Listas de acceso aplicadas a las VTYs

Por: Flor Edith Zárate Rodríguez

¿Qué es una ACL (Access Control List)?

Una ACL es una lista secuencial de sentencias que permite o deniega el tráfico entrante o saliente de una red para determinadas redes o protocolos sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante", tráfico suficientemente importante como para activar o mantener una conexión en RDSI. Las ACL filtran el tráfico comparando estas sentencias con los encabezados de los paquetes (IP de origen y destino en la capa 3 y tipo de protocolo usado y números de puerto en la capa 4). El router analiza cada paquete, comparándolo con la ACL correspondiente, compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente (aceptar o rechazar), y ya no revisa los restantes renglones.

El uso de ACL conlleva a los siguientes beneficios:

• Incrementa el rendimiento de red: Al bloquear la entrada de cierto tráfico hacia un router, evitamos que estos paquetes deban ser procesados por él.
• Controla el flujo de tráfico: Se ahorra ancho de banda bloqueando, por ejemplo, actualizaciones que no se necesiten.
• Cierta seguridad en la red: Podemos restringir el acceso a alguna parte de la red solo a ciertos usuarios.
• Filtrado del tráfico: Podemos filtrar el tráfico en función de qué tipo sea.
• Filtrado de servicios: Igualmente, podemos filtrar el acceso a ciertos servicios para determinados usuarios.

Poniendo un ejemplo de la vida real de las ACL, podría tratarse de un guardia de seguridad, cuyas órdenes es indicar qué personas pueden pasar a un destino u otro en función de quiénes sean, de dónde procedan y los servicios que pretendan usar. Por ejemplo, si un usuario de una red puede acceder exclusivamente a una web alojada en un servidor de otra red puede ser permitido, pero si el mismo usuario intenta acceder a otro tipo de servicio, como por ejemplo Telnet, le sea negado el acceso.

ACL de entrada y salida

Definición de In y Out 

El router utiliza los términos "in" y "out" como referencias. Se podría comparar el tráfico del router con el tráfico de una autopista. Si fuera un agente de policía de Michoacán y quisiera parar un camión que va de Guadalajara a Monterrey, el origen del camión sería Guadalajara y su destino Monterrey. El control de carretera se colocaría en la frontera entre Michoacán y Monterrey ("out") o en la frontera entre Guadalajara y Michoacán ("in"). 

Aplicados a un router, dichos términos tienen los siguientes significados. 

• Out : el tráfico que ya ha pasado por el router y está saliendo de la interfaz. El origen es por donde ha pasado (en el otro extremo del router) y el destino es adonde va. 
• In: el tráfico que llega a la interfaz y luego pasa por el router. El origen es por donde ha pasado y el destino es adonde va (en el otro extremo del router). 

La ACL "in" tiene un origen en un segmento de la interfaz al que se aplica y un destino fuera de cualquier otra interfaz. La ACL "out" tiene un origen en un segmento de cualquier interfaz distinta a la interfaz a la que se aplica y un destino fuera de la interfaz a la que se aplica.

ACL estándar

Las ACL estándar son el tipo más antiguo de ACL. Su aparición se remonta a la versión 8.3 del software Cisco IOS. Las ACL estándar controlan el tráfico por medio de la comparación de la dirección de origen de los paquetes IP con las direcciones configuradas en la ACL. 

Este es el formato de la sintaxis de los comandos de una ACL estándar. 

access-list access-list-number {permit|deny} 

{host|source source-wildcard|any}

En todas las versiones del software, access-list-number puede ser cualquier número del 1 al 99. En la versión 12.0.1 del software Cisco IOS, las ACL estándar empiezan a usar más números (del 1300 al 1999). Estos números adicionales se denominan ACL IP ampliadas. En la versión 11.2 del software Cisco IOS se añadió la posibilidad de utilizar un valor name de lista en las ACL estándar. 

Una configuración source/source-wildcard de 0.0.0.0/255.255.255.255 puede especificarse como any. El comodín puede omitirse si está formado sólo por ceros. Por consiguiente, el host 10.1.1.2 0.0.0.0 es igual al host 10.1.1.2. 

Después de definir la ACL, se debe aplicar a la interfaz (entrante y saliente). En versiones anteriores del software, "out" era el valor predeterminado cuando la palabra clave "out" o "in" no se había especificado. En las versiones posteriores del software, se debe especificar la dirección.

 interface ip access-group number {in|out}

ACL extendida

Las ACL ampliadas se introdujeron en la versión 8.3 del software Cisco IOS. Controlan el tráfico por medio de la comparación de las direcciones de origen y destino de los paquetes IP con las direcciones configuradas en la ACL.

En todas las versiones del software, access-list-number puede ser del 101 al 199. En la versión 12.0.1 del software Cisco IOS, las ACL ampliadas empiezan a usar más números (del 2000 al 2699). Estos números adicionales se denominan ACL IP ampliadas. En la versión 11.2 del software Cisco IOS se añadió la posibilidad de utilizar un valor name de lista en las ACL ampliadas. 

El valor de 0.0.0.0/255.255.255.255 se puede especificar como any. Después de definir la ACL, se debe aplicar a la interfaz (entrante y saliente). En versiones anteriores del software, "out" era el valor predeterminado cuando la palabra clave "out" o "in" no se había especificado. En las versiones posteriores del software, se debe especificar la dirección. 

interface <interface>

ip access-group {number|name} {in|out} 

Esta ACL ampliada sirve para permitir el tráfico en la red 10.1.1.x (interna) y para recibir respuestas de ping de fuera a la vez que impide los pings no solicitados de usuarios externos (aunque permite el resto del tráfico).

Ejemplo de una ACL aplicada

Fig 1. Maqueta de aplicación con ACL

Primero comenzaremos con una ACL en sesiones Telnet por lo que entraremos a nuestra consola del router para acceder a la configuración.

R1# config term

R1(config)# line vty 0 4

R1(config-line) # transport input telnet

R1(config-line)# pasword 123

Después de estas lineas de comando lo que podemos hacer para verificar es hacer ping desde el cmd de nuestra computadora a la IP que le corresponda poniendo:

telnet 200.210.220.1

pedirá la contraseña que le asignamos y podremos configurar el router desde esta terminal en lugar de putty.

Fig 2. Configuración del Telnet

Fig 3. Desde cmd entrar a router

Después creamos la ACL que permitirá únicamente el trafico de nuestro router, y denegara el acceso a cualquier otra que no este dentro de la lista con el comando deny any.

Fig 4. Creación de la ACL en putty

Fig 5. Listas con las IP permitidas

Una vez creadas las ACL si intentáramos acceder desde el cmd de la computadora no nos permitiría el acceso a otro router, únicamente a la IP del nuestro, lo mismo sucede si otro router de lo que no están permitidos intentara acceder.

Conclusión

Las ACL son muy útiles si quisiéramos utilizarlas en un área mas grande, ahí se vería mejor el uso y ventajas que estas nos proveen para evitar el trafico dentro de la red, o dividir el uso y acceso a ciertas redes con las ACL. 

Referencias

Listas de control de acceso: http://www.dituyi.net/listas-de-control-de-acceso-acls/

ACL: http://www.oocities.org/hilmarz/cisco/acl.htm

CISCO ACLs: http://www.cisco.com/cisco/web/support/LA/7/75/75923_confaccesslists.pdf

ACL Wikipedia: http://es.wikipedia.org/wiki/Lista_de_control_de_acceso