UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING

TEMA:

LISTAS DE CONTROL DE ACCESO

MATERIA:

ELECTIVA PROFESIONAL I

INTEGRANTES:

 CANTOS JARA JOSELYN

 ROCAFUERTE MINDIOLAZA JOREL

DOCENTE:

ING. JOHANNA TREJO, MSC

CURSO:

INE 6-1

GUAYAQUIL ECUADOR
14 DE AGOSTO DEL 2018
 LISTA DE CONTROL DE ACCESO

Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de
seguridad informática usado para fomentar la separación de privilegios. Es una forma
de determinar los permisos de acceso apropiados a un determinado objeto,
dependiendo de ciertos aspectos del proceso que hace el pedido.

Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como
enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o
denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también
tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico
suficientemente importante como para activar o mantener una conexión) en RDSI.

En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de
servicio o nombres de dominios (de redes) que están disponibles en un terminal u
otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o
redes que tienen permiso para usar el servicio. Tantos servidores individuales como
enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden
configurarse generalmente para controlar tráfico entrante y saliente y en este
contexto son similares a un cortafuego.

¿PARA QUÉ SE UTILIZAN?

Aunque pueden tener diversos usos, es una manera “sencilla” de filtrar el tráfico que
pasa por un dispositivo de red de capa 3, o también para el acceso al mismo vía SSH.
Es útil para aplicar ciertas políticas de seguridad.

¿CÓMO FUNCIONAN?
Una Lista de Control de Acceso se compone de una serie de sentencias que permiten o
deniegan un tráfico determinado. El equipo irá comparando cada paquete con cada
una de las sentencias de la ACL, de la primera a la última. En el momento que un
paquete coincida con la sentencia, ésta se ejecuta y no se sigue comparando. Cada ACL
tiene un “deny any” implícito al final de las sentencias, esto es, si un paquete no
coincide con ninguna de las sentencias se descarta.

TIPOS DE ACL
Hay varios tipos, pero poniendo como ejemplo los dispositivos Cisco, las más
utilizadas son las “Standard” y “Extended”. En las “Standard” emplearemos como
parámetro de filtrado las direcciones IP de origen; mientras que las “Extended”
utilizaremos la IPs de origen, destino y puertos. También tendremos las “Named”, que
es lo mismo que las dos anteriores pero nos permiten asignarlas un nombre en lugar
de un número. Más adelante lo explicaremos.

 ACL estándar, donde sólo tenemos que especificar una dirección de origen.

(config)#access-list n {permit | deny} source {sourcemask}

• Ejemplos:
• (config)#access-list 1 deny [Link] [Link]
• (config)#access-list 1 permit host [Link]
• (config)#access-list 1 permit any

 ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen

y de destino.

• (config)#access-list n {permit | deny} protocol source

{source-mask} destination {destination-mask} [eq destination-port]
• Ejemplos
• (config)#access-list 105 permit [Link] [Link] host [Link] eq 80
• (config)#access-list 105 permit host [Link] [Link] [Link]
• (config)#access-list 105 deny [Link] [Link] any

 ACL con nombre, permite dar nombres en vez de números a las ACL estándar o
extendidas.

Aplicar la lista a un interface:

•Ejemplo:
•(config)#interface serial 0/0
•(config-if)#ip access-group 100 out

Estas son las razones principales para crear las ACL:

 Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el tráfico

de video, por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en
consecuencia mejorar el rendimiento de la misma.
  Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las
actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las
condiciones de la red, se preserva el ancho de banda.
 Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las
ACL pueden permitir que un host acceda a una parte de la red y evitar que otro
acceda a la misma área. Por ejemplo, al Host A se le permite el acceso a la red de
Recursos Humanos, y al Host B se le niega el acceso a dicha red.
 Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del
router. Permitir que se enrute el tráfico de correo electrónico, pero bloquear todo
el tráfico de telnet.
 Permitir que un administrador controle a cuáles áreas de la red puede acceder un
cliente.
 Analizar ciertos hosts para permitir o denegar acceso a partes de una red.
Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos,
tales como FTP o HTTP.
Si las ACL no están configuradas en el router, todos los paquetes que pasen a través
del router tendrán acceso a todas las partes de la red.

¿CÓMO SE UTILIZAN?
Una vez que la ACL está creada, se debe aplicar a una interfaz, y también en un sentido
determinado. Es decir, en sentido entrante (Inbound) o saliente (Outbound) a esa
interfaz. Cuando una ACL se aplica en sentido entrante, los paquetes que serán
evaluados primero por dicha ACL, y en caso de ser permitidos será entonces cuando el
equipo los enrute por alguna interfaz de salida. Obviamente, todos los paquetes que se
denieguen no serán sometidos a la tabla de enrutamiento.
Sin embargo, cuando una ACL se aplica a en sentido “Saliente”, ésta se aplicará una vez
los paquetes hayan sido enrutados. O lo que es lo mismo, primero se enrutan y luego
se ve si se permiten o deniegan.
¿Por qué este matiz? Tanto el enrutamiento, como comparar cada paquete con cada
sentencia de las ACL son procesos que consumen recursos hardware. Por tanto,
deberemos tener en cuenta el sentido ya que si tenemos que descartar paquetes, será
mejor hacerlo en ACL entrantes de tal manera que el equipo no tenga que malgastar
recursos en enrutarlo para luego descartarlo en caso denegar ese mismo tráfico en
una ACL saliente.

¿DÓNDE SE APLICAN LAS ACL?

•Las listas de acceso estándar se deben colocar cerca del destino.
•Las listas de acceso extendidas se deben colocar cerca de la fuente.
Ejemplo:
Si se desea bloquear el tráfico del origen al destino, mejor aplicar una ACL entrante a
E0 en el router A en vez de una lista saliente a E1 en el router C.

Definición De Entrada, Salida, Entrante, Saliente, Origen Y

Destino
El router utiliza los términos entrada, salida, origen y destino como referencias. El
tráfico en el router se puede comparar con el tráfico en una carretera. Si usted fuera
un agente de policía de Pensilvania y deseara detener un camión que fuera de
Maryland a Nueva York, el origen del camión sería Maryland y el destino del camión
sería Nueva York. El control de carretera podría aplicarse en el límite de Pensilvania-
Nueva York (salida) o en el límite de Maryland-Pensilvania (entrada).
Cuando usted se refiere a un router, estos términos tienen estos significados.
 Salida: tráfico que ya ha pasado a través del router y sale de la interfaz. El
origen es el lugar en donde ha estado, en el otro lado del router, y el destino es
el lugar a donde va.
 Entrada: tráfico que llega a la interfaz y después pasa a través del router. El
origen es el lugar en donde ha estado y el destino es el lugar a donde va, en el
otro lado del router.
 Entrante: si la lista de acceso es entrante, cuando el router recibe un paquete,
el Cisco IOS Software verifica las declaraciones de criterios de la lista de acceso
para obtener una coincidencia. Si se permite el paquete, el software continúa
procesando el paquete. Si se niega el paquete, el software descarta el paquete.
 Saliente: si la lista de acceso es saliente, una vez que el software haya recibido
y ruteado un paquete hacia la interfaz saliente, el software verificará las
declaraciones de criterios de la lista de acceso para obtener una coincidencia.
Si se permite el paquete, el software transmite el paquete. Si se niega el
paquete, el software descarta el paquete.

La ACL de entrada tiene un origen en un segmento de la interfaz a la que se aplica y

un destino fuera de cualquier otra interfaz. La ACL de salida tiene un origen en un
segmento de cualquier interfaz diferente a la interfaz a la que se aplica y un
destino fuera de la interfaz a la que se aplica.

Explicación de cómo se usan las ACL para asegurar la red de

una sucursal de una empresa asegurar la red de una sucursal
de una empresa mediana
• Describa los pasos q u e se presentan en una conversación TCP completa.
 • Explique cómo el filtro de un paquete permite o bloquea el tráfico.

• Describa cómo las ACL controlan el acceso a las Describa cómo las ACL
controlan el acceso a las redes.

ACLS COMPLEJAS
La idea de las ACLs complejas es complementar las ACLs estándar y extendidas con
comportamientos que las hacen útiles en contextos más interesantes.
Dentro de las ACLs complejas tenemos 3 tipos: dinámicas, reflexivas y basadas en
tiempo.
 o ACLs dinámicas: usan un mecanismo básico de autenticación para activar la
ACL. La idea consiste en crear una regla en la ACL que sólo se activará si es
disparada por algún evento
o ACLs reflexivas: son un tipo de firewall primitivo que permite el tráfico sólo si
es iniciado en una dirección
o ACLs basadas en tiempo: se activan en las fechas y horarios que establecidos
previamente.

REQUERIMIENTOS DEL SISTEMA

En general, para trabajar con ACL debemos comprobar que:

 El núcleo debe soportar y estar compilado para soportar atributos extendidos y

ACL. El sistema de archivos tiene que montarse con atributos extendidos y ACL.
 Se tienen que instalar las utilidades de espacio de usuario para establecer el
ACL: paquete acl.
Respecto al primer punto y en el caso de Ubuntu, la utilización de ACL está activada en
el Kernel.

Respecto al segundo punto, cuando se va a trabajar con ACL en un sistema de archivos

determinado (/home) en el archivo /etc/fstab hay que indicarlo de la forma
siguiente:

# cat /etc/fstab|grep home

/dev/sda2 /home ext4 defaults,acl 0

# cat /etc/fstab|grep home#

/dev/sda2 /home ext4 defaults,acl 0 /dev/sda2

Para no tener que hacer un reboot del sistema, simplemente podemos remontar
la partición para que use acl ejecutando la orden siguiente:

# mount -o remount -o acl /dev/sda2 /home#

Ahora podemos ya utilizar ACLs en nuestro sistema. Respecto al tercer punto,

instalamos el paquete acl (puede que esté instalado por defecto).

# sudo apt-get install acl#

En este paquete están las utilidades que nos permitirán establecer y manejar las
ACLs: chacl, getfacl y setfacl.
 ACL DE RED Y CONJUNTOS DE CARGA EQUILIBRADA

Las ACL de red pueden especificarse en un punto de conexión del conjunto de carga
equilibrada. Si se especifica una ACL para un conjunto de carga equilibrada, la ACL de
red se aplica a todas las máquinas virtuales de ese conjunto. Por ejemplo, si se ha
creado un conjunto de carga equilibrada con "Puerto 80" y ese conjunto contiene tres
máquinas virtuales, la ACL de red creada en el punto de conexión "Puerto 80" de una
máquina virtual se aplicará automáticamente a las demás.

SU FINALIDAD
Las máscaras Wildcard se emplean junto con un valor IP para seleccionar direcciones
IP, esto es así gracias a que la máscara wildcard indica con sus ceros y sus unos qué
bits han de compararse o no. Un cero indica que el bit ha de compararse y un uno
indica que se ignore.

Por ejemplo, suponga que empleamos la IP [Link] junto con la máscara wildcard
[Link] para seleccionar direcciones IP. Los ceros nos están diciendo que debemos
comparar los valores de los tres primeros octetos y los unos del cuarto octeto nos
dicen que da igual que valor tenga dicho octeto.

Los valores correctos son:

[Link], [Link], [Link]

y los valores que no sirve serán por ejemplo:

[Link], [Link], [Link]

Es decir, con la máscara wildcard [Link] todas las IP que se seleccionen deberán
tener los tres primeros octetos de la forma 192.168.1, en tanto que el cuarto octeto,
como queda oculto por los unos de la máscara, puede tomar cualquier valor.
 VENTAJAS DE UNA ACL

 permiten la asignación de permisos a usuarios individuales o a grupo.

 con las ACL la seguridad de la red aumenta y podemos denegar o permitir a
una red o un servidor, cualquier dispositivo.
 busca la manera de impedir el acceso no autorizado a la red, así como la forma
de permitir el acceso autorizado a la misma.
 Las ACL filtran el tráfico de red controlando si los paquetes enrutados se
envían o se bloquean en las interfaces del router.

COMANDOS DE VERIFICACION.
 show ip interface (muestra asignaciones de ACL)
 show access-lists (muestra el contenido de las ACL)
 debug ip packet 101 [detail] (permite analizar cómo se aplican las ACL)