5/28/2018 Listas de Control de Acceso en Router
1/14
Listas de Control de Acceso enRouter CiscoUna Lista de Control de Accesoo ACL(del ingls, Access Control List) es un concepto de seguridadinformtica usado para fomentar la separacin de privilegios. Es una forma de determinar los
permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del
proceso que hace el pedido.
Las ACLs permiten controlar el flujo del trfico en equipos de redes, tales como routers y switches.
Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna
condicin. Sin embargo, tambin tienen usos adicionales, como por ejemplo, distinguir trfico
interesante (trfico suficientemente importante como para activar o mantener una conexin) en
ISDN.
WILCARD Wildcard significa comodn, como el joker en el juego de naipes.
Tanto en la direccin de origen, como (en el caso de las ACL extendidas) en la direccin de destino,se especifican las direcciones como dos grupos de nmeros: un nmero IP, y una mscara wildcard.
Si se traduce a binario, los 1 en la mscara wildcard si gnifican que en la direccin IP
correspondiente puede ir cualquier valor.
Para permitir o denegar una red o subred, la mscara wildcard es igual a la mscara de subred,
cambiando los 0 por 1 y los 1 por 0 (en binario).
Sin embargo, las mscaras wildcard tambin permiten ms; por ejemplo, se pueden denegar todas
las mquinas con nmeros IP impares, o permitir el rango de IP 1-31, en varias subredes a la vez.
ACL:En redes de computadoras, ACLse refiere a una lista de reglas que detallan puertos de servicio onombres de dominios (de redes) que estn disponibles en una terminal u otro dispositivo de capa de
red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el
servicio. Tantos servidores individuales como routers pueden tener ACLs de redes. Las listas de
acceso de control pueden configurarse generalmente para controlar trfico entrante y saliente y en
este contexto son similares a unos cortafuegos.
Existen dos tipos de ACL:
ACL estndar, donde solo tenemos que especificar una direccin de origen;
ACL extendida, en cuya sintaxis aparece el protocolo y una direccin de origen y de destino.
http://alexalvarez0310.wordpress.com/2009/05/17/listas-de-control-de-acceso/http://alexalvarez0310.wordpress.com/2009/05/17/listas-de-control-de-acceso/http://alexalvarez0310.wordpress.com/2009/05/17/listas-de-control-de-acceso/http://alexalvarez0310.wordpress.com/2009/05/17/listas-de-control-de-acceso/5/28/2018 Listas de Control de Acceso en Router
2/14
Comandos para crear ACLSCrear una ACL estndar(config)#access-list
Ejemplos:
(config)#access-list 1 deny 10.5.3.0 0.0.0.255
(config)#access-list 1 permit host 10.5.3.37
(config)#access-list 1 permit any
Parmetros:
# Lista: Estndar de 1 a 99, extendida de 100 a 199
Accin:
Protocolo: ip | tcp | udp | icmp
comparacin: gt | lt | eq
gt = greater than, lt = lesser than, eq = equal
Origen de una sola ip: host
Origen de cualquier ip: any
Origen de una red:
La wildcard ser en la mayora de los casos el inverso de la mscara
Crear una ACL extendida(config)#access-list [comparacin] [puerto origen] [comparacin] [puerto destino]
Ejemplos:
(config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80
(config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255
(config)#access-list 105 deny 10.5.3.0 0.0.0.255 any
Origen o destino de una sola ip: host
Origen o destino de cualquier ip: any
Origen o destino de una red:
5/28/2018 Listas de Control de Acceso en Router
3/14
La wildcard ser en la mayora de los casos el inverso de la mscara
Aplicar la lista sobre un puertoDebe ingresarse primero al puerto deseado y luego aplicarla all, ya sea entrante o saliente:
(config-if)#ip access-group
Ejemplo:
(config)#interface seria 0/0
(config-if)#ip access-group 100 out
Para aplicarla al trfico que va dirigido al router propiamente (telnet por ejemplo), debe hacerse
sobre las terminales virtuales
(config)#line vty 0 4
(config-line)#access-class
Ejemplo:
(config-line)#access-class 105 in
Borrar una ACL(config)#no access-list
Ejemplo:
(config)#no access-list 105
POSTED ON:0 6 - 1 7 - 2 0 1 3 WITH: 3 C O M M E N T S
Hola a todos,
Hoy voy a explicar cmo configurar las listas de acceso de un router cisco. Estas listas de
acceso consisten en un sencillo firewall que se integra en el router y son una de lasprimeras lneas de defensa que se suelen implementar en una red.
/***************************************************************
1. RED
2. DEFINICION DE REGLAS A IMPLEMENTAR
3. COMO FUNCIONAN LAS ACCESS-LISTS
http://highsec.es/2013/06/http://highsec.es/2013/06/http://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#commentshttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Redhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Definicionhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#ComoFuncionanhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#ComoFuncionanhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Definicionhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Redhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#commentshttp://highsec.es/2013/06/5/28/2018 Listas de Control de Acceso en Router
4/14
1. SINTAXIS
2. DEFINICION DE REGLAS
4. IMPLEMENTACION PRACTICA DE LAS REGLAS
****************************************************************/
RED:
Para empezar vamos a ver la topologa de la red sobre la cual voy a realizar el ejemplo.
Figura 1
Como se puede apreciar la red consta de 4 segmentos, indicados con los nombres Net0,
Net1, Net2 y Net3. Hay que recalcar que la Net0 est conectada a internet. Vamos a usar el
ordenador Host como atacante para realizar conexiones y ver si las medidas aplicadas
en el firewall surten efecto.
http://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Sintaxishttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#DefinicionReglashttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Implementacionhttp://highsec.es/wp-content/uploads/2013/06/esquema-de-red.pnghttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Implementacionhttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#DefinicionReglashttp://highsec.es/2013/06/como-configurar-access-lists-firewall-integrado-de-un-router-cisco/#Sintaxis5/28/2018 Listas de Control de Acceso en Router
5/14
Al ser un ejemplo, vamos a suponer que todos los ordenadores de la Net1, Net2 y Net3 (en
este caso correspondientes a H1, H2, H3 y H4, pero podra haber ms) tienen IP pblica y
estn accesibles a travs de internet desde la Net0).
OJO: El rango de IPs que he usado en el ejemplo corresponden a rangos de IPs
PRIVADAS, pero como estamos en un entorno de pruebas vamos a suponer que sonpblicas.
ATENCIN: Esta implementacin de tener toda la red o subredes con IPs pbl icas es muy
desaconsejable porque estn expuestas a ataques directos desde internet. Preferible sera
hacer Nat (consiste en que el router intercambia la ip pblica por privadas) en el router R1
en el interfaz e0/0 y que a partir de ah para adentro de la subred todas las IPs fuesen
privadas tal como se muestra en la figura 2.
Figura 2
Con la topologa de la figura 2, desde internet(Net0 y Host) nose podran
establecer conexiones entrantespara conectar con la Net1, Net2 ni Net3 (pero si salientes
http://highsec.es/wp-content/uploads/2013/06/ips-pub-priv.png5/28/2018 Listas de Control de Acceso en Router
6/14
desde Net1, Net2 y Net3 hacia internet); solo si el administradordel router R1 redirige la
DMZ a una IP privada de la subred, sta ip estara accesible ante una conexin entrante
desde internet.
Pero como lo que queremos es aprender a usar las Access-lists vamos a usar la red con
todas las ips pblicas como muestra la figura 3:
Figura 3
DEFINICION DE REGLAS A IMPLEMENTAR:
Las condiciones que vamos a implementar son las siguientes:
El trfico ICMP debe estar permitido en las subredes Net2 y Net3, pero tiene que estar
filtrado hacia la Net1 y el exterior (Host e Internet);Ejemplo1: desde Net2 se debe resolver
un ping awww.google.es,pero desde un sitio de internet Nose podr resolver un ping a la
Net2 ni Net3.Ejemplo2:desde la Net2 se debe resolver un ping a la Net1, pero desde la
Net1 Nose podr resolver el ping hacia la Net2 ni Net3.
http://www.google.es/http://highsec.es/wp-content/uploads/2013/06/ips-publicas.pnghttp://www.google.es/5/28/2018 Listas de Control de Acceso en Router
7/14
Las conexiones entrantes (UDP o TCP) desde Host e Interne t, Slose permiten a la
subred Net1 (DMZ).
Las conexiones salientes (UDP o TCP) deben poder realizarse desde Net2 y Net3.
Todos los nodos de las subredes Net2 y Net3 deben poder establecer conexiones
TCP/UDP sin ningn problema.
Las conexiones salientes (UDP y TCP) iniciadas en la Net1 tienen que estar prohibidas,Slo se debern contestar aquellas peticiones TCP iniciadas desde Internet o Net2 y Net3.
Un esquema de cmo quedara la topologa sera la siguiente:
Figura 4
COMO FUNCIONAN LAS ACCESS-LISTS:
SINTAXIS:
Existen distintos tipos de access-list, en este caso vamos a usar las ms genricas
(estndar y las extendidas) tal como se describe en la Figura 5.
http://highsec.es/wp-content/uploads/2013/06/esquema-securizado.png5/28/2018 Listas de Control de Acceso en Router
8/14
TIPO PROTOCOLO RANGO ID ACL FILTRADO
Estndar IP 1..99 && 1300..1999 IP origen, IP de
Extendida IP 100..199 && 2000..2699 IP origen, IP des
Figura 5
Sintxis que pueden tener las listas de acceso segn protocolos:
IP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard destination
destination-wildcard
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
[fragments]
ICMP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit}
icmp source source-wildcard destination destination-wildcard [icmp-type
[icmp-code] | [icmp-message]] [precedenceprecedence] [tos tos] [log |
log-input] [time-range time-range-name]
[fragments]
5/28/2018 Listas de Control de Acceso en Router
9/14
TCP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp
source source-wildcard [operator [port]] destination destination-wildcard
[operator [port]] [established] [precedence precedence] [tos tos] [log |
log-input] [time-range time-range-name]
[fragments]
UDP
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp
source source-wildcard [operator [port]] destination destination-wildcard
[operator [port]] [precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]
[fragments]
Voy a poner ejemplos reales de cada uno de los protocolos para comprender mejor su
funcionamiento y explicar detalles:
Filtrado IP:
Una regla nemotcnica para acordase del orden de las ips es pensar permitir/denegar
trfico ipDExxx.xxx.xxx.xxx (mscara si hay)A HACIAxxx.xxx.xxx.xxx (mscara si
hay).
5/28/2018 Listas de Control de Acceso en Router
10/14
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.100.0
0.0.0.255
Esta regla permite el trfico IP DEcualquier IP entre 192.168.10.0 y 192.168.10.255 (este
rango lo ha provocado la mscara 0.0.0.255) A HACIAcualquier IP entre 192.168.100.0 y
192.168.100.255 (este rango lo ha provocado la mscara 0.0.0.255).
Si alguna vez hemos trabajado con mscaras de subred, notamos que para conseguir el
rango 192.168.10.0 -192.168.10.255 la mscara habitual sera 255.255.255.0. Sin embargo,
Cisco utiliza una mscara inversa, intercambiando unos por ceros.
Otro ejemplo:
access-list 101 permit ip 192.168.10.9 0.0.0.0 192.168.100.0
0.0.0.255
En este caso la regla permite el trfico de IP DEla IP 192.168.10.9 (en este caso la mscara
son todo ceros, lo que quiere decir que la regla no es extensible a ninguna IP ms queesa) A HACIAcualquier IP entre 192.168.100.0 y 192.168.100.255 (este rango lo ha
provocado la mscara 0.0.0.255).
Como sera un rollo escribir la mscara 0.0.0.0 cada vez que queremos autorizar o denegar
una sola IP, Cisco ha creado la nomenclatura host. La palabra host equivale a aplicar la
mscara 0.0.0.0 sobre una IP y ha de colocarse antes de la IP a la que afecte. Vamos a
reescribir la regla anterior aplicando este concepto.
access-list 101 permit ip host 192.168.10.9 192.168.100.0
0.0.0.255
Filtrado ICMP:
5/28/2018 Listas de Control de Acceso en Router
11/14
access-list 102 permit icmp host 192.168.2.10 any echo
Esta regla permite el trfico ICMP-peticin (pregunta) DEla IP 192.168.2.10A
HACIAcualquier IP.
Vemos que la ltima palabra es la palabra echo. El protocolo ICMP se compone de una
pregunta (echo request) y una respuesta (echo reply). La nomenclatura que ha definido
Cisco para referirse a cada uno de ellos es: echopara echo request y echo-replypara
echo reply. Por tanto esta reglaSOLO permitir las preguntas echo o echo request.
access-list 102 deny icmp 192.168.2.0 0.0.0.255 any echo-reply
Esta regla deniega el trfico ICMP-contestacin (respuesta) DEcualquier IP entre192.168.2.0 y 192.168.2.255 (este rango lo ha provocado la mscara 0.0.0.255) A
HACIAcualquier direccin IP.
Filtrado TCP:
access-list 103 permit tcp any host 192.168.2.3 gt 1023
established
Esta regla permite trfico TCP-establecido DEcualquier IP A HACIA192.168.2.3 siempre
que el puerto de conexin sea mayor a 1023.
La ltima palabra, established, se refiere a que solo afectar a aquellas conexiones que
hayan sido establecidas previamente (SYN-ACK/RST). Por ejemplo, el host 192.168.2.3
inicia una conexin TCP con un sitio de internet y la respuesta TCP es filtrada y aceptada
por la access-list. Una conexin TCP iniciada desde cualquier sitio hacia 192.168.2.3
contendr un SYN y no matchear con la regla.
DEFINICION DE REGLAS:
El procedimiento para crear una access-list y que se ponga en funcionamiento es el
siguiente:
1 enable // activa el router
5/28/2018 Listas de Control de Acceso en Router
12/14
2
3
4
56
789
conf t // accedemos a la configuracininterface ethernet0/1 // seleccionamos el interfaz en el que cre
ip access-group 101 in // definimos el access-group, su numero (1
exit // salimos de la configuracion del interfazip access-list 101 permit icmp any any // aadimos una regla a la
ip access-list 101 permit tcp any any eq 22 // aadimos una segunda re
exit // salimos de la configuracinwrite // escribimos las access list, sera el equi
configuraciones
El primer paso para crear una access-list es definir el interfaz del router donde se aplicarn
las reglas. Por regla general, un router tendr como mnimo 2 interfaces, una para la red
local (LAN) y otra para la red ms amplia (WAN). Lnea 3.
Una vez que ya tenemos seleccionado el interfaz donde vamos a aplicar las reglas, hay que
definir cuando filtrar los paquetes; a la entrada (in) o a la saida (out) y que nmero le vamos
a poner al access-group. Lnea 4.
Salimos del interfaz mediante exit (Lnea 5) y ya estamos listos para escribir las reglas.
Algunos comandos tiles para poder editar las listas de acceso son:
access-list XXX remark Comentario so bre la access l ist: Aade comentarios a las access
lists (comando vlido slo cuando estamos Dentrode la configuracin del router).
no access-list XXX:Borra la access-list nmero XXX (comando vlido slo cuando
estamos Dentrode la configuracin del router).
show access-lists:Muestra todas las access-lists actuales (comando vlido slo cuandoestamos Fuerade la configuracin del router).
Cuando nos equivoquemos, no podremos borrar una regla especfica de la access-list; sino
que tendremos que borrar el access-group entero.Por ello conviene no poner todas las
reglas sobre la misma access-list, sino dividirlas segn funcionalidad o reestricciones para
hacerlas mas comprensibles y manejables.
Por defecto, el procedimiento que realiza un Router cuando recibe un paquete es ir
comparando las caractersticas de ste paquete con las reglas que tiene establecidas en las
access-list (esta comparacin se realiza en orden creciente de access-list; p.e.:1,2,3,101,102,205,) y en cuanto matchee (coincida el patrn) con una access-list,
ejecutar lo que tenga puesto para esa regla (o permit o deny) y dejar de comparar
automticamente con el resto.
Es por ste motivo por el que hay que prestar especial atencin al orden en que se definen
las reglas.
5/28/2018 Listas de Control de Acceso en Router
13/14
Otro punto importante, es que en cuanto definimos una sola regla access-list, no hay que
olvidarse de que por Defectopara ese interfaz del routeren el sentido (in o out) en que
hallamos definido el access-group, se creara una regla al final deny any any.Por tanto,
cuando creamos un access-group en un interfaz virgen, hay que tener en cuenta todo lo
que hasta entonces se haba permitido en el sentido de ese interfaz, para reflejarlo en otro
access-group y que protocolos que tendran que funcionar, sigan funcionando sin problema.
IMPLEMENTACION PRACTICA DE LAS REGLAS:
Puede haber varias configuraciones de access-lists para cumplir con las polticas, yo voy a
mostrar una pero no tiene porque ser la mejor.
El trfico ICMP debe estar permitido en las subredes Net2 y Net3, pero tiene que estar
filtrado hacia la Net1 y el exterior (Host e Internet);Ejemplo1: desde Net2 se debe resolver
un ping awww.google.es,pero desde un sitio de internet Nose podr resolver un ping a la
Net2 ni Net3.Ejemplo2:desde la Net2 se debe resolver un ping a la Net1, pero desde laNet1 Nose podr resolver el ping hacia la Net2 ni Net3.1
23
4
56
7
8
9
1011
1213
14
15
1617
18
19
20
enableconf t
interface ethernet0/0ip access-group 101 inexit
access-list 101 remark permite icmp replys del exterior (Internet y Host)
access-list 101 permit icmp any any echo-replyinterface ethernet0/0ip access-group 102 out
exitacccess-list 102 remark permite todo el icmp saliente de 0/0access-list 102 permit icmp any any echo
interface ethernet0/1ip access-group 105 inexit
access-list 105 remark permite tcp establecido de Net1 hacia Net2 y Net3access-list 105 permit tcp any any establishedaccess-list 105 remark permite icmp replys desde Net1 hacia Net2access-list 105 permit icmp any any echo-replyaccess-list 105 permit icmp any 10.1.1.0 0.0.0.255 echo
Las conexiones entrantes (UDP o TCP) desde Host e Internet, Slose permiten a lasubred Net1 (DMZ).1
2
34
5
6
interface ethernet0/0ip access-group 103 inexit
access-list 103 remark permite tcp y udp solo hacia DMZ, permite tcp y udp
access-list 103 permit tcp any 10.1.1.0 0.0.0.255access-list 103 permit udp any 10.1.1.0 0.0.0.255access-list 103 permit tcp any 10.1.2.0 0.0.1.255 establised //El UDP al n
http://www.google.es/http://www.google.es/5/28/2018 Listas de Control de Acceso en Router
14/14
7 equivalente.
Las conexiones salientes (UDP o TCP) deben poder realizarse desde Net2 y Net3.1
23
456
interface ethernet0/0ip access-group 104 outexit
access-list 104 remark permite tcp y udp de subredes hacia internetaccess-list 104 permit tcp any anyaccess-list 104 permit udp any any
Todos los nodos de las subredes Net2 y Net3 deben poder establecer conexiones
TCP/UDP entre ellos sin ningn problema.
Dadas las reglas que hemos puesto esto est permitido
Las conexiones salientes (UDP y TCP) iniciadas en la Net1 tienen que estar prohibidas,
Slo se debern contestar aquellas peticiones TCP iniciadas desde Internet o Net2 y Net3.
Regla ya puesta como primera access-list del access-group 105.1 access-list 105 permit tcp any any established