EJEMPLOS DE LISTAS DE ACCESO ¿Se acerca la prueba y no tienes idea de que son las listas de acceso?
A través de esta guía rápida de ejercicios podrás entender que son las ACL estándar y extendidas, sin mucha teoría, más bien directo a lo que nos interesa, lo práctico. Las Listas de Control de Acceso son listas secuenciales de sentencias que permiten o deniegan direcciones o protocolos como TCP, UDP, ICMP, etc.; permitiendo controlar el tráfico que entra o sale de la red. Existen distintos tipos de ACLs, distinguiéndose principalmente 3
Listas Estándar
Listas Extendidas
Listas Nombradas
Para entender cómo funcionan, vamos a imaginar que las ACL poseen 3 partes. CUERPO, EXCLUSIONES Y APLICACION. CUERPO: Es la parte importante. La que nos interesa que nuestra lista realice. EXCLUSIONES: Son las direcciones que bloqueamos o permitimos sin intención, por lo que
tenemos que permitirlas o denegarlas nuevamente, según corresponda al objetivo de nuestra ACL. Las exclusiones siempre van en la parte superior de nuestra ACL pues el router las lee de arriba hacia abajo, y a la primera coincidencia, actúa. APLICACION : Es la sentencia con la que aplicamos la ACL al router MASCARA WILDCARD
La wildcard, aunque se parece a la máscara de subred, funciona de forma inversa y se usa para determinar los host a los que someteremos al análisis de nuestra ACL. Por ejemplo, para la red 192.168.10.0 determinemos la wildcard DECIMAL BINARIO
RED
192 . 168 . 10 . 0
11000000 . 10101000 . 00001010 . 00000000
MASCARA
255 . 255 . 255 . 0
11111111 . 11111111 . 11111111 . 00000000
WILDCARD
0 . 0 . 0 . 255
00000000 . 00000000 . 00000000 . 11111111
LISTAS DE ACCESO
Página 1
El (0) significa "tomar en cuenta", mientras que el (1) significa "ignorar", por lo tanto podríamos leer nuestra wildcard como "analiza que coincidan los primeros 24 bits, pero no me importa lo que pase con los últimos 8" La wildcard, para usos prácticos, resulta de restar octeto por octeto la máscara de subred de 255, en otras palabras WILDCARD = 255 – MASCARA Por ejemplo para una máscara 255.255.255.252 la m áscara wildcard es 0.0.0.3 255.255.255.255 255.255.255.252 0.
0.
0. 3
Una wilcard 0.0.0.0 revisa un host específico y se suele sustituir por la palabra HOST en vez de los números. Una wildcard 255.255.255.255 revisa toda la re d y se puede sustituir por la palabra ANY Las siguientes wildcards nos serán útiles más adelante 1 - 3 - 7 - 15 - 31 - 63 - 127 – 255 Las siguientes tablas nos serán de utilidad más adelante tabla1
LISTAS DE ACCESO
Página 2
tabla2
tabla 3
LISTAS DE ACCESO ESTANDAR
Una ACL estándar es una lista simple que puede controlar el acceso de host, subredes o redes. Actúa solo sobre IP y tiene el siguiente formato: ACCESS-LIST [1-99] [permit/deny] [IP ADDRESS] [WILDCARD]
LISTAS DE ACCESO
Página 3
EJEMPLO DE APLICACION:
Permitir el acceso a los host 2 al 10 de la red 192.168.1.0 EXCLUSION: access-list
1 deny 192.168.1.11 0.0.0.0
CUERPO:
access-list 1 permit 192.168.1.2 0.0.0.1 access-list 1 permit 192.168.1.4 0.0.0.3 access-list 1 permit 192.168.1.8 0.0.0.3 APLICACION: ip
access-group 1 [in/out]
De acuerdo a nuestra tabla 2, tendríamos que permitir desde 192.168.1.2 con una wildcard 0.0.0.1 pues 2 en binario tiene 1 solo cero final. Esta wildcard quiere decir que permite 1 host más sin contar el propio 192.168.1.2, así que nos dejaría en 192.168.1.4 que tiene 2 ceros finales, por lo que podemos usar una wilcard 0.0.0.0 de acuerdo a nuestra tabla 2. Esta última wilcard permite 3 host más aparte del propio 192.168.1.4, es decir nos dejaría en el 192.168.1.8. El 8 binario termina en 3 ceros, por lo que disponemos como máximo de una wilcard 7, pero para nuestro caso solo necesitamos bloquear 2 host más aparte del 19 2.168.1.8. Como las wildcard son fijas (1, 3, 7, 15, etc.) tenemos que tomar la wildcard 3, que nos permitiría 3 host sin contar el 192.168.1.8 y los que nos dejaría en el host 192.168.1.11 que tenemos que denegar posteriormente, fuera del cuerpo, es decir como exclusión, pues no nos interesa permitir en nuestra ACL EJEMPLO 1:
Permitir solo los host 36 al 48 de la red 192.168.1.0/24 Desarrollo
access-list 16 permit 192.168.1.36 0.0.0.3 access-list 16 permit 192.168.1.40 0.0.0.7 access-list 16 permit 192.168.1.48 0.0.0.0 Explicación:
De acuerdo a la tabla 2, el número 36 en binario termina en 2 ceros, por lo que podemos usar una wildcard 0.0.0.3, que permitiría 3 host (37,38,39) más aparte del 192.168.1.36 dejándonos en el host 192.168.1.40.
LISTAS DE ACCESO
Página 4
El 40 en binario tiene 3 ceros finales, por lo que podemos usar una wildcard 0.0.0.7, con la que permitiríamos 7 host aparte del 40 (1, 2, 3, 4, 5, 6, 7) dejándonos en el host 192.168.1.40 que permitimos con una wildcard 0.0.0.0 Luego aplicamos la ACL en el destino en la interface que sea necesario con la siguiente sintaxis:
ip access-group 16 [in /out]
EJEMPLO 2:
Denegar el acceso desde los host49 al 70 de la red 172.16.0.0/24 Subred 49 access-list 36 permit host 172.16.49.48 access-list 36 permit host 172.16.49.71 access-list 36 deny 172.16.49.48 0.0.0.15 access-list 36 deny 172.16.49.64 0.0.0.7 access-list 36 permit any EJEMPLO 3:
Permitir a las subredes 77 a 99 de la red 180.10.0.0/23 Desarrollo
Subred 77 : 180.10.154.0 Subred 99 : 180.10.198.0 access-list deny 180.10.152.0 0.0.1.255 access-list permit 180.10.152.0 0.0.7.255 access-list permit 180.10.160.0 0.0.31.255 access-list permit 180.10.192.0 0.0.7.255
LISTAS DE ACCESO
Página 5