0 évaluation0% ont trouvé ce document utile (0 vote)
58 vues16 pages
Este documento explica las listas de control de acceso (ACL) y cómo se utilizan para filtrar el tráfico de red y mejorar la seguridad. Describe dos tipos de ACL - estándar y extendida - y cómo cada una filtra el tráfico basado en atributos como direcciones IP, puertos y protocolos. También discute dónde es mejor colocar las ACL en una red para filtrar el tráfico de manera efectiva sin afectar el rendimiento general.
Este documento explica las listas de control de acceso (ACL) y cómo se utilizan para filtrar el tráfico de red y mejorar la seguridad. Describe dos tipos de ACL - estándar y extendida - y cómo cada una filtra el tráfico basado en atributos como direcciones IP, puertos y protocolos. También discute dónde es mejor colocar las ACL en una red para filtrar el tráfico de manera efectiva sin afectar el rendimiento general.
Este documento explica las listas de control de acceso (ACL) y cómo se utilizan para filtrar el tráfico de red y mejorar la seguridad. Describe dos tipos de ACL - estándar y extendida - y cómo cada una filtra el tráfico basado en atributos como direcciones IP, puertos y protocolos. También discute dónde es mejor colocar las ACL en una red para filtrar el tráfico de manera efectiva sin afectar el rendimiento general.
UNIDAD DIDCTICA 16. ACL. LISTAS DE CONTROL DE ACCESO. 16.0. INTRODUCCIN El concepto de Listas de Control de Acceso o ACLs tiene que ver con la seguridad en la red. La seguridad en redes es un tema muy amplio, y para ello hay un mdulo en el que se estudian aspectos tanto de seguridad fsica como lgica en las redes de datos; no obstante, puesto que es habitual utiliar las !"L en los propios routers de la red, para detener el tr#fico o permitir slo el tr#fico especfico, vamos a estudiar en este tema algunos de los aspetos !"sios relaionados on esta #orma partiular de ontrolar el tr"#io de nuestra red. $ormalmente, en una red se utilian Firewalls para proteger las redes contra el uso no autoriado. ! gran escala, un Firewall es una solucin hardware o software que bloquea o permite comunicaciones entre redes; normalmente un firewall es un elemento usado en la frontera entre una red empresarial y una conexin a una W! o Internet" Es como la cerradura de la puerta de la habitacin de un edificio. La cerradura slo permite que entren los usuarios autoriados con una llave o tar%eta de acceso. &el mismo modo, los fire'alls filtran paquetes no autoriados o potencialmente peligrosos. #n la mayor$a de los Routers% pueden confi&urarse '(s% haciendo que el router act)e como un simple firewall que proporcione capacidades b*sicas de filtrado de tr*fico" (na !"L es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones o protocolos de capa superior. Las !"L brindan una manera poderosa de controlar el tr#fico de entrada o de salida de la red. El motivo m#s importante para configurar las !"L es brindar seguridad a la red. En este tema, veremos cmo utiliar dos tipos de !"Ls, las est#ndar y las e)tendidas. 16.1 UTILIZAR LAS ACLs ARA LA ROT!CCIN D! LA R!D 16.1.1 Filtrado de "a#$etes "uando un paquete llega a un *outer, el *outer e)trae determinada informacin del ena!e$ado del paquete y toma las decisiones de envo oportunas. En este funcionamiento, est#n basadas las Listas de "ontrol de !cceso +en adelante ACL,, que no son m*s que unas re&las de filtrado de tr*fico% que confi&uradas en los Routers de la red que nos interesen e)traer#n cierta informacin del encabeado del paquete, comprobar# la regla configurada en la !"L, y decidir# si -permitir- o -denegar- el acceso del tr#fico a la red. $ormalmente, se basa en criterios como los siguientes. &ireccin /0 de origen o destino. C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 1 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 1ipo de mensa%e /"20. 0uerto 3rigen o destino + de capa de 1ransporte,. El protocolo del paquete +protocolo de la "apa de !plicacin,. 16.1.% &'$( es $na ACL )Access Control List*+. ro",sito de las ACLs. (na !"L no es m#s que una configuracin adicional realiada en un router, para controlar si se permite o deniega el tr#fico, seg4n un criterio determinado, y bas#ndose en el encabeado del paquete. 0or defecto un *outer no tiene ninguna !"L configurada y, por lo tanto no filtran ning4n tipo de tr#fico. El tr#fico que llega al router se enruta seg4n la tabla de enrutamiento. 5i no e)iste ninguna regla que le diga lo contrario, todos los paquetes que pueden enrutarse a trav6s del router, lo atraviesan hacia el pr)imo segmento de la red. Las !"L reali-an las si.$ientes tareas. Li/itan el tr01ico de red "ara /e2orar el rendi/iento de (sta. Controlan de 1l$2o de tr01ico. ro"orcionan $n ni3el 40sico de se.$ridad "ara el acceso a la red. Las !"L pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma #rea. 0or e%emplo, el acceso a la red de *ecursos 7umanos puede restringirse a determinados usuarios. er/iten decidir #$( ti"os de tr01ico en3iar o 4lo#$ear. C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 2 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 Anali-an los e#$i"os "ara "er/itir o dene.ar s$ acceso a los ser3icios de red. Las !"L pueden permitir o denegar el acceso de un usuario a tipos de archivos, como 810 o 7110. 16.1.5 Ti"os de ACLs En el caso de configurar !"L en *outers 9de gama media:alta +tanto de "isco como de otros fabricantes,, hemos de tener presente que hay una distincin entre. !"L est#ndar y las e)tendidas. ACL est0ndar Las !"L est#ndar permiten a$tori-ar o dene.ar el tr01ico desde $na direcci,n I de ori.en +la direccin puede ser una direccin /0 de host, de red o un rango de direcciones,. $o importa el destino del paquete ni los puertos involucrados. 0or e%emplo. Este e%emplo de !"L est#ndar numero ;< permite todo el tr#fico desde la red ;=>.;?@.A<.<:>B ; . ACL e6tendidas Las !"L e6tendidas 1iltran los "a#$etes I en 1$nci,n de 3arios atri4$tos7 "or e2e/"lo8 ti"o de "rotocolo )I7 IC97 UD7 TC7 :*7 direcciones I de ori.en ; destino7 o "$ertos TC<UD de ori.en ; destino. En la figura, la !"L ;<A permite el tr#fico que se origina desde cualquier direccin en la red ;=>.;?@.A<.<:>B hacia cualquier puerto @< de host de destino +=TT,. "omo se aprecia en los e%emplos anteriores, se suele usar un n4mero en la definicin de las !"Ls. 1ambi6n se puede utiliar un nombre o denominacin para identificar la !"L en su definicin. 16.1.>. De1inici,n de las ACLs8 D,nde de1inir $na ACL ; co/o a"licarla. 1 En el caso de routers "/5"3, de!ido a la sentenia impl%ita &den' an'& (denegar todo) al #inal* todo el otro tr"#io se !lo+uea on esta AC,. C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com
Mdulo: Planificacin e Implatacin de Redes
CFGS ASIR . 1 Curso. Curso 2013/2014 En los e%emplos anteriores se ha visto la sint#)is b#sica de la definicin de dos tipos de !"Ls. "uando se crean !"Ls en una red para filtrar tr#fico, lo /0s i/"ortante no es en s? s$ de1inici,n7 sino donde se a"lican. La ubicacin adecuada de las !"L para filtrar el tr#fico no deseado es lo que proporcionar# un funcionamiento m#s eficiente de la red. *ecordemos que cuando se definen !"L en ciertos *outers de la red, 6stos pueden actuar como fire'alls b#sicos para filtrar paquetes y eliminar el tr#fico no deseado. El lugar donde act4en las las !"L puede reducir el tr#fico innecesario. 1odas las !"L deben ubicarse donde m#s repercutan, y com4nmente, se siguen las siguientes reglas b#sicas. (bicar las '( extendidas lo m*s cerca posible del ori&en del tr*fico dene&ado. &e esta manera, el tr#fico no deseado se filtra sin atravesar la infraestructura de red. "omo las '( est*ndar no especifican las direcciones de destino, se deberan colocar lo m*s cerca del destino posible" Ceamos un e%emplo de dnde colocar diferentes tipos de !"L en nuestra red. CASO A. ACL !st0ndar. En la siguiente figura, el administrador de la red desea que el tr#fico que se origina en la red ;=>.;?@.;<.<:>B no pase a la red ;=>.;?@.A<.<:>B. (na solucin sencilla, podra ser definir y aplicar una !"L est#ndar en la interfa de entrada del router *A +ya que conecta a esta red destino ;=>.;?@.A<.<:>B, para detener todo el tr#fico desde la direccin de origen ;=>.;?@.;<.<:>B. "on $na ACL est0ndar ser?a s$1iciente7 ;a #$e el @nico re#$eri/iento es 1iltrar "or direcciones Is de ori.en. C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 4 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 CASO A. ACL !6tendidas. 5upongamos que ahora el administrador de red desea denegar el tr#fico 1elnet y 810 desde la red ;=>.;?@.11.<:>B a la red ;=>.;?@.50.<:>B. !l mismo tiempo, se debe permitir todo el tr#fico desde la ;=>.;?@.10.<:>B. 7ay varias maneras de realiar esta tarea. Sol$ci,n 1. (na !"L e)tendida en *A que bloquee el tr#fico 1elnet y 810 desde la red ;=>.;?@.;;.<. 5in embargo, esta solucin sigue permitiendo que el tr#fico no deseado atraviese toda la red, para slo bloquearlo en el destino. Esto podra afectar a la eficacia general de la red. Sol$ci,n %. 0odramos pensar en utiliar una !"L e)tendida de salida, en el *outer *;, en la interfa s<:<:<, que especifique que las direcciones de origen y de destino +3nce y 1reinta respectivamente,, y que diga -El tr#fico 1elnet y 810 desde 3nce no puede llegar hasta 1reinta.- 5in embargo, esta solucin hace que el tr#fico desde la red ;=>.;?@.;<.<:>B tambi6n est6 su%eto a cierto procesamiento por la !"L. Sol$ci,n 5. La me%or solucin sin duda es acercarse lo m#)imo posible al origen y colocar una !"L e)tendida en la interfa de entrada 8a<:> de *;. Esto garantia que los paquetes desde la red 3nce no ingresen a *; y que luego no puedan atravesar hacia 3nce ni incluso ingresar a *> o *A. !4n se permite el tr#fico con otras direcciones y puertos de destino hacia *;. R!CORDAR LAS TR!S 8 C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 5 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 En la definicin de las Listas de "ontrol de !cceso, hay que tener en cuenta una importante regla al aplicarlas en un *outer; esta regla, consiste en que slo se puede configurar una !"L por protocolo, por direccin y por interfa +llamada la reglas de las A 0s en /ngl6s; one !"L 0er 0rotocol, 0er &irection, 0er /nterface,. Una ACL "or "rotocolo. para controlar el flu%o de tr#fico de una interfa, se debe definir una !"L para cada protocolo habilitado en la interfa. Una ACL "or direcci,n. las !"L controlan el tr#fico en una direccin a la ve de una interfa. &eben crearse dos !"L por separado para controlar el tr#fico entrante y saliente. Una ACL "or inter1a-. las !"L controlan el tr#fico para una interfa, por e%emplo, 8ast Ethernet <:<. 16.%. CONFIBURACIN D! ACL !STCNDAR "omo en todo, antes de empear a escribir una sentencia de comandos, es muy importante entender bien cmo funciona lo que escribimos. 0ara este caso, de4e/os destacar al.o /$; i/"ortante en la de1inici,n de ACLs !st0ndar7 ; es #$e la de1inici,n de toda ACL est0ndar7 lle3a i/"l?cita $na dene.aci,n al 1inal. Ceamos lo me%or con el siguiente e%emplo. 192.168.30.1/2 4 C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com / Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 ACL 101. access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255 ACL 102. Access-list 102 permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255 Access-list 102 deny ip any any En el e%emplo, las dos !"L +;<; y ;<>, tienen el mismo efecto. La red ;=>.;?@.;<.< puede acceder a la red ;=>.;?@.A< mientras que ;=>.;?@.;;.< no puede. "omo es de entender, hay que tener muy presente 6ste factor, ya que podra ocurrir que deneg#semos alg4n tr#fico es de forma involuntaria, afectando as al funcionamiento b#sico de nuestra red. 16.%.1 Sinta6is de las ACL !st0ndar La configuracin de una !"L se hace en dos sencillos pasos. 'reacin de la !"L est#ndar y, acti+acin de la '( en una interfa, del Router donde se aplique. El comando de configuracin usado es. accessDlist +obviamente hablamos de comandos de "isco, pero como sabemos son muy parecidos en otros sistemas o fabricantes,. La sinta)is completa del comando !"L est#ndar es. # access-list nmer!de!ACL deny"permit remar# ri$en %&ildcard ri$en' Ceamos qu6 significan cada una de las opciones indicadas. n)mero-de-'(: "ada !"L est# identificada con un n4mero; para el caso de las !"Ls est#ndar se puede usar un n4mero decimal del ; al ==, o del ;A<< al ;===" den;E"er/it8 &eniega o 0ermite el acceso si las condiciones concuerdan. C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 7 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 re/arF8 5e usa para aDadir un comentario; cuando hay demasiada configuracin en un fichero, 6sto facilita la comprensin y el an#lisis de la lista de control de acceso. ori.en Gwildcard ori.enH8 $4mero de la red o host desde el que se enva el paquete. 0odemos especificar el origen con su direccin /0, o utiliar la palabra clave an; como abreviatura para un origen y la 'ildcard de origen. Ceamos a continuacin un e%emplo, para crear una !"L numerada nombrada ;< que permita solo el tr#fico de la red ;=>.;?@.;<.< :>B. *;+config,E access9list ;< permit ;=>.;?@.;<.< 5i quisi6ramos aDadir un comentario en la creacin de esta !"L, para recordar en un futuro el propsito con el que se defini, simplemente deberamos aDadir. *;+config,Eaccess9list ;< remarF 0ermite paso a hosts de la red ;=>.;?@.;<.< Las "ala4ras cla3e Ian;J; IKostJ !dem#s de las opciones indicadas m#s arriba en la definicin de una !"L est#ndar, no se han nombrado las dos palabras clave any y host. Cemos dos e%emplos de cmo podramos usarlas. 16.%.% Co/o a"licar las ACL !st0ndar en las inter1aces "omo se ha nombrado anteriormente, las !"L de4en ser a"licadas a $na inter1a- concreta de un *3(1E*. (na ve definidas se usar# el comando i" accessD.ro$" "ara a"licarlas. El formato de este comando es el siguiente. *outer+config9if,Eip access9group Gn4mero de lista de acceso H nombre de lista de accesoI Gin H outI C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 0 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 0ara eliminar una !"L de una interfa, se usa el comando no i" accessD.ro$" en la interfa, y posteriormente el comando global no accessDlist para eliminar la definicin de la !"L. !2e/"lo 1. En la siguiente figura se muestran los pasos y la sinta)is para configurar y aplicar una !"L est#ndar numerada en un router. Esta !"L slo permite que el tr#fico de la red de origen ;=>.;?@.;<.< sea enviado por la interfa 5<:<:<. 5e bloquea el tr#fico de las dem#s redes, e)cepto la ;=>.;?@.;<.<. La primera lnea identifica la !"L como lista de acceso ;. 0ermite el tr#fico que coincide con los par#metros seleccionados. En este caso, la direccin /0 y la m#scara 'ildcard que identifica la red de origen es ;=>.;?@.;<.< <.<.<.>JJ. Recordemos que existe la sentencia impl$cita y oculta .deny all.% equi+alente a a&re&ar la l$nea access/list 0 deny 1"1"1"1 233"233"233"233" !2e/"lo %. Esta !"L reemplaa el e%emplo anterior, pero adem#s bloquea el tr#fico de una direccin especfica. El primer comando borra la versin anterior de la !"L ;. La siguiente sentencia de !"L deniega el host 0"; ubicado en ;=>.;?@.;<.;<. Est# permitido cualquier otro host de la red ;=>.;?@.;<.< :>B. $uevamente, la sentencia implcita de denegacin coincide con cualquier otra red. !ue+amente se aplica la '( a la interfa, 415151 en direccin saliente" C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 9 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 !2e/"lo 5. Esta !"L reemplaa el e%emplo anterior pero a4n bloquea tr#fico del equipo host 0";. 0ermite, adem#s, que todo el tr#fico de L!$ salga del router *;. Los primeros dos comandos son los mismos que el e%emplo anterior. El primer comando borra la versin anterior de la !"L ; y la siguiente sentencia de !"L deniega el host 0"; C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 10 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 ubicado en ;=>.;?@.;<.;<. La tercera lnea es nueva y permite todos los hosts de las redes ;=>.;?@.).) :;?. !hora, esto significa que todos los hosts de la red ;=>.;?@.;<.< : >B s coinciden, pero ahora tambi6n coinciden los hosts de la red ;=>.;?@.;;.<. 16.%.5. !2e/"lo. Uso de las ACL "ara controlar el acceso LTM )L!R AUNT!S CCNA !6"loration* En este e%emplo vamos a ver un caso diferente de cmo unas las !"L. "omo ya hemos dicho en los apartados anteriores, las !"L implementan reglas en los *outers para filtrar tr#fico. En este caso, vamos a usar una !"L para proteger el acceso va C1K 9acceso 1EL$E1 y 5579. 16.5. ACL !NT!NDIDAS La propia definicin de estas Listas de control lo dice todo. EL1E$&/&!5; se trata del mismo concepto que una Lista de "ontrol de !cceso Est#ndar, es decir, sirven para filtrar tr#fico en la red, pero en el caso de las Listas de "ontrol E)tendidas, el filtrado del tr#fico es mucho m#s preciso. "on una !"L E)tendida se puede permitir o denegar un mensa%e seg4n su direccin origen, su direccin destino, el protocolo usado y el n4mero de puerto 1"0:(&0 usado. "omo veremos a continuacin permiten un mayor nivel de detalle de filtrado que las anteriores. 3bviamente, al ser m#s precisas, las !"L e)tendidas se utilian con m#s frecuencia que las !"L est#ndar porque proporionan un ma'or ontrol de seguridad. !l igual que las !"L est#ndar, las e)tendidas comprueban la direccin de origen del paquete, pero C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 11 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 tambi6n +erifican la direccin de destino% los protocolos y los n)meros de puerto 7o ser+icios8. 0or e%emplo, una !"L e)tendida puede permitir de manera simult#nea el tr#fico de correo electrnico de una red a un destino especfico y, a la ve, denegar la transferencia de archivos y la navegacin Meb. La numeracin usada para las ACL e6tendidas es del 100 al 1OO y del %000 al %6OO, lo que ofrece un total de N== !"L e)tendidas posibles. ! las !"L e)tendidas tambi6n se les puede asignar un nombre. 09":"0 'onfi&uracin de '(s extendidas Los procedimientos para configurar las !"L e)tendidas son los mismos que para las !"L est#ndar. "ri/ero se de4e crear la !"L e)tendida y l$e.o se de4e acti3ar en una interfa. 5in embargo, la sinta)is y los par#metros del comando tienen m#s comple%idades para admitir las funciones adicionales de las !"L e)tendidas. La sinta)is de definicin de una !"L e)tendida es la siguiente. E accessDlist n-AC,-e.tendida Gden;H"er/itHre/arFI Protocolo ;ri&en O'ildcardPorigenQ O3perator Q O"$erto7 n-puerto o nom!reQ <estino O/ildard-destinoQ O3perador Q O"$erto n-puerto o nom!reQ Gesta4lisKedH Ceamos detenidamente qu6 indican las opciones indicadas. ARC9!TRO D! LA ACL D!SCRIICIN rotocolo $ombre o n4mero de un protocolo de /nternet. !lgunas de las palabras clave m#s comunes son icmp, ip, tcp o udp. 0ara que haya coincidencia con cualquier protocolo de /nternet +como /"20, 1"0 y (&0,, se usa la palabra clave ip. Ori.en $4mero de la red o del host desde el que se enva un paquete. Destino $4mero de la red o del host al que se enva un paquete. O"erador 7;pcional8 "ompara los puertos de origen y de destino. !lgunos de los operandos posibles son lt +menor que,, &t +mayor que,, eq +igual,, neq +desigual, y ran&e +rango incluido,. $erto 7;pcional8 El n4mero decimal o nombre de un puerto 1"0 o (&0. !sta4lisKed 7;pcional8 5lo para el protocolo 1"0. indica una cone)in establecida. !nalicemos un par de e%emplos de !"Ls e)tendidas para ver como usar las diferentes opciones de su sinta)is. C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 12 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 En este e%emplo, el administrador de red quiere restringir el acceso a /nternet para permitir slo la navegacin Meb. La !"L ;<A se aplica al tr#fico que sale de la red Local ;=>.;?@.;<.<, y la !"L ;<B al tr#fico que entra hacia la red Local. La !"L ;<A cumple con la primera parte del requisito. 0ermite el tr#fico que entra de cualquier direccin en la red ;=>.;?@.;<.< para dirigirse a cualquier destino, su%eto a la limitacin que el tr#fico se dirige solo a los puertos @< +7110, y BBA +71105,. La naturalea de 7110 requiere que el tr#fico regrese a la red, pero el administrador de red desea restringirlo a intercambios 7110 desde los sitios Meb solicitados. La solucin de seguridad debe denegar cualquier otro tr#fico que ingrese a la red. La !"L ;<B lo hace bloqueando el tr#fico entrante, a e)cepcin de las cone)iones establecidas +por ello se utilia el par#metro esta4lisKed,. Este par#metro permite respuestas al tr#fico que se origina desde la red ;=>.;?@.;<.<:>B a la interfa de entrada s<:<:<. 5in el par#metro established en la sentencia de !"L, los clientes podran enviar tr#fico a un servidor Meb, pero no recibiran nada de vuelta. 09":"2 plicar las '( #=>#!<I<4 en una interfa," Lo "ri/ero #$e de4er?a/os considerar es si el tr01ico #$e desea 1iltrar es entrante o saliente. Recorde/os #$e "ara I$4icarJ o Ia"licarJ '( extendidas se debera seguir la regla de ubicarlas lo m*s cerca posible del ori&en del tr*fico dene&ado 7para e+itar que el tr#fico no deseado se filtre sin atravesar la infraestructura de red,. Ceamos lo me%or con dos e%emplos sencillos de aplicacin. C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 1 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 #?emplo 0" <ene&ar F>P" Es un e%emplo de denegacin de tr#fico 810 desde la subred ;=>.;?@.;;.< hacia la subred ;=>.;?@.;<.<, pero permite todo el otro tr#fico. 3bservamos el uso de m#scaras 'ildcard y la sentencia e)plcita -deny all-. *ecuerde que 810 requiere puertos >< y >;, por eso necesita especificar eq >< y eq >; para denegar 810. En el caso de las !"L e)tendidas, puede elegir utiliar n4meros de puerto como se muestra en el e%emplo o denominar un puerto bien conocido. Es decir, podramos haber definido las !"L e)tendidas como sigue. access-list 101 permit tcp 192.168.11.0 0.0.0.255 any e( )tp access-list 101 permit tcp 192.168.11.0 0.0.0.255 any e( )tp-data 0ara 810 es preciso mencionar ftp y ftp9data. #?emplo 2" <ene&ar >elnet Este e%emplo deniega el tr#fico de 1elnet desde ;=>.;?@.;;.< hacia la interfa 8a<:<, pero permite todo el otro tr#fico /0 de cualquier otro origen a cualquier destino desde la interfa 8a<:<. 3bservamos el uso de la palabra clave an; que significa desde cualquier lado hacia cualquier lado. C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 14 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 09":": '( con nombre" 16.> ACL CO9L!PAS Las !"L est#ndar y e)tendidas pueden ser la base de las !"L comple%as que brindan mayor funcionalidad. La tabla de la figura resume las tres categoras de !"L comple%as. C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 15 Mdulo: Planificacin e Implatacin de Redes CFGS ASIR . 1 Curso. Curso 2013/2014 $o es materia de este curso implementar este tipo de !"L en *3(1E*s. Re1erencias we48 En el siguiente enlace, viene una e)plicacin breve pero buena sobre que son las !"Ls tanto en el #mbito del sistema de archivos de un sistema operativo como en el #mbito de los *outers de una *E&. Camos a leer la introduccin, para situarnos en el concepto de Listas de "ontrol de !cceso. http.::recursostic.educacion.es:observatorio:'eb:es:component:content:article:;<?J9listas9 de9control9de9acceso9acl C/ Ramn J Sender , 4, 10 - 22005 Hues ca Tf no. : 974- 24477 !a": 974- 24107 #- $a% & 'r of es or a mdu& o: & u'e. docenc% a()ma% & . c om *+)% na ,e- de& cen. r o: ,,,. % es s % er r ade)uar a. com 1/