Access Control List) • Es una forma de determinar los permisos de acceso. • Concepto de seguridad informática usado para filtrado de tráfico. • Las ACLs permiten controlar el flujo del tráfico TAREAS DE LISTA DE CONTROL DE ACCESO ACL Tipos de ACL
ACL estándar, donde sólo
tenemos que especificar una dirección de origen. ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino. DIFERENCIA ENTRE UNA ACL ESTÁNDAR Y EXTENDIDA ACL EXTENDIDA ACL estándar Filtra paquetes IPv4 según Permitir o denegar el tráfico varios atributos. de direcciones IPv4 de origen únicamente el destino del paquete y los puertos involucrados no se evalúan. ¿Dónde se aplican las ACL? Las listas de acceso estándar Las listas de acceso se deben colocar cerca del extendidas se deben colocar destino. cerca de la fuente. PAUTAS PARA CREAR UNA ACL Se puede configurar una ACL por: MASCARA WILDCARD Es la cadena de 32 dígitos binarios que el router utiliza para determinar los bits de la dirección que debe examinar para encontrar una coincidencia. CALCULAR MASCARA WILDCARD Ejemplo ACL estándar
Definir una lista de acceso estándar
que permita solo a la red 10.0.0.0/8 acceder al servidor localizado en la interface Fa0/1.
•Primer paso: Definir a quien se le
permite el tráfico: •Router(config)#access-list 1 permit •Segundo paso: Aplicar la ACL a la 10.0.0.0 0.255.255.255 interface: •(Siempre hay implícito una prohibición •Router(config)#interface Fa0/1 (deny) al resto de tráfico al final de la •Router(config-if)#ip access-group 1 ACL por eso no necesitamos añadir out “deny” al resto de tráfico. Ejemplo ACL extendida Definir una lista de acceso extendida que •Router(config)# access-list 101 permit permita sólo al Pc con ip 10.0.0.5 de la red http host 10.0.0.5 host 10.0.0.0/8 acceder mediante tráfico http 187.100.1.6 al •Router(config)#interface Fa0/0 servidor localizado en la interface Fa0/1. •Router(config-if)#ip access-group 101 Resto de tráfico desde esa red prohibido. in
Router(config)# access-list 101 deny
icmp any any •Router(config)# access-list 101 permit ip any any •Router(config)#interface Fa0/0 •Router(config-if)#ip access-group 1 out Network Address Translation NAT Consiste en traducir una dirección IP en otra de acuerdo con cierta tabla de equivalencias. Se utiliza mucho como mecanismo para ‘extender’ el rango de direcciones disponible en una red. Por ejemplo usar una sola IP pública para dar acceso a cientos de ordenadores. NAT se suele utilizar para conectar a Internet redes IP que utilizan rangos privados (RFC 1918): 10.*.*.*, 172.16-31.*.* y 192.168.0-255.*. Normalmente la traducción la realiza el dispositivo (router) que conecta la red al exterior. Según los campos que se Según la temporalidad de modifican el NAT puede correspondencia entre la ser: dirección privada y NAT Básico: sólo se cambia la dirección IP. la pública el NAT puede ser: – NAPT (Network Address Port Estático: la tabla de conversión de Translation): se modifica la direcciones (y puertos) se carga al arrancar dirección IP y el número de puerto el equipo que hace NAT y el tráfico no la (TCP o UDP). También se llama modifica Overloading NAT o simplemente – Dinámico: la tabla de conversión se PAT. construye y modifica en función del tráfico recibido. Las direcciones pueden reutilizarse. Requiere mantener en el NAT información de estado. Normalmente es unidireccional. NAT: inside vs outside, local vs global Inside vs outside: Cisco define en los routers 2 zonas o lugares donde se aplicará NAT de una zona a otra: inside y outside. Las direcciones que utilizas en la LAN, internas son de la zona inside, independientemente del tipo de dirección. Las direcciones fuera de esta zona son consideradas outside. Local vs global: Una dirección es local, si sólo el router en cuestión conoce su traducción, es una dirección local al router y es global si puede ser encaminada fuera del router. Por tanto, para salir a Internet sólo podremos utilizar direcciones globales. Consecuencias NAT Al cambiar la dirección IP es preciso: – Modificar la dirección origen o destino de la cabecera IP. También hay que recalcular el checksum – Recalcular el checksum de la cabecera TCP o UDP (ya que la dirección IP, que aparece en la pseudocabecera, se utiliza para calcularlo). – En caso de utilizar NAPT hay que modificar el número de puerto TCP/UDP origen o destino. – Los mensajes ICMP contienen en la parte de datos la cabecera del mensaje al que hacen referencia. Con NAT el router ha de buscar esas cabeceras y modificarlas. – Los mensajes SNMP incluyen direcciones IP entre los datos del paquete que hay que cambiar.