EJEMPLOS DE LISTAS DE ACCESO

Se acerca la prueba y no tienes idea de que son las listas de acceso? A travs de esta gua rpida de ejercicios podrs entender que son las ACL estndar y extendidas, sin mucha teora, ms bien directo a lo que nos interesa, lo prctico. Las Listas de Control de Acceso son listas secuenciales de sentencias que permiten o deniegan direcciones o protocolos como TCP, UDP, ICMP, etc.; permitiendo controlar el trfico que entra o sale de la red. Existen distintos tipos de ACLs, distinguindose principalmente 3 Listas Estndar Listas Extendidas Listas Nombradas

Para entender cmo funcionan, vamos a imaginar que las ACL poseen 3 partes. CUERPO, EXCLUSIONES Y APLICACION. CUERPO: Es la parte importante. La que nos interesa que nuestra lista realice. EXCLUSIONES: Son las direcciones que bloqueamos o permitimos sin intencin, por lo que tenemos que permitirlas o denegarlas nuevamente, segn corresponda al objetivo de nuestra ACL. Las exclusiones siempre van en la parte superior de nuestra ACL pues el router las lee de arriba hacia abajo, y a la primera coincidencia, acta. APLICACION: Es la sentencia con la que aplicamos la ACL al router MASCARA WILDCARD La wildcard, aunque se parece a la mscara de subred, funciona de forma inversa y se usa para determinar los host a los que someteremos al anlisis de nuestra ACL. Por ejemplo, para la red 192.168.10.0 determinemos la wildcard DECIMAL BINARIO RED MASCARA WILDCARD 192 . 168 . 10 . 0 255 . 255 . 255 . 0 0 . 0 . 0 . 255 11000000 . 10101000 . 00001010 . 00000000 11111111 . 11111111 . 11111111 . 00000000 00000000 . 00000000 . 00000000 . 11111111

LISTAS DE ACCESO

Pgina 1

El (0) significa "tomar en cuenta", mientras que el (1) significa "ignorar", por lo tanto podramos leer nuestra wildcard como "analiza que coincidan los primeros 24 bits, pero no me importa lo que pase con los ltimos 8" La wildcard, para usos prcticos, resulta de restar octeto por octeto la mscara de subred de 255, en otras palabras WILDCARD = 255 MASCARA Por ejemplo para una mscara 255.255.255.252 la mscara wildcard es 0.0.0.3 255.255.255.255 255.255.255.252 0. 0. 0. 3

Una wilcard 0.0.0.0 revisa un host especfico y se suele sustituir por la palabra HOST en vez de los nmeros. Una wildcard 255.255.255.255 revisa toda la red y se puede sustituir por la palabra ANY Las siguientes wildcards nos sern tiles ms adelante 1 - 3 - 7 - 15 - 31 - 63 - 127 255 Las siguientes tablas nos sern de utilidad ms adelante tabla1

LISTAS DE ACCESO

Pgina 2

tabla2

tabla 3

LISTAS DE ACCESO ESTANDAR Una ACL estndar es una lista simple que puede controlar el acceso de host, subredes o redes. Acta solo sobre IP y tiene el siguiente formato: ACCESS-LIST [1-99] [permit/deny] [IP ADDRESS] [WILDCARD]

LISTAS DE ACCESO

Pgina 3

EJEMPLO DE APLICACION: Permitir el acceso a los host 2 al 10 de la red 192.168.1.0 EXCLUSION: access-list 1 deny 192.168.1.11 0.0.0.0 CUERPO: access-list 1 permit 192.168.1.2 0.0.0.1 access-list 1 permit 192.168.1.4 0.0.0.3 access-list 1 permit 192.168.1.8 0.0.0.3 APLICACION: ip access-group 1 [in/out] De acuerdo a nuestra tabla 2, tendramos que permitir desde 192.168.1.2 con una wildcard 0.0.0.1 pues 2 en binario tiene 1 solo cero final. Esta wildcard quiere decir que permite 1 host ms sin contar el propio 192.168.1.2, as que nos dejara en 192.168.1.4 que tiene 2 ceros finales, por lo que podemos usar una wilcard 0.0.0.0 de acuerdo a nuestra tabla 2. Esta ltima wilcard permite 3 host ms aparte del propio 192.168.1.4, es decir nos dejara en el 192.168.1.8. El 8 binario termina en 3 ceros, por lo que disponemos como mximo de una wilcard 7, pero para nuestro caso solo necesitamos bloquear 2 host ms aparte del 192.168.1.8. Como las wildcard son fijas (1, 3, 7, 15, etc.) tenemos que tomar la wildcard 3, que nos permitira 3 host sin contar el 192.168.1.8 y los que nos dejara en el host 192.168.1.11 que tenemos que denegar posteriormente, fuera del cuerpo, es decir como exclusin, pues no nos interesa permitir en nuestra ACL EJEMPLO 1: Permitir solo los host 36 al 48 de la red 192.168.1.0/24 Desarrollo access-list 16 permit 192.168.1.36 0.0.0.3 access-list 16 permit 192.168.1.40 0.0.0.7 access-list 16 permit 192.168.1.48 0.0.0.0 Explicacin: De acuerdo a la tabla 2, el nmero 36 en binario termina en 2 ceros, por lo que podemos usar una wildcard 0.0.0.3, que permitira 3 host (37,38,39) ms aparte del 192.168.1.36 dejndonos en el host 192.168.1.40.

LISTAS DE ACCESO

Pgina 4

El 40 en binario tiene 3 ceros finales, por lo que podemos usar una wildcard 0.0.0.7, con la que permitiramos 7 host aparte del 40 (1, 2, 3, 4, 5, 6, 7) dejndonos en el host 192.168.1.40 que permitimos con una wildcard 0.0.0.0 Luego aplicamos la ACL en el destino en la interface que sea necesario con la siguiente sintaxis: ip access-group 16 [in /out]

EJEMPLO 2: Denegar el acceso desde los host49 al 70 de la red 172.16.0.0/24 Subred 49 access-list 36 permit host 172.16.49.48 access-list 36 permit host 172.16.49.71 access-list 36 deny 172.16.49.48 0.0.0.15 access-list 36 deny 172.16.49.64 0.0.0.7 access-list 36 permit any EJEMPLO 3: Permitir a las subredes 77 a 99 de la red 180.10.0.0/23 Desarrollo Subred 77 : 180.10.154.0 Subred 99 : 180.10.198.0 access-list deny 180.10.152.0 0.0.1.255 access-list permit 180.10.152.0 0.0.7.255 access-list permit 180.10.160.0 0.0.31.255 access-list permit 180.10.192.0 0.0.7.255

LISTAS DE ACCESO

Pgina 5