Listas de Control de Acceso

Sistemas de Seguridad de Redes

Ing. Karina Rosas Paredes

Tabla de Contenidos
Ir a! Ir a! Ir a! Ir a! Resumen de ACLs Configuracin de ACL ACLs Extendidas Otras ACL Bsicas
Home End

Resumen de ACLs

Qu son las ACLs?

Recurso 1 leer Iniciador A modificar suprimir Iniciador B leer Iniciador C Recurso 2 Recurso 3 Recurso 4 leer leer modificar leer modificar suprimir leer modificar suprimir

Matriz de Control de Acceso

leer modificar suprimir leer

Limitan operaciones o acciones que un usuario autorizado puede llevar a cabo cuando se conecta a un computador

Home End

Qu son las ACLs?

Recurso 1 Iniciador A leer modificar suprimir O Iniciador A leer Iniciador C leer

u u

Recurso 2

O Recurso 3 Iniciador C leer modificar suprimir

Iniciador B leer modificar suprimir O

Iniciador C leer modificar suprimir

u
Recurso 4 Iniciador A leer modificar O Iniciador C leer

Considerar grupos Las ACL en funcin a grupos Usan expresiones lgicas Refinamiento de ACL: granularidad Reglas de precedencia : herencia

Home End

Qu son las ACLs?

u

Una ACL es una lista de instrucciones que se colocan en el router para permitir o negar paquetes. Basndose en:
Direccin fuente Direccin destino Protocolos de capa superior (p.e. puertos TCP & UDP)

Pueden ser para los protocolos enrutados (IP, IPX) Las ACL filtran el trfico de red controlando si los paquetes enrutados se envan o se bloquean en las interfaces del router

Home End

Verificando los paquetes con ACL

u

Para determinar que paquetes deben permitirse o negarse, se verifican las reglas ACL secuencialmente.
Cuando una regla coincide, se deja de evaluar y el paquete es permitido o denegado.

Una regla implcita deny any va al final de las reglas ACL

Si el paquete no coincide con ninguna regla, entonces es eliminado.

La reglas ACL son creadas en tiempo real. Para actualizar las reglas se debe reescribir completamente.

Home End

Razones para el uso de ACLs

u

Limitar el trfico y mejorar el rendimiento de la red Brindar control de flujo de trfico Proporcionar un nivel bsico de seguridad para el acceso a la red Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del router (si eHome mail, no telnet)
End

Proceso estndar de las ACL

Paquete de salida Siguiente entrada de la lista Ver en tablas de rutas ACL en if? Si
Coincide

No

No dir.orgen? Si Ms entra das No Si Aplicar condicin Denegar Mensaje ICMP Permitir Home

Redireccionar End

Tareas de Configuracin de las ACL

ACL en un Proxy Squid

ACL para Squid

En /etc/squid/squid.conf
acl [nombre de la lista]src [componentes de lista]

# Definir a la red local acl miredlocal src 192.168.1.0/255.255.255.0 acl permitidos src "/etc/squid/permitidos # El fichero /etc/squid/permitidos contendra algo como: 192.168.1.1 192.168.1.15 192.168.1.2 192.168.1.16 192.168.1.3 192.168.1.20 Home 192.168.1.40 End

Reglas de control de acceso Se aplican a las ACLs Definen si se permiten o no el acceso a Squid

http_access [deny o allow] [lista de control de acceso] # Acceso a la ACL permitidos http_access allow permitidos # Permite acceso a Squid a lista1, pero no a lista2 http_access allow lista1 !lista2

Home End

Caso 1:
Dar acceso a toda la red u Creacin de ACL: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl todalared src 192.168.1.0/255.255.255.0 u Aplicar las regla de control de acceso http_access allow localhost http_access allow todalared http_access deny all

Home End

Caso 2:
Permitir el acceso solo a algunas mq: Creacin de ACL en un archivo: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl redlocal src "/etc/squid/lista" Aplicar la regla de control de acceso http_access allow localhost http_access allow redlocal http_access deny all

Home End

Otros casos:
# Listas que definen conjuntos de maquinas acl redlocal src "/etc/squid/redlocal" acl privilegiados src "/etc/squid/privilegiados acl restringidos src "/etc/squid/restringidos" acl administrador src 192.168.1.254 # Listas que definen palabras contenidas en un URL acl porno url_regex "/etc/squid/porno" # Contenido: # sex # porn # girl # celebrit # extasis # drug # playboy # hustler

Home End

Otros casos:
# Define una lista estricta de extensiones prohibidas acl multimedia urlpath_regex "/etc/squid/multimedia # Contenido: # \.mp3$ # \.avi$ # \.mov$ # \.mpg$ # \.bat$ # \.pif$ # \.sys$ # \.lnk$ # \.scr$ # \.exe$ # Define una lista moderada de extensiones prohibidas acl peligrosos urlpath_regex "/etc/squid/peligrosos" # Contenido: # \.bat$ # \.pif$ # \.sys$ # \.lnk$ # \.scr$ # \.exe$

Home End

Aplicando las reglas:

# Reglas de control de acceso # Regla por defecto:
http_access allow localhost

# Ejemplos de Reglas de control de acceso:

http_access allow restringidos password !porno !multimedia http_access allow redlocal password !porno !peligrosos http_access allow privilegiados password !peligrosos http_access allow administrador http_access allow noporno all

# Regla por defecto:

http_access deny all
Home End

ACL en Routers

ACLs Estndar

ACL estndar

Home End

Dos Tareas bsicas: ACL Estndar

Escribir las reglas secuencialmente
Router(config)#access-list access-listnumber {permit/deny} {test-conditions} Lab-D(config)#access-list 1 deny 192.5.5.10 0.0.0.0

Agrupar las ACL en una o ms interfaces

Router(config-if)#{protocol} access-group access-list-number {in/out} Lab-D(config-if)#ip access-group 1 out

Home End

Ejemplo:

Home End

Tipos de ACLs
u

La tabla siguiente muestra los tipos de las ACL.

Tipo de ACL Nmero de ACL IP Standard IP Extended AppleTalk IPX Standard IPX Extended IPX SAP 1 to 99 100 to 199 600 to 699 800 to 899 900 to 999 1000 to 1099

Home End

Router(config)#access-list access-list-number {permit/deny}{test-conditions}

La Mscara Wildcard
Una mscara wildcard sirve para saber que bits de una direccin se verifican y que bits son ignorados. u Un bit 0 indica que esa posicin se debe verificar. u Un bit 1 indica que esa posicin se debe ignorar. u Por ejemplo: 192.5.5.10 0.0.0.0 escrito en binario:
u

11000000.00000101.00000101.00001010 (direccin origen) 00000000.00000000.00000000.00000000 (mscara Wildcard)

u

Realizando un AND qu posiciones de bits son verificados?

Home End

La mscara Wildcard
u

Esta tabla es de mucha ayuda:

Home End

Prctica de enmascaramiento
Cul es la Mscara ip y la Mscara wildcard para que todos los hosts de la red dada sean verificados? 192.5.5.0 255.255.255.0 u Respuesta: 192.5.5.0 0.0.0.255
u

Notar que la mscara wildcard es una imagen de espejo de la mscara de subred. PRECAUCIN: esta regla slo se aplica en redes o subredes.

Home End

El comando any
Las ACL tienen una regla implcita al final deny any u Ejemplo: si algunos los estudiantes tienen el acceso negado y los otros permitido, entonces se deben escribir dos reglas:
u

Lab-A(config)#access-list 1 deny 192.5.5.0 0.0.0.127 Lab-A(config)#access-list 1 permit 0.0.0.0 255.255.255.255

u

La ltima regla es escrita para evitar el deny any, tambin se puede utilizar el comando any:
Lab-A(config)#access-list 1 permit any
Home End

Denegar a un host especfico

Home End

El lugar correcto de las ACL Estndar

Las ACL estndar no tienen informacin del destino. Entonces se debe colocar lo ms cerca al destino. u Para ver por qu, se coloca la regla deny 192.5.5.0 0.0.0.255 sobre E0 del Lab-A,.
u

Home End

ACLs Extendidas

ACL Extendidas
Las ACLs Extendidas estn numeradas del 100 199 y tienen mayores capacidades que las ACL Estndar. u Tienen la habilidad de filtrar el trfico basado en...
u

Direccin orgen y destino Verifican protocolos Nmeros de puertos Capas superiores del protocolo TCP/IP
Se pueden escribir reglas para denegar protocolos como tftp o http Se pueden utilizar operadores como eq, gt, lt, y neg para manejar un protocolo en particular.

Home End

Dos Tareas bsicas: ACL Extendidas

u

Escribir las reglas ACL secuencialmente:

Router(config)# access-list access-list-number {permit|deny} {protocol|protocol-keyword}{source source-wildcard} {destination destination-wildcard} [protocol-specific options] [log] Lab-A(config)#access-list 101 deny tcp 192.5.5.0 0.0.0.255 210.93.105.0 0.0.0.255 eq telnet log

Agrupar las ACL en uno o ms interfaces:

Router(config-if)#{protocol} access-group accesslist-number {in/out} Lab-A(config-if)# ip access-group 101 out
Home End

Nmero de Puerto
Un resumen de algunos puertos tcp y udp. u Se puede utilizar el nombre (telnet) en lugar del nmero (23) en {protocol-specific options}
u

Port Number 21 23 25 53 69

Description FTP Telnet SMTP DNS TFTP

Home End

Ubicacin correcta de las ACLs Extendidas

u

Como las ACL extendidas tiene informacin del destino, se debe colocar los ms cerca posible al origen.

Home End

Ubicacin correcta de las ACLs Extendidas

u

Se quiere negar a la red 221.23.123.0 para el acceso al servidor 198.150.13.34. u En qu router e interface se debe aplicar?
Escribir la regla en el router C y aplicarlo en la interfaz E0

Home End

Escribiendo y Aplicando la ACL

Router-C(config)#access-list 100 deny ip 221.23.123.0 0.0.0.255 198.150.13.34 0.0.0.0 Router-C(config)#access-list 100 permit ip any any Router-C(config)#int e0 Router-C(config-if)#ip access-group 100 in

Home End

PAZ Y BIEN

Home End

Otras ACL Bsicas

ACLs Nombradas
u

Una manera elegante que tiene el Cisco IOS es la habilidad de nombrar las ACLs.Es de gran ayuda si se tiene mas de 99 ACLs sobre el mismo router. Si se quiere nombrar una ACL, el prompt cambia a: access-list y access-list-number. En el ejemplo, la ACL con nombre over_and est colocada en la interface--out
Lab-A(config)# ip access-list standard over_and Lab-A(config-std-nacl)#deny host 192.5.5.10 ......... Lab-A(config-if)#ip access-group over_and out
Home End

Verificando las ACLs

Show commands:
u

show access-lists

Muestra todas las access-lists configuradas en el router u show access-lists {name | number} Muestra la identificacin de casa lista u show ip interface Muestra las access list aplicadas en la interfaz. u show running-config Muestra todas las listas de acceso aplicadas sobre una interfaz
Home End

Prctica de enmascaramiento
u

Qu Mscara ip y wildcard para que todos los hosts de la red dada sean verificados?: 192.5.5.32 255.255.255.224
Si respondi 192.5.5.32 0.0.0.31 EST CORRECTO!! 0.0.0.31 es la imagen espejo de 255.255.255.224 En formato binario:
11111111.11111111.11111111.11100000 (255.255.255.224) 00000000.00000000.00000000.00011111 (0.0.0.31)

Para verificar si la mscara wildcard funciona, vea la direccin de hosts 192.5.5.55 de la subred .32
11000000.00000101.00000101.00110111 (192.5.5.55) host address 11000000.00000101.00000101.00100000 (192.5.5.32) ip mask 00000000.00000000.00000000.00011111 (0.0.0.31) wildcard mask
Home End

Prctica de enmascaramiento
u

Notar en el ejemplo anterior, los bits iguales estn de color azul. Estos bits son los que coinciden.
11000000.00000101.00000101.00110111 (192.5.5.55) host address 11000000.00000101.00000101.00100000 (192.5.5.32) ip mask 00000000.00000000.00000000.00011111 (0.0.0.31) wildcard mask

Recuerde que en la mscara wildcard un bit 0 ser verificado y un bits 1 ser ignorado. El 0 es la coincidencia entre la direccin del paquete (192.5.5.55) a filtrar y la mscara ip configurada en la ACL (192.5.5.32)
u

Escribir la mscara ip y la mscara wildcard para la subred 192.5.5.64 con una mscara de subred 255.255.255.192?
Respuesta: 192.5.5.64 0.0.0.63

Home End

Prctica de enmascaramiento
u

Escribir la mscara ip y la mscara wildcard para la subred 172.16.128.0 con mscara de subred 255.255.128.0?
Respuesta: 172.16.128.0 0.0.127.255

Escribir la mscara ip y la mscara wildcard para la subred 172.16.16.0 con mscara de subred 255.255.252.0?
Respuesta : 172.16.16.0 0.0.3.255

Escribir la mscara ip y la mscara wildcard para la subred 10.0.8.0 con mscara de subred 255.255.248.0?
Respuesta : 10.0.8.0 0.0.7.255
Home End

Enmascaramiento de un Rango de Hosts Se utiliza cuando se requiere negar o permitir una porcin de subred. u Para hacer una mscara de un rango de host de una subred, es necesario trabajar a nivel binario. u Por ejemplo, los estudiantes utilizan el rango 192.5.5.0 al 192.5.5.127 y los profesores de 192.5.5.128 al 192.5.5.255. Ambos grupos sobre la red 192.5.5.0 255.255.255.0 u Como se escribe las mscaras ip y wildcard para denegar un grupo y permitir el otro?
u

Home End

Enmascaramiento de un Rango de Hosts

u

Mscaras para los estudiantes.

Primero, escribir el primero y ltimo hosts en binario. Los tres primeros octetos al ser iguales se omiten.
Primer host del cuarto octeto: 00000000 ltimo host del cuarto octeto: 01111111

Segundo, ver que posiciones coinciden

00000000 01111111 Estos bits en comn sern verificados.
Home End
Examples: Host Ranges 192.5.5.1 to .127 and .128 to .255

Enmascaramiento de un Rango de Hosts

Tercero, adicionar el valor decimal de los bits 1 (127) Finalmente, determinar las mscaras ip y wildcard
192.5.5.0 0.0.0.127
u

Cul es de los profesores? Qu mscaras ip y wildcard?

192.5.5.128 (10000000) al 192.5.5.255 (11111111) Respuesta: 192.5.5.128 0.0.0.127

Home End
Examples: Host Ranges 192.5.5.1 to .127 and .128 to .255