UD16. ACL. Listas de Control de Acceso

Mdulo: Planificacin e Implatacin de Redes
CFGS ASIR . 1 Curso. Curso 2013/2014

UNIDAD DIDCTICA 16. ACL. LISTAS DE CONTROL DE ACCESO.
16.0. INTRODUCCIN
El concepto de Listas de Control de Acceso o ACLs tiene que ver con la seguridad en
la red. La seguridad en redes es un tema muy amplio, y para ello hay un mdulo en el
que se estudian aspectos tanto de seguridad fsica como lgica en las redes de datos; no
obstante, puesto que es habitual utiliar las !"L en los propios routers de la red, para
detener el tr#fico o permitir slo el tr#fico especfico, vamos a estudiar en este tema
algunos de los aspetos !"sios relaionados on esta #orma partiular de ontrolar el
tr"#io de nuestra red.
$ormalmente, en una red se utilian Firewalls para proteger las redes contra el uso no
autoriado. ! gran escala, un Firewall es una solucin hardware o software que
bloquea o permite comunicaciones entre redes; normalmente un firewall es un
elemento usado en la frontera entre una red empresarial y una conexin a una W!
o Internet" Es como la cerradura de la puerta de la habitacin de un edificio. La cerradura
slo permite que entren los usuarios autoriados con una llave o tar%eta de acceso. &el
mismo modo, los fire'alls filtran paquetes no autoriados o potencialmente peligrosos.
#n la mayor$a de los Routers% pueden confi&urarse '(s% haciendo que el router
act)e como un simple firewall que proporcione capacidades b*sicas de filtrado de
tr*fico"
(na !"L es una lista secuencial de sentencias de permiso o denegacin que se aplican a
direcciones o protocolos de capa superior. Las !"L brindan una manera poderosa de
controlar el tr#fico de entrada o de salida de la red.
El motivo m#s importante para configurar las !"L es brindar seguridad a la red. En este
tema, veremos cmo utiliar dos tipos de !"Ls, las est#ndar y las e)tendidas.
16.1 UTILIZAR LAS ACLs ARA LA ROT!CCIN D! LA R!D
16.1.1 Filtrado de "a#$etes
"uando un paquete llega a un *outer, el *outer e)trae determinada informacin del
ena!e$ado del paquete y toma las decisiones de envo oportunas. En este
funcionamiento, est#n basadas las Listas de "ontrol de !cceso +en adelante ACL,, que
no son m*s que unas re&las de filtrado de tr*fico% que confi&uradas en los Routers
de la red que nos interesen e)traer#n cierta informacin del encabeado del paquete,
comprobar# la regla configurada en la !"L, y decidir# si -permitir- o -denegar- el acceso
del tr#fico a la red. $ormalmente, se basa en criterios como los siguientes.
&ireccin /0 de origen o destino.
C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107
#- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com
1
1ipo de mensa%e /"20.
0uerto 3rigen o destino + de capa de 1ransporte,.
El protocolo del paquete +protocolo de la "apa de !plicacin,.
16.1.% &'$( es $na ACL )Access Control List*+. ro",sito de las ACLs.
(na !"L no es m#s que una configuracin adicional realiada en un router, para
controlar si se permite o deniega el tr#fico, seg4n un criterio determinado, y bas#ndose
en el encabeado del paquete.
0or defecto un *outer no tiene ninguna !"L configurada y, por lo tanto no filtran ning4n
tipo de tr#fico. El tr#fico que llega al router se enruta seg4n la tabla de enrutamiento. 5i
no e)iste ninguna regla que le diga lo contrario, todos los paquetes que pueden enrutarse
a trav6s del router, lo atraviesan hacia el pr)imo segmento de la red.
Las !"L reali-an las si.$ientes tareas.
Li/itan el tr01ico de red "ara /e2orar el rendi/iento de (sta.
Controlan de 1l$2o de tr01ico.
ro"orcionan $n ni3el 40sico de se.$ridad "ara el acceso a la red. Las !"L
pueden permitir que un host acceda a una parte de la red y evitar que otro acceda
a la misma #rea. 0or e%emplo, el acceso a la red de *ecursos 7umanos puede
restringirse a determinados usuarios.
er/iten decidir #$( ti"os de tr01ico en3iar o 4lo#$ear.
2
Anali-an los e#$i"os "ara "er/itir o dene.ar s$ acceso a los ser3icios de
red. Las !"L pueden permitir o denegar el acceso de un usuario a tipos de
archivos, como 810 o 7110.
16.1.5 Ti"os de ACLs
En el caso de configurar !"L en *outers 9de gama media:alta +tanto de "isco como de
otros fabricantes,, hemos de tener presente que hay una distincin entre. !"L est#ndar y
las e)tendidas.
ACL est0ndar
Las !"L est#ndar permiten a$tori-ar o dene.ar el tr01ico desde $na direcci,n I
de ori.en +la direccin puede ser una direccin /0 de host, de red o un rango de
direcciones,. $o importa el destino del paquete ni los puertos involucrados. 0or
e%emplo.
Este e%emplo de !"L est#ndar numero ;< permite todo el tr#fico desde la red
;=>.;?@.A<.<:>B
;
.
ACL e6tendidas
Las !"L e6tendidas 1iltran los "a#$etes I en 1$nci,n de 3arios atri4$tos7 "or
e2e/"lo8 ti"o de "rotocolo )I7 IC97 UD7 TC7 :*7 direcciones I de ori.en ;
destino7 o "$ertos TC<UD de ori.en ; destino. En la figura, la !"L ;<A permite
el tr#fico que se origina desde cualquier direccin en la red ;=>.;?@.A<.<:>B hacia
cualquier puerto @< de host de destino +=TT,.
"omo se aprecia en los e%emplos anteriores, se suele usar un n4mero en la definicin de
las !"Ls. 1ambi6n se puede utiliar un nombre o denominacin para identificar la !"L en
su definicin.
16.1.>. De1inici,n de las ACLs8 D,nde de1inir $na ACL ; co/o a"licarla.
1
En el caso de routers "/5"3, de!ido a la sentenia impl%ita &den' an'& (denegar
todo) al #inal* todo el otro tr"#io se !lo+uea on esta AC,.

En los e%emplos anteriores se ha visto la sint#)is b#sica de la definicin de dos tipos de
!"Ls. "uando se crean !"Ls en una red para filtrar tr#fico, lo /0s i/"ortante no es en
s? s$ de1inici,n7 sino donde se a"lican. La ubicacin adecuada de las !"L para filtrar
el tr#fico no deseado es lo que proporcionar# un funcionamiento m#s eficiente de la red.
*ecordemos que cuando se definen !"L en ciertos *outers de la red, 6stos pueden
actuar como fire'alls b#sicos para filtrar paquetes y eliminar el tr#fico no deseado. El
lugar donde act4en las las !"L puede reducir el tr#fico innecesario. 1odas las !"L deben
ubicarse donde m#s repercutan, y com4nmente, se siguen las siguientes reglas b#sicas.
(bicar las '( extendidas lo m*s cerca posible del ori&en del tr*fico
dene&ado. &e esta manera, el tr#fico no deseado se filtra sin atravesar la
infraestructura de red.
"omo las '( est*ndar no especifican las direcciones de destino, se deberan
colocar lo m*s cerca del destino posible"
Ceamos un e%emplo de dnde colocar diferentes tipos de !"L en nuestra red.
CASO A. ACL !st0ndar. En la siguiente figura, el administrador de la red desea que el
tr#fico que se origina en la red ;=>.;?@.;<.<:>B no pase a la red ;=>.;?@.A<.<:>B. (na
solucin sencilla, podra ser definir y aplicar una !"L est#ndar en la interfa de entrada
del router *A +ya que conecta a esta red destino ;=>.;?@.A<.<:>B, para detener todo el
tr#fico desde la direccin de origen ;=>.;?@.;<.<:>B. "on $na ACL est0ndar ser?a
s$1iciente7 ;a #$e el @nico re#$eri/iento es 1iltrar "or direcciones Is de ori.en.
4
CASO A. ACL !6tendidas. 5upongamos que ahora el administrador de red desea
denegar el tr#fico 1elnet y 810 desde la red ;=>.;?@.11.<:>B a la red ;=>.;?@.50.<:>B. !l
mismo tiempo, se debe permitir todo el tr#fico desde la ;=>.;?@.10.<:>B.
7ay varias maneras de realiar esta tarea.
Sol$ci,n 1. (na !"L e)tendida en *A que bloquee el tr#fico 1elnet y 810 desde la red
;=>.;?@.;;.<. 5in embargo, esta solucin sigue permitiendo que el tr#fico no deseado
atraviese toda la red, para slo bloquearlo en el destino. Esto podra afectar a la eficacia
general de la red.
Sol$ci,n %. 0odramos pensar en utiliar una !"L e)tendida de salida, en el *outer *;,
en la interfa s<:<:<, que especifique que las direcciones de origen y de destino +3nce y
1reinta respectivamente,, y que diga -El tr#fico 1elnet y 810 desde 3nce no puede llegar
hasta 1reinta.- 5in embargo, esta solucin hace que el tr#fico desde la red
;=>.;?@.;<.<:>B tambi6n est6 su%eto a cierto procesamiento por la !"L.
Sol$ci,n 5. La me%or solucin sin duda es acercarse lo m#)imo posible al origen y
colocar una !"L e)tendida en la interfa de entrada 8a<:> de *;. Esto garantia que los
paquetes desde la red 3nce no ingresen a *; y que luego no puedan atravesar hacia
3nce ni incluso ingresar a *> o *A. !4n se permite el tr#fico con otras direcciones y
puertos de destino hacia *;.
R!CORDAR LAS TR!S 8
5
En la definicin de las Listas de "ontrol de !cceso, hay que tener en cuenta una
importante regla al aplicarlas en un *outer; esta regla, consiste en que slo se puede
configurar una !"L por protocolo, por direccin y por interfa +llamada la reglas de las A
0s en /ngl6s; one !"L 0er 0rotocol, 0er &irection, 0er /nterface,.
Una ACL "or "rotocolo. para controlar el flu%o de tr#fico de una interfa, se debe
definir una !"L para cada protocolo habilitado en la interfa.
Una ACL "or direcci,n. las !"L controlan el tr#fico en una direccin a la ve de
una interfa. &eben crearse dos !"L por separado para controlar el tr#fico
entrante y saliente.
Una ACL "or inter1a-. las !"L controlan el tr#fico para una interfa, por e%emplo,
8ast Ethernet <:<.
16.%. CONFIBURACIN D! ACL !STCNDAR
"omo en todo, antes de empear a escribir una sentencia de comandos, es muy
importante entender bien cmo funciona lo que escribimos. 0ara este caso, de4e/os
destacar al.o /$; i/"ortante en la de1inici,n de ACLs !st0ndar7 ; es #$e la
de1inici,n de toda ACL est0ndar7 lle3a i/"l?cita $na dene.aci,n al 1inal. Ceamos lo
me%or con el siguiente e%emplo.
192.168.30.1/2
4
/
ACL 101.
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
ACL 102.
Access-list 102 permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
Access-list 102 deny ip any any
En el e%emplo, las dos !"L +;<; y ;<>, tienen el mismo efecto. La red ;=>.;?@.;<.<
puede acceder a la red ;=>.;?@.A< mientras que ;=>.;?@.;;.< no puede.
"omo es de entender, hay que tener muy presente 6ste factor, ya que podra ocurrir que
deneg#semos alg4n tr#fico es de forma involuntaria, afectando as al funcionamiento
b#sico de nuestra red.
16.%.1 Sinta6is de las ACL !st0ndar
La configuracin de una !"L se hace en dos sencillos pasos. 'reacin de la !"L
est#ndar y, acti+acin de la '( en una interfa, del Router donde se aplique.
El comando de configuracin usado es. accessDlist +obviamente hablamos de comandos
de "isco, pero como sabemos son muy parecidos en otros sistemas o fabricantes,.
La sinta)is completa del comando !"L est#ndar es.
# access-list nmer!de!ACL deny"permit remar# ri$en %&ildcard ri$en'
Ceamos qu6 significan cada una de las opciones indicadas.
n)mero-de-'(: "ada !"L est# identificada con un n4mero; para el caso de las
!"Ls est#ndar se puede usar un n4mero decimal del ; al ==, o del ;A<< al ;==="
den;E"er/it8 &eniega o 0ermite el acceso si las condiciones concuerdan.
7
re/arF8 5e usa para aDadir un comentario; cuando hay demasiada configuracin en
un fichero, 6sto facilita la comprensin y el an#lisis de la lista de control de acceso.
ori.en Gwildcard ori.enH8 $4mero de la red o host desde el que se enva el paquete.
0odemos especificar el origen con su direccin /0, o utiliar la palabra clave an;
como abreviatura para un origen y la 'ildcard de origen.
Ceamos a continuacin un e%emplo, para crear una !"L numerada nombrada ;< que
permita solo el tr#fico de la red ;=>.;?@.;<.< :>B.
*;+config,E access9list ;< permit ;=>.;?@.;<.<
5i quisi6ramos aDadir un comentario en la creacin de esta !"L, para recordar en un
futuro el propsito con el que se defini, simplemente deberamos aDadir.
*;+config,Eaccess9list ;< remarF 0ermite paso a hosts de la red ;=>.;?@.;<.<
Las "ala4ras cla3e Ian;J; IKostJ
!dem#s de las opciones indicadas m#s arriba en la definicin de una !"L est#ndar, no
se han nombrado las dos palabras clave any y host. Cemos dos e%emplos de cmo
podramos usarlas.
16.%.% Co/o a"licar las ACL !st0ndar en las inter1aces
"omo se ha nombrado anteriormente, las !"L de4en ser a"licadas a $na inter1a-
concreta de un *3(1E*. (na ve definidas se usar# el comando i" accessD.ro$" "ara
a"licarlas. El formato de este comando es el siguiente.
*outer+config9if,Eip access9group Gn4mero de lista de acceso H nombre de lista de accesoI
Gin H outI
0
0ara eliminar una !"L de una interfa, se usa el comando no i" accessD.ro$" en la
interfa, y posteriormente el comando global no accessDlist para eliminar la definicin de
la !"L.
!2e/"lo 1. En la siguiente figura se muestran los pasos y la sinta)is para configurar y
aplicar una !"L est#ndar numerada en un router.
Esta !"L slo permite que el tr#fico de la red de origen ;=>.;?@.;<.< sea enviado por la
interfa 5<:<:<. 5e bloquea el tr#fico de las dem#s redes, e)cepto la ;=>.;?@.;<.<.
La primera lnea identifica la !"L como lista de acceso ;. 0ermite el tr#fico que coincide
con los par#metros seleccionados. En este caso, la direccin /0 y la m#scara 'ildcard
que identifica la red de origen es ;=>.;?@.;<.< <.<.<.>JJ. Recordemos que existe la
sentencia impl$cita y oculta .deny all.% equi+alente a a&re&ar la l$nea access/list 0
deny 1"1"1"1 233"233"233"233"
!2e/"lo %. Esta !"L reemplaa el e%emplo anterior, pero adem#s bloquea el tr#fico de
una direccin especfica. El primer comando borra la versin anterior de la !"L ;. La
siguiente sentencia de !"L deniega el host 0"; ubicado en ;=>.;?@.;<.;<. Est#
permitido cualquier otro host de la red ;=>.;?@.;<.< :>B. $uevamente, la sentencia
implcita de denegacin coincide con cualquier otra red. !ue+amente se aplica la '( a
la interfa, 415151 en direccin saliente"
9
!2e/"lo 5.
Esta !"L reemplaa el e%emplo anterior pero a4n bloquea tr#fico del equipo host 0";.
0ermite, adem#s, que todo el tr#fico de L!$ salga del router *;.
Los primeros dos comandos son los mismos que el e%emplo anterior. El primer comando
borra la versin anterior de la !"L ; y la siguiente sentencia de !"L deniega el host 0";
10
ubicado en ;=>.;?@.;<.;<. La tercera lnea es nueva y permite todos los hosts de las
redes ;=>.;?@.).) :;?. !hora, esto significa que todos los hosts de la red ;=>.;?@.;<.< :
>B s coinciden, pero ahora tambi6n coinciden los hosts de la red ;=>.;?@.;;.<.
16.%.5. !2e/"lo. Uso de las ACL "ara controlar el acceso LTM )L!R AUNT!S
CCNA !6"loration*
En este e%emplo vamos a ver un caso diferente de cmo unas las !"L. "omo ya hemos
dicho en los apartados anteriores, las !"L implementan reglas en los *outers para filtrar
tr#fico. En este caso, vamos a usar una !"L para proteger el acceso va C1K 9acceso
1EL$E1 y 5579.
16.5. ACL !NT!NDIDAS
La propia definicin de estas Listas de control lo dice todo. EL1E$&/&!5; se trata del
mismo concepto que una Lista de "ontrol de !cceso Est#ndar, es decir, sirven para filtrar
tr#fico en la red, pero en el caso de las Listas de "ontrol E)tendidas, el filtrado del tr#fico
es mucho m#s preciso.
"on una !"L E)tendida se puede permitir o denegar un mensa%e seg4n su direccin
origen, su direccin destino, el protocolo usado y el n4mero de puerto 1"0:(&0 usado.
"omo veremos a continuacin permiten un mayor nivel de detalle de filtrado que las
anteriores.
3bviamente, al ser m#s precisas, las !"L e)tendidas se utilian con m#s frecuencia que
las !"L est#ndar porque proporionan un ma'or ontrol de seguridad. !l igual que las
!"L est#ndar, las e)tendidas comprueban la direccin de origen del paquete, pero
11
tambi6n +erifican la direccin de destino% los protocolos y los n)meros de puerto
7o ser+icios8. 0or e%emplo, una !"L e)tendida puede permitir de manera simult#nea el
tr#fico de correo electrnico de una red a un destino especfico y, a la ve, denegar la
transferencia de archivos y la navegacin Meb.
La numeracin usada para las ACL e6tendidas es del 100 al 1OO y del %000 al %6OO, lo
que ofrece un total de N== !"L e)tendidas posibles. ! las !"L e)tendidas tambi6n se les
puede asignar un nombre.
09":"0 'onfi&uracin de '(s extendidas
Los procedimientos para configurar las !"L e)tendidas son los mismos que para las !"L
est#ndar. "ri/ero se de4e crear la !"L e)tendida y l$e.o se de4e acti3ar en una
interfa. 5in embargo, la sinta)is y los par#metros del comando tienen m#s
comple%idades para admitir las funciones adicionales de las !"L e)tendidas.
La sinta)is de definicin de una !"L e)tendida es la siguiente.
E accessDlist n-AC,-e.tendida Gden;H"er/itHre/arFI Protocolo ;ri&en
O'ildcardPorigenQ O3perator Q O"$erto7 n-puerto o nom!reQ <estino O/ildard-destinoQ
O3perador Q O"$erto n-puerto o nom!reQ Gesta4lisKedH
Ceamos detenidamente qu6 indican las opciones indicadas.
ARC9!TRO D!
LA ACL
D!SCRIICIN
rotocolo
$ombre o n4mero de un protocolo de /nternet. !lgunas de las palabras clave
m#s comunes son icmp, ip, tcp o udp. 0ara que haya coincidencia con
cualquier protocolo de /nternet +como /"20, 1"0 y (&0,, se usa la palabra
clave ip.
Ori.en $4mero de la red o del host desde el que se enva un paquete.
Destino $4mero de la red o del host al que se enva un paquete.
O"erador
7;pcional8 "ompara los puertos de origen y de destino. !lgunos de los
operandos posibles son lt +menor que,, &t +mayor que,, eq +igual,, neq
+desigual, y ran&e +rango incluido,.
$erto 7;pcional8 El n4mero decimal o nombre de un puerto 1"0 o (&0.
!sta4lisKed 7;pcional8 5lo para el protocolo 1"0. indica una cone)in establecida.
!nalicemos un par de e%emplos de !"Ls e)tendidas para ver como usar las diferentes
opciones de su sinta)is.
12
En este e%emplo, el administrador de red quiere restringir el acceso a /nternet para
permitir slo la navegacin Meb.
La !"L ;<A se aplica al tr#fico que sale de la red Local ;=>.;?@.;<.<, y la !"L ;<B al
tr#fico que entra hacia la red Local.
La !"L ;<A cumple con la primera parte del requisito. 0ermite el tr#fico que entra de
cualquier direccin en la red ;=>.;?@.;<.< para dirigirse a cualquier destino, su%eto a la
limitacin que el tr#fico se dirige solo a los puertos @< +7110, y BBA +71105,. La
naturalea de 7110 requiere que el tr#fico regrese a la red, pero el administrador de red
desea restringirlo a intercambios 7110 desde los sitios Meb solicitados. La solucin de
seguridad debe denegar cualquier otro tr#fico que ingrese a la red. La !"L ;<B lo hace
bloqueando el tr#fico entrante, a e)cepcin de las cone)iones establecidas +por ello se
utilia el par#metro esta4lisKed,.
Este par#metro permite respuestas al tr#fico que se origina desde la red ;=>.;?@.;<.<:>B
a la interfa de entrada s<:<:<. 5in el par#metro established en la sentencia de !"L, los
clientes podran enviar tr#fico a un servidor Meb, pero no recibiran nada de vuelta.
09":"2 plicar las '( #=>#!<I<4 en una interfa,"
Lo "ri/ero #$e de4er?a/os considerar es si el tr01ico #$e desea 1iltrar es entrante o
saliente. Recorde/os #$e "ara I$4icarJ o Ia"licarJ '( extendidas se debera
seguir la regla de ubicarlas lo m*s cerca posible del ori&en del tr*fico dene&ado 7para
e+itar que el tr#fico no deseado se filtre sin atravesar la infraestructura de red,.
Ceamos lo me%or con dos e%emplos sencillos de aplicacin.
1
#?emplo 0" <ene&ar F>P"
Es un e%emplo de denegacin de tr#fico 810 desde la subred ;=>.;?@.;;.< hacia la
subred ;=>.;?@.;<.<, pero permite todo el otro tr#fico. 3bservamos el uso de m#scaras
'ildcard y la sentencia e)plcita -deny all-. *ecuerde que 810 requiere puertos >< y >;,
por eso necesita especificar eq >< y eq >; para denegar 810.
En el caso de las !"L e)tendidas, puede elegir utiliar n4meros de puerto como se
muestra en el e%emplo o denominar un puerto bien conocido. Es decir, podramos haber
definido las !"L e)tendidas como sigue.
access-list 101 permit tcp 192.168.11.0 0.0.0.255 any e( )tp
access-list 101 permit tcp 192.168.11.0 0.0.0.255 any e( )tp-data
0ara 810 es preciso mencionar ftp y ftp9data.
#?emplo 2" <ene&ar >elnet
Este e%emplo deniega el tr#fico de 1elnet desde ;=>.;?@.;;.< hacia la interfa 8a<:<, pero
permite todo el otro tr#fico /0 de cualquier otro origen a cualquier destino desde la interfa
8a<:<. 3bservamos el uso de la palabra clave an; que significa desde cualquier lado
hacia cualquier lado.
14
09":": '( con nombre"
16.> ACL CO9L!PAS
Las !"L est#ndar y e)tendidas pueden ser la base de las !"L comple%as que brindan
mayor funcionalidad. La tabla de la figura resume las tres categoras de !"L comple%as.
15
$o es materia de este curso implementar este tipo de !"L en *3(1E*s.
Re1erencias we48
En el siguiente enlace, viene una e)plicacin breve pero buena sobre que son las !"Ls
tanto en el #mbito del sistema de archivos de un sistema operativo como en el #mbito de
los *outers de una *E&. Camos a leer la introduccin, para situarnos en el concepto de
Listas de "ontrol de !cceso.
http.::recursostic.educacion.es:observatorio:'eb:es:component:content:article:;<?J9listas9
de9control9de9acceso9acl
1/

UD16. ACL. Listas de Control de Acceso

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

UD16. ACL. Listas de Control de Acceso

Transféré par

Droits d'auteur :

Formats disponibles

Mdulo: Planificacin e Implatacin de Redes

CFGS ASIR . 1 Curso. Curso 2013/2014

Mdulo: Planificacin e Implatacin de Redes

Vous aimerez peut-être aussi