Posted by q3it on jueves, junio 30, 2022 in Redes
Una ACL o Access Control List ( Lista de Control de Acceso), es una sentencia escrita en una router que nos ayuda a identificar paquetes para luego poder aplicarle una acción de negación o permiso. Es decir, lo primero que hacemos es seleccionar el tráfico para luego indicarle si lo vamos a negar (evitar que el paquete siga su curso) o lo vamos a permitir (dejar que el paquete siga su curso). Cuando queremos identificar el tráfico, podemos seleccionar un tráfico origen, es decir, un tráfico que puede venir de un host, de una subred o de una red. En el mismo orden de ideas, este mismo tráfico origen, que va hacia un destino, podemos también seleccionar el tráfico destino, es decir, tráfico que va hacia un host, una subred o una red. El fin de una ACL es la identificación de un tráfico específico en la red.
Las ACL's determinan y seleccionan el tráfico gracias al uso de las WILDCARD. Una WILDCARD, es lo opuesto a una Máscara de Subred y determina los bits que serán verificados por el router en búsqueda de coincidencia de los bits de red o de host, para permitir o denegar el tráfico en la red. Un mal diseño de Wildcard en una sentencia ACL podría negar todo el tráfico de una subred o un rango de subred, o viceversa, permitirlo todo cuando en realidad deseamos negarlo todo. Una de las técnicas más sencillas para determinar la Wildcard de una IP dada, consiste en restar el valor de todos los bits encendidos (255.255.255.255) sobre la máscara de subred, del rango dado.
Ejemplo No.1:
Tenemos un rango a negar, el 172.16.0.0 con una máscara de red de 255.255.255.0.
Entonces para determinar la WILDCARD de esta máscara, procedemos a realizar la siguiente resta:
255.255.255.255 - (Valor de todos los bits encendidos) –
Entonces para determinar la WILDCARD de esta máscara, procedemos a realizar la siguiente resta:
255.255.255.255 - (Valor de todos los bits encendidos) –
255.255.0.0 (Mascara de Subred de la Red 172.16.0.0)
_______________
0.0.255.255 (WILDCARD Resultante)
Ejemplo No.2:
Tenemos un rango a negar, el 192.168.1.64 con una máscara de red de 255.255.255.192. Entonces para determinar la WILDCARD de esta máscara, procedemos a realizar la siguiente resta:
255.255.255.255 - (Valor de todos los bits encendidos) –
255.255.255.192 (Mascara de Subred de la Red 192.168.1.64)
_______________
0.0.0.63 (WILDCARD Resultante)
Ejemplo No.3:
Tenemos un rango a negar, el 10.10.123.0 con una máscara de red de 255.255.255.252. Entonces para determinar la WILDCARD de esta máscara, procedemos a realizar la siguiente resta:
255.255.255.255 - (Valor de todos los bits encendidos) –
255.255.255.252 (Mascara de Subred de la Red 10.10.123.0)
_______________
0.0.0.3 (WILDCARD Resultante)
Cuando hacemos y creamos WILDCARD, debemos seguir las siguientes normas para determinar los bits de coincidencia y los bits de no coincidencia. Todo valor de 0 en la wildcard hace coincidencia exacta con el bit de la mascara de subred. Todo valor de 1 en la wildcard no hace coincidencia con el bit de la mascara de subred, dejando pasar el tráfico identificado por ese bit.
0.0.255.255 (WILDCARD Resultante)
Ejemplo No.2:
Tenemos un rango a negar, el 192.168.1.64 con una máscara de red de 255.255.255.192. Entonces para determinar la WILDCARD de esta máscara, procedemos a realizar la siguiente resta:
255.255.255.255 - (Valor de todos los bits encendidos) –
255.255.255.192 (Mascara de Subred de la Red 192.168.1.64)
_______________
0.0.0.63 (WILDCARD Resultante)
Ejemplo No.3:
Tenemos un rango a negar, el 10.10.123.0 con una máscara de red de 255.255.255.252. Entonces para determinar la WILDCARD de esta máscara, procedemos a realizar la siguiente resta:
255.255.255.255 - (Valor de todos los bits encendidos) –
255.255.255.252 (Mascara de Subred de la Red 10.10.123.0)
_______________
0.0.0.3 (WILDCARD Resultante)
Cuando hacemos y creamos WILDCARD, debemos seguir las siguientes normas para determinar los bits de coincidencia y los bits de no coincidencia. Todo valor de 0 en la wildcard hace coincidencia exacta con el bit de la mascara de subred. Todo valor de 1 en la wildcard no hace coincidencia con el bit de la mascara de subred, dejando pasar el tráfico identificado por ese bit.
Ejemplo No.1:
Si tomamos como ejemplo la WILDCARD resultante del ejemplo No. 3 de la sección anterior tendremos lo siguiente: 10.10.123.0 con una máscara de red de 255.255.255.252 y con una WILDCARD igual a 0.0.0.3. Entonces, la lógica para determinar la WILDCARD de esta manera sería la siguiente:
Tengo una mascara igual a /30 que es lo mismo decir 255.255.255.252. Por lo tanto solo requiero el paso de las dos direcciones posibles dentro de este rango de subred. Mi ID de Subred es 10.10.123.0 / 30, por lo que me encuentro en la subred 0. Es decir, si el ID de red fuese 10.10.123.4 / 30 me encontraría en la subred 4. Por consiguiente el valor del ultimo bit del id de RED deberá coincidir en la WILDCARD y después de ese valor, no deberá coincidir ningún bit para que el tráfico pueda pasar entre los host 10.10.123.1 y 10.10.123.2. Veamos la resolución en el siguiente ejemplo:
10.10.123.0 Valor del ultimo octeto = 00000000 (Todos Ceros)
255.255.255.252 Ultimo octeto de mascara = 11111100 (Bits Mascara)
Coincidencia de Bits Wildcard = 00000011
_______________
00000021
.3
El primer patrón de bits, nos muestra los bits del último octeto de la ID de red 10.10.123.0. El segundo patrón de bits, nos muestra el valor correcto de la máscara /30 o 255.255.255.252 en el ultimo octeto y el tercer patrón de bits nos muestra los bits en 0 que hacen coincidencia exacta con los bits encendidos (11111100) de la máscara de subred, así como los bits en 1 que no hacen coincidencia con los bits apagados de la mascara de subred (11111100). Si sumamos los valores binarios de cada bit que no hace coincidencia, es decir, los últimos 2 ceros, tendremos un resultado igual a 3 en el ultimo octeto. Por consiguiente, la WILDCARD resultante será igual a 0.0.0.3.
Si tomamos como ejemplo la WILDCARD resultante del ejemplo No. 3 de la sección anterior tendremos lo siguiente: 10.10.123.0 con una máscara de red de 255.255.255.252 y con una WILDCARD igual a 0.0.0.3. Entonces, la lógica para determinar la WILDCARD de esta manera sería la siguiente:
Tengo una mascara igual a /30 que es lo mismo decir 255.255.255.252. Por lo tanto solo requiero el paso de las dos direcciones posibles dentro de este rango de subred. Mi ID de Subred es 10.10.123.0 / 30, por lo que me encuentro en la subred 0. Es decir, si el ID de red fuese 10.10.123.4 / 30 me encontraría en la subred 4. Por consiguiente el valor del ultimo bit del id de RED deberá coincidir en la WILDCARD y después de ese valor, no deberá coincidir ningún bit para que el tráfico pueda pasar entre los host 10.10.123.1 y 10.10.123.2. Veamos la resolución en el siguiente ejemplo:
10.10.123.0 Valor del ultimo octeto = 00000000 (Todos Ceros)
255.255.255.252 Ultimo octeto de mascara = 11111100 (Bits Mascara)
Coincidencia de Bits Wildcard = 00000011
_______________
00000021
.3
El primer patrón de bits, nos muestra los bits del último octeto de la ID de red 10.10.123.0. El segundo patrón de bits, nos muestra el valor correcto de la máscara /30 o 255.255.255.252 en el ultimo octeto y el tercer patrón de bits nos muestra los bits en 0 que hacen coincidencia exacta con los bits encendidos (11111100) de la máscara de subred, así como los bits en 1 que no hacen coincidencia con los bits apagados de la mascara de subred (11111100). Si sumamos los valores binarios de cada bit que no hace coincidencia, es decir, los últimos 2 ceros, tendremos un resultado igual a 3 en el ultimo octeto. Por consiguiente, la WILDCARD resultante será igual a 0.0.0.3.
En resumen, todos los bits que se encuentran encendidos en la mascara de subred, se representan con un 0 en la WILDCARD y los bits que están apagados en la máscara de subred, se representan con un 1 en la WILDCARD.
Las WILDCARD, tienen comodines, que nos permiten simplificar su escritura en la CLI. Uno de los comodines es la palabra clave host. Esta palabra clave representa e indica a la ACL que estamos haciendo referencia a un host específico dentro de la red y suplanta una wildcard del tipo 0.0.0.0 o Coincidencia exacta. Otro comodín utilizado en las ACL para simplificar la escritura de las Wildcard, es la palabra any, la cual suplanta la wildcard 255.255.255.255 o No coincidencia.
Una ACL, siempre termina con un deny implícito, es decir, si no permitimos explícitamente el tráfico al final de una ACL, este bloqueará todo el trafico a través de la interfaz en la cual la configuremos.
Tipos de ACL
Las ACL puedes ser de tipo ESTANDAR y de tipo EXTENDIDA.
Una ACL ESTANDAR tiene las siguientes características:
Tipos de ACL
Las ACL puedes ser de tipo ESTANDAR y de tipo EXTENDIDA.
Una ACL ESTANDAR tiene las siguientes características:
- Debe ser colocada lo más cerca del DESTINO.
- Solo considera el tráfico origen.
- No puede filtrar basado en números de puertos.
- Tiene las siguientes numeraciones: De 1 a 99 y de 1300 a 1999.
- Las ACL estándar no filtran basado en número de puertos, solo filtran basados en dirección IP de host, rango de una subred o una red completa.
Una ACL EXTENDIDA tiene las siguientes características:
- Debe ser colocada lo más cerca del ORIGEN.
- Considera el tráfico origen y el tráfico destino.
- Desde la perspectiva del tráfico origen puede filtrar tráfico basado en IP, TCP y UDP.
- Desde la perspectiva del tráfico destino puede filtrar tráfico basado en IP, TCP y UDP.
- Tiene las siguientes numeraciones: De 100 a 199 y de 2000 a 2699.
- Las ACL extendidas filtran basado en número de puertos origen y destino, en dirección IP origen y destino, en rango de una subred origen y destino o un rango red completa origen y destino.
Principales Tipos de Tráfico
Existen distintos tipos de tráfico con sus respectivos números de puertos en una internetwork. A continuación los más comunes:
Existen distintos tipos de tráfico con sus respectivos números de puertos en una internetwork. A continuación los más comunes:
Principales comandos de ACL
A continuación los principales comandos utilizados en la configuración de EIGRP.
A continuación los principales comandos utilizados en la configuración de EIGRP.
Operadores de ACL
Existen distintos operadores que nos permiten tener mayor control sobre el tipo de tráfico que estamos seleccionando y que podemos utilizar en una ACL. A continuación los más comunes:
Existen distintos operadores que nos permiten tener mayor control sobre el tipo de tráfico que estamos seleccionando y que podemos utilizar en una ACL. A continuación los más comunes:
