Las ACLs o listas de control de acceso son un conjunto de reglas que se utilizan para permitir o negar el tr\u00e1fico en dispositivos de red, como los routers y switches de Cisco. Funcionan como un filtro de seguridad que controla el acceso a segmentos de la red bas\u00e1ndose en direcciones IP, protocolos y puertos.<\/p>\n\n\n\n
En el mundo Cisco de reglas de seguridad hay un concepto para aprender que son las \u00abWildcard\u00bb.<\/p>\n\n\n\n
Que son las Wilcards<\/strong><\/p>\n\n\n\n La wildcard funcionan al rev\u00e9s que una m\u00e1scara de subred tradicional. En una m\u00e1scara de subred, un 1 en la m\u00e1scara indica un bit que debe coincidir exactamente y un 0 indica un bit que puede variar. En las wildcards, es al rev\u00e9s: un 0 significa \u00abeste bit debe coincidir\u00bb y un 1 significa \u00abeste bit puede ser cualquier cosa\u00bb.<\/p>\n\n\n\n Por ejemplo, si ten\u00e9s una direcci\u00f3n IP como 192.168.10.0 y us\u00e1s una wildcard de 0.0.0.255, esto indica que las primeras tres partes de la IP (192.168.10) deben coincidir exactamente, pero la \u00faltima parte (el \u00faltimo byte) puede ser cualquier n\u00famero entre 0 y 255.<\/p>\n\n\n\n \u00bfPor qu\u00e9 se usan? Por ejemplo, si quer\u00e9s permitir el acceso solo a la subred 192.168.10.0\/24, podr\u00edas usar una wildcard de 0.0.0.255 junto con la direcci\u00f3n base 192.168.10.0. Esto cubre todas las direcciones desde 192.168.10.0 hasta 192.168.10.255.<\/p>\n\n\n\n Tipos de ACLs<\/strong><\/p>\n\n\n\n Hay dos tipos principales de ACLs en dispositivos Cisco:<\/p>\n\n\n\n Standard ACLs:<\/strong> Estas son m\u00e1s simples y controlan el tr\u00e1fico bas\u00e1ndose \u00fanicamente en las direcciones IP de origen.<\/p>\n\n\n\n Extended ACLs: <\/strong>Son m\u00e1s detalladas y pueden filtrar el tr\u00e1fico bas\u00e1ndose en las direcciones IP de origen y destino, adem\u00e1s de los protocolos (TCP, UDP, ICMP, etc.) y los n\u00fameros de puerto.<\/p>\n\n\n\n Configuraci\u00f3n<\/strong><\/p>\n\n\n\n Para configurar ACLs en un dispositivo Cisco, entramos al modo config en el exec privilegiado(#conf terminal).<\/p>\n\n\n\n Donde…<\/p>\n\n\n\n [n\u00famero]:<\/strong> es el n\u00famero de identificaci\u00f3n de la ACL (1-99 para est\u00e1ndar, 100-199 para extendida).<\/p>\n\n\n\n deny|permit: <\/strong>especifica si la regla bloquea o permite el tr\u00e1fico.<\/p>\n\n\n\n [protocolo]: <\/strong>puede ser TCP, UDP, ICMP, etc.<\/p>\n\n\n\n [direcci\u00f3n origen\/destino]:<\/strong> IP de origen o destino.<\/p>\n\n\n\n [wildcard mask]: <\/strong>m\u00e1scara que indica qu\u00e9 bits de la direcci\u00f3n IP deben coincidir.<\/p>\n\n\n\n in|out:<\/strong> aplica la ACL en tr\u00e1fico entrante o saliente de la interfaz.<\/p>\n\n\n\n De esa forma creamos la ACL que mejor nos cuadre. De todas formas ninguna ACL entrar\u00e1 en funcionamiento hasta que no la \u00abagreguemos\u00bb a la interfaz que queremos filtrar especificando si la regla afectar\u00e1 a los paquetes entrantes o salientes (IN\/OUT).<\/p>\n\n\n\n De esta forma podemos especificar el orden del tr\u00e1fico que vamos a filtrar.<\/p>\n\n\n\n Un dato para recordar (y lo pinto de rojo): Al filtrar en Cisco, como en cualquier Firewall el paquete se comparar\u00e1 con cada regla de la lista hasta \u00abMatchear\u00bb con la regla correspondiente y luego no se compara m\u00e1s.<\/strong> Por lo tanto, los permitir<\/strong> van arriba de los prohibir<\/strong> en la mayor\u00eda de los casos.<\/p>\n\n\n\n Ejemplo, si quiero permitir que un host solamente de una red acceda a otra deber\u00eda ordenar las reglas de la siguiente manera:<\/p>\n\n\n\n 1 – Permito el \u00fanico host que pasa Te pongo un ejemplo en pr\u00e1ctica<\/p>\n\n\n\n Supongamos que quer\u00e9s impedir que una LAN (192.168.10.0\/24) acceda a la DMZ (192.168.20.0\/24), pero permitir que un host espec\u00edfico de la LAN (192.168.10.50) pueda acceder a un servidor web (192.168.20.100) en la DMZ.<\/p>\n\n\n\n Y si queremos editar una lista?<\/strong><\/p>\n\n\n\n Primero ten\u00e9 en cuenta que las ACLs en los dispositivos Cisco no se pueden editar directamente en la configuraci\u00f3n actual. Tendr\u00e1s que eliminar la regla que quer\u00e9s modificar y luego volver a escribir la versi\u00f3n corregida. Esto puede sonar un poco molesto, pero una vez que lo hac\u00e9s un par de veces, te vas a acostumbrar. Ten\u00e9 un block de notas a mano y and\u00e1 pasando todo lo que puedas.<\/p>\n\n\n\n Con #show access-lists podes ver las listas y sus reglas, copiar y pegar. Es la forma m\u00e1s pr\u00e1ctica a menos que uses la interf\u00e1z gr\u00e1fica que traen algunos routers o firewalls de cisco.<\/p>\n\n\n\n
<\/strong>Las wildcards se usan porque te dan una flexibilidad enorme para especificar rangos de direcciones IP en las reglas de las ACLs. En lugar de tener que escribir muchas reglas para cubrir m\u00faltiples direcciones IP espec\u00edficas, pod\u00e9s usar una wildcard para abarcar todo un rango con una sola regla. Esto hace que la configuraci\u00f3n sea m\u00e1s simple y m\u00e1s r\u00e1pida, adem\u00e1s de que reduce la cantidad de recursos que el router necesita para procesar las ACLs.<\/p>\n\n\n\n#ACL estandar\nRouter(config)# access-list [n\u00famero] deny|permit [direcci\u00f3n origen] [wildcard mask]\n#ACL extendida\nRouter(config)# access-list [n\u00famero] deny|permit [protocolo] [ip origen] [wildcard origen] [ip destino] [wildcard destino] [opciones]<\/code><\/pre>\n\n\n\nRouter(config-if)# ip access-group [n\u00famero de lista] in|out<\/code><\/pre>\n\n\n\n
EL ORDEN DE LAS REGLAS IMPORTA<\/strong><\/p>\n\n\n\n
2 – Bloqueo todos los dem\u00e1s<\/p>\n\n\n\n![\"\"](\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2024\/04\/image-13.png\")
<\/a><\/figure>\n\n\n\n\nRouter(config)# access-list 101 permit tcp host 192.168.10.50 host 192.168.20.100 eq www\nRouter(config)# access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255\n#con el comando Show access-list vemos las listas que configuramos y su orden\nRouter#show access-lists \nExtended IP access list 101\n 10 permit tcp host 192.168.10.50 host 192.168.20.100 eq www\n 20 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255\n\n#Aplicar la ACL a la interfaz correspondiente (suponiendo que es la interfaz de salida hacia la LAN):\nRouter(config-if)# ip access-group 101 in<\/code><\/pre>\n\n\n\n