Please enable JavaScript.
Coggle requires JavaScript to display documents.
CAPITULO 2 LISTAS DE CONTROL DE ACCESO, Sin título, 8 (9), 12 (13), 18…
CAPITULO 2 LISTAS DE CONTROL DE ACCESO
INTRODUCCIÓN
Los firewalls filtran el ingreso a la red de los paquetes no autorizados o potencialmente peligrosos. En un router Cisco, puede configurar un simple firewall que proporcione capacidades básicas de filtrado de tráfico mediante las ACL.
¿Qué es una ACL?
Una lista de control de acceso o ACL (del inglés, access control list)
es un concepto de seguridad informática usado para determinar los
permisos de acceso dentro de una red.
Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores.
Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición.
Tareas de una ACL
Limitan el tráfico de la red para aumentar su rendimiento
Proporcionan control del flujo de tráfico
Proporcionan un nivel básico de seguridad para el acceso a la red.
Filtran el tráfico según el tipo de tráfico.
Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red.
Características de una ACL
Las ACL se representan como un conjunto de reglas identificadas con un número (o un nombre) y cada regla especifica una acción y una condición, las acciones a aplicar son permitir o denegar todos los paquetes que cumplan la condición asociada a la regla
Todas las reglas que tengan el mismo número hacen parte de una misma ACL.
X es el nombre o número que identifica la ACL, por lo tanto todas las reglas anteriores componen la ACL X, una sola ACL.
La lógica de funcionamiento de las ACLs es secuencial de arriba hacia abajo, una vez que se cumpla una condición, se aplica su acción correspondiente y no se examinan más reglas de la ACL. (Disminuir la cantidad de procesamiento)
El proceso de comparación sigue hasta llegar al final de la lista, si el paquete no cumple con alguna condición, éste será descartado implícitamente (instrucción “deny any” al final).
Mascara Wildcard
Máscara comodín, también conocidas como máscara de subred inversa, es una secuencia de 32 dígitos binarios que indican a un router que parte de una dirección de red debe coincidir para llevar a cabo una acción. Permite establecer condiciones para un grupo, rango de direcciones IP, o para una dirección IP individual. Utilizan dos reglas sencillas.
• Un bit de máscara a 1 significa ignorar el bit correspondiente.
• Un bit 0 significa que al comprobar el valor del bit correspondiente, éste debe coincidir, sólo así se llevara a cabo la acción establecida.
• Un bit de máscara 0 significa que al comprobar el valor del bit correspondiente, éste debe coincidir, sólo así se llevara a cabo la acción establecida.
• Un bit 1 significa ignorar el bit correspondiente.
¿Para qué usar Wildcard en ACL?
La máscara de wildcard permite definir qué bits son relevantes para la ejecución de una determinada acción y cuáles no deben ser considerados o tomados en cuenta (0 y 1).
Palabras clave mascaras wildcard
• La palabra clave host reemplaza la wildcard 0.0.0.0. Esta máscara indica que todos los bits de direcciones IPv4 deben coincidir para filtrar solo una dirección de host.
• La palabra clave host reemplaza la wildcard 0.0.0.0. Esta máscara indica que todos los bits de direcciones IPv4 deben coincidir para filtrar solo una dirección de host.
Tipos de ACL´s
• Listas de Acceso Estándar(1-99) : Comprueban únicamente las direcciones de origen de los paquetes que solicitan enrutamiento. Opera en la capa 3. Deben ubicarse cerca del destino del tráfico. Esto se debe a sus limitaciones.
• Listas de Acceso Extendidas(100-199) : Comprueban tanto la dirección de origen como la de destino en cada paquete. También pueden verificar protocolos específicos, números de puerto y otros parámetros. Opera en las capas 3 y 4. Se colocan cerca del origen del tráfico, por eficiencia, para evitar tráfico innecesario en el resto de la red
Aplicación de ACL´s
Listas de Acceso de Salida (out): Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.
Listas de Acceso de Entrada (in): Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. Resulta más eficaz dado que evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento.
Listas de Acceso de Entrada (in): Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. Resulta más eficaz dado que evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento.
Listas de Acceso de Salida (out): Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.
Configuración e Implementación de una ACL
Pautas de Configuración e Implementación de una ACL
Configuración de una ACL estandar
Configuración de una ACLextendida
Comandos de verificación
Show access-lists [access-list-number], muestra los detalles de la configuración de la ACL.
Show ip access-list [access-list-number], muestra las listas de accesso IP.
Show ip interface [type number], muestra que ACL ha sido habilitada para la interfaz.
Show running-config.
Posibles problemas
Uso de ACL para acceso VTY
Se puede mejorar parcialmente la seguridad de las líneas administrativas restringiendo el acceso VTY, permitiendo definir qué direcciones IP tienen acceso Telnet y al proceso EXEC del router. Permite controlar qué estación de trabajo administrativa o qué red administra el router mediante la configuración de una ACL y una instrucción access-class en las líneas VTY.
La sintaxis del comando access-class es la siguiente:
Router (config)# access-class número-lista-acceso in
• Se deben establecer restricciones idénticas en todos los VTY, porque un usuario puede intentar conectarse a cualquiera de ellos.
• Debido a que sólo se verifica la dirección origen, se utiliza una ACL estándar.
• Solamente se pueden aplicar listas de acceso numeradas a los VTY.
• Se configuran en la línea de comando VTY y de entrada.
Bloqueo de Direcciones IP
• La RFC 1918 (Request For Comments) contiene la documentación de protocolos y tecnologías de Internet, referidas a la direcciones privadas, en las que se establece junto a la IANA (Internet Assigned Numbers Authority) la reserva de bloques de direcciones IP para el uso en redes privadas, mismas que no pueden ser utilizadas en internet.
• Como no es posible realizar conexiones entre distintas redes privadas a través de Internet, distintas compañías pueden usar el mismo rango de direcciones privadas sin riesgo de que se generen conflictos con ellas, es decir, no se corre el riesgo de que una comunicación le llegue por error a un tercero que esté usando la misma dirección IP.
• Es frecuente que quienes desean ocultar su identidad utilicen con este propósito direcciones IP privadas (RFC 1918) u otro tipo de direcciones IP reservadas o especiales.
• Es importante bloquear el posible acceso a nuestra red de paquetes originados en direcciones IP que no se consideran legítimas (anti- spoofing).
• Si un dispositivo de una red privada necesita comunicarse con otro dispositivo de otra red privada distinta, es necesario que cada red cuente con una puerta de enlace con una dirección IP pública, de manera que pueda ser alcanzada desde fuera de la red y así se pueda establecer una comunicación, ya que un router podrá tener acceso a esta puerta de enlace hacia la red privada. Esta puerta de enlace será un dispositivo de traducción de dirección de red (NAT) o un servidor proxy.
