listas_control_acceso
TRANSCRIPT
-
8/8/2019 listas_control_acceso
1/8
GUÍA DE LABORATORIO
LISTAS DE CONTROL DE ACCESO
Área EEyT
-
8/8/2019 listas_control_acceso
2/8
Confeccionado por:
Dirección Área Electricidad, Electrónicay Telecomunicaciones
Derechos ReservadosTitular del Derecho: INACAP
N° de inscripción en el Registro de Propiedad Intelectual # __.__de fecha __-__-__.© INACAP 2003.
-
8/8/2019 listas_control_acceso
3/8
LISTAS DE CONTROL DE ACCESO (ACL)
Los administradores de red deben buscar maneras de impedir el acceso no autorizado ala red, permitiendo por otro lado el acceso autorizado. Aunque las herramientas deseguridad, como las contraseñas, equipos de callback y dispositivos de seguridad física
son de ayuda, a menudo carecen de la flexibilidad del filtrado básico de tráfico, y loscontroles específicos que la mayoría de los administradores prefieren. Por ejemplo, unadministrador de red puede permitir que los usuarios tengan acceso a Internet, peropuede no considerar conveniente que los usuarios externos hagan telnet a la LAN.
Los routers proporcionan capacidades básicas de filtrado de tráfico, como bloqueo deltráfico de Internet, con listas de control de acceso (ACL). Una ACL es una colecciónsecuencial de sentencias de permiso o rechazo que se aplican a direcciones oprotocolos de capa superior. Existen las ACL estándar y extendidas.
Las ACL se pueden crear para todos los protocolos enrutados de red, como el ProtocoloInternet (IP) y el Intercambio de Paquetes de Internetwork (IPX), para filtrar los
paquetes a medida que pasan por un router. Las ACL se pueden configurar en el routerpara controlar el acceso a una red o subred.
Conceptos previos:
En los Router Cisco, las listas de acceso tienen un identificador de acuerdo a su tipo. Lasiguiente tabla muestra los identificadores.
Tipo de lista de acceso IdentificadorIP estándar 1-99IP extendida 100-199Código del tipo puente 200-299IPX estándar 800-899IPX extendido 900-999IPX SAP 1000-1099
Listas de acceso IP estándar:
Las listas de acceso estándar permiten o prohíben paquetes en base a la dirección IP deorigen del paquete.
-
8/8/2019 listas_control_acceso
4/8
Máscara Wildcard:
Las listas de acceso IP estándar y extendidas utilizan una máscara WILDCARD. Al igualque una dirección IP, una máscara wildcard es una cantidad de 32 bits escrita en unformato decimal con puntos.
La máscara wildcard le indica al Router qué bits de la dirección usar en lascomparaciones. Los bits de direcciones correspondientes a los bits de máscara wildcardestablecidos en 1 se ignoran en las comparaciones, mientras que los bits de direccionesde máscara wildcard establecidos en 0 se usan en las comparaciones.
Listas de acceso IP extendida:
Las listas de acceso extendidas ofrecen mayor control que las listas de acceso estándar,debido a que permiten habilitar filtrado en base a las direcciones de origen y destino delpaquete IP.
Comandos:
A continuación de definen los comandos más utilizados para la creación de listas deacceso.
Comando DescripciónAccess-list-number Identifica la lista a la que pertenece la
entrada.Permit / deny Indica si la entrada permite o impide el
tráfico a la red especificada.Source Indica la dirección IP de origen.Destination Indica la dirección IP destino.
Source-WildcardDestination-Wildcard
Identifica qué bits del campo dedirección deben coincidir.
Any Aplicar a todosShow access-list Muestra las listas de acceso de todos lo
protocolos
-
8/8/2019 listas_control_acceso
5/8
EJEMPLOS
Ejemplo de lista de acceso estándar:
Ethernet
E0
10.48.0.0
10.51.0.0
10.48.0.3
INTERNET
Workstation
Workstation Workstation
Workstation
Router A
A
B C
D
La configuración de la lista de acceso para el router A:
Router(config)#access-list 2 permit 10.48.0.3Router(config)#access-list 2 deny 10.48.0.0 0.0.255.255Router(config)#access-list 2 permit 10.0.0.0 0.255.255.255Router(config)#! (note: all other access implicitly denied)Router(config)#interface Ethernet 0Router(config)#ip access group 2 in
• El host B puede comunicarse con el host A. Está permitido por la primera líneade la lista de acceso, que utiliza una máscara de host implícita.
• El host C no puede comunicarse con el host A. El host D está en una subred queesta explícitamente permitida por la tercera línea de la lista de acceso.
• El host D puede comunicarse con el host A. El host D esta en una subred queesta explícitamente permitida por la tercera línea de la lista de acceso.
• Los usuarios de Internet no pueden comunicarse con el host A. Los usuarios queestén fuera de esta red no están explícitamente permitidos, por lo que sondenegados por defecto con el “deny any” implícito al final de la lista de acceso.
-
8/8/2019 listas_control_acceso
6/8
Ejemplo de lista de acceso IP extendida:
Ethernet
E0
172.22.1.0
172.22.3.0
INTERNET
Workstation
Workstation
Router B
Navegador
B
Router A
Tower box Tower boxTower box
DNS FTPCorreo
172.22.1.2
172.22.2.0
S0
E1
access-list 118 permit tcp any 172.22.0.0 0.0.255.255 eq www establishedaccess-list 118 permit tcp any host 172.22.1.2 eq smtpaccess-list 118 permit udp any any eq dnsaccess-list 118 permit udp 172.22.3.0 0.0.0.255 172.22.1.0 o.0.0.255 eq snmpaccess-list 118 deny icmp any 172.22.0.0 0.0.255.255 echoaccess-list 118 permit icmp any any echo reply!interface Ethernet 0ip access-group 118 out
En el ejemplo anterior, la lista de acceso 118 se aplica como saliente a la interfaz Ethernet 0del router A.
Esta configuración permite que las respuestas a las consultas del navegador del cliente A enInternet vuelvan a entrar en la red corporativa (ya que se trata de sesiones establecidas).Las consultas mediante navegador desde orígenes externos no son permitidas explícitamentey son descartadas por el deny any implícito del final de la lista de acceso.
También permite enviar correo electrónico SMTP exclusivamente al servidor de correo. Elservidor está autorizado para resolver peticiones DNS. La subred 172.22.1.0 es controladapor el grupo de administración de red que está ubicado en servidor del cliente B, por lo quelas consultas de administración de red SNMP, se les permitirá llegar a estos dispositivos delservidor. Los intentos de hacer un ping a la red corporativa desde afuera de la red de lasubred 172.22.3.0 fallarán, ya que la lista de acceso bloquea las peticiones echo. Sinembargo, las respuestas a las peticiones echo generadas desde dentro de la red corporativaserán autorizadas a volver a entrar a la red.
-
8/8/2019 listas_control_acceso
7/8
-
8/8/2019 listas_control_acceso
8/8
9.- Cree Una lista de acceso y colóquela en la ubicación adecuada para satisfacer los
siguientes requisitos.
Impedir que todos los host de la subred 172.16.1.0/24, a excepción del host172.16.1.3, accedan al servidor web de la subred 172.16.4.0. Permitir que todoslos demás host, incluyendo los del mundo exterior, accedan al servidor Web.
Ethernet
E0
172.16.2.0
172.22.3.0
NO
172.16.0.0
Workstation
Workstation
Router A
B
Router B
Tower box Tower boxTower box
DNS FTP www
172.16.1.4
S0
E1
Workstation
172.16.1.3
Workstation
cliente
172.16.1.0E0 E1
4.2 4.3 4.4 4.5
172.16.4.0