Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • ACL (Access Control Lists, Listas de Control de Acceso)

    Cargado por

    pmarina1
    28 vistas15 páginas
    Access Control Lists

    Título original

    Acl

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    ODT, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Access Control Lists

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como ODT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    28 vistas15 páginas

    ACL (Access Control Lists, Listas de Control de Acceso)

    Cargado por

    pmarina1
    Access Control Lists

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como ODT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 15

    ACL (Access Control Lists, Listas de Control de Acceso) http://www.youtube.com/watch?v=B2Otbr9bDRY Usando !

    "s# podemos obtener estad$st%cas de &os pa'uetes 'ue pasan por un router e %mp&ementar po&$t%cas de se(ur%dad. )or e*emp&o: perm%t%r o dene(ar te&net# perm%t%r o dene(ar acceso a un router# perm%t%r 'ue s+&o a&(unos hosts puedan acceder a &a web# ev%tar 'ue c%ertos hosts rec%ban correo# etc. Una !" es una cond%c%+n o &%sta de cond%c%ones 'ue se ap&%ca a &os pa'uetes ,). Una vede.%n%da# se ap&%ca a una %nter.ace de& router Otra ap&%cac%+n de !" /'ue se conoce como d%str%bute &%st0 es .%&trar 'u1 redes se anunc%an en &os protoco&os de enrutam%ento d%n2m%co /R,)# O3)4# ...0. 5n este caso se ap&%can a& prococo&o y no a &a %nter.ace. "as !" se puede ap&%car en sent%do %nbound /de %nternet hac%a &a red %nterna0 o b%en en sent%do outbound /de &a red %nterna hac%a %nternet0 y en cua&'u%er %nter.ace. !+mo .unc%ona una !"? 5& router ana&%-a cada uno de &os pa'uetes 'ue atrav%esan una %nter.ace donde se ha ap&%cado &a !" y en e& sent%do espec%.%cado /%nbound/outbound0 6 3e compara e& pa'uete con &a cond%c%+n de &a pr%mera &$nea de &a !" 6 3e compara e& pa'uete con &a cond%c%+n de &a se(unda &$nea de &a !" 6 3e s%(ue comparando e& pa'uete hasta 'ue se encuentra una &$nea de &a !" donde e& pa'uete cump&e &a cond%c%+n. 5ntonces se procesa e& pa'uete de acuerdo con &o 'ue d%ce &a &$nea y 7O 35 3,8U57 9,R 7DO 9:3 ";75 3 D5 " !".

    - Hay un "deny" implcito al final de cada ACL, es decir, si el paquete no cumple ninguna de las condiciones de la lista, se descarta

    Inbound access lists 3e ap&%can a& tr2.%co 'ue entra por una %nter.ace 7<53 de tomar n%n(una otra dec%s%+n. 3% se descartan pa'uetes# 1stos ya no se procesan

    !utbound ACL "os pa'uetes se mueven a &a %nter.a- de sa&%da# pero se &es ap&%ca &a !" antes de ser enrutados. 3% no pasan &a !"# no se enrutan

    =ay 2 t%pos de !": 3tandard access &%sts: usan &a d%recc%+n ,) or%(en en un pa'uete como cond%c%+n de test. <odas &as dec%s%ones de procesado de& pa'uete se basan en &a d%recc%+n ,) or%(en. )or tanto# s%rven /s%mp&%.%cando0 para perm%t%r o dene(ar tr2.%co de muchos protoco&os /www# te&net# udp# ...0# ya 'ue no d%st%n(uen entre protoco&os.

    5>tended access &%sts: perm%ten eva&uar campos en &os pa'uetes de capa ? o capa @: d%recc%+n ,) or%(en y dest%no# t%po de protoco&o# nAmero de puerto. !omo resu&tado# perm%ten .%&trar con m2s prec%s%+n.

    Named access lists: son ACL standard o extended,

    [falta aqui puertos TCP y paquete TCP e IP]

    COSAS QUE HAY QUE SABER:

    En cada interface & protocolo & direccin slo se puede aplicar una access list. Por ejemplo: en la interface f0/1 direccin outbound, protocolo www (puerto 80), slo puede haber una ACL. Por qu? Porque si ponemos ms de una ACL y en la primera los paquetes resultan descartados, ya no hay ms paquetes para procesar.

    Como en el momento en que un paquete cumple una condicin ya se enruta (hacia dentro o hacia fuera) y no se compara con ms condiciones, las condiciones ms restrictivas tienen que estar al principio de la ACL

    Si aadimos lneas a la ACL van por defecto al final --> MAL --> Hay que copiar toda la ACL en un editor de texto, editarla, borrar la ACL original y volverla a crear a partir del fichero de texto

    Tampoco se puede quitar una lnea de una ACL (si lo haces borras toda la ACL) --> Copiarla en un editor, borrar la lnea, borrar la ACL y crearla de nuevo a partir del editor de texto

    Cada ACL debera acabar con una instruccin permit any o bien permit xxx o bien cualquier trfico que no cumpla ninguna condicin ser rechazado

    Las ACL filtran trfico EXTERNO (originado fuera) al router, no trfico generado DENTRO del router (si nos conectamos por telnet al router y hacemos ping a otro router, a este trfico no se le aplican las ACL !)

    Las ACL estndard filtran en base a la direccin IP de origen del paquete. Por tanto, hay que aplicarlas lo ms cerca posible del destino final del paquete. Si las aplicamos cerca del origen, es posible que no enviemos ningn paquete !

    Las ACL extendidas hay que aplicarlas lo ms cerca posible del origen del paquete IP. Estas ACL son muy especficas, as que no vale la pena enviar trfico al otro extremo del

    universo para que este trfico finalmente sea bloqueado, mejor bloquearlo en origen (y ahorrar ancho de banda)

    ACL ESTNDARD

    Las ACL estndard filtran el trfico IP examinando la direccin IP origen de un paquete.

    Se crean ACL estndard usando el nmero de access-list 1-99 o 1300-1999 (rango expandido)

    Vamos a crear una ACL estndard con nmero 10 (el nmero de la ACL le indica al router el tipo de ACL que estamos creando): (1 a 99 y 1300 a 1999 ACL estndard)

    Ahora hemos de decidir si queremos permitir (permit) o prohibir (deny) paquetes IP:

    The next step requires a more detailed explanation. There are three options available. You can use the any parameter to permit or deny any host or network; you can use an IP address to specify either a single host or a range of them; or you can use the host command to specify a specific host only. The any command is pretty obviousany source address matches the state- ment, so every packet compared against this line will match. The host command is relatively simple. Heres an example using it:

    Cualquier IP que cumpla las condiciones ser bloqueada. El parmetro [host] es el parmetro por defecto (default)

    En el ejemplo, el host con IP 172.16.30.2 ser bloqueado

    Para especificar un rango de hosts necesitamos usar mscaras wildcard.

    MSCARAS WILDCARD

    Las mscaras wildcard se usan en access lists para especificar un nico host, un rango de hosts, una red o un rango de redes.

    Para especificar un nico host:

    172.16.30.5 --> wildcard: 0.0.0.0

    Un cero en la wildcard indica que cada uno de los bytes de la direccin debe coincidir

    exactamente. Al revs, un 255 en la wildcard indica que el byte en la direccin puede tener cualquier valor.

    Por ejemplo:

    172.16.30.0

    0.0.0.255

    indica toda la subred 172.16.30.0/24

    3upon(amos 'ue 'ueremos b&o'uear acceso a &as ,) en e& ran(o BC2.BD.E.F a BC2.BD.BG.F es dec%r# E d%recc%ones 5ntonces &a w%&dcard ser$a: BC2.BD.E.F F.F.C.2GG 5& router emp%e-a en BC2.BD.E.F y b&o'uea E d%recc%ones hac%a arr%ba.

    The following example tells the router to match the first three octets exactly but that the fourth octet can be anything: Lab_A(config)#access-list 10 deny 172.16.10.0 0.0.0.255

    The next example tells the router to match the first two octets and that the last two octets can be any value: Lab_A(config)#access-list 10 deny 172.16.0.0 0.0.255.255

    Try to figure out this next line: Lab_A(config)#access-list 10 deny 172.16.16.0 0.0.3.255

    The above configuration tells the router to start at network 172.16.16.0 and use a block size of 4. The range would then be 172.16.16.0 through 172.16.19.0.

    The example below shows an access list starting at 172.16.16.0 and going up a block size of 8 to 172.16.23.0: Lab_A(config)#access-list 10 deny 172.16.16.0 0.0.7.255

    The next example starts at network 172.16.32.0 and goes up a block size of 16 to 172.16.47.0: Lab_A(config)#access-list 10 deny 172.16.32.0 0.0.15.255

    The next example starts at network 172.16.64.0 and goes up a block size of 64 to 172.16.127.0: Lab_A(config)#access-list 10 deny 172.16.64.0 0.0.63.255

    The last example starts at network 192.168.160.0 and goes up a block size of 32 to 192.168.191.255: Lab_A(config)#access-list 10 deny 192.168.160.0 0.0.31.255

    Si usamos la opcion [any], es equivalente a la wildcard siguiente: 0.0.0.0 255.255.255.255

    EJEMPLO DE STANDARD ACCESS LIST:

    En este ejemplo veremos cmo bloquear acceso a la LAN de Finanzas a hosts especficos

    En la figura siguiente, el router tiene 3 conexiones LAN y una conexin WAN hacia internet:

    Los PC de Sales no deben acceder a Finance pero s a internet y Marketing Los PC de Marketing deben acceder a Finance y a a internet

    Para que Sales no pueda acceder a Finance haremos:

    Router# conf t Router(config)# access list 10 deny 172.160.40.0 0.0.0.255 Router(config)# access list 10 permit any ( la ltima lnea es igual a: # access list 10 permit 0.0.0.0 255.255.255.255 )

    Ahora hemos de aplicar la access list a una interface y a una direccin especfica (inbound o outbound):

    Si la aplicramos a E0 como inbound, eliminamos TODO el trfico !!

    La aplicamos a E1 como outbound:

    Router(config)# int E1 Router(config-if)# ip access-group 10 out ( 10 es el nmero de ACL )

    Ejemplo 2:

    Se trata de impedir que los usuarios de Accounting usen el servidor Human Resources Server, pero que todos los dems puedan hacerlo

    Qu ACL debemos crear y dnde debemos ponerla?

    Usando ACL extended es ms fcil, pero con ACL estndard debemos ponerla en la interface E0 del router LabB

    Ejemplo 3: Queremos una ACL que evite que cada una de las 4 redes acceda a internet (interfaz S0)

    También podría gustarte