ACL (Access Control Lists, Listas de Control de Acceso)

http://www.youtube.com/watch?v=B2Otbr9bDRY

Usando ACLs, podemos obtener estadsticas de los paquetes que pasan por un router e implementar polticas de seguridad. Por ejemplo: permitir o denegar telnet, permitir o denegar acceso a un router, permitir que slo algunos hosts puedan acceder a la web, evitar que ciertos hosts reciban correo, etc.

Una ACL es una condicin o lista de condiciones que se aplica a los paquetes IP. Una vez definida, se aplica a una interface del router

Otra aplicacin de ACL (que se conoce como distribute list) es filtrar qu redes se anuncian en los protocolos de enrutamiento dinmico (RIP, OSPF, ...). En este caso se aplican al prococolo y no a la interface.

Las ACL se puede aplicar en sentido inbound (de internet hacia la red interna) o bien en sentido outbound (de la red interna hacia internet) y en cualquier interface.

Cmo funciona una ACL?

El router analiza cada uno de los paquetes que atraviesan una interface donde se ha aplicado la ACL y en el sentido especificado (inbound/outbound)

- Se compara el paquete con la condicin de la primera lnea de la ACL

- Se compara el paquete con la condicin de la segunda lnea de la ACL

- Se sigue comparando el paquete hasta que se encuentra una lnea de la ACL donde el paquete cumple la condicin. Entonces se procesa el paquete de acuerdo con lo que dice la lnea y NO SE SIGUEN MIRANDO MS LNEAS DE LA ACL.

- Hay un "deny" implcito al final de cada ACL, es decir, si el paquete no cumple ninguna de las condiciones de la lista, se descarta

Inbound access lists: Se aplican al trfico que entra por una interface ANTES de tomar ninguna otra decisin. Si se descartan paquetes, stos ya no se procesan

Outbound ACL: Los paquetes se mueven a la interfaz de salida, pero se les aplica la ACL antes de ser enrutados. Si no pasan la ACL, no se enrutan

Hay 2 tipos de ACL:

Standard access lists: usan la direccin IP origen en un paquete como condicin de test. Todas las decisiones de procesado del paquete se basan en la direccin IP origen. Por tanto, sirven (simplificando) para permitir o denegar trfico de muchos protocolos (www, telnet, udp, ...), ya que no distinguen entre protocolos.

Extended access lists: permiten evaluar campos en los paquetes de capa 3 o capa 4: direccin IP origen y destino, tipo de protocolo, nmero de puerto. Como resultado, permiten filtrar con ms precisin.

Named access lists: son ACL standard o extended,

[falta aqui puertos TCP y paquete TCP e IP]

COSAS QUE HAY QUE SABER:

En cada interface & protocolo & direccin slo se puede aplicar una access list. Por ejemplo: en la interface f0/1 direccin outbound, protocolo www (puerto 80), slo puede haber una ACL. Por qu? Porque si ponemos ms de una ACL y en la primera los paquetes resultan descartados, ya no hay ms paquetes para procesar.

Como en el momento en que un paquete cumple una condicin ya se enruta (hacia dentro o hacia fuera) y no se compara con ms condiciones, las condiciones ms restrictivas tienen que estar al principio de la ACL

Si aadimos lneas a la ACL van por defecto al final --> MAL --> Hay que copiar toda la ACL en un editor de texto, editarla, borrar la ACL original y volverla a crear a partir del fichero de texto

Tampoco se puede quitar una lnea de una ACL (si lo haces borras toda la ACL) --> Copiarla en un editor, borrar la lnea, borrar la ACL y crearla de nuevo a partir del editor de texto

Cada ACL debera acabar con una instruccinpermit any o bien permit xxxo bien cualquier trfico que no cumpla ninguna condicin ser rechazado

Las ACL filtran trfico EXTERNO (originado fuera) al router, no trfico generado DENTRO del router (si nos conectamos por telnet al router y hacemos ping a otro router, a este trfico no se le aplican las ACL !)

Las ACL estndard filtran en base a la direccin IP de origen del paquete. Por tanto, hay que aplicarlas lo ms cerca posible del destino final del paquete. Si las aplicamos cerca del origen, es posible que no enviemos ningn paquete !

Las ACL extendidas hay que aplicarlas lo ms cerca posible del origen del paquete IP. Estas ACL son muy especficas, as que no vale la pena enviar trfico al otro extremo del universo para que este trfico finalmente sea bloqueado, mejor bloquearlo en origen (y ahorrar ancho de banda)

ACL ESTNDARD

Las ACL estndard filtran el trfico IP examinando la direccin IP origen de un paquete.

Se crean ACL estndard usando el nmero de access-list 1-99 o 1300-1999 (rango expandido)

Vamos a crear una ACL estndard con nmero 10 (el nmero de la ACL le indica al router el tipo de ACL que estamos creando): (1 a 99 y 1300 a 1999 ACL estndard)

Ahora hemos de decidir si queremos permitir (permit) o prohibir (deny) paquetes IP:

The next step requires a more detailed explanation. There are three options available. You can use the any parameter to permit or deny any host or network; you can use an IP address to specify either a single host or a range of them; or you can use the host command to specify a specific host only. The any command is pretty obviousany source address matches the state- ment, so every packet compared against this line will match. The host command is relatively simple. Heres an example using it:

Cualquier IP que cumpla las condiciones ser bloqueada. El parmetro [host] es el parmetro por defecto (default)

En el ejemplo, el host con IP 172.16.30.2 ser bloqueado

Para especificar un rango de hosts necesitamos usar mscaras wildcard.

MSCARAS WILDCARD

Las mscaras wildcard se usan en access lists para especificar un nico host, un rango de hosts, una red o un rango de redes.

Para especificar un nico host:

172.16.30.5 --> wildcard: 0.0.0.0

Un cero en la wildcard indica que cada uno de los bytes de la direccin debe coincidir exactamente. Al revs, un 255 en la wildcard indica que el byte en la direccin puede tener cualquier valor.

Por ejemplo:

172.16.30.0 0.0.0.255 indica toda la subred 172.16.30.0/24

Supongamos que queremos bloquear acceso a las IP en el rango 172.16.8.0 a 172.16.15.0es decir, 8 direcciones

Entonces la wildcard sera:

172.16.8.0 0.0.7.255

El router empieza en 172.16.8.0 y bloquea 8 direcciones hacia arriba.

The following example tells the router to match the first three octets exactly but that the fourth octet can be anything:Lab_A(config)#access-list 10 deny 172.16.10.0 0.0.0.255

The next example tells the router to match the first two octets and that the last two octets can be any value:Lab_A(config)#access-list 10 deny 172.16.0.0 0.0.255.255

Try to figure out this next line:Lab_A(config)#access-list 10 deny 172.16.16.0 0.0.3.255

The above configuration tells the router to start at network 172.16.16.0 and use a block size of 4. The range would then be 172.16.16.0 through 172.16.19.0.

The example below shows an access list starting at 172.16.16.0 and going up a block size of 8 to 172.16.23.0:Lab_A(config)#access-list 10 deny 172.16.16.0 0.0.7.255

The next example starts at network 172.16.32.0 and goes up a block size of 16 to 172.16.47.0:Lab_A(config)#access-list 10 deny 172.16.32.0 0.0.15.255

The next example starts at network 172.16.64.0 and goes up a block size of 64 to 172.16.127.0:Lab_A(config)#access-list 10 deny 172.16.64.0 0.0.63.255

The last example starts at network 192.168.160.0 and goes up a block size of 32 to192.168.191.255:Lab_A(config)#access-list 10 deny 192.168.160.0 0.0.31.255

Si usamos la opcion [any], es equivalente a la wildcard siguiente:0.0.0.0 255.255.255.255

EJEMPLO DE STANDARD ACCESS LIST:

En este ejemplo veremos cmo bloquear acceso a la LAN de Finanzas a hosts especficos

En la figura siguiente, el router tiene 3 conexiones LAN y una conexin WAN hacia internet:

Los PC de Sales no deben acceder a Finance pero s a internet y MarketingLos PC de Marketing deben acceder a Finance y a a internet

Para que Sales no pueda acceder a Finance haremos:

Router# conf tRouter(config)# access list 10 deny 172.160.40.0 0.0.0.255Router(config)# access list 10 permit any( la ltima lnea es igual a: # access list 10 permit 0.0.0.0 255.255.255.255 )

Ahora hemos de aplicar la access list a una interface y a una direccin especfica (inbound o outbound):

Si la aplicramos a E0 como inbound, eliminamos TODO el trfico !!

La aplicamos a E1 como outbound:

Router(config)# int E1Router(config-if)# ip access-group 10 out ( 10 es el nmero de ACL )

Ejemplo 2:

Se trata de impedir que los usuarios de Accounting usen el servidor Human Resources Server, pero que todos los dems puedan hacerlo

Qu ACL debemos crear y dnde debemos ponerla?

Usando ACL extended es ms fcil, pero con ACL estndard debemos ponerla en la interface E0 del router LabB

Ejemplo 3: Queremos una ACL que evite que cada una de las 4 redes acceda a internet (interfaz S0)