ACL - Listas de control de acceso
Introducción
As listas de control de Control de Acceso ou ALCs (do inglés Access Control List) son un xeito de controlar o fluxo do tráfico determinando permisos acceso; porén, e un concepto de seguridade informática utilizado para o filtrado de tráfico.
As devesas (firewall) son os dispositivos máis utilizados para controlar a seguridade da rede xunto con certos modelos de encamiñadores que tamén teñen a capcidade de examinar todo o tráfico que circula por eles para eliminar as mensaxes non desexadas.
Os routers teñen un mecanismo de control e filtrado das mensaxes rudimentario ainda que efectivo mediante as regras ACL.
Hai dous tipos de ACL:
- ACL estándar (só dirección de orixe). Utilízase para permitir ou denegar as mensaxes que coinciden coa dirección de orixe sen ter en contra o protocolo ó que pertencen
- ACL estendida (dirección de orixe e destino, e opcionalmente protocolo, porto, ...) Útilizase para permitir aquelas mensaxes que coinciden en dirección de orixe, destino e protocolo; permiten seleccionar as mensaxes cun maior grao de detalle.
Máscaras wildcard
Para seleccionar as mensaxes afectadas compárase o enderezo de orixe ou destino co enderezo ou rango de enderezos definidos na ACL da seguinte forma:
Enderezo_IP Máscara_Wildcard
Onde:
- Enderezo_IP específica o enderezo da rede, subrede ou equipo
- Máscara_Wildcard indica cun número binario de 32 bits cales son os bits do enderezo que deben coincidir e cales deben ser ignorados
Na máscara wildcard: O valor 0 indica que hai que comprobar o valor do bit correspondente O valor 1 indica que NON hai que comprobar o valor do bit correspondente
Poder ver algúns exemplos na táboa:
| Enderezo IP | Máscara Wildcard | Rango de enderezos coincidintes |
|---|---|---|
| 192.168.1.7 | 0.0.0.0 | Só o equipo 192.168.1.7 |
| 192.168.2.0 | 0.0.0.255 | Desde o 192.168.2.0 ao 192.168.2.255 |
| 172.16.16.0 | 0.0.15.255 | Desde o 172.16.16.0 ó 172.16.31.255 |
| 10.32.0.0 | 0.31.255.255 | Desde o 10.32.0.0 ao 10.63.255.255 |
| Calquera | 255.255.255.255 | Todos os enderezos |
Exemplos
ACL estándar
Define unha ACL estándar que permita solo a rede 10.0.0.0/8 acceder o servidor localizado na interfaz Fa0/1.
PASOS
1. Definimos a quen se lle permite o tráfico:
Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255
Sempre hai una prohibición implícita (deny) ó resto do tráfico ó final da ACL e por iso non necesitamos engadir “deny” para o resto de tráfico. A máscara “0.255.255.255” é a wildcard mask
2. Aplicamos a ACL á interfaz:
Router(config)#interface Fa0/1 Router(config-if)#ip access-group 1 out A ACL 1 aplicase para que permita sair da interfaz Fa0/1 soamente os paquetes de 10.0.0.0 / 8 e denegue ó resto do tráfico.
ACL estendida
Crea unha lista de acceso extendida que impida o tráfico FTP (portos 20 e 21) desde a rede A pero que permita calquera outro tipo de tráfico
PASOS 1. Definir o protocolo, a orixe, o destino e qué porto son rexeitados:
Router(config)#access-list 101 permit 10.0.0.0 0.255.255.255 eq 21 Router(config)#access-list 101 permit 10.0.0.0 0.255.255.255 eq 20 Router(config)#access-list 101 permit ip any any
2. Aplicar a ACL á interfaz:
Router(config)#interface ?? Router(config-if)#ip access-group 101 out
Créditos
- Configuring IP Access Lists
- Configure Commonly Used IP ACLs
- Listas de Control de acceso. Universidad de Alcalá
- Planificación y adminsitración de redes. Editorial Ra-Ma. Francisco José Molina Robles.
