ACL - Listas de control de acceso

De MediaWiki
Ir a la navegación Ir a la búsqueda

Introducción

As listas de control de Control de Acceso ou ALCs (do inglés Access Control List) son un xeito de controlar o fluxo do tráfico determinando permisos acceso; porén, e un concepto de seguridade informática utilizado para o filtrado de tráfico.

As devesas (firewall) son os dispositivos máis utilizados para controlar a seguridade da rede xunto con certos modelos de encamiñadores que tamén teñen a capcidade de examinar todo o tráfico que circula por eles para eliminar as mensaxes non desexadas.

Os routers teñen un mecanismo de control e filtrado das mensaxes rudimentario ainda que efectivo mediante as regras ACL.

Hai dous tipos de ACL:

  • ACL estándar (só dirección de orixe). Utilízase para permitir ou denegar as mensaxes que coinciden coa dirección de orixe sen ter en contra o protocolo ó que pertencen
  • ACL estendida (dirección de orixe e destino, e opcionalmente protocolo, porto, ...) Útilizase para permitir aquelas mensaxes que coinciden en dirección de orixe, destino e protocolo; permiten seleccionar as mensaxes cun maior grao de detalle.

Máscaras wildcard

Para seleccionar as mensaxes afectadas compárase o enderezo de orixe ou destino co enderezo ou rango de enderezos definidos na ACL da seguinte forma:

Enderezo_IP Máscara_Wildcard

Onde:

  • Enderezo_IP específica o enderezo da rede, subrede ou equipo
  • Máscara_Wildcard indica cun número binario de 32 bits cales son os bits do enderezo que deben coincidir e cales deben ser ignorados

Resumidamente, a definición dos rangos de enderezos permitidos ou denegados nunha ACL realizase utilizando as máscaras wildcard, na que:

O valor 0 indica que hai que comprobar o valor do bit correspondente
O valor 1 indica que NON hai que comprobar o valor do bit correspondente

Poder ver algúns exemplos na táboa:

Exemplos de enderezos definidos con máscaras wildcard
Enderezo IP Máscara Wildcard Rango de enderezos coincidintes
192.168.1.7 0.0.0.0 Só o equipo 192.168.1.7
192.168.2.0 0.0.0.255 Desde o 192.168.2.0 ao 192.168.2.255
172.16.16.0 0.0.15.255 Desde o 172.16.16.0 ó 172.16.31.255
10.32.0.0 0.31.255.255 Desde o 10.32.0.0 ao 10.63.255.255
Calquera 255.255.255.255 Todos os enderezos

Creación e asignación de ACLs

Para identificar unha lista de control de acceso é preciso identificala de xeito único cun número (ainda que tamén existen ACLs nombradas que se identifican por nome).

Ids numéricos utilizados para definir as ACLs
Rango Uso de ACL
De 1 a 99 Protocolo IP
De 100 a 199 Protocolo IP (ACL estendida)
De 600 a 699 Protocolo IP Protocolo AppleTalk
De 800 a 899 Protocolo IP Protocolo IPX
De 900 a 999 Protocolo IPX (ACL estendida)

O uso que faremos nos será de 1 a 99 para ACL estándar de 100 a 199 para ACL estendida.

Cada lista de control pode ter varias regras definidas todas elas identificadas polo mesmo número de ACL

Crear unha acl estándar

access-list número {deny | permit} enderezo_orixe wildcard_orixe

Crear unha acl estendida

access-list número {deny | permit} protocolo 
enderezo orixe wildcard_orixe
enderezo destino wildcard_destino
[precedence preferencia] opeador porto

Asingación dunha ACL á inferfaz

Acceder o modo de configuración da interaz e executar:

ip access-group {in | out}
in para mensaxes de entrada e out para mensaxes de saída
Nota 
Para asociar unha ACL cun porto virtual vty (os que se usan para iniciar conexións de consola por telnet) coa finalidade de limitar as conexións, execútase:
ip access-class número in

Parámetros das ACL

Parámetros
Parámetro Descrición
número Id numérico do rango sen utilizar
deny Descarta a mensaxe se coincide coa regra
permit Acepta a mensaxe se coincide coa regra
enderezo_orixe Especifica o enderezo IP que debe coincidir coa dirección IP de orixe da mensaxe. Pódese utilizar a palabra clave any para indicar o enderezo e a máscara wildcard 0.0.0.0 255.255.255.255 paara dicir "calquera enderezo"
wildcard_orixe Máscara wildcard aplicada o enderezo de orixe. Se non se índica tómase 0.0.0.0
enderezo_destino Especifica o enderezo IP que debe coincidir coa dirección IP de destino da mensaxe. Pódese utilizar a palabra clave any para indicar o enderezo e a máscara wildcard 0.0.0.0 255.255.255.255 paara dicir "calquera enderezo"
wildcard_destino Máscara wildcard aplicada o enderezo de destino. Se non se índica tómase 0.0.0.0
protocolo Nome do protocolo ó que pertence a mensaxe. Son valores aceptados entre outros: icmp, ip,tcp,udc,eigrp,ospf,...
precedente preferencia Preferencia coa que será procesada a mensaxe entr 0 e 7 (0 é maior preferencia)
operador Utilizase para indicar o operador de comparación dos portos orixe e destino. Pose ser lt(<),gt(>),eq (=), neq (!=) e range (rango de portos)
porto Indica o número de porto de transporte

Outros comandos

Mostrar as listas de acceso:
Router#show access-list
Borrar unha ACL:
Router(config)#no access-list n

Cousas a ter en conta

E convinte reaqlizar unha planificación previa das listas de control de acceso que se van definir e establecer a orde correcta entre elas
As listas de acceso estándar debense colocar cerca do destino
As listas de acceso estendidas debense colocar cerca da fonte
Pódese ter una lista de acceso por protoclo, por enderezo e por interfaz
Pódese ter unha lista de acceso de entrada e unha de saída aplicada a unha finterfaz; pero non dúas listas de acceso á dirección entrante dunha interfaz

Exemplos

ACL estándar

Define unha ACL estándar que permita solo a rede 10.0.0.0/8 acceder o servidor localizado na interfaz Fa0/1.

PASOS

1. Definimos a quen se lle permite o tráfico:

Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255 

Sempre hai una prohibición implícita (deny) ó resto do tráfico ó final da ACL e por iso non necesitamos engadir “deny” para o resto de tráfico. A máscara “0.255.255.255” é a wildcard mask

2. Aplicamos a ACL á interfaz:

Router(config)#interface Fa0/1 
Router(config-if)#ip access-group 1 out 
A ACL 1 aplicase para que permita sair da interfaz Fa0/1 soamente os paquetes de 10.0.0.0 / 8 e denegue ó resto do tráfico.

ACL estendida

Crea unha lista de acceso extendida que impida o tráfico FTP (portos 20 e 21) desde a rede A pero que permita calquera outro tipo de tráfico

PASOS 1. Definir o protocolo, a orixe, o destino e qué porto son rexeitados:

Router(config)#access-list 101 permit 10.0.0.0 0.255.255.255 eq 21
Router(config)#access-list 101 permit 10.0.0.0 0.255.255.255 eq 20
Router(config)#access-list 101 permit ip any any

2. Aplicar a ACL á interfaz:

Router(config)#interface ??
Router(config-if)#ip access-group 101 out

Créditos