ACLsTecnologías de Redes WAN
MSc. Washington Velásquez V.
Objetivos
Explicar cómo se utilizan las ACL para proteger una red de sucursal de medianaempresa, incluido el concepto de filtrado de paquetes, el propósito de las ACL,cómo se utilizan para controlar el acceso y los tipos de ACL de Cisco.
Configurar las ACL estándar en una red de sucursal de mediana empresa, incluidala definición de los criterios de filtrado, la configuración de las ACL estándar parafiltrar el tráfico y su aplicación a las interfaces del router.
Configurar las ACL extendidas en una red de sucursal de mediana empresa,incluida la configuración de las ACL extendidas y denominadas, la configuración defiltros, la verificación, la supervisión y la resolución de problemas de las ACLextendidas.
Describir las ACL complejas en una red de sucursal de mediana empresa, incluidala configuración de ACL dinámicas, reflexivas y basadas en tiempo, la verificacióny resolución de problemas de las ACL complejas y la explicación de las clavesrelevantes.
Introducción
La seguridad de la red es un tema muy amplio
Los administradores utilizan las ACL para detener el tráfico o permitir sólo el
tráfico específico y, al mismo tiempo, para detener el resto del tráfico en sus
redes.
Los diseñadores de red utilizan firewalls para proteger las redes contra el uso
no autorizado.
Los firewalls son soluciones de hardware o software que hacen cumplir las
políticas de seguridad de la red.
La cerradura sólo permite que ingresen los usuarios autorizados con una llave
o tarjeta de acceso. Del mismo modo, los firewalls filtran el ingreso a la red
de los paquetes no autorizados o potencialmente peligrosos.
Introducción
Una ACL es una lista secuencial de sentencias de permiso o denegación que se
aplican a direcciones o protocolos de capa superior.
Las ACL brindan una manera poderosa de controlar el tráfico de entrada o de
salida de la red.
Puede configurar las ACL para todos los protocolos de red.
El motivo más importante para configurar las ACL es brindar seguridad a la
red.
Una conversación TCP
Las ACL también pueden configurarse para controlar el tráfico de red según el
puerto TCP que se utiliza.
Puertos TCP
Puertos UDP
Puertos TCP/UDP Comunes
Filtrado de Paquetes
El filtrado de paquetes, a veces denominado filtrado estático de paquetes,
controla el acceso a la red, analiza los paquetes de entrada y de salida, y
permite o bloquea su ingreso según un criterio establecido.
Un router actúa como filtro de paquetes cuando reenvía o deniega paquetes
según las reglas de filtrado. Cuando un paquete llega al router de filtrado de
paquetes, éste extrae determinada información del encabezado del paquete y
toma decisiones según las reglas de filtrado, ya sea autorizar el ingreso del
paquete o descartarlo
Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas
para determinar la autorización o denegación del tráfico según las direcciones
IP de origen y de destino, el puerto origen y el puerto destino, y el protocolo
del paquete.
Filtrado de Paquetes
La ACL puede extraer la siguiente información del encabezado del paquete,
probarla respecto de las reglas y decidir si "permitir" o "denegar" el ingreso
según los siguientes criterios:
Dirección IP de origen
Dirección IP de destino
Tipo de mensaje ICMP
La ACL también puede extraer información de las capas superiores y probarla
respecto de las reglas. La información de las capas superiores incluye:
Puerto TCP/UDP de origen
Puerto TCP/UDP de destino
Filtrado de Paquetes - Permitidos
Filtrado de Paquetes - Denegados
Ejemplo de Filtrado de Paquetes
¿Qué es una ACL?
La ACL es una configuración de router que controla si un router permite o
deniega paquetes según el criterio encontrado en el encabezado del paquete.
Las ACL son unos de los objetos más comúnmente utilizados en el software IOS
de Cisco.
Las ACL también se utilizan para seleccionar los tipos de tráfico por analizar,
reenviar o procesar de otras maneras.
Como cada paquete llega a través de una interfaz con una
ACL asociada, la ACL se revisa de arriba a abajo, una línea
a la vez, y se busca un patrón que coincida con el paquete
entrante.
¿Qué es una ACL?
La ACL hace cumplir una o más políticas de seguridad corporativas al aplicar
una regla de permiso o denegación para determinar el destino del paquete.
De manera predeterminada, un router no tiene ninguna
ACL configurada y, por lo tanto, no filtra el tráfico.
Si no utiliza una ACL en el router, todos los paquetes que pueden enrutarse a
través del router lo atraviesan hacia el próximo segmento de la red.
Pautas para el USO de ACL
Utilice las ACL en routers firewall entre su red interna y su red externa, como
Internet.
Utilice las ACL en un router situado entre dos partes de la red a fin de
controlar el tráfico que entra o sale de una parte específica de su red interna.
Configure las ACL en routers de borde situados en los extremos de la red. Esto
proporciona un búfer muy básico desde la red externa, o entre un área menos
controlada y un área más sensible de su red.
Configure las ACL para cada protocolo de red configurado en las interfaces del
router de borde. Puede configurar las ACL en una interfaz para filtrar el
tráfico entrante, saliente o ambos.
Las tres P
Puede recordar una regla general para aplicar las ACL en un router mediante
las tres P. Puede configurar una ACL por protocolo, por dirección y por
interfaz.
Una ACL por protocolo: para controlar el flujo de tráfico de una interfaz, se debe
definir una ACL para cada protocolo habilitado en la interfaz.
Una ACL por dirección: las ACL controlan el tráfico en una dirección a la vez de
una interfaz. Deben crearse dos ACL por separado para controlar el tráfico
entrante y saliente.
Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo,
Fast Ethernet 0/0.
ACLs realizan las siguientes tareas:
Limitar el tráfico de red para mejorar el rendimiento de
ésta. Por ejemplo, si la política corporativa no permite el
tráfico de video en la red, pueden configurarse y aplicarse
las ACL que bloquean el tráfico de video. Esto reduce
considerablemente la carga de la red y aumenta su
rendimiento.
Brindar control de flujo de tráfico. Las ACL pueden
restringir el envío de las actualizaciones de enrutamiento.
Si no se necesitan actualizaciones debido a las condiciones
de la red, se preserva el ancho de banda.
ACLs realizan las siguientes tareas:
Proporcionar un nivel básico de seguridad para el acceso a
la red. Las ACL pueden permitir que un host acceda a una
parte de la red y evitar que otro acceda a la misma área.
Por ejemplo, el acceso a la red de Recursos Humanos
puede restringirse a determinados usuarios.
Se debe decidir qué tipos de tráfico enviar o bloquear en
las interfaces del router. Por ejemplo, una ACL puede
permitir el tráfico de correo electrónico, pero bloquear
todo el tráfico de Telnet.
ACLs realizan las siguientes tareas:
Controlar las áreas de la red a las que puede acceder un
cliente.
Analizar los hosts para permitir o denegar su acceso a los
servicios de red. Las ACL pueden permitir o denegar el
acceso de un usuario a tipos de archivos, como FTP o
HTTP.
Las ACL se configuran para ser aplicadas
al tráfico entrante o saliente.
ACL de entrada: los paquetes entrantes se procesan antes
de ser enrutados a la interfaz de salida. Una ACL de
entrada es eficaz porque guarda la carga de búsquedas de
enrutamiento si el paquete se descarta. Si el paquete está
autorizado por las pruebas, luego se procesa para el
enrutamiento.
ACL de salida: los paquetes entrantes se enrutan a la
interfaz de salida y luego son procesados a través de la
ACL de salida.
ACL de Entrada
ACL de Salida
Procesos ACL y de enrutamiento en un
router
Tipos de ACL de CISCO
Hay dos tipos de ACL Cisco: estándar y extendidas.
ACL estándar
ACL extendida
ACL estándar
Las ACL estándar le permiten autorizar o denegar el tráfico desde las
direcciones IP de origen.
No importan el destino del paquete ni los puertos involucrados.
El ejemplo permite todo el tráfico desde la red 192.168.30.0/24. Debido a la
sentencia implícita "deny any" (denegar todo) al final, todo el otro tráfico se
bloquea con esta ACL
Las ACL estándar se crean en el modo de configuración global.
ACL extendida
Las ACL extendidas filtran los paquetes IP en función de varios atributos, por
ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de
destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e
información opcional de tipo de protocolo para una mejor disparidad de
control.
¿Cómo funciona ACL estándar?
La ACL estándar es una colección secuencial de condiciones de permiso o
denegación que aplican a las direcciones IP. No se incluyen el destino del
paquete ni los puertos involucrados.
Numeración y Denominación de ACL
Donde Ubicar las ACL
Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las
reglas básicas son:
Ubicar las ACL extendidas lo más cerca posible del
origen del tráfico denegado. De esta manera, el tráfico
no deseado se filtra sin atravesar la infraestructura de
red.
Como las ACL estándar no especifican las direcciones
de destino, colóquelas lo más cerca del destino
posible.
El administrador desea que el tráfico que se
origina en la red 192.168.10.0/24 no ingrese
a la red 192.168.30.0/24.
Mejores prácticas de las ACL
access-list 2 deny 192.168.10.1
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255
Configuración de las ACL estándar
Eliminación de una ACL
Documentación de una ACL
Máscara Wildcard
Ejemplos Máscara Wildcard
Palabras clave de la máscara de bits
wildcard
La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos
los bits de direcciones IP deben coincidir o que sólo un host coincide.
La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta
máscara indica que debe ignorarse toda la dirección IP o que deben aceptarse
todas las direcciones.
Palabras clave de la máscara de bits
wildcard - Ejemplos
Procedimientos de configuración de las
ACL estándar
Edición de ACL numeradas
Comentarios en ACL
Ejemplo de ACL denominada o nombrada
Ejemplo de ACL denominada o nombrada
Show access-list
Prueba de Paquetes con ACL extendida
Ejemplo ACL extendida
Como Aplicar ACL a una Interfaz
ACL Complejas
Tipos de ACL complejas
¿Qué son las ACL dinámicas?
El bloqueo es una característica de seguridad de filtrado de tráfico que utiliza
ACL dinámicas, a veces denominadas ACL de bloqueo. Está disponible sólo
para tráfico IP.
Las ACL dinámicas dependen de la conectividad Telnet, de la autenticación
(local o remota) y de las ACL extendidas.
La configuración de las ACL dinámicas comienza con la aplicación de una ACL
extendida para bloquear tráfico que atraviesa el router. Los usuarios que
deseen atravesar el router son bloqueados por la ACL extendida hasta que
utilizan Telnet para conectarse al router y ser autenticados. En ese momento,
se interrumpe la conexión a Telnet, y se agrega una ACL dinámica de única
entrada a la ACL extendida existente. Esta entrada permite el tráfico por un
período determinado; es posible que se produzcan errores por inactividad y
superación del tiempo de espera.
Cuándo utilizar las ACL dinámicas
En ese momento, se interrumpe la conexión a Telnet, y se agrega una ACL
dinámica de única entrada a la ACL extendida existente. Esta entrada permite
el tráfico por un período determinado; es posible que se produzcan errores
por inactividad y superación del tiempo de espera.
Cuando desea que un subconjunto de hosts de una red local acceda a un host
de una red remota protegida por un firewall. Con el bloqueo, puede permitir
el acceso al host remoto sólo a los conjuntos de hosts locales que desee. El
bloqueo requiere que los usuarios se autentiquen a través de AAA, servidor
TACACS+ u otro servidor de seguridad, antes de que permita a sus hosts el
acceso a los hosts remotos.
Beneficios de las ACL dinámicas
Uso de un mecanismo de desafío para autenticar los usuarios individuales
Administración simplificada en internetworks más grandes
En muchos casos, reducción de la cantidad de procesamiento de un router
necesario para las ACL
Reducción de la oportunidad de intromisiones a la red por parte de piratas
informáticos
Creación de acceso dinámico al usuario a través de un firewall, sin
comprometer otras restricciones de seguridad configuradas
¿Qué son las ACL reflexivas?
Las reflexivas son un tipo de firewall primitivo que permite el tráfico sólo si
es iniciado en una dirección.
Las ACLs reflexivas son un caso particular de ACL nombrada extendida, por
lo tanto no se pueden configurar en acl numeradas ni en acls nombradas
estándar.
ACL reflexivas
Los administradores de red utilizan las ACL reflexivas para permitir el tráfico
IP en sesiones que se originan en su red y, al mismo tiempo, denegar el tráfico
IP en sesiones que se originan fuera de la red.
Estas ACL permiten que el router administre el tráfico de sesión en forma
dinámica. El router examina el tráfico saliente y, cuando ve una conexión,
agrega una entrada a una ACL temporal para permitir la devolución de
respuestas.
Las ACL reflexivas contienen sólo entradas temporales. Estas entradas se
crean automáticamente cuando se inicia una nueva sesión IP (con un paquete
saliente, por ejemplo) y las entradas se eliminan automáticamente cuando
finaliza la sesión.
Configuración de ACL reflexivas
ACL basadas en el Tiempo
La ACL basada en el tiempo es similar en función
a la ACL extendida, pero admite control de acceso
basado en el tiempo. Para implementar las ACL
basadas en el tiempo, debe crear un rango horario
que defina la hora específica del día y la semana.
Debe identificar el rango de tiempo con un
nombre y, luego, remitirse a él mediante una
función.
Las ACL basadas en el tiempo tienen
muchos beneficios.
Ofrecen al administrador de red más control de los permisos y denegaciones
de acceso a los recursos.
Permiten a los administradores de red controlar los mensajes de registro. Las
entradas de las ACL pueden registrar el tráfico en determinados momentos
del día, pero no de forma permanente. De esta manera, los administradores
pueden simplemente denegar el acceso, sin tener que analizar los diferentes
registros que se generan durante las horas pico.
Resolución de problemas Comunes
Resolución de problemas Comunes
Resolución de problemas Comunes
Resolución de problemas Comunes
Resolución de problemas Comunes
Actividades