Diferencia entre revisiones de «ACL - Listas de control de acceso»

De MediaWiki
Ir a la navegación Ir a la búsqueda
Línea 54: Línea 54:
 
= Creación e asignación de ACLs =
 
= Creación e asignación de ACLs =
 
Para identificar unha lista de control de acceso é preciso identificala de xeito único cun número (ainda que tamén existen ACLs nombradas que se identifican por nome).
 
Para identificar unha lista de control de acceso é preciso identificala de xeito único cun número (ainda que tamén existen ACLs nombradas que se identifican por nome).
 +
 +
{| class="wikitable"
 +
|+ Ids numéricos utilizados para definir as ACLs
 +
! Rango
 +
! Uso de ACL
 +
|-
 +
|| De 1 a 99   
 +
|| Protocolo IP                   
 +
|-
 +
|| De 100 a 199
 +
|| Protocolo IP (ACL extendida)   
 +
|-
 +
|| De 600 a 699
 +
|| Protocolo IP Protocolo AppleTalk
 +
|-
 +
|| De 800 a 899
 +
|| Protocolo IP Protocolo IPX
 +
|-
 +
|| De 900 a 999
 +
|| Protocolo IP IPX (ACL extendida)
 +
|-
 +
|}
 +
 +
O uso que faremos nos será de 1 a 99 para ACL estándar de 100 a 199 para ACL estendida.
  
 
Cada lista de control pode ter varias regras definidas todas elas identificadas polo mesmo número de ACL
 
Cada lista de control pode ter varias regras definidas todas elas identificadas polo mesmo número de ACL

Revisión del 17:04 30 nov 2020

Introducción

As listas de control de Control de Acceso ou ALCs (do inglés Access Control List) son un xeito de controlar o fluxo do tráfico determinando permisos acceso; porén, e un concepto de seguridade informática utilizado para o filtrado de tráfico.

As devesas (firewall) son os dispositivos máis utilizados para controlar a seguridade da rede xunto con certos modelos de encamiñadores que tamén teñen a capcidade de examinar todo o tráfico que circula por eles para eliminar as mensaxes non desexadas.

Os routers teñen un mecanismo de control e filtrado das mensaxes rudimentario ainda que efectivo mediante as regras ACL.

Hai dous tipos de ACL:

  • ACL estándar (só dirección de orixe). Utilízase para permitir ou denegar as mensaxes que coinciden coa dirección de orixe sen ter en contra o protocolo ó que pertencen
  • ACL estendida (dirección de orixe e destino, e opcionalmente protocolo, porto, ...) Útilizase para permitir aquelas mensaxes que coinciden en dirección de orixe, destino e protocolo; permiten seleccionar as mensaxes cun maior grao de detalle.

Máscaras wildcard

Para seleccionar as mensaxes afectadas compárase o enderezo de orixe ou destino co enderezo ou rango de enderezos definidos na ACL da seguinte forma:

Enderezo_IP Máscara_Wildcard

Onde:

  • Enderezo_IP específica o enderezo da rede, subrede ou equipo
  • Máscara_Wildcard indica cun número binario de 32 bits cales son os bits do enderezo que deben coincidir e cales deben ser ignorados
Na máscara wildcard:
O valor 0 indica que hai que comprobar o valor do bit correspondente
O valor 1 indica que NON hai que comprobar o valor do bit correspondente

Poder ver algúns exemplos na táboa:

Exemplos de enderezos definidos con máscaras wildcard
Enderezo IP Máscara Wildcard Rango de enderezos coincidintes
192.168.1.7 0.0.0.0 Só o equipo 192.168.1.7
192.168.2.0 0.0.0.255 Desde o 192.168.2.0 ao 192.168.2.255
172.16.16.0 0.0.15.255 Desde o 172.16.16.0 ó 172.16.31.255
10.32.0.0 0.31.255.255 Desde o 10.32.0.0 ao 10.63.255.255
Calquera 255.255.255.255 Todos os enderezos

Creación e asignación de ACLs

Para identificar unha lista de control de acceso é preciso identificala de xeito único cun número (ainda que tamén existen ACLs nombradas que se identifican por nome).

Ids numéricos utilizados para definir as ACLs
Rango Uso de ACL
De 1 a 99 Protocolo IP
De 100 a 199 Protocolo IP (ACL extendida)
De 600 a 699 Protocolo IP Protocolo AppleTalk
De 800 a 899 Protocolo IP Protocolo IPX
De 900 a 999 Protocolo IP IPX (ACL extendida)

O uso que faremos nos será de 1 a 99 para ACL estándar de 100 a 199 para ACL estendida.

Cada lista de control pode ter varias regras definidas todas elas identificadas polo mesmo número de ACL

Outros comandos

Mostras as lsitas de acceso:
Router#show access-list
Borrar unha ACL:
Router(config)#no access-list n


Cousas a ter en conta

E convinte reaqlizar unha planificación previa das listas de control de acceso que se van definir e establecer a orde correcta entre elas
As listas de acceso estándar debense colocar cerca do destino
As listas de acceso estendidas debense colocar cerca da fonte
Pódese ter una lista de acceso por protoclo, por enderezo e por interfaz
Pódese ter unha lista de acceso de entrada e unha de saída aplicada a unha finterfaz; pero non dúas listas de acceso á dirección entrante dunha interfaz

Exemplos

ACL estándar

Define unha ACL estándar que permita solo a rede 10.0.0.0/8 acceder o servidor localizado na interfaz Fa0/1.

PASOS

1. Definimos a quen se lle permite o tráfico:

Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255 

Sempre hai una prohibición implícita (deny) ó resto do tráfico ó final da ACL e por iso non necesitamos engadir “deny” para o resto de tráfico. A máscara “0.255.255.255” é a wildcard mask

2. Aplicamos a ACL á interfaz:

Router(config)#interface Fa0/1 
Router(config-if)#ip access-group 1 out 
A ACL 1 aplicase para que permita sair da interfaz Fa0/1 soamente os paquetes de 10.0.0.0 / 8 e denegue ó resto do tráfico.

ACL estendida

Crea unha lista de acceso extendida que impida o tráfico FTP (portos 20 e 21) desde a rede A pero que permita calquera outro tipo de tráfico

PASOS 1. Definir o protocolo, a orixe, o destino e qué porto son rexeitados:

Router(config)#access-list 101 permit 10.0.0.0 0.255.255.255 eq 21
Router(config)#access-list 101 permit 10.0.0.0 0.255.255.255 eq 20
Router(config)#access-list 101 permit ip any any

2. Aplicar a ACL á interfaz:

Router(config)#interface ??
Router(config-if)#ip access-group 101 out

Créditos