Introducción a ACL.ppt

Introducción a las Listas de Control de Acceso (ACLs)

I n g. J osé L u i s M ar t ín ez

1

Introducción 







La seguridad de la red es un tema muy amplio y una buena parte de él va más allá del alcance de este curso. No obstante, una de las capacidades más importantes que un administrador de red necesita es el dominio de las listas de control de acceso (ACL). Los administradores utilizan las ACL para detener el tráfico o  permitir sólo el tráfico específico y, al mismo tiempo, para detener el resto del tráfico en sus redes. Los diseñadores de red utilizan firewalls para proteger las redes contra el uso no autorizado. Los firewalls son soluciones de hardware o software que hacen cumplir las políticas de seguridad de la red. Es como la cerradura de la puerta de la habitación de un edificio. La cerradura sólo permite que ingresen los usuarios autorizados con una llave o tarjeta de acceso. J.L.M

2

Introducción 









Del mismo modo, los firewalls filtran el ingreso a la red de los  paquetes no autorizados o potencialmente peligrosos. En un router Cisco, puede configurar un simple firewall que  proporcione capacidades básicas de filtrado de tráfico mediante las ACL. Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones o protocolos de capa superior. Las ACL brindan una manera poderosa de controlar el tráfico de entrada o de salida de la red. Puede configurar las ACL para todos los protocolos de red enrutados. El motivo más importante para configurar las ACL es brindar seguridad a la red. J.L.M

3

Funciones ACLs 











Limitar el tráfico de red para mejorar el rendimiento de ésta. Esto reduce considerablemente la carga de la red y aumenta su rendimiento. Brindar control de flujo de tráfico. Las ACL pueden inclusive restringir el envío de las actualizaciones de enrutamiento y asi se preserva el ancho de  banda. Proporcionar un nivel básico de seguridad para el acceso a la red. Las ACL  pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. Se debe decidir qué tipos de tráfico enviar o bloquear en las interfaces del router. Por ejemplo, una ACL puede permitir el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet. Controlar las áreas de la red a las que puede acceder un cliente. Analizar los hosts para permitir o denegar su acceso a los servicios de red. Las ACL pueden permitir o denegar el acceso de un usuario a tipos de archivos, como FTP o HTTP. J.L.M

4

Filtrado de paquetes 









El filtrado de paquetes, analiza los paquetes de entrada y de salida y  permite o bloquea su ingreso según un criterio establecido. Un router actúa como filtro de paquetes cuando reenvía o deniega  paquetes según las reglas de filtrado. Cuando un paquete llega al router, éste extrae determinada información del encabezado del paquete y toma decisiones según las reglas de filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El filtrado de paquetes actúa en la capa de red del modelo de interconexión de sistema abierto OSI o en la capa Internet de TCP/IP. Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para determinar la autorización o denegación del tráfico según las direcciones IP de origen y de destino, el puerto origen y el puerto destino, y el protocolo del paquete. Estas reglas se definen mediante las listas de control de acceso o ACL. J.L.M

5

¿ Qué es una Lista de Control de Acceso (ACL)? 





Una lista de criterios mediante los cuales todos los paquetes son comparados. Una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior. Ejemplos:  – 

Pertenece este paquete a la red 10.5.2.0 ?

.

 Si, tome la acción correspondiente (permit o deny).



 No, chequeé la próxima linea de la ACL.



 – 

Proviene este paquete telnet de la red 25.25.0.0 ?  Si, tome la acción correspondiente (permit o deny).



 No, chequeé la próxima linea de la ACL.





Al llegar al final de la ACL niegue o permita todo otro tipo de tráfico (el deny está implícito). J.L.M

6

¿ Qué es una Lista de Control de Acceso (ACL)? 

ACL

J.L.M

7

¿ Como trabaja una lista de acceso (ACL)? 

Los paquetes son comparados a cada línea de la ACL

secuencialmente de arriba hasta abajo. 

Mientras más pronto se tome una decisión mejor.



Una ACL bien hecha toma en consideración primero el tráfico más abundante.



Todas las ACL finalizan con un deny all implícito.

J.L.M

8

¿ Como trabaja una lista de acceso (ACL)? 

ACL de entrada

J.L.M

9

¿ Como trabaja una lista de acceso (ACL)? 

ACL de salida

J.L.M

10

Lista de Control de Acceso (ACL) 

Un filtro a través del cual todo el tráfico debe pasar.



Proveé seguridad.



Administra el ancho de banda.



Mientras más pronto se tome una decisión mejor.



Dos tipos a estudiar: Estándar y Extendida.

J.L.M

11

Access Lists Estándar 





La ACL estándar es una colección secuencial de condiciones de permiso o denegación que aplican a las direcciones IP. No se incluyen el destino del paquete ni los puertos involucrados. Su filtrado se basa solo en la dirección origen del paquete. El orden de las condiciones es muy importante, ya que el software detiene las condiciones de prueba luego de la primera coincidencia. Si no coinciden ningunas de las condiciones, se rechaza la dirección.



Deben ser aplicadas lo más cerca del destino.



Identificadas por un número entre 1-99. J.L.M

12

Access Lists Estándar 

Ubicación de una ACL estándar

J.L.M

13

Access Lists Extendidas 

Son mucho más flexibles y complejas.



Pueden filtrar en base a:  – 

 – 

 – 

Dirección origen. Dirección destino.

Protocolos (ICMP, TCP, UDP ...).

 Número de puerto (80, http; 23, telnet

 – 

).

…



Deben ser aplicadas lo más cerca del origen.



Identificadas por un número entre 100-199. J.L.M

14

Access Lists Extendidas 

Ubicación de una ACL extendida

J.L.M

15

Dos pasos : crear y aplicar (Estándar) 

Paso 1.- Crear la ACL.  – 

access-list # permit/deny source IP wildcard 

# : 1-99.

 permit/deny : Deja pasar o descarta el paquete.



  source IP : Dirección IP con la cual el paquete debe ser comparado. Puede también usarse ANY. 





wildcard : Ver próximas láminas.

Paso 2.- Aplicar la ACL en una interfaz.  – 

 – 

Debe hacerse en modo de configuración de interfaz (config-if)#. Comando : IP access-group # router). J.L.M

in/out (Visto desde

el 16

Máscara wildcard 

Te permite establecer un rango de direcciones IP.



Dos valores son usados:  – 

 – 

0 = Deben coincidir exactamente.

1 = No tiene importancia si coinciden o no.

J.L.M

17

Máscara wildcard 









Las sentencias de las ACL incluyen máscaras, también denominadas máscaras wildcard. Una máscara wildcard es una secuencia de dígitos  binarios que le indican al router qué partes la dirección IP observar. Aunque las máscaras wildcard no tienen una relación funcional con las máscaras de subred, sí proporcionan una función similar. Esta wildcard determina a qué parte de la dirección IP se le debe aplicar la concordancia de direcciones. Los números 1 y 0 de la máscara identifican cómo considerar los bits de direcciones IP correspondientes. Las máscaras wildcard utilizan unos y ceros binarios para filtrar direcciones IP individuales o en grupo para permitir o denegar el acceso a recursos según la dirección IP. Al configurar cuidadosamente las máscaras wildcard, puede permitir o denegar una o varias direcciones IP. J.L.M

18

Ejemplos de wildcard  Network

Wildcard



195.34.5.12

0.0.0.0



Resultado: La wilcard nos indica que deben coincidir los

cuatro octetos. 

Solo 195.34.5.12 coincide.



Puede también usarse host 195.34.5.12 en lugar de la wildcard. Host indica que un match o coincidencia exacta se necesitan. J.L.M

19

Ejemplos de wildcard  Network

Wildcard



172.16.10.0 0.0.0.255



Resultado: La wilcard nos indica que deben coincidir

exactamente los tres primeros octetos, pero se debe ignorar el último. Esto deriva en el filtrado de un rango de Ips. 

Dicho rango abarca desde 172.16.10.0 hasta 172.16.10.255 y resulta del rango de variación posible del último octeto. J.L.M

20

Dos pasos : crear y aplicar (Extendida) 

Crear la ACL extendida

J.L.M

21

Dos pasos : crear y aplicar (Extendida) 

Aplicar la ACL extendida

J.L.M

22

Deny any y permit any 

Recuerde el deny all implícito al final de cada ACL.



 Dos casos:  – 

Determine el tráfico que usted desea permitir. Niegue

cualquier otro tipo de tráfico (deny any, implícito).  – 

Determine el tráfico que usted desea negar. Permita

cualquier otro tipo de tráfico (permit any).

J.L.M

23

Implementación Access Lists 

 No se pueden incluir o remover líneas de una ACL

selectivamente. 

Las modificaciones típicamente se hacen con un editor de texto y luego se incluyen en el router como una nueva lista.



La nueva ACL se aplica y la vieja es removida de la interfaz.



Puedes documentar tu ACL.  – 

Despues de cada línea, indica exactamente que se supone que hace esa línea. J.L.M

24

Monitoreo de Access Lists 

Verificar las ACLs  – 

 – 



Show IP interfaces.

Revisar las ACL despues de unos días.  – 

 – 



Show access-lists.

Los routers mantienen un registro del número de paquetes que coinciden con cada una de las líneas en una ACL. Esta información se debe usar para reordenar las ACL y mejorar así su eficiencia.

Evite remover, sin tomar las medidas necesarias, una ACL que esta aplicada a una interfase, esto puede crear  problemas en el router. J.L.M

25

Resumen 

Son creadas y luego aplicadas a una interface.



Se implementan secuencialmente de arriba hacia abajo.



Al final de todas las ACL existe un deny implícito.



Rangos: Estándar 1-99, Extendidas 100-199.



La estándar usa solo la dirección de origen para filtrar.



La extendida usa el origen, el destino, el protocolo y el número de puerto. J.L.M

26

J.L.M

27