Listas de acceso

Solo disponible en BuenasTareas
  • Páginas : 7 (1749 palabras )
  • Descarga(s) : 31
  • Publicado : 19 de agosto de 2010
Leer documento completo
Vista previa del texto
Lab 6: ACLs (Access Lists) con IOS José Mª Barceló Ordinas

1. ACLs (Access Lists)
Las listas de acceso (ACL) se usan para el filtrado de paquetes en función de ciertos parámetros como pueden ser las direcciones de red origen o destino, los puertos origen o destino, el tipo de protocolo (ip, icmp, tcp, udp, etc). Una de las aplicaciones donde se usan más las listas de acceso es en la seguridadde la red. Con las ACLs se puede bloquear el tráfico no deseado en una interfaz ya sea de salida o de entrada. Sin embargo notad que las ACLs no solo se usan en temas de seguridad, sino que también se usan para filtrar en general paquetes en aplicaciones tan variadas como pueden ser NAT (Network Address Translation), en BGP para filtrar rutas al crear políticas de encaminamiento, etc. ExistenACLs para distintas pilas de protocolos: TCP/IP, IPX/SPX, Apple, etc. En este laboratorio nos centraremos en las ACLs aplicadas a seguridad en la red para la pila de protocolos TCP/IP. La diferencia con las otras pilas de protocolos está en el rango de ACLs que se pueden generar. Por ejemplo las ACLs entre la 1 y la 199 se usan en TCP/IP, mientras que las comprendidas entre la 800 y la 999 se usanpara IPX/SPX, otros rangos se usan para DECnet (300-399), XNS (400-599), AppleTalk (600-699), etc. Cuando creamos una lista de acceso y la aplicamos a una interfaz de entrada o de salida, estamos creando una secuencia de instrucciones que son chequeadas cada vez que un paquete entra o sale por esa interfaz. Es importante notar varias características de las ACLs. Primero, que una ACL se aplica a lainterfaz ya sea de entrada o de salida. Se pueden crear una ACL para la interfaz de salida y otra distinta para esa interfaz de entrada. Lo segundo, las ACLs son secuencias de instrucciones que son chequeadas contra el paquete. El orden de las instrucciones es importante, ya que cuando una línea de la secuencia da cierta en el chequeo, se toma una acción y se sale de la ACL, es decir no se continuachequeando para comprobar que haya otra línea de la secuencia que también resulta cierta. Por consiguiente es muy importante diseñar la ACL en la secuencia que nos interese más. Por ejemplo no es lo mismo estas dos líneas de un ACL: o o Si el paquete es icmp recházalo Si el paquete es ip acéptalo

que la secuencia: o o Si el paquete es ip acéptalo Si el paquete es icmp recházalo

Suponed quellegara un paquete ICMP. En el primer caso el paquete se rechazaría ya que la primera línea se cumple, el paquete es ICMP. En el segundo caso el paquete ICMP se aceptaría ya que la primera línea también se cumple, con lo cual ya no se comprobaría la segunda. Otro aspecto importante es que no podemos insertar líneas en la secuencia. Si nos equivocamos al crearla o queremos insertar una línea a ahay que borrar TODA la ACL y volverla a crear. Finalmente, también MUY IMPORTANTE, la última línea de una lista de acceso NUNCA aparece, es decir existe de forma explicita y siempre es DENIEGO TODO. Dentro de las listas de acceso TCP/IP hay dos tipos de ACLs o o Listas de acceso IP estándar (1-99) Listas de acceso IP extendidas (100-199)

1

Lab 6: ACLs (Access Lists) con IOS José Mª BarcelóOrdinas

1.1. Wildcard mask
La wildcard mask es una mascara de 32 bits que indica que bits de la dirección IP se tienen que comprobar y cuales no. Si los bits de la máscara están a 0 entonces se comprueban, si están a 1 entonces no se comprueban. Por ejemplo si queremos que un paquete que entra se compruebe si pertenece al host con dirección IP 145.34.5.6, queremos que se comprueben todos losbits de la dirección IP. Eso significa que la wildcard mask sería 0.0.0.0. En este caso se suele sustituir la tupla @IP WildcardMask por host @IP. Por ejemplo la tupla 145.34.5.6 0.0.0.0 se puede expresar como host 145.34.5.6. Sino quisiéramos que no se comprobasen ninguno pondríamos una wildcard mask de 255.255.255.255. en este caso se suele sustituir la tupla @IP WildcardMask por any. Por ejemplo...
tracking img