GUA DE LABORATORIO LISTAS DE CONTROL DE ACCESO

rea EEyT

Confeccionado por: Direccin rea Electricidad, Electrnica y Telecomunicaciones

Derechos Reservados Titular del Derecho: INACAP N de inscripcin en el Registro de Propiedad Intelectual # __.__de fecha __-__-__. INACAP 2003.

LISTAS DE CONTROL DE ACCESO (ACL)

Los administradores de red deben buscar maneras de impedir el acceso no autorizado a la red, permitiendo por otro lado el acceso autorizado. Aunque las herramientas de seguridad, como las contraseas, equipos de callback y dispositivos de seguridad fsica son de ayuda, a menudo carecen de la flexibilidad del filtrado bsico de trfico, y los controles especficos que la mayora de los administradores prefieren. Por ejemplo, un administrador de red puede permitir que los usuarios tengan acceso a Internet, pero puede no considerar conveniente que los usuarios externos hagan telnet a la LAN. Los routers proporcionan capacidades bsicas de filtrado de trfico, como bloqueo del trfico de Internet, con listas de control de acceso (ACL). Una ACL es una coleccin secuencial de sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior. Existen las ACL estndar y extendidas. Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo Internet (IP) y el Intercambio de Paquetes de Internetwork (IPX), para filtrar los paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router para controlar el acceso a una red o subred.

Conceptos previos:
En los Router Cisco, las listas de acceso tienen un identificador de acuerdo a su tipo. La siguiente tabla muestra los identificadores. Tipo de lista de acceso IP estndar IP extendida Cdigo del tipo puente IPX estndar IPX extendido IPX SAP Identificador 1-99 100-199 200-299 800-899 900-999 1000-1099

Listas de acceso IP estndar:

Las listas de acceso estndar permiten o prohben paquetes en base a la direccin IP de origen del paquete.

Mscara Wildcard:
Las listas de acceso IP estndar y extendidas utilizan una mscara WILDCARD. Al igual que una direccin IP, una mscara wildcard es una cantidad de 32 bits escrita en un formato decimal con puntos. La mscara wildcard le indica al Router qu bits de la direccin usar en las comparaciones. Los bits de direcciones correspondientes a los bits de mscara wildcard establecidos en 1 se ignoran en las comparaciones, mientras que los bits de direcciones de mscara wildcard establecidos en 0 se usan en las comparaciones.

Listas de acceso IP extendida:

Las listas de acceso extendidas ofrecen mayor control que las listas de acceso estndar, debido a que permiten habilitar filtrado en base a las direcciones de origen y destino del paquete IP.

Comandos:
A continuacin de definen los comandos ms utilizados para la creacin de listas de acceso. Comando Access-list-number Permit / deny Source Destination Source-Wildcard Destination-Wildcard Any Show access-list Descripcin Identifica la lista a la que pertenece la entrada. Indica si la entrada permite o impide el trfico a la red especificada. Indica la direccin IP de origen. Indica la direccin IP destino. Identifica qu bits del campo de direccin deben coincidir. Aplicar a todos Muestra las listas de acceso de todos lo protocolos

EJEMPLOS
Ejemplo de lista de acceso estndar:

INTERNET
10.48.0.3 B C D A
Workstation Workstation

Workstation Workstation

10.51.0.0
Ethernet

E0 Router A 10.48.0.0

La configuracin de la lista de acceso para el router A:

Router(config)#access-list 2 permit 10.48.0.3 Router(config)#access-list 2 deny 10.48.0.0 0.0.255.255 Router(config)#access-list 2 permit 10.0.0.0 0.255.255.255 Router(config)#! (note: all other access implicitly denied) Router(config)#interface Ethernet 0 Router(config)#ip access group 2 in El host B puede comunicarse con el host A. Est permitido por la primera lnea de la lista de acceso, que utiliza una mscara de host implcita. El host C no puede comunicarse con el host A. El host D est en una subred que esta explcitamente permitida por la tercera lnea de la lista de acceso. El host D puede comunicarse con el host A. El host D esta en una subred que esta explcitamente permitida por la tercera lnea de la lista de acceso. Los usuarios de Internet no pueden comunicarse con el host A. Los usuarios que estn fuera de esta red no estn explcitamente permitidos, por lo que son denegados por defecto con el deny any implcito al final de la lista de acceso.

Ejemplo de lista de acceso IP extendida:

INTERNET
Correo 172.22.1.2

DNS 172.22.2.0 Navegador

Tower box Workstation

FTP

Tower box

Tower box

Workstation

S0
Ethernet

172.22.3.0 E1

E0 Router B 172.22.1.0 Router A

access-list 118 permit tcp any 172.22.0.0 0.0.255.255 eq www established access-list 118 permit tcp any host 172.22.1.2 eq smtp access-list 118 permit udp any any eq dns access-list 118 permit udp 172.22.3.0 0.0.0.255 172.22.1.0 o.0.0.255 eq snmp access-list 118 deny icmp any 172.22.0.0 0.0.255.255 echo access-list 118 permit icmp any any echo reply ! interface Ethernet 0 ip access-group 118 out En el ejemplo anterior, la lista de acceso 118 se aplica como saliente a la interfaz Ethernet 0 del router A. Esta configuracin permite que las respuestas a las consultas del navegador del cliente A en Internet vuelvan a entrar en la red corporativa (ya que se trata de sesiones establecidas). Las consultas mediante navegador desde orgenes externos no son permitidas explcitamente y son descartadas por el deny any implcito del final de la lista de acceso. Tambin permite enviar correo electrnico SMTP exclusivamente al servidor de correo. El servidor est autorizado para resolver peticiones DNS. La subred 172.22.1.0 es controlada por el grupo de administracin de red que est ubicado en servidor del cliente B, por lo que las consultas de administracin de red SNMP, se les permitir llegar a estos dispositivos del servidor. Los intentos de hacer un ping a la red corporativa desde afuera de la red de la subred 172.22.3.0 fallarn, ya que la lista de acceso bloquea las peticiones echo. Sin embargo, las respuestas a las peticiones echo generadas desde dentro de la red corporativa sern autorizadas a volver a entrar a la red.

EJERCICIOS
1.Es necesario realizar el diseo de red LAN para una empresa con mltiples sucursales. Se requiere que cada sucursal tenga dos redes: Una red para ventas. Una red para administracin. Cada segmento exclusivo de LAN se debe conectar a una puerta independiente en el router para brindar servicios a esa LAN. Ethernet

Como parte de la solucin de seguridad, se necesita desarrollar una ACL para el router de acceso al sitio local que deniegue acceso a los usuarios del segmento de LAN de ventas al segmento de LAN administrativo, otorgando al mismo tiempo acceso completo de la LAN administrativa al segmento de LAN de ventas. Indique la configuracin necesaria en el Router para satisfacer el requerimiento. 2.Indique la configuracin para una lista de acceso IP numerada que detenga los paquetes provenientes de la subred 134.141.7.0, 255.255.255.0, aplicada en una interfaz serial 0 de un Router. Permita que todos los dems paquetes pasen. Indique la configuracin para una lista de acceso IP que permita solamente paquetes de las subredes 193.7.6.48/28 a la 193.7.6.128/28, que son enviados al servidor Web de la subred 128.1.0.0, en la puerta serial 0 de algn Router. Indique la configuracin para una lista de acceso IP que detenga los paquetes desde la subred 10.3.4.0/24, a cualquier servidor Web, aplicada en la salida de una interfaz serial 0 de algn Router. Tambin detenga los paquetes del host 134.141.5.4 de entrada en la interfaz serial 0. Permita cualquier otro trfico. Indique una mscara Wildcard para poder hacer Match al grupo de subredes que van desde la 115.10.12.0/22 hasta la 115.10.64.0/22 Indique la mscara wildcard necesaria para filtrar 15 host de la subred 200.10.8.96/27, partiendo del host 200.10.8.103/27 hasta el host 200.10.8.117/27. Qu filtra la siguiente lista de acceso? (direccin IP 10.0.0.0/15) Access-list 53 deny 10.0.0.0 0.7.255.255 Access-list 53 permit any 8.Qu filtra la siguiente lista de acceso? (direccin IP 125.8.0.0/25) Access-list 36 permit host 125.8.7.11 Access-list 36 deny 125.8.7.8 0.0.0.7 Access-list 36 permit any

3.-

4.-

5.6.-

7.-

9.-

Cree Una lista de acceso y colquela en la ubicacin adecuada para satisfacer los siguientes requisitos. Impedir que todos los host de la subred 172.16.1.0/24, a excepcin del host 172.16.1.3, accedan al servidor web de la subred 172.16.4.0. Permitir que todos los dems host, incluyendo los del mundo exterior, accedan al servidor Web.

NO 172.16.0.0

172.16.1.4

172.16.1.3

Workstation Workstation Workstation

S0
Ethernet

172.22.3.0 E1

172.16.1.0

E0 Router A

E1 172.16.2.0

E0

Router B

172.16.4.0

Tower box

Tower box

Tower box

Workstation

DNS 4.2

FTP 4.3

www 4.4

cliente 4.5