ACL: ACCESS CONTROL LIST
Una ACL o lista de control de acceso es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a algo determinado (red, host, etc), dependiendo de ciertos aspectos del proceso que hace el pedido.
Las ACL permiten controlar el flujo del tráfico entre equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el ingreso o salida de información de la red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir “tráfico interesante” (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI.
La Wildcard se emplean junto con un valor IP para selecionar direcciones IP, esto es así gracias a que la wildcard indica con sus ceros y sus unos qué bits han de compararse o no. Un cero «0» indica que el bit ha de compararse y un uno «1» indica que se ignore.
Por ejemplo, suponga que empleamos la IP 192.168.1.0 junto con la máscara wildcard 0.0.0.255 para seleccionar direcciones IP. Los ceros nos están diciendo que debemos comparar los valores de los tres primeros octetos y los unos del cuarto octeto nos dicen que da igual que valor tenga dicho octeto.
-Los valores correctos son:
192.168.1.1, 192.168.1.23, 192.168.1.145
-Y los valores que no sirve serán por ejemplo:
192.168.2.145, 100.168.1.0, 192.167.1.76
Es decir, con la wildcard 0.0.0.255 todas las IP que se seleccionen deberán tener los tres primeros octetos de la forma 192.168.1, en tanto que el cuarto octeto, como queda oculto por los unos de la máscara, puede tomar cualquier valor.
- DONDE PODEMOS UTILIZAR ACL?
Las ACL permiten un control del tráfico de red, a nivel de los routers. Pueden ser parte de una solución de seguridad (junto con otros componentes, como antivirus, anti-espías, firewall, proxy, etc.).
Teniendo esto en cuenta, podemos saber que las ACL pueden usarse en entidades, privadas o publicas como por ejemplo en una universidad, un colegio, una empresa etc.
-Permiten la asignación de permisos a usuarios individuales o a grupo.
-Con las ACL la seguridad de la red aumenta y podemos denegar o permitir una red o un servidor, cualquier dispositivo.
-Busca la manera de impedir el acceso no autorizado a la red, así como la forma de permitir el acceso autorizado a la misma.
-Las ACL filtran el tráfico de red controlando si los paquetes enrutados se envían o se bloquean en las interfaces del router.
1. ACL estándar
-Sintaxis para un renglón (se escribe en el modo de configuración global):
access-list (número) (deny | permit) (ip origen) (wildcard)
Ejemplo:
-Bloquear toda la subred 172.17.3.0/24, excepto la máquina 172.17.3.10.
access-list 1 permit host 172.17.3.10
access-list 1 deny 172.17.3.0 0.0.0.255
access-list 1 permit any
-Para asignarlo a una interface:
interface F0/1
ip access-group 1 out
2. ACL extendidas
Sintaxis para cada renglón:
access-list (número) (deny | permit) (protocolo) (IP origen) (wildcard) (IP destino) (wildcard)
[(operador) (operando)]
El “protocolo” puede ser, entre otros IP (todo tráfico de tipo TCP/IP), TCP, UDP, ICMP.
El “operando” puede ser un número de puerto (por ejemplo 21), o una sigla conocida, por ejemplo, “ftp”.
-Ejemplo 1: Repetir el ejemplo de la ACL estándar, pero se especifica que se quiere permitir o denegar el tráfico con destino al servidor, que está en 172.16.0.1:
access-list 101 permit ip host 172.17.3.10 host 172.16.0.1
access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1
access-list 101 permit ip any any
-Ejemplo 2: Permitir tráfico HTTP y “ping” (ICMP) al servidor 172.16.0.1, para todos. Denegar todo lo demás.
access-list 102 permit icmp any host 172.16.0.1
access-list 102 permit tcp any host 172.16.0.1 EQ WWW
- COMANDOS DE VERIFICACION.
-show ip interface (muestra asignaciones de ACL)
-show access-lists (muestra el contenido de las ACL)
-debug ip packet 101 [detail] (permite analizar cómo se aplican las ACL)