PDF de programación - Listas de control de Acceso (ACLs) - Configuración de routers

AMPLIACIÓN DE REDES

(2º I.T.I.S.)



PRÁCTICA 4

CONFIGURACIÓN DE ROUTERS:
LISTAS DE CONTROL DE ACCESO

(ACLs)

Unidad Docente de Redes
Área de Arquitectura y Tecnología

de Computadoras

Departamento de Informática

Universidad de Castilla-La Mancha







PRÁCTICA 4. CONFIGURACIÓN DE ROUTERS: Listas de Control de Acceso (ACLs)



1. Objetivo

El objetivo de esta práctica es que el alumno adquiera los conocimientos prácticos sobre
las Listas de Control de Accesos (ACLs) en la configuración de routers. El objetivo
final de esta práctica es observar el funcionamiento y la configuración de las mismas,
observando sus ventajas en lo referente al filtrado de tráfico que atraviesa un router.
Este objetivo se puede desglosar en los siguientes objetivos parciales:


1. Configuración de una ACL IP Estándar

- Desarrollar una ACL estándar para permitir o denegar tráfico específico
- Aplicar una ACL IP estándar a una interfaz de router
- Probar la ACL para determinar si se lograron los resultados deseados
- Eliminar una ACL de una interfaz de router
- Eliminar una ACL de un router

2. Configuración de una ACL IP Extendida

- Desarrollar una ACL IP extendida para permitir o denegar tráfico específico
- Aplicar una ACL IP extendida a una interfaz de router.
- Probar la ACL para determinar si se lograron los resultados deseados.
3. Diseñar y planificar una ACL, según requisitos de seguridad específicos.



3

PRÁCTICA 4. CONFIGURACIÓN DE ROUTERS: Listas de Control de Acceso (ACLs)

se

deben

2. ¿Qué es una ACL?

Una ACL es una colección secuencial de sentencias de permiso o rechazo que se aplican
a direcciones o protocolos de capa superior. Los routers proporcionan capacidades de
filtrado de tráfico a través de las listas de control de acceso (ACL). En esta práctica,
conocerá las ACL estándar y extendidas como medio de controlar el tráfico de red y de
qué manera se usan las ACL como parte de una solución de seguridad (cortafuegos).

Las ACL son listas de instrucciones que
se aplican a una interfaz del router. Estas
listas indican al router qué tipos de
paquetes se deben aceptar y qué tipos de
paquetes
denegar. La
aceptación y rechazo se pueden basar en
ciertas especificaciones, como dirección
origen, dirección destino y número de
puerto. Cualquier tráfico que pasa por la
interfaz debe cumplir ciertas condiciones
que forman parte de la ACL. Las ACL
se pueden
los
protocolos enrutados de red, como IP e IPX, para filtrar los paquetes a medida que
pasan por un router. Es necesario definir una ACL para cada protocolo habilitado en una
interfaz si desea controlar el flujo de tráfico para esa interfaz. Por ejemplo, si su interfaz
de router estuviera configurada para IP, AppleTalk e IPX, sería necesario definir por lo
menos tres ACL. Cada ACLs sobre cada interfaz, actúa en un sentido, distinguiendo
tanto sentido de entrada como de salida. Se puede definir diferentes ACLs y luego
instalarlas sobre los interfaces del router según convenga al administrador de la red.

Razones para el uso de ACLs

crear para

todos

Hay muchas razones para crear ACLs. Por ejemplo, las ACL se pueden usar para:

• Limitar el tráfico de red y mejorar el rendimiento de la red. Por ejemplo, las
ACL pueden designar ciertos paquetes para que un router los procese antes de
procesar otro tipo de tráfico, según el protocolo. Esto se denomina colocación en
cola, que asegura que los routers no procesarán paquetes que no son necesarios.
Como resultado, la colocación en cola limita el tráfico de red y reduce la
congestión.

• Brindar control de flujo de tráfico. Por ejemplo, las ACL pueden restringir o
reducir el contenido de las actualizaciones de enrutamiento. Estas restricciones
se usan para limitar la propagación de la información acerca de redes específicas
por toda la red.

• Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo,
las ACL pueden permitir que un host acceda a una parte de la red y evitar que
otro acceda a la misma área. Al Host A se le permite el acceso a la red de
Recursos Humanos, y al Host B se le deniega el acceso a dicha red. Si no se
configuran ACL en su router, todos los paquetes que pasan a través del router
supuestamente tendrían acceso permitido a todas las partes de la red.

4

PRÁCTICA 4. CONFIGURACIÓN DE ROUTERS: Listas de Control de Acceso (ACLs)

• Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del
router. Por ejemplo, se puede permitir que se enrute el tráfico de correo
electrónico, pero bloquear al mismo tiempo todo el tráfico de telnet.


3. Funcionamiento de las ACLs

Una ACL es un grupo de sentencias que define cómo los paquetes:

• Entran a las interfaces de entrada
• Se reenvían a través del router
• Salen de las interfaces de salida del router

El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o
no. Cuando un paquete entra en una interfaz, el router verifica si un paquete es enrutable
o puenteable. Ahora, el router verifica si la interfaz de entrada tiene una ACL. Si existe,
ahora se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete es
permitido, entonces se compara con las entradas de la tabla de enrutamiento para
determinar la interfaz destino. A continuación, el router verifica si la interfaz destino
tiene una ACL. Si no la tiene, el paquete puede ser enviado directamente a la interfaz
destino.

Las sentencias de la ACL operan
en orden secuencial lógico. Si se
cumple una condición, el paquete
se permite o deniega, y el resto de
las sentencias de la ACL no se
verifican. Si las sentencias de la
ACL no se verifican, se impone
de
una
"denegar
Esto
significa que, aunque la sentencia
"denegar cualquiera" no se vea
explícitamente en la última línea
de una ACL, está allí.

cualquiera".

sentencia

implícita


4. Configuración de las ACLs

Requieren dos pasos básicos. El primer paso es crear una definición de ACL, y el
segundo es aplicar la ACL a una interfaz. Las ACL se asignan a una o más interfaces y
pueden filtrar el tráfico entrante o saliente, según la configuración. Sólo se permite una
ACL por interfaz. Las ACL salientes son generalmente más eficientes que las entrantes,
y por lo tanto siempre se prefieren. Un router con una ACL entrante debe verificar cada
paquete para ver si cumple con la condición de la ACL antes de conmutar el paquete a
una interfaz saliente.

PASO 1: Definir las sentencias que formarán la ACL. Cada una de ellas se define con
la siguiente sentencia

RRoouutteerr ((ccoonnffiigg))## aaccess-list numero-lista-acceso {permit | deny} {condiciones}

PASO 2: Aplicar dicha ACL sobre los interfaces en el sentido deseado con

RRoouutteerr ((ccoonnffiigg--iiff))## {{pprroottooccooll}} aaccess-group numero-lista-acceso {in/out}

5

PRÁCTICA 4. CONFIGURACIÓN DE ROUTERS: Listas de Control de Acceso (ACLs)

• Las ACL se crean utilizando el modo de configuración global.

• Al configurar las ACL en un router, se debe identificar cada ACL de forma
exclusiva, asignando un número a la ACL del protocolo. Cuando se usa un
número para identificar una ACL, el número debe estar dentro del intervalo
específico de números que es válido para el protocolo.



• Se deben seleccionar y ordenar lógicamente las sentencias que forman la ACL
de forma muy cuidadosa. Cada una de estas sentencias debe hacer referencia al
mismo nombre o número identificatorio, para relacionar las sentencias a la
misma ACL. Se puede establecer cualquier cantidad de sentencias de condición,
pero cuanto más sentencias se establezcan, mayor será la dificultad para
comprender y administrarla ACL.

• Después de crear una ACL numerada, debe asignarla a una interfaz para poderla
usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas,
necesita eliminar todas las sentencias en la ACL numerada mediante el comando
no access-list numero-lista-acceso.


5. Mascara de Wildcard


Una máscara wildcard es una cantidad de 32 bits que se divide en cuatro octetos, en la
que cada octeto contiene 8 bits. Un bit de máscara wildcard de 0 significa "verificar el
valor de bit correspondiente" y un bit 1 de una máscara wildcard significa "no
verificar (ignorar) el valor de bit correspondiente". Una máscara wildcard se
compara con una dirección IP. Los números uno y cero se usan para identificar cómo
tratar los bits de la dirección IP correspondientes. Las ACL usan máscaras wildcard para
identificar una sola o múltiples direcciones para las pruebas de aprobar o rechazar.
Aunque ambas son cantidades de 32 bits, las máscaras wildcard y las máscaras de
subred IP operan de manera diferente.

Digamos que desea verificar una dirección IP para verificar la existencia de subredes
que se pueden permitir o denegar. Supongamos que la dirección IP es una dirección
Clase B (es decir, que los primeros dos octetos son el número de red) con 8 bits de
división en subredes (el tercer octeto es para las subredes). Es necesario usar bits de
máscara wildcard IP para permitir todos los paquetes desde cualquier