Access list standard:

Este artículo forma parte de una serie de varios artículos que tratan distintas tecnologías de seguridad en routers y switches para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

 

Access list standard:

Las access list o ACL son un mecanismo que permite controlar el tráfico que entra o sale por una interfaz. Su funcionamiento es algo bastante sencillo, simplemente se crea una lista con el tráfico que se quiere permitir dejar pasar, y con el tráfico que no se quiere dejar pasar.

Las access list se leen secuencialmente, y cuando un paquete cumple con una linea de una access list, la access list no se sigue leyendo para ese paquete, por ello es extremadamente importante el orden en el que se meten las entradas en una access list, así como asignar números de secuencia correctamente en las ACL.

Las access list solo hacen match con el tráfico que pasa por el router, pero no van a aplicar al tráfico generado desde el propio router, esto significa que si haces un ping desde un router ese tráfico no va a matchear en ninguna ACL del mismo router, pero podrá matchear en una ACL de cualquier otro router.

Todas las ACL por defecto llevan implícitamente aplicada una condición que deniega todo el tráfico en la última linea, esto no hace falta que lo configuremos, simplemente todas las ACL llevan implícito un DENY a todo el tráfico en la última linea.

Crear una ACL standard:

R(config)#access-list <numero_ACL> <permit/deny> <red_origen> <wildcard_origen>

• <numero_ACL>: Por narices las ACL standar tienen números en el rango 1-99, aunque hay un rango extendido entre el 1300 y el 1999 por si las moscas que también se puede usar.
• <permit/deny>: Si queremos dejar pasar ese tráfico, o si queremos no dejarlo pasar.
• <red_origen>: La red de origen de los paquetes que van a atravesar la interfaz.
• <wildcard_origen>: La wildcard que aplicamos.

Usando el mismo número de access list podemos añadir todas las lineas que queramos a una access list, teniendo en cuenta las reglas de las ACL que hemos comentado antes.

Ver una access list:

show ip access-list <numero_ACL>

Rack1R1#show ip access-list 33

Standard IP access list 33

10 permit 192.168.1.1

20 permit 192.168.2.1

30 deny 192.168.1.0, wildcard bits 0.0.0.255

Lo que aparece delante de cada permit o deny es el número de secuencia, y el router siempre va a leer y ordenar las ACL en base al número de secuencia hasta que haga match, y luego no seguirá leyendo.

Modificar una access list:

Hay dos maneras de modificar una access list, la primera es borrar la access list, e introducir la access list con las lineas que queramos, y la otra es un poco mas fina, pero un poco mas entretenida.

R(config)#ip access-list standard <numero_ACL>

R(config-std-nacl)#<Numero_secuencia> <deny/permit> <red_origen> <wildcard_origen>

Si quisieramos eliminar una linea en una ACL tan solo tendríamos que hacer:

R(config)#ip access-list standard <numero_ACL>

R(config-std-nacl)#no <Numero_secuencia>

Aplicar una ACL:

Las ACL no permiten o deniegan el tráfico alegremente, las ACL se aplican a interfaces, puedes aplicar una misma ACL a todas las interfaces que quieras de un router, pero solo se puede aplicar una ACL a cada interfaz, una para input y otra para output.

R#configure terminal

R(config)#int <interfaz>

Rack8R1(config-if)#ip access-group <numero_ACL> <in/out>

• <in/out>: Simplemente desde el punto de vista del router y mirando a la interfaz si la ACL aplica a los paquetes que entran al router por esa interfaz(in) o si salen por esa interfaz(out).

Ejemplo:

Creamos una ACL con cuatro entradas.

access-list 33 permit 192.168.1.1

access-list 33 permit 192.168.2.1

access-list 33 deny 192.168.1.0 0.0.0.255

access-list 33 permit any

Visualizamos la ACL:

Rack1R1#show ip access-list 33

Standard IP access list 33

10 permit 192.168.1.1

20 permit 192.168.2.1

30 deny 192.168.1.0, wildcard bits 0.0.0.255

Modificamos la ACL:

Rack1R1(config)#ip access-list standard 33

Rack1R1(config-std-nacl)#25 permit 192.168.1.0 0.0.0.255

Volvemos a ver la ACL:

Rack1R1#show ip access-lists 33

Standard IP access list 33

10 permit 192.168.1.1

20 permit 192.168.2.1

25 permit 192.168.1.0, wildcard bits 0.0.0.255

30 deny 192.168.1.0, wildcard bits 0.0.0.255

40 permit any

Aplicamos la ACL a una interfaz:

Rack1R1(config)#int e0/0

Rack1R1(config-if)#ip access-group 33 in

Por esa interfaz estaríamos permitiendo que entrase tráfico proveniente de las ip 192.168.1.1, 192.168.2.1 , de las 192.168.1.0 a 192.168.1.127, pero denegándolo a las 192.168.1.128-192.168.1.255, y permitiéndolo a todas las demás.