¿Que son y que tipos hay?

Comparadas con las listas de control de acceso (ACL) estándar, las listas de control de acceso extendidas son más flexibles y tienen un mayor potencial de aplicación en la configuración de los equipos de una red. En general, las listas de control de acceso revisten mucha importancia debido a que la implementación de una red medianamente compleja hace necesario su uso. Cisco tiene diferentes clases de ACL, las más comunes son las listas de control de acceso numeradas, un subconjunto perteneciente a ellas son las listas de control de acceso extendidas, las cuales dan soporte al protocolo TCP/IP

PROCEDIMIENTO

Controlando el acceso IP

Las listas de acceso extendidas proporcionan un mayor grado de control sobre el tráfico que las listas de acceso estándar, permitiendo crear filtros basados en: la dirección IP origen y destino, los tipos de protocolos (tal como IP, TCP, UDP, ICMP, etc.) y los números de puerto usados por las aplicaciones. Estas características hacen posible limitar el tráfico con base en el uso que se le dé a la red.

Las ACL extendidas se numeran del 100 al 199 y del 2000 a 2699. Las ACL extendidas también pueden tener nombre.

Para que un datagrama IP (paquete) cumpla las diferentes condiciones configuradas en una línea de una lista de acceso, y mediante dicha línea se pueda permitir o negar el tránsito del paquete, es necesario que cada condición que se coteje en dicha línea coincida con el respectivo campo del paquete. Tan pronto como el paquete no cumpla una condición de la línea, se pasa a comparar las condiciones de la próxima línea de la lista de acceso frente a los respectivos campos del paquete.

La lista de acceso extendida tiene la capacidad de revisar: la dirección IP origen, la dirección IP destino y diferentes opciones que dependan del protocolo seleccionado.

Comandos para la configuración de listas de acceso IP extendidas

Configurar parámetros de entrada en la lista es una de las mayores diferencias entre la lista de acceso IP estándar y la lista de acceso IP extendida. En esta última se puede especificar tanto la dirección IP origen como la dirección IP destino. A diferencia de la lista de acceso IP estándar, en la de acceso IP extendida, el “comodín” (wildcard) no es opcional.

Los pasos del procedimiento para configurar ACL extendidas son los mismos que para las ACL estándar. Primero se configura la ACL extendida y, a continuación, se activa en una interfaz. Sin embargo, la sintaxis de los comandos y los parámetros son más complejos. Siguen este esquema básico.

R1(config)#access-list access-list-number {permit | deny} {protocol | protocol keyword}{source address with wildcard mask | any} [“operator” “source port number”]{destination address with wildcard mask | any} [“operator” “destination port number”][established] [log]

Descripción de los parámetros del comando access-list:

Access-list-number: se escoge un número en el rango de 100 hasta 199 para identificar la lista de acceso IP extendida (que contiene una o más entradas).

Pemit/deny: especifica la acción que se ejecutará sobre el paquete (permitir o bloquear su paso), en caso de que éste cumpla las condiciones definidas en la línea.

Protocol | protocol keyword: define el protocolo que se desea comparar en el paquete. Estos protocolos incluyen a: ip, icmp, tcp, udp, igrp, eigrp, igmp, ipinip, nos, ospf, gre.

Source address y destination address: identifican las direcciones IP origen e IP destino del paquete, respectivamente.

Source wildcard mask y destination wildcard mask: identifican cuáles bits del campo de dirección deben tenerse en cuenta. Los bits que tengan 0 en cualquier posición deben examinarse estrictamente y los bits que tengan 1 en cualquier posición no deben examinarse (no importan).

  Any(opcional): Se utiliza como abreviación de “0.0.0.0 255.255.255.255” para los parámetros: “source address”, “source wildcard mask”, “destination address” y “destination wildcard mask”.

Operator: Para los protocolos TCP y UDP. En la expresión se puede especificar el número del puerto o, algunas veces, el nombre de este. Cuando se requiere buscar una coincidencia sobre un puerto, es necesario utilizar un operador. El propósito del operador es proporcionar alguna flexibilidad sobre el(los) número(s) de puerto(s) que se desea(n) hacer coincidir.

Los operadores válidos son:

• lt less than (menor que)

• gt greater than (mayor que)

• neq not equal to (no igual a)

• eq equal to (igual a)

• range of port numbers (rango)

Port number y message type: La información referente al protocolo puede dividirse en dos áreas: números de puerto (“port number” para los protocolos TCP y UDP) y tipos de mensajes (“message type” para otros protocolos, incluyendo a ICMP). Para los números de puerto de TCP y UDP, se puede usar el número de puerto reservado para la aplicación como, por ejemplo, el 21para telnet, o se puede usar el nombre de la aplicación, como ftp para el puerto 21. ICMP no usa números de puerto, en su lugar, usa tipos de mensajes (esto reemplaza los parámetros operator y port number usados en TCP y UDP). Si en una expresión de la lista de acceso IP extendida se omite el port number (para TCP o UDP), o el message type (para ICMP), significa que se acepta cualquier puerto o tipo de mensaje del paquete.

Established: verifica si el datagrama IP forma parte de una conexión TCP previamente establecida, es decir, si el segmento TCP tiene el bit ACK o el bit RST en uno. Esta opción tiene aplicación en situaciones en las que desde una red privada se establecen conexiones hacia Internet y se quiere

permitir solamente el tráfico de respuesta a dichas conexiones.

Es importante recordar que cada lista de control de acceso (ACL) tiene una línea implícita tipo “deny all” al final de la lista. Como consecuencia, si no se presenta una coincidencia (match) con las líneas explícitamente definidas, el paquete será bloqueado.

Ejemplo de configuración de una lista de acceso extendida usando número de puerto:

Ejemplo de configuración de una lista de acceso extendida usando palabras clave:

También se puede dar una combinación de ambas:

Una vez configurada, el ACL no filtrará el tráfico hasta que se aplique a una interfaz. Para ello, primero hay que considerar si el tráfico que se filtrará es entrante o saliente. Desde el punto de vista de una ACL, la entrada y salida son respecto de la interfaz del router.

Al igual que ocurre con las ACLs estándar, para evitar que la instrucción deny any implícita al final de la ACL bloquee todo el tráfico, se agrega la instrucción permit ip any. Si no hay por lo menos una instrucción permit en una ACL, todo el tráfico en la interfaz donde se aplicó esa ACL se descarta.

Las ACLs extendidas permiten su creación nombrándolas en lugar de usando números:

Para editar las ACLs extendidas, usaremos bien un editor de texto donde pondremos el comando no Access-list {número de la ACL} y luego pegaremos las listas corregidas; o bien mediante la modificación del número de secuencia que esté fallando:

Para la verificación usaremos los comandos show. El comando “show access-lists” muestra las ordenes según se introdujeron. Las entradas de host no se enumeran automáticamente antes de las entradas de rango. El comando “show ip interface” se utiliza para verificar la ACL en la interfaz y el sentido en el que se aplicó.

Como conclusión podemos afirmar que el uso de este tipo de listas de acceso permite un mejor control sobre el tráfico que se está cursando por nuestra red. Es por eso que su implementación está más extendida que las listas de acceso estándar.

Autor/a: Francisco José Sánchez Almaraz

Curso: Cisco CCNA Routing&Switching 

Centro: Tajamar 

Año académico: 2018-2019 

This Post Has One Comment

  1. Vicens Ferran Rabassa Reply

    Gracias! Una explicación sencilla y clarificadora!

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.