ACLs

Tecnologas de Redes WAN

MSc. Washington Velsquez V.

Objetivos

Explicar cmo se utilizan las ACL para proteger una red de sucursal de mediana
empresa, incluido el concepto de filtrado de paquetes, el propsito de las ACL,
cmo se utilizan para controlar el acceso y los tipos de ACL de Cisco.

Configurar las ACL estndar en una red de sucursal de mediana empresa, incluida
la definicin de los criterios de filtrado, la configuracin de las ACL estndar para
filtrar el trfico y su aplicacin a las interfaces del router.

Configurar las ACL extendidas en una red de sucursal de mediana empresa,

incluida la configuracin de las ACL extendidas y denominadas, la configuracin de
filtros, la verificacin, la supervisin y la resolucin de problemas de las ACL
extendidas.

Describir las ACL complejas en una red de sucursal de mediana empresa, incluida
la configuracin de ACL dinmicas, reflexivas y basadas en tiempo, la verificacin
y resolucin de problemas de las ACL complejas y la explicacin de las claves
relevantes.

Introduccin

La seguridad de la red es un tema muy amplio

Los administradores utilizan las ACL para detener el trfico o permitir slo el
trfico especfico y, al mismo tiempo, para detener el resto del trfico en sus
redes.

Los diseadores de red utilizan firewalls para proteger las redes contra el uso
no autorizado.

Los firewalls son soluciones de hardware o software que hacen cumplir las
polticas de seguridad de la red.

La cerradura slo permite que ingresen los usuarios autorizados con una llave
o tarjeta de acceso. Del mismo modo, los firewalls filtran el ingreso a la red
de los paquetes no autorizados o potencialmente peligrosos.

Introduccin

Una ACL es una lista secuencial de sentencias de permiso o denegacin que se

aplican a direcciones o protocolos de capa superior.

Las ACL brindan una manera poderosa de controlar el trfico de entrada o de

salida de la red.

Puede configurar las ACL para todos los protocolos de red.

El motivo ms importante para configurar las ACL es brindar seguridad a la

red.

Una conversacin TCP

Las ACL tambin pueden configurarse para controlar el trfico de red segn el
puerto TCP que se utiliza.

Puertos TCP

Puertos UDP

Puertos TCP/UDP Comunes

Filtrado de Paquetes

El filtrado de paquetes, a veces denominado filtrado esttico de paquetes,

controla el acceso a la red, analiza los paquetes de entrada y de salida, y
permite o bloquea su ingreso segn un criterio establecido.

Un router acta como filtro de paquetes cuando reenva o deniega paquetes

segn las reglas de filtrado. Cuando un paquete llega al router de filtrado de
paquetes, ste extrae determinada informacin del encabezado del paquete y
toma decisiones segn las reglas de filtrado, ya sea autorizar el ingreso del
paquete o descartarlo

Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas

para determinar la autorizacin o denegacin del trfico segn las direcciones
IP de origen y de destino, el puerto origen y el puerto destino, y el protocolo
del paquete.

Filtrado de Paquetes

La ACL puede extraer la siguiente informacin del encabezado del paquete,

probarla respecto de las reglas y decidir si "permitir" o "denegar" el ingreso
segn los siguientes criterios:

Direccin IP de origen

Direccin IP de destino

Tipo de mensaje ICMP

La ACL tambin puede extraer informacin de las capas superiores y probarla

respecto de las reglas. La informacin de las capas superiores incluye:

Puerto TCP/UDP de origen

Puerto TCP/UDP de destino

Filtrado de Paquetes - Permitidos

Filtrado de Paquetes - Denegados

Ejemplo de Filtrado de Paquetes

Qu es una ACL?

La ACL es una configuracin de router que controla si un router permite o

deniega paquetes segn el criterio encontrado en el encabezado del paquete.

Las ACL son unos de los objetos ms comnmente utilizados en el software IOS
de Cisco.

Las ACL tambin se utilizan para seleccionar los tipos de trfico por analizar,
reenviar o procesar de otras maneras.

Como cada paquete llega a travs de una interfaz con una

ACL asociada, la ACL se revisa de arriba a abajo, una lnea
a la vez, y se busca un patrn que coincida con el paquete
entrante.

Qu es una ACL?

La ACL hace cumplir una o ms polticas de seguridad corporativas al aplicar

una regla de permiso o denegacin para determinar el destino del paquete.

De manera predeterminada, un router no tiene ninguna

ACL configurada y, por lo tanto, no filtra el trfico.

Si no utiliza una ACL en el router, todos los paquetes que pueden enrutarse a
travs del router lo atraviesan hacia el prximo segmento de la red.

Pautas para el USO de ACL

Utilice las ACL en routers firewall entre su red interna y su red externa, como
Internet.

Utilice las ACL en un router situado entre dos partes de la red a fin de
controlar el trfico que entra o sale de una parte especfica de su red interna.

Configure las ACL en routers de borde situados en los extremos de la red. Esto
proporciona un bfer muy bsico desde la red externa, o entre un rea menos
controlada y un rea ms sensible de su red.

Configure las ACL para cada protocolo de red configurado en las interfaces del
router de borde. Puede configurar las ACL en una interfaz para filtrar el
trfico entrante, saliente o ambos.

Las tres P

Puede recordar una regla general para aplicar las ACL en un router mediante
las tres P. Puede configurar una ACL por protocolo, por direccin y por
interfaz.

Una ACL por protocolo: para controlar el flujo de trfico de una interfaz, se debe
definir una ACL para cada protocolo habilitado en la interfaz.

Una ACL por direccin: las ACL controlan el trfico en una direccin a la vez de
una interfaz. Deben crearse dos ACL por separado para controlar el trfico
entrante y saliente.

Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por ejemplo,
Fast Ethernet 0/0.

ACLs realizan las siguientes tareas:

Limitar el trfico de red para mejorar el rendimiento de

sta. Por ejemplo, si la poltica corporativa no permite el
trfico de video en la red, pueden configurarse y aplicarse
las ACL que bloquean el trfico de video. Esto reduce
considerablemente la carga de la red y aumenta su
rendimiento.

Brindar control de flujo de trfico. Las ACL pueden

restringir el envo de las actualizaciones de enrutamiento.
Si no se necesitan actualizaciones debido a las condiciones
de la red, se preserva el ancho de banda.

ACLs realizan las siguientes tareas:

Proporcionar un nivel bsico de seguridad para el acceso a

la red. Las ACL pueden permitir que un host acceda a una
parte de la red y evitar que otro acceda a la misma rea.
Por ejemplo, el acceso a la red de Recursos Humanos
puede restringirse a determinados usuarios.

Se debe decidir qu tipos de trfico enviar o bloquear en

las interfaces del router. Por ejemplo, una ACL puede
permitir el trfico de correo electrnico, pero bloquear
todo el trfico de Telnet.

ACLs realizan las siguientes tareas:

Controlar las reas de la red a las que puede acceder un

cliente.

Analizar los hosts para permitir o denegar su acceso a los

servicios de red. Las ACL pueden permitir o denegar el
acceso de un usuario a tipos de archivos, como FTP o
HTTP.

Las ACL se configuran para ser aplicadas

al trfico entrante o saliente.

ACL de entrada: los paquetes entrantes se procesan antes

de ser enrutados a la interfaz de salida. Una ACL de
entrada es eficaz porque guarda la carga de bsquedas de
enrutamiento si el paquete se descarta. Si el paquete est
autorizado por las pruebas, luego se procesa para el
enrutamiento.

ACL de salida: los paquetes entrantes se enrutan a la

interfaz de salida y luego son procesados a travs de la
ACL de salida.

ACL de Entrada

ACL de Salida

Procesos ACL y de enrutamiento en un

router

Tipos de ACL de CISCO

Hay dos tipos de ACL Cisco: estndar y extendidas.

ACL

estndar

ACL

extendida

ACL estndar

Las ACL estndar le permiten autorizar o denegar el trfico desde las

direcciones IP de origen.

No importan el destino del paquete ni los puertos involucrados.

El ejemplo permite todo el trfico desde la red 192.168.30.0/24. Debido a la

sentencia implcita "deny any" (denegar todo) al final, todo el otro trfico se
bloquea con esta ACL

Las ACL estndar se crean en el modo de configuracin global.

ACL extendida

Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por
ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de
destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e
informacin opcional de tipo de protocolo para una mejor disparidad de
control.

Cmo funciona ACL estndar?

La ACL estndar es una coleccin secuencial de condiciones de permiso o

denegacin que aplican a las direcciones IP. No se incluyen el destino del
paquete ni los puertos involucrados.

Numeracin y Denominacin de ACL

Donde Ubicar las ACL

Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las
reglas bsicas son:

Ubicar

las ACL extendidas lo ms cerca posible del

origen del trfico denegado. De esta manera, el trfico
no deseado se filtra sin atravesar la infraestructura de
red.

Como

las ACL estndar no especifican las direcciones

de destino, colquelas lo ms cerca del destino
posible.

El administrador desea que el trfico que se

origina en la red 192.168.10.0/24 no ingrese
a la red 192.168.30.0/24.

Mejores prcticas de las ACL

access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Configuracin de las ACL estndar

Eliminacin de una ACL

Documentacin de una ACL

Mscara Wildcard

Ejemplos Mscara Wildcard

Palabras clave de la mscara de bits

wildcard

La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica que todos
los bits de direcciones IP deben coincidir o que slo un host coincide.

La opcin any reemplaza la direccin IP y la mscara 255.255.255.255. Esta

mscara indica que debe ignorarse toda la direccin IP o que deben aceptarse
todas las direcciones.

Palabras clave de la mscara de bits

wildcard - Ejemplos

Procedimientos de configuracin de las

ACL estndar

Edicin de ACL numeradas

Comentarios en ACL

Ejemplo de ACL denominada o nombrada

Ejemplo de ACL denominada o nombrada

Show access-list

Prueba de Paquetes con ACL extendida

Ejemplo ACL extendida

Como Aplicar ACL a una Interfaz

ACL Complejas

Tipos de ACL complejas

Qu son las ACL dinmicas?

El bloqueo es una caracterstica de seguridad de filtrado de trfico que utiliza

ACL dinmicas, a veces denominadas ACL de bloqueo. Est disponible slo
para trfico IP.

Las ACL dinmicas dependen de la conectividad Telnet, de la autenticacin

(local o remota) y de las ACL extendidas.

La configuracin de las ACL dinmicas comienza con la aplicacin de una ACL

extendida para bloquear trfico que atraviesa el router. Los usuarios que
deseen atravesar el router son bloqueados por la ACL extendida hasta que
utilizan Telnet para conectarse al router y ser autenticados. En ese momento,
se interrumpe la conexin a Telnet, y se agrega una ACL dinmica de nica
entrada a la ACL extendida existente. Esta entrada permite el trfico por un
perodo determinado; es posible que se produzcan errores por inactividad y
superacin del tiempo de espera.

Cundo utilizar las ACL dinmicas

En ese momento, se interrumpe la conexin a Telnet, y se agrega una ACL

dinmica de nica entrada a la ACL extendida existente. Esta entrada permite
el trfico por un perodo determinado; es posible que se produzcan errores
por inactividad y superacin del tiempo de espera.

Cuando desea que un subconjunto de hosts de una red local acceda a un host
de una red remota protegida por un firewall. Con el bloqueo, puede permitir
el acceso al host remoto slo a los conjuntos de hosts locales que desee. El
bloqueo requiere que los usuarios se autentiquen a travs de AAA, servidor
TACACS+ u otro servidor de seguridad, antes de que permita a sus hosts el
acceso a los hosts remotos.

Beneficios de las ACL dinmicas

Uso de un mecanismo de desafo para autenticar los usuarios individuales

Administracin simplificada en internetworks ms grandes

En muchos casos, reduccin de la cantidad de procesamiento de un router

necesario para las ACL

Reduccin de la oportunidad de intromisiones a la red por parte de piratas

informticos

Creacin de acceso dinmico al usuario a travs de un firewall, sin

comprometer otras restricciones de seguridad configuradas

Qu son las ACL reflexivas?

Las reflexivas son un tipo de firewall primitivo que permite el trfico slo si
es iniciado en una direccin.

Las ACLs reflexivas son un caso particular de ACL nombrada extendida, por
lo tanto no se pueden configurar en acl numeradas ni en acls nombradas
estndar.

ACL reflexivas

Los administradores de red utilizan las ACL reflexivas para permitir el trfico
IP en sesiones que se originan en su red y, al mismo tiempo, denegar el trfico
IP en sesiones que se originan fuera de la red.

Estas ACL permiten que el router administre el trfico de sesin en forma

dinmica. El router examina el trfico saliente y, cuando ve una conexin,
agrega una entrada a una ACL temporal para permitir la devolucin de
respuestas.

Las ACL reflexivas contienen slo entradas temporales. Estas entradas se

crean automticamente cuando se inicia una nueva sesin IP (con un paquete
saliente, por ejemplo) y las entradas se eliminan automticamente cuando
finaliza la sesin.

Configuracin de ACL reflexivas

ACL basadas en el Tiempo

La ACL basada en el tiempo es similar en funcin

a la ACL extendida, pero admite control de acceso
basado en el tiempo. Para implementar las ACL
basadas en el tiempo, debe crear un rango horario
que defina la hora especfica del da y la semana.
Debe identificar el rango de tiempo con un
nombre y, luego, remitirse a l mediante una
funcin.

Las ACL basadas en el tiempo tienen

muchos beneficios.

Ofrecen al administrador de red ms control de los permisos y denegaciones

de acceso a los recursos.

Permiten a los administradores de red controlar los mensajes de registro. Las

entradas de las ACL pueden registrar el trfico en determinados momentos
del da, pero no de forma permanente. De esta manera, los administradores
pueden simplemente denegar el acceso, sin tener que analizar los diferentes
registros que se generan durante las horas pico.

Resolucin de problemas Comunes

Resolucin de problemas Comunes

Resolucin de problemas Comunes

Resolucin de problemas Comunes

Resolucin de problemas Comunes

Actividades