ACL: Explicación básica y Mascara de Wildcard

Para comprender que es una Lista de control de acceso (ACL) hay que entender como funcionan los enrutadores. Los enrutadores toman decisiones de renvió envase a la información del encabezado del paquete.

El router compara la direccion IP del destino con su tabla de enrutamiento para encontrar la mejor coincidencia, después se renvía el paquete según esa ruta. Este comportamiento se puede utilizar para filtrar el trafico mediante una lista de control de acceso

¿Qué es una ACL?

Una Lista de Control de Acceso (ACL) es un conjunto de reglas en el IOS que determina si un router permite o bloquea el tráfico según la información en el encabezado del paquete. Por defecto, un router no tiene ninguna ACL configurada, pero al establecer una, este inspecciona los paquetes que atraviesan sus interfaces y decide si reenviarlos o descartarlos según las reglas definidas.

---

¿Cómo funciona una ACL?

Una ACL utiliza una lista secuencial de declaraciones de permiso o denegación, conocidas como entradas de control de acceso (ACE).

En el momento en que un paquete pasa por una interface con una ACL configurada el paquete es comparado con cada instrucción ACE, en orden secuencial para determinar si el paquete coincide con una de las instrucciones. Este procesos se conoce como filtrado de paquetes

Filtrado de paquetes

El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes de ingreso y egreso, y decide si reenviarlos o descartarlos según las directivas ACE (Access Control Entries) configuradas. Este proceso puede ocurrir tanto en la capa 3 (Capa de Red) como en la capa 4 (Capa de Transporte) del modelo TCP/IP, dependiendo de los criterios de filtrado que se apliquen.

Funcionamiento de las ACL: Entrada y Salida

Para comprender cómo funcionan las ACL (Listas de Control de Acceso), es importante definir dos tipos principales según su aplicación: ACL de Entrada y ACL de Salida. Cada tipo tiene un propósito específico y se aplica en diferentes momentos del flujo de tráfico en un router.

1. ACL de Entrada

Las ACL de Entrada filtran los paquetes que ingresan a una interfaz específica antes de que sean enrutados a su destino. Este tipo de ACL es eficiente porque evita la sobrecarga de procesamiento asociada con el enrutamiento de paquetes que eventualmente serán descartados.

Características principales:

• Filtra paquetes antes de que se enruten.

• Ahorra recursos del router al descartar paquetes no deseados en una etapa temprana.

• Ideal cuando la red conectada a la interfaz es la única fuente de paquetes que deben examinarse.

2. ACL de Salida

Las ACL de Salida filtran los paquetes después de que han sido enrutados y están a punto de salir por una interfaz específica. Este tipo de ACL se aplica independientemente de la interfaz de entrada del paquete.

Características principales:

• Filtra paquetes después de que se enrutan.

• Útil cuando se desea aplicar el mismo filtro a paquetes que provienen de múltiples interfaces y salen por una misma interfaz.

• Permite un control más granular sobre el tráfico que abandona el router.

Procedimiento de una ACL

El funcionamiento de una ACL sigue un proceso secuencial para tomar decisiones sobre el tráfico. A continuación, se describe el procedimiento:

1. Recuperación de la dirección IP:
   El router configurado con una ACL de IPv4 recupera la dirección IPv4 de origen del encabezado del paquete entrante.

2. Comparación secuencial con las ACE:
   El router compara la dirección IP de origen con cada ACE (Access Control Entry) en la ACL, en el orden en que están configuradas.

3. Coincidencia y acción:

   • Si encuentra una coincidencia, el router ejecuta la acción definida en la ACE, que puede ser permitir o denegar el paquete.

   • Si el paquete es permitido, continúa su proceso de enrutamiento.

   • Si el paquete es denegado, se descarta inmediatamente.

4. Denegación implícita:
   Si la dirección IP de origen no coincide con ninguna ACE en la ACL, el paquete se descarta automáticamente. Esto se debe a que todas las ACL tienen una ACE de denegación implícita al final, que bloquea cualquier tráfico no explícitamente permitido

¿Para que sirve una ACL?

Una ACL tiene diferentes propositos para considerar implementarlas.

1. Limitan el tráfico de la red para aumentar su rendimiento

Es posible implementar una directiva ACE (Access Control Entry) que restrinja el tráfico que genere una carga excesiva en la red, como el tráfico de video o aplicaciones que consuman un ancho de banda significativo. Por ejemplo, una política corporativa puede prohibir el tráfico de video para reducir la congestión y mejorar el rendimiento general de la red. Esto se puede lograr mediante el uso de ACL (Listas de Control de Acceso) para bloquear específicamente el tráfico de video.

2. Proporcionan control del flujo de tráfico

Es posible implementar una directiva ACE que permita controlar cómo se distribuye el tráfico en la red. Por ejemplo, una política corporativa puede requerir que el tráfico del protocolo de enrutamiento se limite solo a ciertos enlaces confiables. Esto se puede implementar mediante ACL para restringir la entrega de actualizaciones de enrutamiento únicamente a aquellas que provienen de fuentes conocidas y autorizadas, mejorando así la seguridad y eficiencia de la red.

3. Proporcionan un nivel básico de seguridad para el acceso a la red

Es posible implementar una directiva ACE que restrinja el acceso a redes específicas, asegurando que solo usuarios autorizados puedan acceder a ciertos recursos. Por ejemplo, una política corporativa puede exigir que el acceso a la red de Recursos Humanos esté limitado únicamente al personal de ese departamento. Esto se puede lograr mediante ACL, que permiten definir reglas para limitar el acceso a redes o dispositivos específicos.

4. Filtran el tráfico según el tipo de tráfico

Es posible implementar una directiva ACE que filtre el tráfico basado en su tipo, permitiendo o denegando ciertos protocolos o servicios. Por ejemplo, una política corporativa puede requerir que se permita el tráfico de correo electrónico en una red, pero se deniegue el acceso Telnet debido a sus vulnerabilidades de seguridad. Esto se puede implementar mediante ACL, que permiten definir reglas para filtrar el tráfico por tipo de servicio.

5. Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red

Es posible implementar una directiva ACE que restrinja el acceso a servicios de red específicos, como FTP o HTTP, solo a grupos de usuarios autorizados. Por ejemplo, una política corporativa puede requerir que el acceso a ciertos tipos de archivos se limite a departamentos específicos. Esto se puede lograr mediante ACL, que permiten filtrar el acceso de los usuarios a servicios de red según sus roles o permisos.

6. Proporcionan prioridad a determinadas clases de tráfico de red

Es posible implementar una directiva ACE en combinación con QoS (Calidad de Servicio) para priorizar el tráfico crítico, como el de voz o videoconferencias, asegurando que se procese de manera inmediata y sin interrupciones. Por ejemplo, una política corporativa puede especificar que el tráfico de voz se reenvíe lo más rápido posible para garantizar una comunicación fluida. Esto se puede lograr mediante ACL y QoS, que permiten identificar y priorizar el tráfico esencial en la red.

---

Tipos de ACL

Los routers Cisco admiten dos tipos principales de ACL (Listas de Control de Acceso), que se utilizan para filtrar el tráfico de red según criterios específicos. Estos tipos son:

1. ACL Estándar

Las ACL Estándar son las más básicas y filtran paquetes únicamente a nivel de capa 3 (Capa de Red). Este tipo de ACL utiliza solo la dirección IPv4 de origen para tomar decisiones sobre si permitir o denegar el tráfico. Debido a su simplicidad, las ACL estándar son ideales para implementaciones básicas donde no se requiere un control granular.

Características principales:

• Filtrado basado en la dirección IP de origen.

• Limitado a decisiones de capa 3.

• Menos flexible que las ACL extendidas.

2. ACL Extendida

Las ACL Extendidas ofrecen un mayor nivel de control y flexibilidad. Estas ACL filtran paquetes tanto a nivel de capa 3 (Capa de Red) como de capa 4 (Capa de Transporte). Además de la dirección IP de origen, pueden utilizar la dirección IP de destino, protocolos como TCP o UDP, y números de puerto para tomar decisiones de filtrado.

Características principales:

• Filtrado basado en direcciones IP de origen y destino.

• Uso de protocolos como TCP, UDP y otros.

• Capacidad de filtrar por números de puerto.

• Mayor granularidad y control sobre el tráfico.

Clasificación de ACL: Numeradas y Nombradas

Además de los dos tipos principales (estándar y extendida), las ACL también se clasifican en ACL numeradas y ACL nombradas, independientemente de si son estándar o extendidas.

1. ACL Numerada

Las ACL numeradas se identifican mediante un número que indica su tipo y rango de aplicación. Cisco asigna rangos específicos para ACL estándar y extendidas:

• ACL Estándar Numerada:

  • Rango: 1 a 99 o 1300 a 1999.

  • Ejemplo: access-list 10 permit 192.168.1.0 0.0.0.255.

• ACL Extendida Numerada:

  • Rango: 100 a 199 o 2000 a 2699.

  • Ejemplo: access-list 110 permit tcp 192.168.1.0 0.0.0.255 any eq 80.

Sintaxis en Cisco IOS:

R1(config)# access-list ?
  <1-99>       IP standard access list
  <100-199>    IP extended access list
  <1100-1199>  Extended 48-bit MAC address access list
  <1300-1999>  IP standard access list (expanded range)
  <200-299>    Protocol type-code access list
  <2000-2699>  IP extended access list (expanded range)
  <700-799>    48-bit MAC address access list
  rate-limit   Simple rate-limit specific access list
  template     Enable IP template acls
R1(config)# access-list

2. ACL Nombrada

Las ACL nombradas son el método preferido para configurar ACL, ya que proporcionan mayor claridad y facilidad de administración. A diferencia de las ACL numeradas, las ACL nombradas permiten asignar un nombre descriptivo que indica su propósito, lo que facilita su identificación y gestión.

Características principales:

• Nombres descriptivos para identificar el propósito de la ACL.

• Compatible con ACL estándar y extendidas.

• Mayor flexibilidad en la edición y modificación de reglas.

Ejemplo de configuración:

R1(config)# ip access-list extended FTP-FILTER
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp-data
R1(config-ext-nacl)#

---

Mascara de Wildcard

Una característica importante al trabajar con ACL (Listas de Control de Acceso) en IPv4 es el uso de la máscara de wildcard. Esta máscara, de 32 bits, es fundamental para determinar qué bits de una dirección IPv4 deben coincidir al aplicar reglas de filtrado. Aunque es similar a la máscara de subred, su funcionamiento y propósito son diferentes.

¿Qué es una Máscara de Wildcard?

La máscara de wildcard es una secuencia de 32 bits que se utiliza junto con una dirección IPv4 para especificar qué bits de la dirección deben coincidir y cuáles pueden ignorarse. A diferencia de la máscara de subred, donde los 1s indican la porción de red y los 0s la porción de host, en la máscara de wildcard:

• 0: Indica que el bit correspondiente en la dirección IPv4 debe coincidir.

• 1: Indica que el bit correspondiente en la dirección IPv4 puede ignorarse.

Tipos de Mascaras de Wildcard

1. Wildcard para coincidir con un host

Cuando se desea que una ACL coincida con una dirección IPv4 específica (un solo host), se utiliza la máscara de wildcard 0.0.0.0. Esta máscara indica que todos los bits de la dirección IPv4 deben coincidir exactamente.

Ejemplo:

R1(config)# access-list 10 permit 192.168.1.1 0.0.0.0

• Interpretación:
  La ACL permitirá únicamente el tráfico proveniente de la dirección IP 192.168.1.1. Cualquier otra dirección será ignorada o denegada, dependiendo de las reglas posteriores.

En lugar de utilizar la mascara wildcard 0.0.0.0 podemos utilizar la palabra reservada host

Ejemplo:

R1(config)# access-list 10 permit host 192.168.1.1

2. Wildcard para coincidir con una subred IPv4

Cuando se desea que una ACL coincida con un bloque completo de direcciones IPv4 (una subred), se utiliza una máscara de wildcard que permita variar los bits correspondientes a la porción de host.

Ejemplo:

R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255

• Interpretación:

  • Los primeros tres octetos (192.168.1) deben coincidir exactamente.

  • El último octeto puede variar (0.0.0.255 permite cualquier valor en el cuarto octeto).

  • Esto permite que la ACL coincida con todas las direcciones en el rango 192.168.1.0 a 192.168.1.255.

3. Wildcard para coincidir con un rango de direcciones IPv4

En algunos casos, es necesario que una ACL coincida con un rango de direcciones IPv4 que no corresponde exactamente a una subred tradicional. Para ello, se utiliza una máscara de wildcard que permita variar ciertos bits en múltiples octetos.

Ejemplo:

R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255

• Interpretación:

  • Los primeros dos octetos (192.168) deben coincidir exactamente.

  • El tercer octeto puede variar en los últimos 4 bits (0.0.15.255 permite valores del tercer octeto entre 16 y 31).

  • El cuarto octeto puede variar completamente (0.0.15.255 permite cualquier valor en el cuarto octeto).

  • Esto permite que la ACL coincida con todas las direcciones en el rango 192.168.16.0 a 192.168.31.255.

Para calcular una mascara de wildcard es tan simple como restar la mascara de subred de 255.255.255.255.

---

Referencias

CCNA: Introduction to Networks. (n.d.). https://www.netacad.com/es/courses/ccna-introduction-networks?courseLang=es-XL&instance_id=da70b1a4-51ec-40b3-8d6a-67a5c9dd2146