ACL - Listas de control de acceso

De MediaWiki
Ir a la navegación Ir a la búsqueda

Introducción

As listas de control de Control de Acceso ou ALCs (do inglés Access Control List) son un xeito de controlar o fluxo do tráfico determinando permisos acceso; porén, e un concepto de seguridade informática utilizado para o filtrado de tráfico.

As devesas (firewall) son os dispositivos máis utilizados para controlar a seguridade da rede xunto con certos modelos de encamiñadores que tamén teñen a capcidade de examinar todo o tráfico que circula por eles para eliminar as mensaxes non desexadas.

Os routers teñen un mecanismo de control e filtrado das mensaxes rudimentario ainda que efectivo mediante as regras ACL.

Hai dous tipos de ACL:

  • ACL estándar (só dirección de orixe). Utilízase para permitir ou denegar as mensaxes que coinciden coa dirección de orixe sen ter en contra o protocolo ó que pertencen
  • ACL estendida (dirección de orixe e destino, e opcionalmente protocolo, porto, ...) Útilizase para permitir aquelas mensaxes que coinciden en dirección de orixe, destino e protocolo; permiten seleccionar as mensaxes cun maior grao de detalle.

Máscaras wildcard

Para seleccionar as mensaxes afectadas compárase o enderezo de orixe ou destino co enderezo ou rango de enderezos definidos na ACL da seguinte forma:

Enderezo_IP Máscara_Wildcard

Onde:

  • Enderezo_IP específica o enderezo da rede, subrede ou equipo
  • Máscara_Wildcard indica cun número binario de 32 bits cales son os bits do enderezo que deben coincidir e cales deben ser ignorados
Na máscara wildcard:
O valor 0 indica que hai que comprobar o valor do bit correspondente
O valor 1 indica que NON hai que comprobar o valor do bit correspondente

Poder ver algúns exemplos na táboa:

Exemplos de enderezos definidos con máscaras wildcard
Enderezo IP Máscara Wildcard Rango de enderezos coincidintes
192.168.1.7 0.0.0.0 Só o equipo 192.168.1.7
192.168.2.0 0.0.0.255 Desde o 192.168.2.0 ao 192.168.2.255
172.16.16.0 0.0.15.255 Desde o 172.16.16.0 ó 172.16.31.255
10.32.0.0 0.31.255.255 Desde o 10.32.0.0 ao 10.63.255.255
Calquera 255.255.255.255 Todos os enderezos

Exemplos

ACL estándar

Define unha ACL estándar que permita solo a rede 10.0.0.0/8 acceder o servidor localizado na interfaz Fa0/1.

PASOS

1. Definimos a quen se lle permite o tráfico:

Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255 

Sempre hai una prohibición implícita (deny) ó resto do tráfico ó final da ACL e por iso non necesitamos engadir “deny” para o resto de tráfico. A máscara “0.255.255.255” é a wildcard mask

2. Aplicamos a ACL á interfaz:

Router(config)#interface Fa0/1 
Router(config-if)#ip access-group 1 out 
A ACL 1 aplicase para que permita sair da interfaz Fa0/1 soamente os paquetes de 10.0.0.0 / 8 e denegue ó resto do tráfico.

ACL estendida

Crea unha lista de acceso extendida que impida o tráfico FTP (portos 20 e 21) desde a rede A pero que permita calquera outro tipo de tráfico

PASOS 1. Definir o protocolo, a orixe, o destino e qué porto son rexeitados:

Router(config)#access-list 101 permit 10.0.0.0 0.255.255.255 eq 21
Router(config)#access-list 101 permit 10.0.0.0 0.255.255.255 eq 20
Router(config)#access-list 101 permit ip any any

2. Aplicar a ACL á interfaz:

Router(config)#interface ??
Router(config-if)#ip access-group 101 out

Créditos