Introduccin a las Listas de Control de Acceso (ACLs)

I ng. J os Luis Martnez 1

J.L.M 2
Introduccin
La seguridad de la red es un tema muy amplio y una buena parte
de l va ms all del alcance de este curso. No obstante, una de
las capacidades ms importantes que un administrador de red
necesita es el dominio de las listas de control de acceso (ACL).
Los administradores utilizan las ACL para detener el trfico o
permitir slo el trfico especfico y, al mismo tiempo, para
detener el resto del trfico en sus redes.
Los diseadores de red utilizan firewalls para proteger las redes
contra el uso no autorizado. Los firewalls son soluciones de
hardware o software que hacen cumplir las polticas de seguridad
de la red.
Es como la cerradura de la puerta de la habitacin de un edificio.
La cerradura slo permite que ingresen los usuarios autorizados
con una llave o tarjeta de acceso.
J.L.M 3
Introduccin
Del mismo modo, los firewalls filtran el ingreso a la red de los
paquetes no autorizados o potencialmente peligrosos.
En un router Cisco, puede configurar un simple firewall que
proporcione capacidades bsicas de filtrado de trfico mediante
las ACL.
Una ACL es una lista secuencial de sentencias de permiso o
denegacin que se aplican a direcciones o protocolos de capa
superior.
Las ACL brindan una manera poderosa de controlar el trfico de
entrada o de salida de la red. Puede configurar las ACL para
todos los protocolos de red enrutados.
El motivo ms importante para configurar las ACL es brindar
seguridad a la red.
J.L.M 4
Funciones ACLs
Limitar el trfico de red para mejorar el rendimiento de sta. Esto reduce
considerablemente la carga de la red y aumenta su rendimiento.
Brindar control de flujo de trfico. Las ACL pueden inclusive restringir el
envo de las actualizaciones de enrutamiento y asi se preserva el ancho de
banda.
Proporcionar un nivel bsico de seguridad para el acceso a la red. Las ACL
pueden permitir que un host acceda a una parte de la red y evitar que otro
acceda a la misma rea.
Se debe decidir qu tipos de trfico enviar o bloquear en las interfaces del
router. Por ejemplo, una ACL puede permitir el trfico de correo
electrnico, pero bloquear todo el trfico de Telnet.
Controlar las reas de la red a las que puede acceder un cliente.
Analizar los hosts para permitir o denegar su acceso a los servicios de red.
Las ACL pueden permitir o denegar el acceso de un usuario a tipos de
archivos, como FTP o HTTP.
J.L.M 5
Filtrado de paquetes
El filtrado de paquetes, analiza los paquetes de entrada y de salida y
permite o bloquea su ingreso segn un criterio establecido.
Un router acta como filtro de paquetes cuando reenva o deniega
paquetes segn las reglas de filtrado.
Cuando un paquete llega al router, ste extrae determinada informacin
del encabezado del paquete y toma decisiones segn las reglas de
filtrado, ya sea autorizar el ingreso del paquete o descartarlo.
El filtrado de paquetes acta en la capa de red del modelo de
interconexin de sistema abierto OSI o en la capa Internet de TCP/IP.
Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza
reglas para determinar la autorizacin o denegacin del trfico segn las
direcciones IP de origen y de destino, el puerto origen y el puerto
destino, y el protocolo del paquete. Estas reglas se definen mediante las
listas de control de acceso o ACL.
J.L.M 6
Qu es una Lista de Control de Acceso (ACL)?
Una lista de criterios mediante los cuales todos los paquetes son
comparados.
Una lista secuencial de sentencias de permiso o denegacin que se aplican a
direcciones IP o protocolos de capa superior.
Ejemplos:
Pertenece este paquete a la red 10.5.2.0 ? .
Si, tome la accin correspondiente (permit o deny).
No, cheque la prxima linea de la ACL.
Proviene este paquete telnet de la red 25.25.0.0 ?
Si, tome la accin correspondiente (permit o deny).
No, cheque la prxima linea de la ACL.
Al llegar al final de la ACL niegue o permita todo otro tipo de trfico (el
deny est implcito).
J.L.M 7
Qu es una Lista de Control de Acceso (ACL)?
ACL
J.L.M 8
Como trabaja una lista de acceso (ACL)?
Los paquetes son comparados a cada lnea de la ACL
secuencialmente de arriba hasta abajo.
Mientras ms pronto se tome una decisin mejor.
Una ACL bien hecha toma en consideracin primero el
trfico ms abundante.
Todas las ACL finalizan con un deny all implcito.
J.L.M 9
Como trabaja una lista de acceso (ACL)?
ACL de entrada
J.L.M 10
Como trabaja una lista de acceso (ACL)?
ACL de salida
J.L.M 11
Lista de Control de Acceso (ACL)
Un filtro a travs del cual todo el trfico debe pasar.
Prove seguridad.
Administra el ancho de banda.
Mientras ms pronto se tome una decisin mejor.
Dos tipos a estudiar: Estndar y Extendida.
J.L.M 12
Access Lists Estndar
La ACL estndar es una coleccin secuencial de condiciones
de permiso o denegacin que aplican a las direcciones IP. No
se incluyen el destino del paquete ni los puertos involucrados.
Su filtrado se basa solo en la direccin origen del paquete.
El orden de las condiciones es muy importante, ya que el
software detiene las condiciones de prueba luego de la primera
coincidencia. Si no coinciden ningunas de las condiciones, se
rechaza la direccin.
Deben ser aplicadas lo ms cerca del destino.
Identificadas por un nmero entre 1-99.

J.L.M 13
Access Lists Estndar
Ubicacin de una ACL estndar
J.L.M 14
Access Lists Extendidas
Son mucho ms flexibles y complejas.
Pueden filtrar en base a:
Direccin origen.
Direccin destino.
Protocolos (ICMP, TCP, UDP ...).
Nmero de puerto (80, http; 23, telnet ).
Deben ser aplicadas lo ms cerca del origen.
Identificadas por un nmero entre 100-199.
J.L.M 15
Access Lists Extendidas
Ubicacin de una ACL extendida
J.L.M 16
Dos pasos : crear y aplicar (Estndar)
Paso 1.- Crear la ACL.
access-list # permit/deny source IP wildcard
# : 1-99.
permit/deny : Deja pasar o descarta el paquete.
source IP : Direccin IP con la cual el paquete debe ser
comparado. Puede tambin usarse ANY.
wildcard : Ver prximas lminas.
Paso 2.- Aplicar la ACL en una interfaz.
Debe hacerse en modo de configuracin de interfaz
(config-if)#.
Comando : IP access-group # in/out (Visto desde el
router).
J.L.M 17
Mscara wildcard
Te permite establecer un rango de direcciones IP.
Dos valores son usados:
0 = Deben coincidir exactamente.
1 = No tiene importancia si coinciden o no.
J.L.M 18
Mscara wildcard
Las sentencias de las ACL incluyen mscaras, tambin denominadas
mscaras wildcard. Una mscara wildcard es una secuencia de dgitos
binarios que le indican al router qu partes la direccin IP observar.
Aunque las mscaras wildcard no tienen una relacin funcional con las
mscaras de subred, s proporcionan una funcin similar.
Esta wildcard determina a qu parte de la direccin IP se le debe aplicar
la concordancia de direcciones. Los nmeros 1 y 0 de la mscara
identifican cmo considerar los bits de direcciones IP correspondientes.
Las mscaras wildcard utilizan unos y ceros binarios para filtrar
direcciones IP individuales o en grupo para permitir o denegar el acceso
a recursos segn la direccin IP.
Al configurar cuidadosamente las mscaras wildcard, puede permitir o
denegar una o varias direcciones IP.
J.L.M 19
Ejemplos de wildcard
Network Wildcard
195.34.5.12 0.0.0.0
Resultado: La wilcard nos indica que deben coincidir los
cuatro octetos.
Solo 195.34.5.12 coincide.
Puede tambin usarse host 195.34.5.12 en lugar de la wildcard.
Host indica que un match o coincidencia exacta se necesitan.
J.L.M 20
Ejemplos de wildcard
Network Wildcard
172.16.10.0 0.0.0.255
Resultado: La wilcard nos indica que deben coincidir
exactamente los tres primeros octetos, pero se debe ignorar el
ltimo. Esto deriva en el filtrado de un rango de Ips.
Dicho rango abarca desde 172.16.10.0 hasta 172.16.10.255 y
resulta del rango de variacin posible del ltimo octeto.
J.L.M 21
Dos pasos : crear y aplicar (Extendida)
Crear la ACL extendida
J.L.M 22
Dos pasos : crear y aplicar (Extendida)
Aplicar la ACL extendida
J.L.M 23
Deny any y permit any
Recuerde el deny all implcito al final de cada ACL.
Dos casos:
Determine el trfico que usted desea permitir. Niegue
cualquier otro tipo de trfico (deny any, implcito).
Determine el trfico que usted desea negar. Permita
cualquier otro tipo de trfico (permit any).
J.L.M 24
Implementacin Access Lists
No se pueden incluir o remover lneas de una ACL
selectivamente.
Las modificaciones tpicamente se hacen con un editor de
texto y luego se incluyen en el router como una nueva lista.
La nueva ACL se aplica y la vieja es removida de la interfaz.
Puedes documentar tu ACL.
Despues de cada lnea, indica exactamente que se supone
que hace esa lnea.

J.L.M 25
Monitoreo de Access Lists
Verificar las ACLs
Show access-lists.
Show IP interfaces.
Revisar las ACL despues de unos das.
Los routers mantienen un registro del nmero de paquetes
que coinciden con cada una de las lneas en una ACL.
Esta informacin se debe usar para reordenar las ACL y
mejorar as su eficiencia.
Evite remover, sin tomar las medidas necesarias, una ACL
que esta aplicada a una interfase, esto puede crear
problemas en el router.
J.L.M 26
Resumen
Son creadas y luego aplicadas a una interface.
Se implementan secuencialmente de arriba hacia abajo.
Al final de todas las ACL existe un deny implcito.
Rangos: Estndar 1-99, Extendidas 100-199.
La estndar usa solo la direccin de origen para filtrar.
La extendida usa el origen, el destino, el protocolo y el nmero
de puerto.
J.L.M 27