Please enable JavaScript.
Coggle requires JavaScript to display documents.
LISTA DE CONTROL DE ACCESO, 4 (5), 7 (8), imagen, imagen, 3, 2, 6, 9, 10 -…
LISTA DE CONTROL DE ACCESO
INTRODUCCION
EnunrouterCisco,puedeconfigurarunsimplefirewallqueproporcionecapacidadesbásicasdefiltradodetráficomediantelasACL.
¿que es un acl?
Una lista de control deacceso o ACL (delinglés, accesscontrollist) es un concepto de seguridad informática usado para determinar los permisos de acceso dentro de una red.
Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores.
TAREAS DE UNA ACL
Proporcionan un nivel básico de seguridad para el accso a la red y evitar que otro host acceda a la misma área.
Proporcionan control del flujo de tráfico. Las ACL pueden restringir la entrega de actualizaciones de routing para asegurar que las actualizaciones provienen de un origen conocido.
Limitan el tráfico de la red para aumentar su rendimiento. Por ejemplo, si la política corporativa no permite el tráfico de video en la red, se pueden configurar y aplicar ACL que bloqueen el tráfico de video. Esto reduciría considerablemente la carga de la red y aumentaría su rendimiento.
Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede permitir
el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.
Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red. Las ACL pueden permitirles o denegarles a los usuarios el acceso a determinados tipos de archivos, como FTP o HTTP.
CARATERISTICAS DE UN ACL
una ACL es un conjunto de reglas identificadas con un número (o un nombre) y cada regla especifica una acción y una condición, las acciones a aplicar son permitir o denegar todos los paquetes que cumplan la condición asociada a la regla. Todas las reglas que tengan el mismo número hacen parte de una misma ACL.
La lógica de funcionamiento de las ACLs es secuencial de arriba hacia abajo, una vez que se cumpla una condición, se aplica su acción correspondiente y no se examinan más reglas de la ACL, este formato se aplica con el fin de disminuir la cantidad de procesamiento en el router.
El proceso de comparación sigue hasta llegar al final de la lista, si el paquete no cumple con alguna condición, éste será descartado implícitamente (instrucción “deny any” al final).
Comandos de verificación
Show access-lists [access-list-number], muestra los detalles de la configuración de la ACL.
Show ip access-list [access-list-number], muestra las listas de accesso IP.
Show ip interface [type number], muestra que ACL ha sido habilitada para la interfaz.
Show running-config
MASCARA WILCARD
Máscara comodín, también conocidas como máscara de subred inversa, es una secuencia de 32 dígitos binarios que indican a un router que parte de una dirección de red debe coincidir para llevar a cabo una acción. Permite establecer condiciones para un grupo, rango de direcciones IP, o para una dirección IP individual. Utilizan dos reglas sencillas.
• Un bit de máscara 0 significa que al comprobar el valor del bit correspondiente, éste debe coincidir, sólo así se llevara a cabo la acción establecida.
• Un bit de máscara a 1 significa ignorar el bit correspondiente.
• Un bit 0 significa que al comprobar el valor del bit
correspondiente, éste debe coincidir, sólo así se llevara a cabo la acción establecida.
• Un bit 1 significa ignorar el bit correspondiente. Por lo tanto, para establecer un filtro para la subred
200.90.20.0/24 utilizaremos una wildcard de 0.0.0.255.
Palabras clave mascaras wildcard
La máscara de wildcard permite definir qué bits son relevantes para la ejecución de una determinada acción y cuáles no deben ser considerados o tomados en cuenta (0 y 1).
Ejemplo 3: access-list 30 deny 172.17.3.0 0.0.0.255
Ejemplo 4: access-list 40 permit 10.1.2.10 255.255.255.255
Ejemplo 2: access-list 10 deny 10.17.3.10 0.0.0.0
Ejemplo 5: access-list 40 permit 0.0.0.0 255.255.255.255
Ejemplo 1: access-list 20 permit 192.17.3.10 0.0.0.0
Palabras clave mascaras wildcard
Las palabras clave host y any ayudan a identificar los usos más
comunes de las máscaras wildcard. Estas palabras clave eliminan la necesidad de introducir máscaras wildcard para identificar un host específico o toda una red.
• La palabra clave host reemplaza la wildcard 0.0.0.0. Esta máscara indica que todos los bits de direcciones IPv4 deben coincidir para filtrar solo una dirección de host.
• La opción any sustituye la dirección IP y la wildcard 255.255.255.255. Esta máscara establece que se omita la dirección IPv4 completa o que se acepte cualquier dirección
Tipos de ACL´s
• Listas de Acceso Estándar(1-99) : Comprueban únicamente las direcciones de origen de los paquetes que solicitan enrutamiento. Opera en la capa 3. Deben ubicarse cerca del destino del tráfico. Esto se debe a sus limitaciones. Ej. access-list 1 permit 172.17.3.10 0.0.0.0
Listas de Acceso Extendidas(100-199) : Comprueban tanto la dirección de origen como la de destino en cada paquete. También pueden verificar protocolos específicos, numeros de puertosy otros parametros. Opera en las capas 3 y 4. Se colocan cerca del origen del trafico, por eficencia, para evitar trafico innecesario en el restode la red
Ej. Router (config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
Aplicación de ACL´s
Listas de Acceso de Entrada (in): Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. Resulta más eficaz dado que evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento. • Listas de Acceso de Entrada (in): Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. Resulta más eficaz dado que evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento.
Listas de Acceso de Salida (out): Los paquetes entrantes
son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su trasmision.
• Listas de Acceso de Salida (out): Los paquetes entrantes
son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.
Configuración e Implementación de una ACL
• Determinar los requisitos del filtrado de tráfico
• Decidir qué tipo de ACL utilizar (estándar o extendida)
• Determinar el router y la interfaz a los cuales aplicar la ACL
• Determinar en qué dirección filtrar el tráfico
Pautas de Configuración e Implementación de una ACL
Configuración de una ACL estandar
1 more item...
Posibles problemas
Mayor carga en el router
Posible interrupción de la red por ACL´s mal diseñadas
Consecuencias no esperadas a causa de una incorrecta ubicación, como dejar pasar tráfico prohibido o bloquear tráfico permitido
Comprobar y verificar todas la ACL configuradas
Uso de ACL para acceso VTY
Se puede mejorar parcialmente la seguridad de las líneas administrativas restringiendo el acceso VTY, permitiendo definir qué direcciones IP tienen acceso Telnet y al proceso EXEC del router. Permite controlar qué estación de trabajo administrativa o qué red administra el router mediante la configuración de una ACL y una instrucción access-class en las líneas VTY.
La sintaxis del comando access-class es la siguiente:
Router (config)# access-class número-lista-acceso in
• Solamente se pueden aplicar listas de acceso numeradas a los VTY.
• Se deben establecer restricciones idénticas en todos los VTY, porque un usuario puede intentar conectarse a cualquiera de ellos.
• Debido a que sólo se verifica la dirección origen, se utiliza una ACL estándar.
• Se configuran en la línea de comando VTY y de entrada.
Bloqueo de Direcciones IP
• Es importante bloquear el posible acceso a nuestra red de paquetes originados en direcciones IP que no se consideran legítimas (anti- spoofing).
• Es frecuente que quienes desean ocultar su identidad utilicen con este propósito direcciones IP privadas (RFC 1918) u otro tipo de direcciones IP reservadas o especiales.
• La RFC 1918 (Request For Comments) contiene la documentación de protocolos y tecnologías de Internet, referidas a la direcciones privadas, en las que se establece junto a la IANA (Internet Assigned Numbers Authority) la reserva de bloques de direcciones IP para el uso en redes privadas, mismas que no pueden ser utilizadas en internet.
• Como no es posible realizar conexiones entre distintas redes privadas a través de Internet, distintas compañías pueden usar el mismo rango de direcciones privadas sin riesgo de que se generen conflictos con ellas, es decir, no se corre el riesgo de que una comunicación le llegue por error a un tercero que esté usando la misma dirección IP.
• Si un dispositivo de una red privada necesita comunicarse con otro
dispositivo de otra red privada distinta, es necesario que cada red cuente con una puerta de enlace con una dirección IP pública, de manera que pueda ser alcanzada desde fuera de la red y así se pueda establecer una comunicación, ya que un router podrá tener acceso a esta puerta de enlace hacia la red privada. Esta puerta de enlace será un dispositivo de traducción de dirección de red (NAT) o un servidor proxy.
Bloqueo de Direcciones IP