Embed Size (px)
Citation preview
Curso de Actualización
Listas de Control de Acceso
Ricardo Gonzalez
Listas de Control de Acceso
Curso de Actualización
Listas de Control de Acceso Los diseñadores de red utilizan firewalls para proteger las redes contra el uso no autorizado. Los firewalls son soluciones de hardware o software que hacen cumplir las políticas de seguridad de la red. En un router Cisco, puede configurar un simple firewall que proporcione capacidades básicas de filtrado de tráfico mediante las ACL. Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones o protocolos de capa superior. Las ACL brindan una manera poderosa de controlar el tráfico de entrada o de salida de la red. Puede configurar las ACL para todos los protocolos de red enrutados.
Listas de Control de Acceso
Curso de Actualización
Las ACL le permiten controlar el tráfico de entrada y de salida de la red. Este control puede ser tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las ACL también pueden configurarse para controlar el tráfico de red según el puerto TCP que se utiliza. Para comprender cómo funciona una ACL con TCP, observemos el diálogo durante una conversación TCP cuando descarga una página Web a su equipo.
Listas de Control de Acceso
Curso de Actualización
Listas de Control de Acceso
Curso de Actualización
Listas de Control de Acceso
Curso de Actualización
Listas de Control de Acceso
Curso de Actualización
Listas de Control de Acceso
Curso de Actualización
x
Listas de Control de Acceso
El filtrado de paquetes, a veces denominado filtrado estático de paquetes, controla el acceso a la red, analiza los paquetes de entrada y de salida, y permite o bloquea su ingreso según un criterio establecido. Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para determinar la autorización o denegación del tráfico según las direcciones IP de origen y de destino, el puerto origen y el puerto destino, y el protocolo del paquete. Estas reglas se definen mediante las listas de control de acceso o ACL.
Listas de Control de Acceso Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior. La ACL puede extraer la siguiente información del encabezado del paquete, probarla respecto de las reglas y decidir si "permitir" o "denegar" el ingreso según los siguientes criterios: • Dirección IP de origen
• Dirección IP de destino
• Tipo de mensaje ICMP La ACL también puede extraer información de las capas superiores y probarla respecto de las reglas. La información de las capas superiores incluye:
• Puerto TCP/UDP de origen
• Puerto TCP/UDP de destino
Listas de Control de Acceso
Curso de Actualización
Hay dos tipos de ACL Cisco: estándar y extendidas. ACL estándar Las ACL estándar le permiten autorizar o denegar el tráfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el tráfico desde la red 192.168.30.0/24. Debido a la sentencia implícita "deny any" (denegar todo) al final, todo el otro tráfico se bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración global.
Listas de Control de Acceso
Curso de Actualización
ACL extendidas Las ACL extendidas filtran los paquetes IP en función de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e información opcional de tipo de protocolo para una mejor disparidad de control. En la figura, la ACL 103 permite el tráfico que se origina desde cualquier dirección en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo de configuración global.
Listas de Control de Acceso
Curso de Actualización
Lógica de las ACL estándar En la figura, se revisan las direcciones de origen de los paquetes que ingresan a Fa0/0:
access-list 2 deny 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255 Si los paquetes tienen permiso, se enrutan a través del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz de entrada.
Listas de Control de Acceso
Listas de Control de Acceso Máscaras wildcard
Las sentencias de las ACL incluyen máscaras, también denominadas máscaras wildcard. Una máscara wildcard es una secuencia de dígitos binarios que le indican al router qué partes del número de subred observar. La máscara determina qué parte de la dirección IP de origen y destino aplicar a la concordancia de direcciones. Los números 1 y 0 de la máscara identifican cómo considerar los bits de direcciones IP correspondientes. Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la dirección Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección
Listas de Control de Acceso
Curso de Actualización
Listas de Control de Acceso
Curso de Actualización
Procedimientos de configuración de las ACL estándar Luego de configurar una ACL estándar, se la vincula a una interfaz con el comando ip access-group: Router(config-if)#ip access-group {número de lista de acceso | nombre de lista de acceso} {in | out}
Listas de Control de Acceso
Listas de Control de Acceso
Listas de Control de Acceso
Prueba de puertos y servicios La posibilidad de filtrar protocolos y números de puerto le permite crear ACL extendidas muy específicas. Mediante el número de puerto adecuado, puede especificar una aplicación al configurar el número de puerto o el nombre de un puerto bien conocido.
Listas de Control de Acceso
Listas de Control de Acceso
Listas de Control de Acceso
