Listas de Control de Acceso Estándar
INTODUCCION:
Redes, Tecnologia y Cultura Libre…
CATEGORÍA: LISTAS DE CONTROL DE ACCESO EN ROUTER CISCO
Listas de Control de Acceso en Router Cisco
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir “tráfico interesante” (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN.
WILCARD
- “Wildcard” significa “comodín”, como el joker en el juego de naipes.
- Tanto en la dirección de origen, como (en el caso de las ACL extendidas) en la dirección de destino, se especifican las direcciones como dos grupos de números: un número IP, y una máscara wildcard.
- Si se traduce a binario, los “1” en la máscara wildcard significan que en la dirección IP correspondiente puede ir cualquier valor.
- Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de subred, cambiando los “0” por “1” y los “1” por “0” (en binario).
- Sin embargo, las máscaras wildcard también permiten más; por ejemplo, se pueden denegar todas las máquinas con números IP impares, o permitir el rango de IP 1-31, en varias subredes a la vez.
ACL:
En redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes. Las listas de acceso de control pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.
Existen dos tipos de ACL:
- ACL estándar, donde solo tenemos que especificar una dirección de origen;
- ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.
Comandos para crear ACLS:
Crear una ACL estándar:
(config)#access-list <# lista>
Ejemplos:
(config)#access-list 1 deny 10.5.3.0 0.0.0.255
(config)#access-list 1 permit host 10.5.3.37
(config)#access-list 1 permit any
Parámetros:
Parámetros:
# Lista: Estándar de 1 a 99, extendida de 100 a 199
Acción:
Protocolo: ip | tcp | udp | icmp
comparación: gt | lt | eq
gt = greater than, lt = lesser than, eq = equal
Origen de una sola ip: host
Origen de cualquier ip: any
Origen de una red:
La wildcard será en la mayoría de los casos el inverso de la máscara
Crear una ACL extendida:
(config)#access-list <# lista> [comparación] [puerto origen] [comparación] [puerto destino]
Ejemplos:
(config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80
(config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255
(config)#access-list 105 deny 10.5.3.0 0.0.0.255 any
Origen o destino de una sola ip: host
Origen o destino de cualquier ip: any
Origen o destino de una red:
La wildcard será en la mayoría de los casos el inverso de la máscara
Aplicar la lista sobre un puerto:
Debe ingresarse primero al puerto deseado y luego aplicarla allí, ya sea entrante o saliente:
(config-if)#ip access-group <# lista>
Ejemplo:
(config)#interface seria 0/0
(config-if)#ip access-group 100 out
Para aplicarla al tráfico que va dirigido al router propiamente (telnet por ejemplo), debe hacerse sobre las terminales virtuales
(config)#line vty 0 4
(config-line)#access-class <# lista>
Ejemplo:
(config-line)#access-class 105 in
Borrar una ACL:
(config)#no access-list <# lista>
Ejemplo:
(config)#no access-list 105
1-Armado de Maqueta
2-Habilite protocolo de ruteo para que sean alcanzables todas las redes
Router3(config)#router rip
Router3(config-router)#net
Router3(config-router)#network 200.210.222.0
Router3(config-router)#network 200.210.222.132
Router3(config-router)#version 2
4-Habilite el acceso por terminal virtual VTY
5-Verifique que todas las PC pueden administrar remotamente todos los routers
login as: admin
Using keyboard-interactive authentication
Router_3>en
Router_3#
Password:
6-Aplicar listas de acceso a las interfaces para que las PC no accedan por administración remota.
access-list 10 deny 200.210.220.2
access-list 10 deny 200.210.221.2
access-list 10 deny 200.210.222.2
access-list 10 permit any
access-list 102 deny tcp 10.96.0.0 0.31.255.255 10.64.0.0 0.31.255.255 eq smtp
access-list 102 permit ip any any
7-Conteste las siguientes preguntas
*¿Funcionan los Pings entre las PC?
Si
*¿Como se podría limitar solo el acceso a la consola sin limitar todo el tráfico?
Delimitando un rango en las redes que hay que negar
8-Aplique la misma lista de control de acceso ahora a las terminales virtuales VTY
Router_3(config)#int g 0/0
Router_3(config-if)#ip access-group 10 in
Router_3(config-if)#line vty 0 4
Router_3(config-line)#access
Router_3(config-line)#access-class 10 in
Router_3(config-line)#end
9-Verifique el estatus de las terminales con el comando show lines
Router_3#show running-config
Building configuration...
Current configuration : 2121 bytes
!
! Last configuration change at 02:39:47 UTC Fri May 6 2016
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router_3
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$Kv16$DTwQKzJs1NLNX2rEz5Lok/
!
no aaa new-model
!
!
!
!
!
!
!
!
!
!
!
ip dhcp excluded-address 10.96.0.1
!
ip dhcp pool pool
network 10.96.0.0 255.224.0.0
default-router 10.96.0.1
!
!
!
ip domain name cisco.com
ip cef
ipv6 unicast-routing
ipv6 cef
multilink bundle-name authenticated
!
!
cts logging verbose
!
!
license udi pid CISCO2901/K9 sn FJC1853A09U
!
!
username admin secret 5 $1$zRxs$XfZtH3OK0NtZXoggtZWy4/
!
redundancy
!
!
ip ssh version 2
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 10.96.0.1 255.224.0.0
ip access-group 102 in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 200.210.222.1 255.255.255.128
ip access-group 10 in
duplex auto
speed auto
!
interface Serial0/0/0
ip address 200.210.222.134 255.255.255.252
clock rate 64000
!
interface Serial0/0/1
ip address 10.192.0.1 255.224.0.0
clock rate 64000
!
router ospf 1
network 10.96.0.0 0.31.255.255 area 0
network 10.160.0.0 0.31.255.255 area 0
network 10.192.0.0 0.31.255.255 area 0
!
router rip
version 2
network 172.16.0.0
network 200.165.200.0
network 200.210.220.0
network 200.210.221.0
network 200.210.222.0
network 209.165.200.0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
!
ipv6 router rip process1
!
!
!
access-list 10 deny 200.210.220.2
access-list 10 deny 200.210.221.2
access-list 10 deny 200.210.222.2
access-list 10 permit any
access-list 102 deny tcp 10.96.0.0 0.31.255.255 10.64.0.0 0.31.255.255 eq smtp
access-list 102 permit ip any any
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 10 in
login local
transport input ssh
!
scheduler allocate 20000 1000
!
end
2-Habilite protocolo de ruteo para que sean alcanzables todas las redes
Router3(config)#router rip
Router3(config-router)#net
Router3(config-router)#network 200.210.222.0
Router3(config-router)#network 200.210.222.132
Router3(config-router)#version 2
3-Verifique mediante Ping que todas las PC se alcancen unas con otras
4-Habilite el acceso por terminal virtual VTY
Username Admin secret cisco
Line vty 0 4
Secret class
Login local
login as: admin
Using keyboard-interactive authentication
Router_3>en
Router_3#
Password:
6-Aplicar listas de acceso a las interfaces para que las PC no accedan por administración remota.
access-list 10 deny 200.210.220.2
access-list 10 deny 200.210.221.2
access-list 10 deny 200.210.222.2
access-list 10 permit any
access-list 102 deny tcp 10.96.0.0 0.31.255.255 10.64.0.0 0.31.255.255 eq smtp
access-list 102 permit ip any any
7-Conteste las siguientes preguntas
*¿Funcionan los Pings entre las PC?
Si
*¿Como se podría limitar solo el acceso a la consola sin limitar todo el tráfico?
Delimitando un rango en las redes que hay que negar
8-Aplique la misma lista de control de acceso ahora a las terminales virtuales VTY
Router_3(config)#int g 0/0
Router_3(config-if)#ip access-group 10 in
Router_3(config-if)#line vty 0 4
Router_3(config-line)#access
Router_3(config-line)#access-class 10 in
Router_3(config-line)#end
9-Verifique el estatus de las terminales con el comando show lines
Router_3#show running-config
Building configuration...
Current configuration : 2121 bytes
!
! Last configuration change at 02:39:47 UTC Fri May 6 2016
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router_3
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$Kv16$DTwQKzJs1NLNX2rEz5Lok/
!
no aaa new-model
!
!
!
!
!
!
!
!
!
!
!
ip dhcp excluded-address 10.96.0.1
!
ip dhcp pool pool
network 10.96.0.0 255.224.0.0
default-router 10.96.0.1
!
!
!
ip domain name cisco.com
ip cef
ipv6 unicast-routing
ipv6 cef
multilink bundle-name authenticated
!
!
cts logging verbose
!
!
license udi pid CISCO2901/K9 sn FJC1853A09U
!
!
username admin secret 5 $1$zRxs$XfZtH3OK0NtZXoggtZWy4/
!
redundancy
!
!
ip ssh version 2
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 10.96.0.1 255.224.0.0
ip access-group 102 in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 200.210.222.1 255.255.255.128
ip access-group 10 in
duplex auto
speed auto
!
interface Serial0/0/0
ip address 200.210.222.134 255.255.255.252
clock rate 64000
!
interface Serial0/0/1
ip address 10.192.0.1 255.224.0.0
clock rate 64000
!
router ospf 1
network 10.96.0.0 0.31.255.255 area 0
network 10.160.0.0 0.31.255.255 area 0
network 10.192.0.0 0.31.255.255 area 0
!
router rip
version 2
network 172.16.0.0
network 200.165.200.0
network 200.210.220.0
network 200.210.221.0
network 200.210.222.0
network 209.165.200.0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
!
ipv6 router rip process1
!
!
!
access-list 10 deny 200.210.220.2
access-list 10 deny 200.210.221.2
access-list 10 deny 200.210.222.2
access-list 10 permit any
access-list 102 deny tcp 10.96.0.0 0.31.255.255 10.64.0.0 0.31.255.255 eq smtp
access-list 102 permit ip any any
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 10 in
login local
transport input ssh
!
scheduler allocate 20000 1000
!
end
