You are on page 1of 9

TEMA 9

LISTA DE ACCESO (ACL)

9.1. CRITERIOS DE FILTRADO Desde la primera vez que se conectaron varios sistemas para formar una red, ha existido una necesidad de restringir el acceso a determinados sistemas o partes de la red por motivos de seguridad, privacidad y otros. Mediante la utilizacin de las funciones de filtrado de paquetes del software IO , un administrador de red puede restringir el acceso a determinados sistemas, segmentos de red, rangos de direcciones y servicios, !as"ndose en una serie de criterios. #a capacidad de restringir el acceso co!ra mayor importancia cuando la red de una empresa se conecta con otras redes externas, como otras empresas asociadas o Internet. 9.1.1 Administracin basica del tra ic! I" #os router se sirven de las listas de control de acceso $%&#' para identificar el tr"fico. (sta identificacin puede usarse despu)s para filtrar el tr"fico y conseguir una me*or administracin del tr"fico glo!al de la red. #as listas de acceso constituyen una eficaz herramienta para el control de la red. #as listas de acceso a+aden la flexi!ilidad necesaria para filtrar el flu*o de paquetes que entra y sale de las diferentes interfaces del router. (l filtrado de paquetes permite controlar el movimiento de estos dentro de la red. (ste control puede ayudar a limitar )l tr"fico originado por el propio router. ,na lista de acceso I- es un listado secuencial de condiciones de permiso o prohi!icin que se aplican a direcciones I- o a protocolos I- de capa superior. #as listas de acceso identifican tr"fico que ha de ser filtrado en su transito por el router, pero no pueden filtrar )l trafico originado por el propio router. #as listas de acceso pueden aplicarse tam!i)n pueden aplicarse a los puertos de l.neas de terminal virtual para permitir y denegar trafico /elnet entrante o saliente, no es posi!le !loquear el acceso /elnet desde el mismo router. e pueden usar listas de acceso I- para esta!lecer un control m"s fino o la hora de separar el tr"fico en diferentes colas de prioridades y personalizadas. ,na lista de acceso tam!i)n pueden utilizarse para identificar el tr"fico 0interesante1 que sirve para activar las llamadas del enrutamiento por llamada telefnica !a*o demanda $DD2'. #as listas de acceso son mecanismos opcionales del software &isco IO que pueden ser configurados para filtrar o verificar paquetes con el fin de determinar si de!en ser retransmitidos hacia su destino, o !ien descartados. &uando un paquete llega a una interfaz, el router comprue!a si el paquete puede ser retransmitido verificando su ta!la de enrutamiento. i no existe ninguna ruta hasta la direccin de destino, el paquete es descartado. % continuacin, el router comprue!a si la interfaz de destino esta agrupada en alguna lista de acceso. De no ser as., el paquete puede ser enviado al !3fer de salida. i el paquete de salida est" destinado a un puerto, que no ha sido agrupado a ninguna lista de acceso de salida, dicho paquete ser" enviado directamente al puerto destinado. i el paquete de salida est" destinado a un puerto ha sido agrupado en una lista de acceso saliente, antes de que el paquete pueda ser enviado al puerto destinado ser" verificado por una serie de instrucciones de la lista de acceso asociada con dicha interfaz. Dependiendo del resultado de estas prue!as, el paquete ser" admitido o denegado.

-ara las listas salientes un #ermit significa enviar al !3fer de salida, mientras que deny se traduce en descartar el paquete. -ara las listas entrantes un #ermit significa continuar el procesamiento del paquete tras su recepcin en una interfaz, mientras que den$ significa descartar el paquete. &uando se descarta un paquete I-, I&M- devuelve un paquete especial notificando al remitente que el destino ha sido inalcanza!le. 9.1.% "r&eba de las c!ndici!nes de &na ACL #as instrucciones de una lista de acceso operan en un orden lgico secuencial. (val3an los paquetes de principio a fin, instruccin a instruccin. i la ca!ecera de un paquete se a*usta a una instruccin de la lista de acceso, el resto de las instrucciones de la lista ser"n omitidas, y el paquete ser" permitido o denegado seg3n se especifique en la instruccin competente. i la ca!ecera de un paquete no se a*usta a una instruccin de la lista de acceso, la prue!a continua con la siguiente instruccin de la lista. (l proceso de comparacin sigue hasta llegar al final de la lista, cuando el paquete ser" denegado impl.citamente. ,na vez que se produce una coincidencia, se aplica la opcin de permiso o denegacin y se pone fin a las prue!as de dicho paquete. (sto significa que una condicin que deniega un paquete en una instruccin no puede ser afinada en otra instruccin posterior. #a implicacin de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. 4ay una instruccin final que se aplica a todos los paquetes que no han pasado ninguna de las prue!as anteriores. (sta condicin final se aplica a todos esos paquetes y se traducen en una condicin de denegacin del paquete. (n lugar de salir por alguna interfaz, todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartados. (sta instruccin final se conoce como la denegacin impl.cita de todo, al final de cada lista de acceso. %unque esta instruccin no aparece en la configuracin del router, siempre esta activa. De!ido a dicha condicin, es necesaria que en toda lista de acceso exista al menos una instruccin permit, en caso contrario la lista de acceso !loquear.a todo el tr"fico. 9.%. TI"OS DE LISTAS DE ACCESO 9.%.1 Listas de acces! est'ndar #as listas de acceso I- est"ndar comprue!an las direcciones de origen de los paquetes que solicitan enrutamiento. (l resultado es el permiso o la denegacin de la salida del paquete por parte del protocolo, !as"ndose en la direccin I- de la red5su!red5host de origen. 9.%.% Listas de acces! e(tendidas #as listas de acceso comprue!an tanto la direccin de origen como la de destino de cada paquete. /am!i)n pueden verificar protocolos especificados, n3meros de puerto y otros par"metros.

9.) A"LICACI*+ DE ,+A LISTA DE ACCESO #as listas de acceso expresan el con*unto de reglas que proporcionan un control a+adido par los paquetes que entran en interfaces de entrada, paquetes que se transmiten por el router y paquetes que salen por los interfaces de salida del router. ,na vez creada, una %&# de!e asociarse a una o varias interfaces de forma que analice todos los paquetes que pasen por estas, ya sean de manera entrante o saliente. #a manera de determinar cu"l de los casos es el que corresponde es pensar si los paquetes van hacia la red en cuestin $saliente' o si vienen de ella $entrante'. #as %&# de!en u!icarse donde m"s repercutan so!re la eficacia. #as reglas !"sicas son6 5 ,!icar las %&# extendidas lo m"s cerca posi!le del origen del tr"fico denegado. De esta manera, el tr"fico no deseado se filtra sin atravesar la infraestructura de red. 5 &omo las %&# est"ndar no especifican las direcciones de destino, colquelas lo m"s cerca del destino posi!le. 9.).1 Lista de acces! entrante #os paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida, si el paquete pasa las prue!as de filtrado, ser" procesado para su enrutamiento $evita la so!recarga asociada a las !3squedas en las ta!las de enrutamiento si el paquete ha de ser descartado por las prue!as de filtrado'. 9.).% Lista de acces! saliente #os paquetes entrantes son enrutados a la interfaz de salida y despu)s son procesados por medio de la lista de acceso de salida antes de su transmisin. #as listas de acceso no act3an so!re paquetes originados en el propio router, como las actualizaciones de enrutamiento a las sesiones /elnet salientes. 9.-. M.SCARA COMOD/+ (0ILDCARD) #as %&#, y algunos protocolos de enrutamiento como el O -7, hacen uso del concepto conocido como m"scara wildcard. %unque parece similar a la m"scara de red, la m"scara wildcard es como la inversa de la mascara de red. -uede ser necesario pro!ar condiciones para un grupo o rango de direcciones I-, o !ien para una direccin individual. #a comparacin de direcciones tiene lugar usando m"scaras que act3an a modo de comodines en las direcciones de la %&#, para identificar los !its de la direccin I- que han de coincidir expl.citamente y cu"les pueden ser ignorados. (l enmascaramiento wildcard para los !its de direcciones Iutiliza los n3meros 8 y 9 para referirse a los !its de la direccin6 5 ,n !it de m"scara wildcard 1 significa 0compro!ar el valor correspondiente1 5 ,n !it de m"scara wildcard 1 significa 0ignorar el valor de !it correspondiente1 -ara los casos m"s frecuentes de enmascaramiento wildcard se pueden utilizar a!reviaturas6 5 2!st : m"scara comod.n 9.9.9.9, utilizada para un host espec.fico. 5 Red : m"scara comod.n 9.9.9.;<<, utilizada para una red espec.fica. 5 An$ : 9.9.9.9 ;<<.;<<.;<<.;<<, utilizado para definir a cualquier host, red o su!red (n el caso de permitir o denegar redes o su!redes enteras se de!en ignorar todos los host pertenecientes a dicha direccin de red o su!red. &ualquier direccin de host ser" leida como direccin de red o su!red.

#a red 8=;.8>?.8.9@;A posee una mascara que identifica a los primeros ;A !its como pertenecientes a la red y los 3ltimos ? al rango de host, por lo tanto estos de!er"n ser ignorados por el router poniendo los !its en 8 en la mascara wildcard6 Direccin I8=; 8>? 8 9 (n !inarios 88999999 89898999 99999998 99999999 Mascara de red 88888888 88888888 88888888 99999999 wildcard 99999999 99999999 99999999 88888888 2esultado e toman en e toman en e toman en ignorados cuenta ? !its cuenta ? !its cuenta ? !its -or lo tanto la wildcard ser" 9.9.9.;<< (l mismo caso con la su!red 8B;.8>.C;.9@8=6 Direccin I8B; 8> (n !inarios 89898899 99989999 Mascara de red 88888888 88888888 wildcard 99999999 99999999 2esultado e toman en e toman en cuenta ? !its cuenta ? !its -or lo tanto la wildcard ser" 9.9.C8.;<< &"lculo r"pido6 2este la m"scara de su!red ;<<.;<<.;;A.9 al valor ;<<.;<<.;<<.;<< D%33.%33.%33.%33 %33.%33.%%-.111 111.111.1)1.%33 9.3 "ROCESO DE CO+FI4,RACI*+ DE ACL (l proceso de creacin de una %&# se lleva a ca!o creando la lista y posteriormente asoci"ndola a una interfaz entrante o saliente. 9.3.1 Listas de acces! n&meradas #as %&# numeradas llevan un n3mero identificativo que las identifica seg3n sus caracter.sticas. #a siguiente ta!la muestra los rangos de listas de acceso numeradas6 I- est"ndarEEE.85== y 8C9958=== I- extendidaEE...89958== y ;9995;>== D(&netEEEE..C995C== FG est"ndarEEA995A== FG extendidaE.<995<== %pple /alHEEE>995>== I-F est"ndarEE.?995?== I-F extendidaE..=995=== 7iltros apEEE8999589== C; 9 99899999 99999999 88899999 99999999 99988888 88888888 e toman en ignorados cuenta C !its se ignoran <

9.3.% C!n i5&racin de ACL estandar #as listas de acceso I- est"ndar verifican slo la direccin de origen en la ca!ecera del paquete $&apa C'. R!&ter(c!n i5)6access7list8179998#ermit:den$98direccin de !ri5en98mascara c!m!d;n9 Donde6 7 17996 Identifica el rango y la lista. 7 "ermit:den$6 Indica si esta entrada permitir" o !loquear" el tr"fico a partir de la direccin especificada 7 Direccin de !ri5en6 Identifica la direccin I- de origen. 7 Mascara c!m!d;n (<ildcard)6 Identifica los !its del campo de la direccin que ser"n compro!ados. #a mascara predeterminada es 9.9.9.9 $coincidencia de todos los !its'. 9.3.) As!ciacin de la ACL estandar a &na inter a= ,na vez configurada, asocie la %&# est"ndar a la interfaz a trav)s del siguiente comando dentro del modo interdaz. R!&ter(c!n i57i )6i# access75r!&#8n> de lista de acces!98in:!&t9 Donde6 7 +?mer! de lista de acces!@ indica el nI de la %&# que ser" aplicada a esa interfaz. 7 In:!&t6 selecciona si la lista de acceso se aplicar" como filtro de entrada o de salida. (*emplo de una %&# est"ndar denegando una red6 2outerJconfigure terminal 2outer$config'Jaccess5list 89 deny 8=;.8>?.8.9 9.9.9.9 2outer$config'Jaccess5list 89 permit any 2outer$config'Jinterface serial 9 2outer$config5if'Jip access5group 89 in e ha denegado al host 8=;.8>?.8.9 y luego se ha permitido a cualquier origen, posteriormente se asocio la %&# a la interfaz erial 9. 9.3.- C!n i5&racin de ACL e(tendida #as listas de acceso I- extendidas pueden verificar otros muchos elementos, incluidos opciones de la ca!ecera del segmento $capa A', como los puertos.

(l proceso de configuracin de una %&# I- extendida es el siguiente6 R!&ter(c!n i5)6access7list8111719998#ermit:den$98#r!t!c!l98direccin de !ri5en9 8mascara c!m!d;n98direccin de destin!98mascara c!m!d;n98#&ert!98establiseAed9 8l!59 7 1117199@ identifica el rango y n3mero de lista 5 "ermit:den$@ indica si la entrada permitir" o !loqueara la direccin especificada. 5 "r!t!c!l!@ como por e*emplo I-, /&-, ,D-, I&M7 Direccin !ri5en $ destin!@ identifican direcciones I- de origen y destino. 7 Mascara c!m!d;n (<ildcard) !ri5en $ destin!@ #as 9 indican las posiciones que de!en coincidir, y los 8 las 0que no importan1. 7 "&ert! $opcional'6 puede ser por e*emplo6 lt $menor que', gt $mayor que', eq $igual a', o neq $distinto que' y un n3mero de puerto de protocolo correspondiente. 7 EstabliseAed $opcional'6 e usa solo para /&- de entrada. (sto permite que el tr"fico /&- pase si el paquete utiliza una conexin ya esta!lecida $por e*emplo posee un con*unto de !its %&K' 7 L!5@ $opcional' (nv.a un mensa*e de registro a la consola a un servidor syslog determinado. %lgunos de los n3meros de puertos m"s conocidos6 ;9 Datos del protocolo 7/;8 7/;C /elnet ;< M/>= /7/<C DG ?9 http 89= -O- ; 9.3.3 As!ciacin de la lista a &na inter a= R!&ter(c!n i57i )6i# access75r!&#8n> de lista de acces!98in:!&t9 Donde6 7 +?mer! de lista de acces!@ indica el nI de %&# que ser" aplicada a esa interfaz. 7 In:!&t@ selecciona si la lista de acceso se aplicar" como filtro de entrada o de salida. (*emplo de una %&# (xtendida denegando un host hacia el puerto ?9 de una red6 2outer$config'Jaccess5list 8;9 deny tcp host ;9A.;9A.89.8 any eq ?9 2outer$config'Jaccess5list 8;9 permit ip any any 2outer$config'Jinterface serial 8 2outer$config5if'Jip access5group 8;9 in e ha denegado al host ;9A.;9A.89.8, $identific"ndolo con la a!reviatura 0host1' hacia el puerto ?9 de cualquier red de destino $usando el termino any'. -osteriormente se permite todo trafico I-. (sta %&# se asocio a la interfaz erial 8 como entrante.

9.3.B C!rrad! de las listas de acces! Desde el modo interfaz donde se aplico la lista desasociar dicha %&#. 4ay que tener en cuenta que una interfaz puede tener asociadas varias %&#. R!&ter(c!n i57i )6n! i# access75r!&#8+> de lista de acces!9 Desde el modo glo!al elimine la %&# r!&ter(c!n i5)6n! access7list8+> de lista de acces!9

9.B TRAD,CCI*+ DE DIRECCIO+ES DE RED ("r!t!c!l! +AT) +AT $GetworH %ddress /raslation' permite acceder a Internet traduciendo las direcciones privadas en direcciones I- registradas. Incrementa la seguridad y la privacidad de la red local al traducir el direccionamiento interno a uno externo. G%/ tiene varias formas de tra!a*ar seg3n los requisitos y la flexi!ilidad de que se disponga, cualquiera de ellas es sumamente importante a la hora de controlar el tr"fico hacia el exterior6 Est'ticamente@ G%/ permite la asignacin de una a una entre las direcciones locales y las exteriores o glo!ales. Din'micamente@ G%/ permite asignar a una red I- interna a varias externas incluidas en un grupo o pool de direcciones. "AT $-ort address /raslation'6 es una forma de G%/ din"mica que asigna varias direcciones I- internas a una sola externa. -%/ utiliza n3meros de puertos de origen 3nicos en la direccin glo!al interna para distinguir entre las diferentes traducciones. 9.B.1 Termin!l!5;a +AT 5 Direccin local interna6 (s la direccin I- asignada a un host de la red interna 5 Direccin glo!al interna6 (s la direccin I- asignada por el proveedor de servicio que representa a la direccin local ante el mundo 5 Direccin local externa6 (s la direccin I- de un host externo tal como lo ve la red interna. 5 Direccin glo!al externa6 (s una direccin I- asignada por el propietario a un host de la red externa.

9.B.% C!n i5&racin de +AT est'tic! -ara configurar G%/ est"ticamente utilice el siguiente comando6 R!&ter(c!n i5)6i# nat inside s!&rce static 8i# interna98i# e(terna9 Defina cu"les ser"n las interfaces de entrada y salida y su correspondiente direccin I-6 R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n i5)6inter ace 8ti#!98n&mer!9 i57i )6i# address 8i# de la inter a= internaDmascara9 i57i )6i# nat inside i57i )6n! sA&td!<n i57i )6e(it i5)6 inter ace 8ti#!98n&mer!9 i57i )6i# address 8i# de la inter a= e(ternaDmascara9 i57i )6i# nat !&tside i57i )6n! sA&td!<n i57i )6e(it

9.B.) C!n i5&racin de +AT din'mic! -ara configurar G%/ din"micamente se de!e crear un pool de direcciones, para ello utilice el siguiente comando6 R!&ter(c!n i5)6i# nat #!!l8n!mbre del #!!l98i# inici!98i# inal9 netmasE8mascara9 Defina una lista de acceso que permita solo a las direcciones que de!an traducirse6 R!&ter(c!n i5)6acces7list 1 #ermit 8i# interna #ermitida98<ildcard9 %socie la lista de acceso al pool6 R!&ter(c!n i5)6i# nat inside s!&rce list 1 #!!l 8n!mbre del #!!l9 Defina las interfaces de entrada y salida6 R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n i5)6inter ace 8ti#!98n&mer!9 i57i )6i# address 8i# de la inter a= internaDmascara9 i57i )6i# nat inside i57i )6n! sA&td!<n i57i )6e(it i5)6 inter ace 8ti#!98n&mer!9 i57i )6i# address 8i# de la inter a= e(ternaDmascara9 i57i )6i# nat !&tside i57i )6n! sA&td!<n i57i )6e(it

9.B.- C!n i5&racin de "AT din'mic! (+AT s!brecar5ad! "AT) Defina una lista de acceso que permita solo a las direcciones que de!an traducirse6 R!&ter(c!n i5)6access7list 1 #ermit 8i# interna #ermitida98<ildcard9 %socie la lista de acceso, especificando la interfaz de salida6 R!&ter(c!n i5)6i# nat inside s!&rce list 1 inter ace 8ti#!98n&mer!9 !Ferl!ad Defina las interfaces de entrada y salida6 R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n R!&ter(c!n i5)6inter ace 8ti#!98n&mer!9 i57i )6i# address 8i# de la inter a= internaDmascara9 i57i )6i# nat inside i57i )6n! sA&td!<n i57i )6e(it i5)6 inter ace 8ti#!98n&mer!9 i57i )6i# address 8i# de la inter a= e(ternaDmascara9 i57i )6i# nat !&tside i57i )6n! sA&td!<n i57i )6e(it