En este tema de las ACLs (Access Control List, Listas de Control de Acceso) sí que me metí bastante, me pareció muy entretenido, uno de los temas prácticos de la materia de Redes II.
Irónicamente pasar a defender esta tarea sí me hubiera gustado, estaba bien preparado y había leído y prácticado bastante.
No obstante al finalizar la exposición de los compañeros representantes en la defensa de este tema, como es costumbre del Ing. Gonzales nos pide realizar preguntas a los expositores, en este caso me lo pidió a mi, no me quedó otra que hacer una pregunta sobre lo que no habían hablado (Máscaras de Wildcard) y que me parecía importante; los pobres compañeros no pudieron responderme y el Docente al ver eso me devolvió la misma pregunta a mi aunque cambiándola un poco, diciéndome: "Usted tiene aquí una buena respuesta, ¿Cuál es la diferencia entre una Máscara de Wildcard y una Máscara de Red?"; ¡ah no pués! yo ahí me "desplayé enteringo", le dije todo lo que sabía y al parecer quedó conforme ya que al devolverme mi trabajo saqué un 8+, lo que equivale a un (9/10).
Aquí les dejo el resúmen que presenté, la única vez que rompí la regla de no presentar más de una hoja (yo presenté dos); y es que este tema dá para mucho. Creo que más adelante agregaré más contenido a esta entrada con más ejemplos, más teoría, conclusiones y mucho más. Estén atentos a las actualizaciones.
1.- Conceptos Básicos.
- Los routers proporcionan capacidades básicas de filtrado de tráfico, como bloqueo del tráfico de Internet, con Listas de Control de Acceso (ACL). Una ACL es una colección secuencial de sentencias de permiso o rechazo que se aplican a direcciones o protocolos de capa superior. Existen ACL estándar y extendidas.
- Una ACL es una lista de una o más instrucciones.
- Se asigna una lista a una o más interfaces.
- Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: el origen del tráfico, el destino del tráfico, el protocolo usado.
- El router analiza cada paquete, comparándolo con la ACL correspondiente.
Figura 1.- Lugar de aplicación de las ACLs en los routers.
- El router compara la ACL línea por línea. Si encuentra una coincidencia, toma la acción correspondiente (aceptar o rechazar), y ya no revisa los restantes reglones.
- Es por eso que hay que listar los comandos desde los casos más específicos, hasta los más generales. ¡Las excepciones tienen que estar antes de la regla general!.
- Si no encuentra una coincidencia en ninguno de los reglones, rechaza automáticamente el tráfico. Consideren que hay un "deny any" implícito, al final de cada ACL.
- Cualquier línea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas para editar allí.
- Las ACL estándar (1-99) sólo permiten controlar en base a la dirección de origen.
- Las ACL extendidas (100-199) permiten controlar el tráfico en base a la dirección de origen, la dirección de destino y el protocolo utilizado.
- También podemos usar ACL nombradas en vez de usar un rango de números. El darles un nombre facilita entender la configuración (y por lo tanto, también facilita hacer correcciones).
- Si consideramos sólo el tráfico de tipo TCP/IP, para cada interface puede haber sólo una ACL para tráfico entrante, y una ACL para tráfico saliente.
2.- Máscara de Wildcard.
Las listas de acceso estándar y extendidas utilizan una máscara de WILDCARD. Al igual que una dirección IP, una máscara de wildcard es una cantidad de 32 bits escrita en un formato decimal con puntos.
La máscara wildcard le indica al Router qué bits de la dirección usar en las comparaciones. Los bits de direcciones correspondientes a los bits de máscara wildcard establecidas en 1 se ignoran en las comparaciones, mientras que los bits de direcciones de máscara wildcard establecidos en 0 se usan en las comparaciones.
3.- ACL estándar.
- Las listas de acceso estándar permiten o prohiben paquetes en base a la dirección IP de origen del paquete.
- Sintaxis para cada reglón:
access-list(número) (deny|permit) (ip origen) (wildcard origen)
4.- ACL extendidas.
- Las listas de acceso extendidas ofrencen mayor control que las listas de acceso estándar, debido a que permiten habilitar filtrado en base a las direcciones de origen y destino, así como también el protocolo y el puerto.
- Sintaxis para cada regla:
access-list (número) (deny-permit) (protocolo) (IP origen) (wildcard origen)
(IP destino) (wilcard destino) [(operador) (operando)]
- El "protocolo" puede ser (entre otros) IP (todo tráfico de tipo TCP/IP), TCP, UDP, ICMP.
- El operando puede ser un número de puerto (por ejemplo 21), o una sigla conocida, por ejemplo, "ftp".
Ejemplo 1.- Descartar todo el tráfico con origen A cuyo destino sea Internet.
Figura 2.- Aplicación de una ACL stándar en una interfaz.
Router# Configure Terminal
Router(config)# ACcess-list 1 DEny 20.0.1.1. 0.0.0.0
Router(config)# ACcess-list 1 Permit Any
Router(config)# Interface S0
Router(config-if)# IP ACcess-group 1 out
Efecto: Descarta paquetes con IP origen 20.0.0.1 que salgan por S0. Permite todo lo demás.
Ejemplo 2.- Descartar en S0 todo el tráfico con origen/destino A. A debe poder comunicarse libremente con C y D.
Figura 3.- Aplicación de dos ACLs extendidas en una interfaz.
Router# CONFigure Terminal
Router(config)# ACcess-list 100 DEny IP 20.0.0.1 0.0.0.0 Any
Router(config)# ACcess-list 100 Permit IP Any Any
Router(config)# ACess-list 101 DEny IP Any 20.0.1.1 0.0.0.0
Router(config)# ACess-list 101 Permit IP Any Any
Router(config)# Interface S0
Router(config-if)# ACcess-group 100 out
Router(config-if)# ACcess-group 101 In
Efecto: Descarta paquetes con IP origen 20.0.1.1 que salgan por S0 y paquetes con IP destino 20.0.1.1 que entren por S0. Permite todo lo demás.
Ejemplo 3.- ACL que no permite que el tráfico de Telnet (el servicio Telnet emplea el puerto TCP 23) desde 172.16.4.0 se envíe desde la interfáz E0. Se permite todo el tráfico desde cualquier otro origen a cualquier otro destino.
Figura 4.- Aplicación de una ACL extendida en una interfaz.
Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
Router(config)# access-list 101 permit ip any any
(access-list 101 deny any está implícito)
Router(config)# interface E0/0
Router(config-if)# access-group 101 out
Hola Cero Cool, interesante tu blog, buenos temas para estudiantes de Ingenieria... muy bien!
ResponderEliminarDesde Bogotá, Colombia un saludo...
Hola JorG AZUL, gracias por la visita y por tu comentario. La verdad que me está costando mucho subir mis trabajos e investigaciones de la "U" a mi Blog pero le estoy poniendo muchas ganas y empeño. Saludos!!!
ResponderEliminarHola.Tu blog me parece muy interesante por quien tenga interes en la informática.Espero que no te moleste que lo haya enlazado en las "paginas interesantes" de mi página.
ResponderEliminarUn saludo.
Hola sagitaire17, por supuesto que no me molesta que me hayas enlazado a tu página, más bien gracias por hacerlo y espero seguir contando con tu visita.
ResponderEliminarSaludos desde Santa Cruz - Bolivia.
saludos te escribo desde Guate, estoy preprando examen de certificacion ccna, sabes si el libro de cisco esta en español en algun lugar para descargar como pdf
ResponderEliminarmmm... en Google pues viejo, aunque no sé si encuentres las últimas versiones. Saludos y suerte.
ResponderEliminarHola Solo queria decirte q tu blog me esta ayudando mucho con la materia de redes 2 con el ing gonzales esta super tu informacion.
ResponderEliminargracias
Genial, esa era la idea. Compartir información que cuesta encontrar por Internet, al menos a mi en su momento me costó mucho. Espero seguir contando con tu visita y a ver si los de la Gabriel se animan a participar más activamente.
ResponderEliminarSalu2.