COMUNICACIONES & REDES

Práctico 10: Configuración de ACLs con Packet

Tracer
Ejercicio #1 (Tiempo estimado: 30 minutos)
Las Listas de Control de Acceso o ACLs son muy sencillas de usar y configurar con Cisco Packet
Tracer. Gracias a ellas, podremos permitir o denegar un tipo de tráfico en concreto dentro de
nuestra red informática. Por ejemplo, denegar acceso a un servidor FTP, habilitar la impresora
solo para X personas, etc ... las opciones son casi infinitas.
¿QUÉ ES UNA ACL?
Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad
informática usado para fomentar la separación de privilegios. Es una forma de determinar los
permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del
proceso que hace el pedido.

Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y
conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red
de acuerdo con alguna condición. Sin embargo, también tienen usos adicionales, como, por
ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar
o mantener una conexión) en RDSI.

El motivo por el que suele gestionarse en una clase o sistema separado y no en cada una de las
partes que pretenden asociarse a permisos es por seguir las reglas SOLID, en este caso la S
(Principio de responsabilidad única), lo cual te permite incluso escalar mejor. Se asemejaría a un
sistema de control de accesos físico típico de un edificio, donde esa parte está centralizada en
un lugar. Este lugar solo necesita saber dos cosas: Quien eres (por ejemplo un ID de una tarjeta,
tu id de usuario) y que quieres hacer. Él te responde si tienes permiso de hacerlo o no. Con este
enfoque este mismo sistema no solo puede ser utilizado para acceder a lugares si no para
cualquier cosa que necesite separarse de personas que pueden y no pueden hacer cosas, por
ejemplo: acceder a una página o sección, publicar un comentario, hacer una amistad, enviar un
correo,... En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de
servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro
dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen
permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL
de redes. Las listas de control de acceso pueden configurarse generalmente para controlar
tráfico entrante y saliente y en este contexto son similares a un cortafuegos.

Existen dos tipos de listas de control de acceso: listas standard y listas extendidas.
1.- ESQUEMA DE RED
El esquema de la red que queremos emular, es el que se ve en la imagen siguiente. Tenemos 2
oficinas o aulas con N equipos conectados en cada una de ellas (en este caso hay 2 equipos en
cada oficina). En cada oficina hay un switch, y cada switch se conecta a un router central. Por
 COMUNICACIONES & REDES
último, tenemos una zona llamada servidores donde hay 3 servidores diferentes (servidor web,
servidor ftp y una impresora):
El esquema de red es el siguiente:

Esquema de red
El direccionamiento de red de cada uno de los equipos es el siguiente (entiendo que es
tan sencillo configurar las direcciones IPs que no es necesario explicarlo):

Direccionamiento de red

2.- ACLs
 COMUNICACIONES & REDES
Aunque existen millones de opciones en función de los equipos y servicios que queremos
gestionar dentro de una red, en este ejemplo lo que queremos hacer es aprender a usar las
ACLs y como es su funcionamiento. Para ello, se van a crear una serie de reglas de acceso
que permitirán el acceso entre una zona origen y una zona destino según la siguiente tabla:

Todo el tráfico que no coincida con las reglas creadas será denegado.
3.- SWITCHES
En este ejemplo, los switches no necesitan ninguna configuración especial, como por
ejemplo la creación de VLANs (aunque se podría hacer). Nuestro objetivo es explicar y
comprender el funcionamiento y configuración de las ACLs y por tanto, no complicar el
ejemplo. Los switches solamente se usarán para conectar los diferentes elementos y no
le aplicaremos ninguna configuración especial.
4.- ROUTER
En Cisco Packet Tracer, las listas de acceso se dividen en dos tipos: standard y extended.
Las listas de acceso standard, son muy sencillas y solo permiten filtrar tráfico desde una
ip concreta a un destino concreto. Las listas de acceso extendidas, permiten un control
mas potente de las reglas como tipo de protocolos, rango de puertos, etc etc ... En este
tutorial usaremos las listas extendidas. Las ACLs standard van desde el número 1 al 99
y las listas de acceso extendidas del 100 al 199.
Tipos de ACLs:

<1-99> IP standard access list

<100-199> IP extended access list

Con los siguientes comandos crearemos la ACL-101 en la cual especificaremos que

queremos permitir al acceso al FTP, y Servidor WEB desde cualquier equipo de la
Oficina1. Debemos especificar en que interfaz queremos aplicar la lista de control de
acceso, en este ejemplo la interfaz que conecta con el swicth0. Todo lo demás será
denegado:
ACL-101:

Router>en
Router#conf t
Router(config)# access-list 101 permit tcp any host 192.168.2.3 eq 20
Router(config)# access-list 101 permit tcp any host 192.168.2.3 eq 21
Router(config)# access-list 101 permit tcp any host 192.168.2.2 eq 80
Router(config)# access-list 101 deny ip any any
Router(config)# int GigabitEthernet0/0
Router(config-if)# ip access-group 101 in

Con los siguientes comandos crearemos la ACL-102 en la cual especificaremos que

queremos permitir al acceso al FTP desde el PC2 y PC3 y acceso a la impresora
únicamente desde el PC2. Todo lo demás será denegado y la interfaz donde aplicar la
regla es GigabitEthernet0/1:
 COMUNICACIONES & REDES
ACL-102:

Router>en
Router#conf t
Router(config)# access-list 102 permit tcp 192.168.1.2 0.0.0.255 host 192.168
.2.3 range 20 21
Router(config)# access-list 102 permit tcp 192.168.1.2 0.0.0.255 host 192.168
.2.4 eq 631
Router(config)# access-list 102 permit tcp 192.168.1.3 0.0.0.255 host 192.168
.2.3 range 20 21
Router(config)# access-list 102 deny ip any any
Router(config)# int GigabitEthernet0/1
Router(config-if)# ip access-group 102 in

Una vez que tenemos creadas las ACLs, podremos ver con el siguiente comando (show
access-list) el resumen de cada una de ellas:
Lista de ACLs:

Router#show access-lists
Extended IP access list 101
permit tcp any host 192.168.2.3 eq 20
permit tcp any host 192.168.2.3 eq ftp
permit tcp any host 192.168.2.2 eq www
deny ip any any
Extended IP access list 102
permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.3 range 20 ftp
permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.4 eq 631
deny ip any any

Si lo que queremos es borrar las listas de acceso, usaremos el siguiente comando para cada
una de ellas: no access-list <número>:
Borrar ACLs:

Router>
Router>en
Router#conf t
Router(config)#no access-list 101
Router(config)#no access-list 102

5.- PROBAR LAS ACLS

Ahora es el momento de probar las ACLs creadas y comprobar si están creadas
correctamente y funcional tal y como queremos. Documento con copias de pantalla las
pruebas realizadas, como mínimo:
a) Acceso desde PC0 al servidor web
b) Acceso desde PC0 al FTP
c) Acceso desde PC0 denegado a todo lo demás
d) Acceso desde PC2 al FTP
e) Acceso desde PC3 al servidor web denegado
 COMUNICACIONES & REDES

Ejercicio #2 (Tiempo estimado: 60 minutos)

En esta práctica de laboratorio, se aprenderá a configurar la seguridad básica de red
mediante listas de control de acceso. Se aplicarán ACL estándar y ampliadas.

Diagrama de topología

Tabla de direccionamiento
 COMUNICACIONES & REDES

Tarea 1: Preparar la red

Conectar y configurar la topología anterior en PT verificando que haya conectividad total entre
los dispositivos. En esta oportunidad y para hacer unas pruebas con listas de accesos
configuramos enrutamiento dinámico usando RIP.

Tarea 2: Configurar una ACL estándar

Las ACL estándar pueden filtrar tráfico sólo según la dirección IP de origen. Una práctica
recomendada típica es configurar una ACL estándar tan cerca del destino como sea posible. En esta
tarea, se configurará una ACL estándar. La ACL está diseñada para impedir que el tráfico desde la
red 192.168.11.0/24, ubicada en un laboratorio de estudiantes, acceda a cualquiera de las redes
locales de R3.

Esta ACL se aplicará en dirección entrante en la interfaz serial de R3. Se debe recordar que
cada ACL tiene un comando “deny all” implícito que hace que se bloquee todo el tráfico que no
coincida con una sentencia de la ACL. Por esta razón, se debe agregar la sentencia permit
any al final de la ACL.

Antes de configurar y aplicar esta ACL, asegúrese de probar la conectividad desde PC1 (o la
interfaz Fa0/1 de R1) a PC3 (o la interfaz Fa0/1del R3). Las pruebas de conectividad deberían
realizarse correctamente antes de aplicar la ACL.

Paso 1: Crear la ACL en el router R3.

En el modo de configuración global, cree una ACL nombrada estándar denominada STND-1.
R3(config)#ip access-list ____________________

En el modo de configuración de ACL estándar, agregue una sentencia que deniegue cualquier
paquete con una dirección de origen de 192.168.11.0 /24.
R3(config-std-nacl)#deny _____________

Permita todo el tráfico restante.

R3(config-std-nacl)#permit ________

Paso 2: Aplicar la ACL.

Aplique la ACL STND-1 como filtro en los paquetes que ingresan a R3 a través de la interfaz
serial 0/0/1.
R3(config)#interface ___________

R3(config-if)#ip access-group _________________

R3(config-if)#end
 COMUNICACIONES & REDES
Paso 3: Probar la ACL.

Antes de probar la ACL, asegúrese de que la consola de R3 esté visible. De este modo, se
podrán ver los mensajes de registro de la lista de acceso cuando se deniegue el acceso al
paquete.

Pruebe la ACL haciendo ping de PC2 a PC3. Debido a que la ACL está diseñada para bloquear
el tráfico con direcciones de origen de la red 192.168.11.0 /24, PC2 (192.168.11.10) no debería
poder hacer ping a PC3. Copie el resultado abajo

En el modo EXEC privilegiado de R3, ejecute el comando show access-lists. Copie la salida
abajo

El objetivo de esta ACL era bloquear los hosts de la red 192.168.11.0/24. Cualquier otro host,
como por ejemplo, los de la red 192.168.10.0/24, debería tener acceso a las redes de R3.
Realice otra prueba de PC1 a PC3 para asegurarse de que este tráfico no se bloquee. Copie
el resultado abajo.

Tarea 3: Configurar una ACL ampliada

Cuando se requiere un mayor nivel de detalle, se debe usar una ACL ampliada. Las ACL
ampliadas pueden filtrar el tráfico teniendo en cuenta otros aspectos, además de la dirección de
origen. Las ACL ampliadas pueden filtrar según el protocolo, las direcciones IP de origen y
destino y los números de puerto de origen y destino.

Una política adicional para esta red establece que los dispositivos de la LAN 192.168.10.0/24
sólo pueden alcanzar las redes internas. Los equipos de esta LAN no pueden acceder a Internet.
Por lo tanto, estos usuarios deben bloquearse para que no alcancen la dirección IP
209.165.200.225. Debido a que este requisito debe cumplirse tanto en el origen como en el
destino, se necesita una ACL ampliada.

En esta tarea, se configurará una ACL ampliada en R1 que impide que el tráfico que se origina
en cualquier dispositivo de la red 192.168.10.0/24 acceda al host 209.165.200.255 (el ISP
simulado). Esta ACL se aplicará en dirección saliente en la interfaz Serial 0/0/0 de R1. Una
práctica recomendada típica para la aplicación de ACL ampliada es ubicarlas tan cerca del origen
como sea posible.

Antes de comenzar, verifique que se pueda hacer ping a 209.165.200.225 desde PC1.

Paso 1: Configurar una ACL ampliada y nombrada.

 COMUNICACIONES & REDES
En el modo de configuración global, cree una ACL nombrada y ampliada, denominada
EXTEND-1.
R1(config)#ip access-list __________________

Observe que el indicador del router cambia para señalar que ahora se encuentra en el modo de
configuración de ACL ampliada. Desde este indicador, agregue las sentencias necesarias para
bloquear el tráfico desde la red 192.168.10.0 /24 al host. Utilice la palabra clave host cuando defina
el destino.

R1(config-ext-nacl)#deny ip _________________________

Recuerde que el comando “deny all” implícito bloquea cualquier otro tráfico sin la sentencia adicional
permit. Agregue la sentencia permit para asegurarse de que no se bloquee el tráfico restante.

R1(config-ext-nacl)#permit ___________

Paso 2: Aplicar la ACL.

Con las ACL estándar, lo más conveniente es ubicar a la ACL lo más cerca posible del destino.
Las ACL ampliadas generalmente se ubican cerca del origen. La ACL EXTEND-1 se ubicará en
la interfaz serial y filtrará el tráfico saliente.
R1(config)#interface ___________

R1(config-if)#ip access-group ___________

R1(config-if)#end

Paso 3: Probar la ACL.

Desde PC1, haga ping a la interfaz loopback de R2. Estos ping deberían fallar porque todo el
tráfico proveniente de la red 192.168.10.0/24 se filtra cuando el destino es 209.165.200.225. Si
el destino es cualquier otra dirección, los pings deberían realizarse correctamente. Confirme esto
haciendo ping al R3 desde el dispositivo de red 192.168.10.0/24.

Es posible verificarlo nuevamente al ejecutar show ip access-list en R1 después de hacer

ping.
R1#show ip access-list

Copie el resultado abajo

Tarea 5: Controlar el acceso a las líneas VTY con una ACL estándar
Es conveniente restringir el acceso a las líneas VTY del router para la administración remota.
Puede aplicarse una ACL a las líneas VTY, lo que permite restringir el acceso a hosts o redes
específicos. En esta tarea, se configurará una ACL estándar para permitir que los hosts de dos
redes accedan a las líneas VTY. Se le negará el acceso a todos los demás hosts.

Verifique que pueda establecer una conexión telnet a R2 desde R1 y R3.

 COMUNICACIONES & REDES
Paso 1: Configurar la ACL.

Configure una ACL estándar nombrada en R2 que permita el tráfico desde 10.2.2.0/30 y
192.168.30.0/24. Debe denegarse todo el tráfico restante. Denomine la ACL TASK-5.
R2(config)#ip access-list ____________

R2(config-std-nacl)#permit _______________

R2(config-std-nacl)#permit _________________

Paso 2: Aplicar la ACL.

Entre al modo de configuración de línea para las líneas VTY de 0 a 4.

R2(config)#______________

Utilice el comando access-class para aplicar la ACL a las líneas vty en dirección entrante.
Observe que esto difiere del comando que se utiliza para aplicar las ACL a otras interfaces.

R2(config-line)#_______________

R2(config-line)#end

Paso 3: Probar la ACL.

Establezca una conexión telnet a R2 desde R1. Observe que R1 no tiene direcciones IP en su
rango de direcciones que aparece en las sentencias de permiso de la ACL TASK-5. Los intentos
de conexión deberían fallar.

R1# telnet 10.1.1.2

Copie el resultado aquí:

Desde R3, establezca una conexión telnet a R2. Aparece una petición de entrada para la
contraseña de la línea VTY.

R3# telnet 10.1.1.2

Copie el resultado aquí:

¿Por qué los intentos de conexión desde otras redes fallan aunque no se enumeren
específicamente en la ACL?

__________________________________________________________________________

Tarea 6: Resolución de problemas en las ACL

Cuando se configura incorrectamente una ACL o se la aplica a la interfaz incorrecta o en la
dirección incorrecta, el tráfico de red puede verse afectado de manera no deseada.

Paso 1: Eliminar la ACL STND-1 de S0/0/1 de R3.

 COMUNICACIONES & REDES
En una tarea anterior, se creó y aplicó una ACL nombrada y estándar en R3. Utilice el comando
show running-config para visualizar la ACL y su ubicación. Se debería ver que una ACL llamada
STND-1 se configuró y aplicó en dirección entrante en Serial 0/0/1. Recuerde que esta ACL se
diseñó para impedir que todo el tráfico de red con una dirección de origen de la red
192.168.11.0/24 acceda a la LAN del R3.

Para eliminar la ACL, entre al modo de configuración de la interfaz para Serial 0/0/1 de R3. Utilice
el comando no ip access-group STND-1 para eliminar la ACL de la interfaz.

R3(config)#interface _________

R3(config-if)#no ip access-group _____

Use el comando show running-config para confirmar que la ACL se haya eliminado de la
Serial 0/0/1.

Paso 2: Aplicar la ACL STND-1 en S0/0/1 saliente.

Para probar la importancia de la dirección de filtrado de la ACL, aplique nuevamente la ACL

STND-1 a la interfaz Serial 0/0/1. Esta vez, la ACL filtrará el tráfico saliente en lugar del tráfico
entrante. Recuerde utilizar la palabra clave out cuando aplique la ACL.

R3(config)#interface ___________

R3(config-if)#ip access-group _________

Paso 3: Probar la ACL.

Pruebe la ACL haciendo ping de PC2 a PC3. Como alternativa, utilice un ping ampliado desde R1.
Observe que esta vez los pings se realizan correctamente y que los contadores de la ACL no
aumentan. Confirme esto mediante el comando show ip access-list en R3.

Paso 4: Restablecer la configuración original de la ACL.

Elimine la ACL de la dirección saliente y aplíquela nuevamente a la dirección entrante.

R3(config)#interface __________

R3(config-if)#no ip access-group _____

R3(config-if)#ip access-group ______

Paso 5: Aplicar TASK-5 a la interfaz serial 0/0/0 entrante de R2.

R2(config)#interface _____

R2(config-if)#ip access-group _____

Paso 6: Probar la ACL.

Intente comunicarse con cualquier dispositivo conectado a R2 o R3 desde R1 o sus redes

conectadas. Observe que toda la comunicación está bloqueada. Sin embargo, los contadores de
la ACL no aumentan. Esto se debe al comando “deny all” implícito al final de todas las ACL. Esta
sentencia deny impide todo el tráfico entrante a la serial 0/0/0 desde cualquier origen que no sea
R3. Básicamente, esto hará que las rutas de R1 se eliminen de la tabla de enrutamiento.
Elimine la ACL TASK-5 de la interfaz y guarde las configuraciones.
 COMUNICACIONES & REDES
R2(config)#interface ____________

R2(config-if)#no ip access-group ________

R2(config)#exit

Tarea 7: Documentar las configuraciones del router

Copie y pegue las configuraciones de los 3 routers con el comando show running-config: