Listas de Control de Acceso

Objetivo
Analizar la funcionalidad y la utilidad de las listas de control de acceso al implementar en una red, tanto para asegurar la red, como para manejar el trfico en la misma.

Marco Terico
Listas de control de acceso
Es un concepto de seguridad informtica usado para fomentar la separacin de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACLs permiten controlar el flujo del trfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna condicin. Sin embargo, tambin tienen usos adicionales, como por ejemplo, distinguir trfico suficientemente importante como para activar o mantener una conexin. Existen dos tipos de ACL. ACL estndar ACL extendidas

ACL estndar
Verifican direccin origen de los paquetes IP. Permiten o rechazan el acceso a todo un conjunto de protocolos, segn las direcciones de red, subred o host origen. Las ACL estndar no especifican las direcciones destino, de modo que se deben colocar lo ms cerca posible del destino.

ACL extendidas
Utilizadas con ms frecuencia que las estndar porque ofrecen un mayor control. Verifican: Direcciones origen y destino de paquetes, protocolos y nmeros de puerto. Mayor flexibilidad para establecer qu verifica la ACL. Se utilizan tambin las palabras any y host Regla General: Aplicarlas lo ms cerca posible al origen.

Desarrollo de la Prctica
1ero. Implementar la siguiente topologa

2do. Configuracin bsica de Equipos

Configuracin del R1 CONFIGURACIN DEL HOSTNAME Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 ASIGANCIN DE DIRECCIONES IP A LAS INTERFACES R1(config)#int fa0/0 R1(config-if)#ip add 10.2.4.1 255.255.255.0 R1(config-if)#no sh %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config-if)#int ser 0/1/0 R1(config-if)#ip add 10.2.3.6 255.255.255.252 R1(config-if)#no sh %LINK-5-CHANGED: Interface Serial0/1/0, changed state to down

R1(config-if)#clock rate 64000 R1(config-if)#int ser 0/1/1 R1(config-if)#ip add 10.2.3.9 255.255.255.252 R1(config-if)#no sh %LINK-5-CHANGED: Interface Serial0/1/1, changed state to down R1(config-if)#end %SYS-5-CONFIG_I: Configured from console by console GUARDAR CONFIGURACIN R1#wr Building configuration... [OK] Configuracin del R2 CONFIGURACION DEL HOSTNAME Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R2 ASIGNACIN DE DIRECCIONES IP A LAS INTERFACES R2(config)#int fa0/0 R2(config-if)#ip add 10.2.1.1 255.255.255.0 R2(config-if)#no sh %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R2(config-if)#int ser 0/1/0 R2(config-if)#ip add 10.2.3.5 255.255.255.252 R2(config-if)#no sh %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1/0, changed state to up R2(config-if)#int ser 0/1/1 R2(config-if)#ip add 10.2.3.1 255.255.255.252 R2(config-if)#clock rate 64000 R2(config-if)#no sh R2(config-if)#end %SYS-5-CONFIG_I: Configured from console by console GUARDAR LA CONFIGURACIN R2#wr Building configuration... [OK] R2#

Configuracin R3 CONFIGURACIN DEL HOSTNAME Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R3 ASIGNACION DE DIRECCIONES IP A LAS INTERFACES R3(config)#int fa0/0 R3(config-if)#ip add 10.2.2.1 255.255.255.0 R3(config-if)#no sh %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R3(config-if)#int ser 0/1/0 R3(config-if)#ip add 10.2.3.2 255.255.255.252 R3(config-if)#no sh %LINK-5-CHANGED: Interface Serial0/1/0, changed state to up R3(config-if)# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1/0, changed state to upint ser 0/1/1 R3(config-if)#int ser 0/1/1 R3(config-if)#ip add 10.2.3.10 255.255.255.252 R3(config-if)#no sh %LINK-5-CHANGED: Interface Serial0/1/1, changed state to up R3(config-if)#end %SYS-5-CONFIG_I: Configured from console by console GUARDAR LA CONFIGURACIN R3#wr Building configuration... [OK] R3#

3ero. Configuracin del protocolo de enrutamiento

R1(config)#router ospf 1 R1(config-router)#net 10.2.4.0 0.0.0.255 area 0 R1(config-router)#net 10.2.3.4 0.0.0.3 area 0 R1(config-router)#net 10.2.3.8 0.0.0.3 area 0 R2(config)#router ospf 1 R2(config-router)#net 10.2.3.0 0.0.0.3 area 0 R2(config-router)#net 10.2.1.0 0.0.0.255 area 0 R2(config-router)#net 10.2.3.4 0.0.0.3 area 0 R3(config)#router ospf 1

R3(config-router)#net 10.2.3.8 0.0.0.3 area 0 R3(config-router)#net 10.2.2.0 0.0.0.255 area 0 R3(config-router)#net 10.2.3.0 0.0.0.3 area 0

4to. Asignacin de direcciones IP a cada estacin, dependiendo de la red a la que pertenece

5to. Probar conectividad entre las estaciones de trabajo

Es importante comprobar que existe conectividad entre todos los equipos de la red antes de implementar las listas de control de acceso. Comprobamos la conectividad haciendo pings entre diferentes estaciones de trabajo que estn en redes distintas.

6to. Crear las listas de acceso y aplicarlas

ACCESSLIST 3 R2(config)#access-list 3 deny host 10.2.1.2 R2(config)#access-list 3 permit any R2(config)#int ser 0/1/0 R2(config-if)#ip access-group 3 out R2(config-if)# ACCESSLIST 4 R3(config)#access-list 4 deny 10.2.2.0 0.0.0.255 R3(config)#access-list 4 permit any R3(config)#int ser 0/1/0 R3(config-if)#ip access-group 4 out Al aplicar las listas de acceso como se las presenta, existen dos asuntos:

1. Al implementar la lista de acceso 3 Se desea bloquear el trfico del host que posee la direccion IP 10.2.1.2 de la red 10.2.1.0 /24 Como se presenta la red, el trfico ser bloqueado. Pero en el caso que exista la caida del enlace serial que se encuentra conectado en la interfaz serial 0/1/0 el trfico de ese host se direccionar o saldr por el otro enlace ser0/1/0. Esto sucede ya que la mtrica de los enlaces es el mismo. As que tcnicamente se encuentra mal aplicada la lista de control de acceso. 2. AL aplicar la lista de acceso 4, se desea bloquear el trfico de salida de la red 10.2.2.0 /24. As que aunque se realice un ping desde cualquier red a esta el paquete de echo request llegar a la red, pero el paquete de echo reply no podr salir, ya que se encuentra bloqueado este tipo de trfico.