso (ACL), se pueden utilizar para seleccionar tipos de tráfico para analizar, reenviar o procesar de otras formas. Se puede por ejemplo utilizar una ACL pra clasificar el tipo de tráfico por orden de prioridad.
Filtrado de paquetes
En una ACL empezaremos a trabajar con las intrucciones «permit» (permitir), «deny» (denegar) estas intrucciones son conocidas como «entradas de control de acceso» (ACE). Cuando el tráfico de red atraviesa una interfaz en al cual hemos configurado una ACL, el router empezara a comprobar la información dentro del paquete con cada ACE, con esto nuestro router determinará si el paquete coincide o no con una de las ACE configuradas. Esto es a lo que denominamos «filtrado de paquetes».
Pero a todo esto nos preguntaremos «¿Pero como funciona una ACL?
Funcionamiento de las ACL
Las ACL en si forman un conjunto de reglas que nos proporcionan un control adicional para los paquetes que estan atravesando nuestra red, estos ingresan en la interfaz de entrada, para los que retransmiten a través del router y para los que salen por las interfaces de salida del router. Ojo las ACL no operan sobre los paquetes que se originan en el mismo router.
Tenemos dos tipos de ACL:
ACL de entrada:. Este tipo de ACL es muy eficaz ya que ahorran sobrecarga de enrutar busquedas si el paquete al fin y al cabo se va a descartar.
ACL de salida: Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que provienen de varias interfaces de entrada antes de salir por la misma interfaz de salida.
Máscara WildCard
Una máscara wildcard es una cadena de 32 dígitos binarios que el router utiliza para determinar qué bits de la dirección debe examinar para obtener una coincidencia.
En las mascaras wildcard al igual que en las mascaras de subred, los «1» y los «0» en la mascara wildcard nos servirá para declarar que hacer con los bits de dirección IPv4 correspondientes.
Pautas generales para la creación de una ACL
La creación de una ACL y declarar la ubicación para indicar donde tiene que colocarse la ACL puede ser una tarea compleja.
las ACL no deben configurarse en ambos sentidos. La cantidad de ACL y el sentido aplicado a la interfaz dependen de los requisitos que se implementen.
Se puede aplicar una ACL por protocolo, por sentido y por interfaz.
Dicho esto vamos a ver como declarar una ACL para IPv4 con sus repectivos comandos:
Veremos las sintaxis de dos tipos de ACL estadar la primera será numerada y la segunda con nombre las dos son para IPv4:
a) ACL estadár numerada:
el comando «access-list» define una ACL estandár con número , después numero de la ACL, a continuación marcaremos la instrucción según nos convenga o «permit» o «deny» después continuaremos con la red a la que queremos permitir o denegar seguido la máscara «WildCard» en la siguiente foto vereis un ejemplo con la sintaxis completa.
También poderiamos denegar un host en concreto con la siguiente línea de comandos. En la imagen podemos ver como se hace.
Como podeis ver en la imagén al poner la intrucción host y su IP no nos hara falta incluir la máscara WilCard.
Después de cuadrar la ACL con sus respectivas normas o instrucciones es la hora de aplicarla a la interfaz que nos interesa.
Ahora os mostrare una ACL estandár con nombre:
La asignación de nombres a la ACL nos va hacer más fácil su compresión. Cuando identificamos una ACL con nombre en lugar de un número, el modo de configuración y las sintaxis de los comandos serán diferentes. Os muestro a continuación las líneas de comandos.
Como os he dicho antes de crear una ACL hay que activar en la interfaz deseada si no nunca estará activa aunque la veamos en nuestro Router.
En la imagén de abajo os lo muestro, activando una ACL en una interfaz.
Ahora para terminar os pongo un ejemplo en video para mostraroslo mucho mejor:
Os pongo una imagen de la topología
Ejemplo:
Datos a tener en cuenta:
Redes LAN:
192.168.10.0 /24
192.168.20.0 /24
192.168.30.0 /24
Redes de interconexión:
192.168.40.0 /30
192.168.40.4 /30
192.168.40.8 /30
Como podeis observar en la topología esta todo conectado y configurado, la red esta enrutada mediante el protocolo de enrutamiento «RIP »
Pobremos que haya conexio mediante un «ping» desde la 192.168.10.2 ala 192.168.30.2
Podemos observar que est todo correcto.
Comezemos con lo que nos interesa que son los ACL.
Como primera entrada vamos a proceder por ejemplo, imaginemos que queremos bloquear el acceso en la red 192.168.30.0 /24 todo el tráfico proviniente de la red 192.168.10.0 /24 . Una tarea asi la podemos llevar a cabo gracias a las ACL.
vamos a ubicarla en este caso siempre se recomienda ubicarla lo mas cerca del destino, en nuestro ejemplo el destino seria nuestra red «192.168.30.0», entonces la ubicaremos en el router «R3» y en concreto en la interfaz de salida eso habrá que tenerlo en cuenta cuando la activemos en dicha interfaz, nuestra ACL al ser estandár siempre se fijará en la dirección de origen para llevar al cabo la tarea que le hemos encomendado.
!!!Comenzemos¡¡¡
solo no hará falta para este ejemplo 2 lineas de comandos que son los siguientes:
Ya tendriamos nuestra access-list hecha podeis observar que en la segunda linea pongo un permit any, esto es muy importante ya que por defecto viene un deny any que es denegar todo, y eso no es lo que queremos solo queremos denegar el acceso a la red 192.168.10.0 /24 , asique que con un permit any zanjamos eso. Ya la tenemos hecha pero no por ello actuaria en el router ahora nos falta activarla en la interfaz correspondiente como muestro a continuación.
Hecho esto vamos a probar la ACL y actua correctamente vamos a porbar otra vez el ping desde la 192.168.10.2 hasta la 192.168.30.
Como podemos observar en la imagen efectivamente deniega el acceso. probemos ahora hacer ping al mismo equipo de la red 192.168.30.0 pero esta vez desde otro equipo situado en la red 192.168.20.0, en este caso no nos deberia denegar el acceso.Vamos a ver
Correcto como podemos observar sin problemas los equipode la red 192.168.20.0 pueden acceder a la red si problema alguno.
Esto es el ejemplo de una ACL estandár numerada, fácil de implementar.
Conclusión
Mi conclusión es que las ACL es una de las habilidades muy importantes que necesita un administrador de redes, dominar las listas de acceso proporciona un plus de seguridad a nuestra red.
Los diseñadores de red utilizan firewalls para proteger las redes de uso no autorizado. Los firewalls son soluciones de hardware o de software que aplican politicas de seguridad a la red.
En un router Cisco se puede configurar un firewall simple que proporcione capacidades de filtrado de tráfico mediante ACL.
Autor: Ibrahim Vega Boussanna
Curso: Cisco CCNA Routing & Switching
Centro: Tajamar
Año Academico: 2018-2019