Configuración y Gestión de Listas de Control de Acceso en Redes

Clase 29 de 32 • Curso de Redes de Internet - Profesional

Resumen

¿Cómo configurar listas de control de acceso (ACL)?

Las listas de control de acceso (ACL) son herramientas poderosas para gestionar el tráfico en redes. Entender cómo configurarlas y aplicarlas correctamente es crucial para garantizar la seguridad y eficiencia de tu red.

¿Cuántas listas de control de acceso puedo crear?

Puedes crear una ACL por cada protocolo con el que estés trabajando. Si tienes IPv4 e IPv6, necesitarás listas distintas para cada uno de ellos. Además, las ACL pueden ser entrantes o salientes en los puertos, permitiéndote filtrar el tráfico que entra o sale de una interfaz específica. Por lo tanto, podrás tener:

Una lista de control de acceso entera por cada protocolo.
Listas separadas para tráfico entrante y saliente.
Una ACL por cada puerto presente en el dispositivo.

Esto significa que, teniendo un dispositivo con tres puertos y trabajando con IPv4 e IPv6, podrías tener hasta 6 ACL (dos por cada puerto, una entrante y una saliente).

¿Dónde ubicar las listas de control de acceso?

La ubicación de la ACL dentro de la topología de red es fundamental. Dependiendo del tipo de lista (estándar o extendida):

ACL estándar: Colócala lo más cerca posible del destino del tráfico.
ACL extendida: Colócala cerca del origen del tráfico para evitar que el tráfico innecesario recorra la red.

¿Qué tipos de listas puedo usar?

Existen listas numéricas y listas nombradas. Las listas numéricas se identifican por un número, mientras que las listas nombradas permiten insertar reglas en cualquier punto de la lista sin necesidad de desaparecerla y volver a crearla.

¿Sobre qué tráfico se aplican las ACL?

Las ACL se aplican solo al tráfico que atraviesa el enrutador, no al tráfico destinado al propio enrutador. Para filtrar tráfico administrativo (comandos internos hacia el enrutador), debes usar una clase especial llamada Access Class.

Buenas prácticas para la configuración de ACL

Para garantizar una implementación exitosa de las ACL, sigue estas recomendaciones:

Documenta todas las reglas y sus objetivos para facilitar ediciones futuras.
Realiza adiciones y cambios de las listas fuera de línea para evitar desconexiones accidentales durante la edición.
Prueba las listas en un entorno de simulación antes de aplicarlas a los equipos de producción para evitar disrupciones en la red.

Ejemplo de configuración de una ACL en Cisco IOS

Configurar una lista numerada:

access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 deny any

Aplicar la ACL a una interfaz específica:

interface GigabitEthernet0/1
 ip access-group 10 in

Configurar una lista nombrada:

ip access-list extended NOMBRADA
 permit tcp any host 192.168.1.100 eq 80
 deny ip any any

Aplicar la lista nombrada:

interface GigabitEthernet0/2
 ip access-group NOMBRADA in

Probar las ACL antes de aplicarlas

Para verificar el correcto funcionamiento de las ACL, crea un entorno de prueba o una simulación de tu topología de red. Esto permitirá validar que las listas operan como se espera sin afectar la red de producción.

Equipos y simuladores como Cisco Packet Tracer pueden ser de gran ayuda para esta tarea, ya que permiten emular redes completas y probar configuraciones sin necesidad de contar con hardware físico adicional.

Aprender y aplicar correctamente las ACL es un paso esencial para fortalecer la seguridad y la gestión del tráfico en cualquier red, asegurándote de que solo el tráfico autorizado fluya según las políticas establecidos. ¡Sigue aprendiendo y mejorando tus habilidades en la configuración de redes!

DANIEL TENOCH SANCHEZ GARCIA

student•

Lista de control de acceso: filosofía

Puede aplicarse una ACL por: • Cada protocolo (Ejemplo IPv4, IPv6) • Cada dirección(In-Out) • Cada interfaz (Ejmplo GigabitEthernet 0/0)

* Dónde aplicar ACLs • Las ACLs extendidas se ubican lo más cerca posible del ORIGEN del tráfico • Las ACLs estándar se ubican lo más cerca posible del DESTINO del tráfico.

ACLs nombradas • Permiten identificar la ACL con nombre fácil de recordar • Permiten editar regla por regla identificando cada una por un número ascendente

* ACLs para acceso a los equipos • Las ACLs aplicadas a los puertos solo filtran el tráfico que atraviesa el enrutador, no el tráfico administrativo que va dirigido a éste. • Para aplicar una ACL al tráfico administrativo se usa acces-class

Buenas prácticas • Crear las ACL según la política de seguridad • Mantener la descripción de lo que la ACL debe hacer • Editar las ACLs fuera de línea antes de configurarlas • Probar las ACLs en un entrono de testing antes de aplicarlas a la red

Marcelo Alexis Rubilar Rubilar

student•

Gracias por el resumen!!!

Romel Angel Avila Faican

student•

Gracias

Martin DAVILA

student•

Las ACL de entrada: procesan los paquetes entrantes al router antes de dirigirse a la interfaz de salida. Constituyen un elemento de eficacia, porque ahorran la sobrecarga de encaminar búsquedas si el paquete se descarta. Son ideales para filtrar paquetes de datos cuando la red conectada a una interfaz de entrada es el único origen de estos que se deben examinar. Las ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida del router, y después se procesan mediante la ACL de salida. Las ACL de salida son ideales cuando se aplica un mismo filtro a los paquetes que provienen de varias interfaces de entrada antes de salir por la misma interfaz de salida.

Marcelo Alexis Rubilar Rubilar

student•

Buen complemento, se agradece!!

Ricardo Isaac Ramirez Ramirez

student•

4 Reglas ACL -Solamente na ACL puede ser aplicada en una misma interfaz o dirección -Las nuevas lineas insertadas en un ACL siempre van al final de ella -Toda ACL siempre tiene un Deny All escondido en el final -Conozca bien el origen y destino del trafico que desea filtrar

Marcelo Alexis Rubilar Rubilar

student•

Se agradece!!

Omar Santiago López

student•

Las ACL se pueden aplicar tanto a nivel de Router como a nivel de Switch?

Erik Elyager

student•

Así es ambos equipos permiten configurar estas listas de acceso por IP.

David Barreto

student•

Hola! Tengo entendido que un Switch funciona en la capa 2 del modelo OSI así que no podría aplicar un filtrado a través de una ACL porque un Switch no conoce de direcciones IP sino de MAC, un router puede aplicar una ACL ya que este dispositivo trabaja en la Capa 3 así que el conoce de direcciones IP. Saludos!

Javier Ramos

student•

Esto es clave

Las Acl extendidas se ubican lo más cerca posible del ORIGEN del tráfico
Las Acl estandar se ubican lo más cerca posible del DESTINO del tráfico

Jefferson Pacheco Suárez

student•

Francisco Silva Buschiazzo

student•

He visto varias personas en las ultimas clases comentando que tienen dificultad para comprender el uso de Packet Tracer y eso les dificulta la comprensión del curso.

Les recomiendo hacer el curso oficial de packet tracer que brinda Cisco ( ), dura unas 3 horas y luego de aprender a usarlo va a ser mas fácil realizar este curso.

Norma Natalia Moreno Espinoza

student•

~ Es buena práctica tener un ambiente de simulación antes de poner en producción en los equipos.

Luis angel osorio ochoa

student•

en cisco no entendi nada : recomiendame donde aprender packet tracer en español plis :C voy a reprobar

Norma Natalia Moreno Espinoza

student•

En la página de cisco encuentras variedades de cursos ^^

Isaac Bustillo

student•

Total de ACL en un dispositivo:

cantidad de protocolos x salida & entrada x cantidad de puertos

Marvin Javier Santos Fernández

student•

Excelente información sobre la ACLs sobre todo donde aplicarlas.

Alvaro Marcelo Flores Guachalla

student•

Cual es la diferencia de las Listas ACLs con los firewalls?

Juan Pablo Perez

student•

Hola Alvaro, Las dos opciones pueden filtrar contenido, las diferencias que encontre son las listas ACL pueden tener mas funciones que solo filtrar contenido por ejemplo para tomar deciciones de a donde van los paquetes de acuerdo a politicas definidas y el firewall solo tiene el proposito de examinar y decidir si filtrar o no un contenido. Además las listas ACL hacen algo que se denomina "stateless inspection" (no encontre una buena traducción) lo que significa que las listas ACL no pueden ver lo que ha venido antes en cambio el firewall puede identificar si el paquete de bits esta comenzando o no. Muy interesante el tema de redes esta increíble aprender de esto, espero te sirva de algo mi respuesta y te invito a seguir consultando más al respecto. Saludos.

Joel Dominguez Merino

student•

Gracias por la respuesta @Pablo! Tenia la misma duda que el compañero @Alvaro. Un saludo!

Juan Carlos Herrera Rojas

student•

De hecho, los ACLs son exactamente la función de los NSGs en Azure, al final son filtros para permitir solo el tráfico en el que, si confiamos, por ejemplo, si tienes una máquina virtual en Azure con IP pública, no puedes tener permitido que cualquier IP origen intente conectarse por RDP, ya que estarás recibiendo ataques de personas con el fin de acceder, en su lugar configuras la siguiente regla en el NSG:

Dirección: Entrante

IP origen: aquí en vez de colocar cualquiera (Any), colocas la IP publica de tu red.

Puerto: RDP

De esta manera restringes el acceso a tu máquina virtual haciendo que solo desde tu IP pública se pueda conectar, así no tendrás ataques de fuerza bruta de todas partes del mundo.

Y esto es solo un ejemplo por si a alguien le sirve, obvio si nos ponemos muy especificos, pues como vimos en clases anteriores los proveedores de internet reutilizan las IPs publicas dentro de una area con varios clientes, así que usando mi ejemplo igual los que estén en esa area podrían intentar conectarse, pero al menos sería una parte mucho más pequeña que tenerla abierta al mundo entero.

Jefferson Pacheco Suárez

student•

¿Cómo borrar una VLAN cread por error?

Tan solo debemos asegurarnos de estar en la configuración general de la terminal y escribimos

no vlan 1 → el numero depende del número de la red creada

Así:

Jefferson Pacheco Suárez

student•

¿Cómo crear una VLAN manualmente? Pos así...

Configuración y Gestión de Listas de Control de Acceso en Redes

Profundizar en direccionamiento avanzado

Redes de Internet: Configuración y Seguridad Avanzada

Conversión de Números Decimales a Binarios y Viceversa

Cálculo de Máscaras de Subredes en Redes IP

Clases de Direccionamiento IP: Características y Usos

Fundamentos de programación en Python para principiantes

Direccionamiento de Redes Empresariales: Máscaras y Topologías

Direcciones IP Públicas y Privadas: Conceptos y Uso en Redes

Descarga e Instalación de Packet Tracer de Cisco

Configuración de NAT en Enrutadores para Traducción de IPs Públicas y Privadas

Migración de IPv4 a IPv6: Configuración y Beneficios

Comprender los servicios de red

Registros DNS: Tipos y Configuración Básica

Configuración de DHCP para Asignación Automática de Direcciones IP

Identificar características de enrutamiento

Enrutamiento de Datos: Cómo Funcionan las Direcciones de Red

Rutas estáticas en enrutadores: configuración y usos básicos

Configuración de Rutas Estáticas en Redes Simuladas

Configuración de Protocolos de Enrutamiento IP

Configuración de Rutas Dinámicas con OSPF en Redes Simuladas

Creación de Tablas Dinámicas en Excel

Convergencia en Redes: Protocolos de Enrutamiento y Configuración

Diseñar y ejecutar redes locales conmutadas

Diseño y Consideraciones de Redes Locales y sus Capas

Diseño de Topologías de Red: Capas de Acceso, Distribución y Core

Diseño de Redes Inalámbricas: Consideraciones y Seguridad

Diseño de Redes Inalámbricas: Evaluación y Consideraciones Clave

Configuración de Redes Inalámbricas y Seguridad WiFi

Importancia del Cableado en Redes: Seguridad y Desempeño

Configuración de VLANs para Seguridad en Redes Locales

Configuración de Enlaces Troncales en Redes VLAN

Identificar y mejorar seguridad en la red

Listas de Control de Acceso en Seguridad de Redes

Configuración y Gestión de Listas de Control de Acceso en Redes

Configuración de Listas de Control de Acceso en Redes

Seguridad en Configuración de Redes y Protección contra Ataques

Configuración Avanzada de Redes y Seguridad en Internet