0 evaluări0% au considerat acest document util (0 voturi)
303 vizualizări27 pagini
El documento introduce las listas de control de acceso (ACL) y explica cómo funcionan. Las ACL permiten filtrar el tráfico de red mediante reglas de permitir o denegar paquetes según su dirección IP, protocolo y puerto. Existen ACL estándar y extendida; las estándar filtran solo por dirección IP mientras que las extendidas permiten filtrar por múltiples campos del paquete. Las ACL se configuran en dos pasos: creando la lista de reglas y aplicándola a una interfaz de red.
El documento introduce las listas de control de acceso (ACL) y explica cómo funcionan. Las ACL permiten filtrar el tráfico de red mediante reglas de permitir o denegar paquetes según su dirección IP, protocolo y puerto. Existen ACL estándar y extendida; las estándar filtran solo por dirección IP mientras que las extendidas permiten filtrar por múltiples campos del paquete. Las ACL se configuran en dos pasos: creando la lista de reglas y aplicándola a una interfaz de red.
El documento introduce las listas de control de acceso (ACL) y explica cómo funcionan. Las ACL permiten filtrar el tráfico de red mediante reglas de permitir o denegar paquetes según su dirección IP, protocolo y puerto. Existen ACL estándar y extendida; las estándar filtran solo por dirección IP mientras que las extendidas permiten filtrar por múltiples campos del paquete. Las ACL se configuran en dos pasos: creando la lista de reglas y aplicándola a una interfaz de red.
Introduccin a las Listas de Control de Acceso (ACLs)
I ng. J os Luis Martnez 1
J.L.M 2 Introduccin La seguridad de la red es un tema muy amplio y una buena parte de l va ms all del alcance de este curso. No obstante, una de las capacidades ms importantes que un administrador de red necesita es el dominio de las listas de control de acceso (ACL). Los administradores utilizan las ACL para detener el trfico o permitir slo el trfico especfico y, al mismo tiempo, para detener el resto del trfico en sus redes. Los diseadores de red utilizan firewalls para proteger las redes contra el uso no autorizado. Los firewalls son soluciones de hardware o software que hacen cumplir las polticas de seguridad de la red. Es como la cerradura de la puerta de la habitacin de un edificio. La cerradura slo permite que ingresen los usuarios autorizados con una llave o tarjeta de acceso. J.L.M 3 Introduccin Del mismo modo, los firewalls filtran el ingreso a la red de los paquetes no autorizados o potencialmente peligrosos. En un router Cisco, puede configurar un simple firewall que proporcione capacidades bsicas de filtrado de trfico mediante las ACL. Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones o protocolos de capa superior. Las ACL brindan una manera poderosa de controlar el trfico de entrada o de salida de la red. Puede configurar las ACL para todos los protocolos de red enrutados. El motivo ms importante para configurar las ACL es brindar seguridad a la red. J.L.M 4 Funciones ACLs Limitar el trfico de red para mejorar el rendimiento de sta. Esto reduce considerablemente la carga de la red y aumenta su rendimiento. Brindar control de flujo de trfico. Las ACL pueden inclusive restringir el envo de las actualizaciones de enrutamiento y asi se preserva el ancho de banda. Proporcionar un nivel bsico de seguridad para el acceso a la red. Las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea. Se debe decidir qu tipos de trfico enviar o bloquear en las interfaces del router. Por ejemplo, una ACL puede permitir el trfico de correo electrnico, pero bloquear todo el trfico de Telnet. Controlar las reas de la red a las que puede acceder un cliente. Analizar los hosts para permitir o denegar su acceso a los servicios de red. Las ACL pueden permitir o denegar el acceso de un usuario a tipos de archivos, como FTP o HTTP. J.L.M 5 Filtrado de paquetes El filtrado de paquetes, analiza los paquetes de entrada y de salida y permite o bloquea su ingreso segn un criterio establecido. Un router acta como filtro de paquetes cuando reenva o deniega paquetes segn las reglas de filtrado. Cuando un paquete llega al router, ste extrae determinada informacin del encabezado del paquete y toma decisiones segn las reglas de filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El filtrado de paquetes acta en la capa de red del modelo de interconexin de sistema abierto OSI o en la capa Internet de TCP/IP. Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para determinar la autorizacin o denegacin del trfico segn las direcciones IP de origen y de destino, el puerto origen y el puerto destino, y el protocolo del paquete. Estas reglas se definen mediante las listas de control de acceso o ACL. J.L.M 6 Qu es una Lista de Control de Acceso (ACL)? Una lista de criterios mediante los cuales todos los paquetes son comparados. Una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones IP o protocolos de capa superior. Ejemplos: Pertenece este paquete a la red 10.5.2.0 ? . Si, tome la accin correspondiente (permit o deny). No, cheque la prxima linea de la ACL. Proviene este paquete telnet de la red 25.25.0.0 ? Si, tome la accin correspondiente (permit o deny). No, cheque la prxima linea de la ACL. Al llegar al final de la ACL niegue o permita todo otro tipo de trfico (el deny est implcito). J.L.M 7 Qu es una Lista de Control de Acceso (ACL)? ACL J.L.M 8 Como trabaja una lista de acceso (ACL)? Los paquetes son comparados a cada lnea de la ACL secuencialmente de arriba hasta abajo. Mientras ms pronto se tome una decisin mejor. Una ACL bien hecha toma en consideracin primero el trfico ms abundante. Todas las ACL finalizan con un deny all implcito. J.L.M 9 Como trabaja una lista de acceso (ACL)? ACL de entrada J.L.M 10 Como trabaja una lista de acceso (ACL)? ACL de salida J.L.M 11 Lista de Control de Acceso (ACL) Un filtro a travs del cual todo el trfico debe pasar. Prove seguridad. Administra el ancho de banda. Mientras ms pronto se tome una decisin mejor. Dos tipos a estudiar: Estndar y Extendida. J.L.M 12 Access Lists Estndar La ACL estndar es una coleccin secuencial de condiciones de permiso o denegacin que aplican a las direcciones IP. No se incluyen el destino del paquete ni los puertos involucrados. Su filtrado se basa solo en la direccin origen del paquete. El orden de las condiciones es muy importante, ya que el software detiene las condiciones de prueba luego de la primera coincidencia. Si no coinciden ningunas de las condiciones, se rechaza la direccin. Deben ser aplicadas lo ms cerca del destino. Identificadas por un nmero entre 1-99.
J.L.M 13 Access Lists Estndar Ubicacin de una ACL estndar J.L.M 14 Access Lists Extendidas Son mucho ms flexibles y complejas. Pueden filtrar en base a: Direccin origen. Direccin destino. Protocolos (ICMP, TCP, UDP ...). Nmero de puerto (80, http; 23, telnet ). Deben ser aplicadas lo ms cerca del origen. Identificadas por un nmero entre 100-199. J.L.M 15 Access Lists Extendidas Ubicacin de una ACL extendida J.L.M 16 Dos pasos : crear y aplicar (Estndar) Paso 1.- Crear la ACL. access-list # permit/deny source IP wildcard # : 1-99. permit/deny : Deja pasar o descarta el paquete. source IP : Direccin IP con la cual el paquete debe ser comparado. Puede tambin usarse ANY. wildcard : Ver prximas lminas. Paso 2.- Aplicar la ACL en una interfaz. Debe hacerse en modo de configuracin de interfaz (config-if)#. Comando : IP access-group # in/out (Visto desde el router). J.L.M 17 Mscara wildcard Te permite establecer un rango de direcciones IP. Dos valores son usados: 0 = Deben coincidir exactamente. 1 = No tiene importancia si coinciden o no. J.L.M 18 Mscara wildcard Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras wildcard. Una mscara wildcard es una secuencia de dgitos binarios que le indican al router qu partes la direccin IP observar. Aunque las mscaras wildcard no tienen una relacin funcional con las mscaras de subred, s proporcionan una funcin similar. Esta wildcard determina a qu parte de la direccin IP se le debe aplicar la concordancia de direcciones. Los nmeros 1 y 0 de la mscara identifican cmo considerar los bits de direcciones IP correspondientes. Las mscaras wildcard utilizan unos y ceros binarios para filtrar direcciones IP individuales o en grupo para permitir o denegar el acceso a recursos segn la direccin IP. Al configurar cuidadosamente las mscaras wildcard, puede permitir o denegar una o varias direcciones IP. J.L.M 19 Ejemplos de wildcard Network Wildcard 195.34.5.12 0.0.0.0 Resultado: La wilcard nos indica que deben coincidir los cuatro octetos. Solo 195.34.5.12 coincide. Puede tambin usarse host 195.34.5.12 en lugar de la wildcard. Host indica que un match o coincidencia exacta se necesitan. J.L.M 20 Ejemplos de wildcard Network Wildcard 172.16.10.0 0.0.0.255 Resultado: La wilcard nos indica que deben coincidir exactamente los tres primeros octetos, pero se debe ignorar el ltimo. Esto deriva en el filtrado de un rango de Ips. Dicho rango abarca desde 172.16.10.0 hasta 172.16.10.255 y resulta del rango de variacin posible del ltimo octeto. J.L.M 21 Dos pasos : crear y aplicar (Extendida) Crear la ACL extendida J.L.M 22 Dos pasos : crear y aplicar (Extendida) Aplicar la ACL extendida J.L.M 23 Deny any y permit any Recuerde el deny all implcito al final de cada ACL. Dos casos: Determine el trfico que usted desea permitir. Niegue cualquier otro tipo de trfico (deny any, implcito). Determine el trfico que usted desea negar. Permita cualquier otro tipo de trfico (permit any). J.L.M 24 Implementacin Access Lists No se pueden incluir o remover lneas de una ACL selectivamente. Las modificaciones tpicamente se hacen con un editor de texto y luego se incluyen en el router como una nueva lista. La nueva ACL se aplica y la vieja es removida de la interfaz. Puedes documentar tu ACL. Despues de cada lnea, indica exactamente que se supone que hace esa lnea.
J.L.M 25 Monitoreo de Access Lists Verificar las ACLs Show access-lists. Show IP interfaces. Revisar las ACL despues de unos das. Los routers mantienen un registro del nmero de paquetes que coinciden con cada una de las lneas en una ACL. Esta informacin se debe usar para reordenar las ACL y mejorar as su eficiencia. Evite remover, sin tomar las medidas necesarias, una ACL que esta aplicada a una interfase, esto puede crear problemas en el router. J.L.M 26 Resumen Son creadas y luego aplicadas a una interface. Se implementan secuencialmente de arriba hacia abajo. Al final de todas las ACL existe un deny implcito. Rangos: Estndar 1-99, Extendidas 100-199. La estndar usa solo la direccin de origen para filtrar. La extendida usa el origen, el destino, el protocolo y el nmero de puerto. J.L.M 27