LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Captulo 11

TALLER DE SEGURIDAD INFORMATICA

Contenido
Aspectos fundamentales de una lista de control de acceso

Tipos de ACLs
Configuracin de ACLs

Que son las ACL?

Las ACLs son condiciones que se aplican al trafico que viaja a travs de las interfaces del router. Las ACLs permiten la administracin del trafico y aseguran el acceso hacia y desde una red. Se pueden crear ACLs para todos los posibles protocolos enrutados y aplicar esta para el trafico entrante y el trafico saliente. Por lo que cada interfaz acepta 2 ACLs por cada protocolo enrutado una para la entrada y otra para la salida.
3

Razones para crear ACLs

Limitar el trfico de red y mejorar el rendimiento de la red. Brindar control de flujo de trfico, para preservar el ancho de banda.

Proporcionar un nivel bsico de seguridad para el acceso a la red.

Decidir qu tipos de trfico se envan o bloquean en las interfaces del router. Permitir que se enrute el trfico de correo electrnico, pero bloquear todo el trfico de telnet. Permitir que un administrador controle a cules reas de la red puede acceder un cliente. Analizar ciertos hosts para permitir o denegar acceso a partes de una red. Otorgar o denegar permiso a los usuarios.
4

Funcionamiento de las ACLs

Las ACLs se aplican en el mismo orden que fueron configuradas

Creacin de las ACLs

Funcin de la mascara wildcard Las opciones ANY HOST Una mascara wildcard esyuna cantidad de 32 bits que se divide en 4 octetos y se usa para definir que bits de la direccin de red del trafico entrante o saliente se deben comparar con el valor de comparacin. Si el valor de cualquier bits del wildcard es No bits correspondiente del valor cero lgico; el hay coincidencia Ignorar de comparacin y de la direccin de red del Comparacin no exitosa Comparacin exitosacontrario trafico se deben de comparar, por el Buscar la bits se ignorara. si es uno lgico este condicin Aplicar la siguiente ACL

Verificacin de las ACLs

ACL estndar Las ACLs estndar solo de destino inalcanzable Valores de cdigo para mensajes verifican la direccin origen de los paquetes IP para permitir o rechazar el acceso a todo el conjunto de aplicaciones soportados por el protocolo. Los rangos de nmeros que identifican a las ACLs estndar van desde 1 a 99 y para los IOS 12.1 o superiores del 1300 a 1999. Debido a que estas ACLs filtran basado en la direccin origen, en la mayora de los casos funcionan mejor al colocarlas mas cerca del destino del trafico.
9

ACL extendidas eq: igual, gt: extendidas verifican las neq: no igual Las ACLs mayor que, lt: menor que y direcciones de origen y destino adems de los protocolos y nmeros de puerto de la aplicacin a filtrar. Estas ACLs soportan adems operadores Protocolo de lograr 3 lgicos para capa 4 oajustar de formaOperador mas precisa los filtros que se desean configurar. Debido a que ofrecen mayor control se utilizan mas frecuentemente que las ACLs estndar. La sentencia es mas larga y por lo tanto mas engorrosa.
10

ACL nombradas
Fueron introducidas a partir del IOS version 11.2, para permitir que las ACLs tuvieran nombres en lugar de nmeros. Identifican intuitivamente el filtro usando nombres. No tienen limitaciones de cantidad de ACLs que pueden crearse. Presentan mayores facilidades de modificacin que las ACLs numeradas.
En modo de configuracin global

11

Ubicacin de las ACLs La regla comn es ubicar las lista de control de acceso extendidas mas cerca del origen del trafico; por otro lado las estandar al filtrar basado en la direccin origen debe ubicarse preferentemente mas cerca del destino.

Destino del trafico Origen del trafico

12

Firewalls
Un firewalls es una estructura arquitectnica lgica que existe entre el usuario y el mundo exterior, con el propsito de proteger la red interna de los intrusos. En esta arquitectura el router conectado a Internet o router exterior obliga a que todo el trafico entrante pase por el gateway de aplicacin. El router interior acepta entonces solo los paquetes que vienen del gateway, generando con el firewalls un aislamiento de la red interna. Las ACLs se usan en los firewalls para crear el modelo de seguridad de la red interna.
13

Como restringir el acceso VTY hacia el router Las ACLs estn diseadas para aplicarse a paquetes que viajan a travs del router y no para los paquetes que tienen su origen o destino en el router mismo. Por tanto si el propsito es permitir o bloquear el trafico que se origina por las sesiones de telnet, es necesario aplicar la lista a los puertos lgicos donde residen las sesiones.

Las restricciones para sesiones telnet solo pueden aplicarse con ACLs numeradas.
14

15