acl
TRANSCRIPT
ESCUELA POLITECNICA NACIONAL
2009
LISTAS DE ACCESO SEGURIDAD EN REDES
ANDREA ISABEL MUÑOZ PARREÑO
LISTAS DE ACCESO:
1. OBJETIVO:
Aprender a configurar listas de acceso en routers CISCO.
Afianzar los conocimientos adquiridos a cerca de la implantación de seguridades en redes.
2. MARCO TEÓRICO:
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad
informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos
de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace
el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su
principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna
condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico
interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN.
Los routers ofrecen funciones del filtrado básico de tráfico, como el bloqueo del tráfico de Internet,
mediante el uso de las listas de control de acceso (ACLs). Una ACL es una lista secuencial de sentencias
de permiso o rechazo que se aplican a direcciones o protocolos de capa superior Este módulo introduce
las ACL estándar y extendidas como medio de control del tráfico de red y explica de qué manera se
utilizan las ACL como parte de una solución de seguridad.
Razones para crear ACL:
• Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el tráfico de video,
por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia
mejorar el rendimiento de la misma.
• Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las actualizaciones
de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se
preserva el ancho de banda.
• Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las ACL
pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la
misma área. Por ejemplo, al Host A se le permite el acceso a la red de Recursos Humanos, y
al Host B se le niega el acceso a dicha red.
• Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router.
Permitir que se enrute el tráfico de correo electrónico, pero bloquear todo el tráfico de
telnet.
• Permitir que un administrador controle a cuáles áreas de la red puede acceder un cliente.
• Analizar ciertos hosts para permitir o denegar acceso a partes de una red. Otorgar o
denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o
HTTP.
FILTRADO DE PAQUETES:
3. DESARROLLO PRÁCTICO:
Se tienen tres redes separas por tres routers interconectados entre sí a través de enlaces
seriales como se muestra en la topología. Se requiere denegar la salida de trafico del PC0 a
través del puerto serial 2/0 de R1, así mismo se requiere denegar el acceso de PC1 a través del
puerto serial 3/0 de R2 con lo que no se tiene comunicación entre la PC0 y PC2 y entre las PC1
y PC2.
Diagrama de la Topología:
Resultados:
Se puede observar que existe conectividad únicamente entre los host que se pueden
comunicar por la interfaz que no se ha bloqueado sin embargo si el objetivo es bloquear la
comunicación entre dos PC en especifico se debería bloquear la salida de dicho host por todos
los puertos ya que de caerse el puerto bloqueado se recalculara la mejor ruta y podrá acceder
a la PC por el otro interfaz.
Se muestran capturas con los resultados de los ping a los diferentes host.
R1:
Current configuration : 818 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
!
!
!
ip name-server 0.0.0.0
!
!
!
interface FastEthernet0/0
ip address 10.10.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
duplex auto
speed auto
shutdown
!
interface Serial2/0
ip address 10.10.4.1 255.255.255.252
ip access-group 5 in
ip access-group 5 out
clock rate 4800
!
interface Serial3/0
ip address 10.10.4.9 255.255.255.252
clock rate 4800
!
interface FastEthernet4/0
no ip address
shutdown
!
interface FastEthernet5/0
no ip address
shutdown
!
router rip
version 2
network 10.0.0.0
!
ip classless
!
!
access-list 5 deny host 10.10.1.2
!
!
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
R2: Building configuration...
Current configuration : 807 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R2
!
!
!
!
interface FastEthernet0/0
ip address 10.10.2.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
duplex auto
speed auto
shutdown
!
interface Serial2/0
ip address 10.10.4.10 255.255.255.252
ip access-group 4 in
ip access-group 4 out
!
interface Serial3/0
ip address 10.10.4.6 255.255.255.252
ip access-group 3 in
ip access-group 3 out
!
interface FastEthernet4/0
no ip address
shutdown
!
interface FastEthernet5/0
no ip address
shutdown
!
router rip
version 2
network 10.0.0.0
!
ip classless
!
!
access-list 3 deny host 10.10.2.2
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
End
R3: Current configuration : 722 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R3
!
!
!
!
!
ip name-server 0.0.0.0
!
!
interface FastEthernet0/0
ip address 10.10.3.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
duplex auto
speed auto
shutdown
!
interface Serial2/0
ip address 10.10.4.2 255.255.255.252
!
interface Serial3/0
ip address 10.10.4.5 255.255.255.252
clock rate 4800
!
interface FastEthernet4/0
no ip address
shutdown
!
interface FastEthernet5/0
no ip address
shutdown
!
router rip
version 2
network 10.0.0.0
!
ip classless
!
line con 0
line vty 0 4
login
!
!
!
end
4. CONCLUSIONES:
Las listas de acceso pueden ser de mucha utilidad cuando se requieren realizar
restricciones en las redes. Esto es de uso muy frecuente en empresas ya que se tienen
distintos departamentos y es indispensable proteger la información de los mismos por
lo cual se deben crear reglas para permitir o denegar el acceso de ciertas
computadoras.
Las ACL pueden ser configuradas en los routers de manera sencilla pero se debe
evaluar que lo configurado cumpla satisfactoriamente los requerimientos que se le
pido para que no existan errores que puedan ser graves en cuanto a fuga de
información.
5. BIBLIOGRAFÍA:
http://es.wikipedia.org/wiki/Lista_de_control_de_acceso
http://librosnetworking.zoomblog.com/cat/4600
Curriculo de Cisco CCNA4 cap5.