EJEMPLOS DE LISTAS DE ACCESO

Se acerca la prueba y no tienes idea de que son las listas de acceso? A travs de esta gua rpida de ejercicios podrs entender que son las ACL estandar y extendidas, sin mucha teora, mas bien directo a lo que nos interesa, lo prctico. Comencemos... Las Listas de Control de Acceso son listas secuenciales de sentencias que permiten o deniegan direcciones o protocolos como TCP,UDP, ICMP, etc; permitiendo controlar el trfico que entra o sale de la red. Existen distintos tipos de ACLs, destinguiendose principalmente 3 Listas Estandar Listas Extendidas Listas Nombradas Para entender como funcionan, vamos a imaginar que las ACL poseen 3 partes. CUERPO, EXCLUSIONES Y APLICACION. CUERPO: Es la parte importante . La que nos interesa que nuestra lista realice. EXCLUSIONES: Son las direcciones que bloqueamos o permitimos sin intencin, por lo que tenemos que permitirlas o denegarlas nuevamente, segn corresponda al objetivo de nuestra ACL. Las exclusiones siempre van en la parte superior de nuestra ACL pues el router las lee de arriba hacia abajo, y a la primera coincidencia, acta. APLICACION: Es la sentencia con la que aplicamos la ACL al router

MASCARA WILDCARD La wildcard, aunque se parece a la mscara de subred, funciona de forma inversa y se usa para determinar los host a los que someteremos al anlisis de nuestra ACL. Por ejemplo, para la red 192.168.10.0 determinemos la wildcard DECIMAL BINARIO RED 192 . 168 . 10 . 0 11000000 . 10101000 . 00001010 . 00000000 MASCARA 255 . 255 . 255 . 0 11111111 . 11111111 . 11111111 . 00000000 WILDCARD 0 . 0 . 0 . 255 00000000 . 00000000 . 00000000 . 11111111

El (0) significa "tomar en cuenta", mientras que el (1) significa "ignorar", por lo tanto podramos leer nuestra wildcard como "analiza que coincidan los primeros 24 bits, pero no me importa lo que pase con los ultimos 8" La wildcard, para usos prcticos, resulta de restar octeto por octeto la mascara de subred de 255, en otras palabras WILDCARD = 255 - MASCARA Por ejemplo para una mscara 255.255.255.252 la mscara wildcard es 0.0.0.3 255.255.255.255 255.255.255.252 --------------0.0.0.3 Una wilcard 0.0.0.0 revisa un host especfico y se suele sustituir por la palabra HOST en vez de los numeros. Una wildcard 255.255.255.255 revisa toda la red y se puede sustituir por la palabra ANY Las siguientes wildcards nos seran utiles mas adelante 1 - 3 - 7 - 15 - 31 - 63 - 127 - 255 Las siguientes tablas nos seran de utilidad mas adelante tabla1

tabla2

tabla 3

tabla 3

LISTAS DE ACCESO ESTANDAR Una ACL estandar es una lista simple que puede controlar el acceso de host, subredes o redes. Acta solo sobre IP y tiene el siguiente formato: ACCESS-LIST [1-99] [permit/deny] [IP ADDRESS] [WILDCARD]

EJEMPLO DE APLICACION: Permitir el acceso a los host 2 al 10 de la red 192.168.1.0 EXCLUSION: access-list 1 deny 192.168.1.11 0.0.0.0 CUERPO : access-list 1 permit 192.168.1.2 0.0.0.1 access-list 1 permit 192.168.1.4 0.0.0.3 access-list 1 permit 192.168.1.8 0.0.0.3 APLICACION: ip access-group 1 [in/out]

De acuerdo a nuestra tabla 2, tendriamos que permitir desde 192.168.1.2 con una wildcard 0.0.0.1 pues 2 en binario tiene 1 solo cero final. Esta wildcard quiere decir que permite 1 host mas sin contar el propio 192.168.1.2, asi que nos dejaria en 192.168.1.4 que tiene 2 ceros finales, por lo que podemos usar una wilcard 0.0.0.0 de acuerdo a nuestra tabla 2. Esta ultima wilcard permite 3 host mas aparte del propio 192.168.1.4, es decir nos dejara en el 192.168.1.8. El 8 binario termina en 3 ceros, por lo que disponemos como mximo de una wilcard 7, pero para nuestro caso solo necesitamos bloquear 2 host mas aparte del 192.168.1.8. Como las wildcard son fijas (1, 3, 7, 15, etc) tenemos que tomar la wildcard 3, que nos permitira 3 host sin contar el 192.168.1.8 y los que nos dejaria en el host 192.168.1.11 que tenemos que denegar posteriormente, fuera del cuerpo, es decir comoexclusin, pues no nos interesa permitir en nuestra ACL

EJEMPLO 1: Permitir solo los host 36 al 48 de la red 192.168.1.0/24 Desarrollo access-list 16 permit 192.168.1.36 0.0.0.3 access-list 16 permit 192.168.1.40 0.0.0.7 access-list 16 permit 192.168.1.48 0.0.0.0 Explicacin: De acuerdo a la tabla 2, el numero 36 en binario termina en 2 ceros, por lo que podemos usar una wildcard 0.0.0.3, que permitiria 3 host (37,38,39) mas aparte del

192.168.1.36 dejandonos en el host 192.168.1.40. El 40 en binario tiene 3 ceros finales, por lo que podemos usar una wildcard 0.0.0.7, con la que permitiriamos 7 host aparte del 40 (1,2,3,4,5,6,7) dejandonos en el host 192.168.1.40 que permitimos con una wildcard 0.0.0.0 Luego aplicamos la ACL en el destino en la interface que sea necesario con la siguiente sintaxis: ip access-group 16 [in /out] EJEMPLO 2: Denegar el acceso desde los host49 al 70 de la red 172.16.0.0/24 Subred 49 access-list access-list access-list access-list access-list 36 36 36 36 36 permit host 172.16.49.48 permit host 172.16.49.71 deny 172.16.49.48 0.0.0.15 deny 172.16.49.64 0.0.0.7 permit any

EJEMPLO 3: Permitir a las subredes 77 a 99 de la red 180.10.0.0/23 Desarrollo Subred 77 : 180.10.154.0 Subred 99 : 180.10.198.0 access-list access-list access-list access-list deny 180.10.152.0 0.0.1.255 permit 180.10.152.0 0.0.7.255 permit 180.10.160.0 0.0.31.255 permit 180.10.192.0 0.0.7.255