Listas de Acceso Módulo 11
Introducción a las ACLs Los administradores de red deben buscar maneras de impedir el acceso no autorizado a la red, permitiendo al mismo tiempo el acceso de los usuarios internos a los servicios requeridos. Aunque las herramientas de seguridad, como por ejemplo: las contraseñas, equipos de callback y dispositivos de seguridad física, son de ayuda, a menudo carecen de la flexibilidad del filtrado básico de tráfico y de los controles específicos que la mayoría de los administradores prefieren.
Objetivos Los estudiantes que completen este módulo deberán ser capaces de: Describir las diferencias entre las ACL estándar y extendida. Explicar las reglas para establecer las ACL. Crear y aplicar las ACL nombradas. Describir las funciones de los firewalls. Utilizar las ACL para restringir el acceso a la terminal virtual.
¿Qué son las ACL? Las ACL son listas de condiciones que se aplican al tráfico que viaja a través de la interfaz del router. Estas listas le informan al router qué tipo de paquetes aceptar o rechazar. La aceptación y rechazo se pueden basar en ciertas condiciones específicas. Las ACL permiten la administración del tráfico y aseguran el acceso hacia y desde una red. Las ACL se definen según el protocolo, la dirección o el puerto. Para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Las ACL controlan el tráfico en una dirección por vez, en una interfaz. Se necesita crear una ACL por separado para cada dirección, una para el tráfico entrante y otra para el saliente. Finalmente, cada interfaz puede contar con varios protocolos y direcciones definidas. Si el router tiene dos interfaces configuradas para IP, AppleTalk e IPX, se necesitan 12 ACLs separadas. Una ACL por cada protocolo, multiplicada por dos por dirección entrante y saliente, multiplicada por dos por el número de puertos.
Razones principales para crear las ACL Limitar el tráfico de red y mejorar el rendimiento de la red. Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las actualizaciones de enrutamiento. Proporcionar un nivel básico de seguridad para el acceso a la red. Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Permitir que se enrute el tráfico de correo electrónico, pero bloquear todo el tráfico de telnet. Permitir que un administrador controle a cuáles áreas de la red puede acceder un cliente. Analizar ciertos hosts para permitir o denegar acceso a partes de una red, tales como FTP o HTTP.
¿Función de las ACL?
Funcionamiento de las ACL deny any !
Creación de las ACL 1. Las ACL se crean en el modo de configuración global. 2. Existen varias clases diferentes de ACLs: estándar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL en el router, cada ACL debe identificarse de forma única, asignándole un número. Este número identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango específico de números que es válido para ese tipo de lista
Creación de las ACL 3. Después de ingresar al modo de comando apropiado y que se decide el número de tipo de lista, el usuario ingresa sentencias de lista de acceso utilizando el comando access-list, seguida de los parámetros necesarios. El cual consta de 2 pasos:
Creación de las ACL
Creación de las ACL En TCP/IP, las ACL se asignan a una o más interfaces y pueden filtrar el tráfico entrante o saliente, usando el comando ip access-group en el modo de configuración de interfaz. Al asignar una ACL a una interfaz, se debe especificar la ubicación entrante o saliente.
Creación de las ACL Para Crearla Para Eliminarla
Reglas básicas a la hora de crear y aplicar las listas de acceso Una lista de acceso por protocolo y por dirección. Se deben aplicar las listas de acceso estándar que se encuentran lo más cerca posible del destino. Se deben aplicar las listas de acceso extendidas que se encuentran lo más cerca posible del origen. Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando el puerto desde adentro del router. Las sentencias se procesan de forma secuencial desde el principio de la lista hasta el final hasta que se encuentre una concordancia, si no se encuentra ninguna, se rechaza el paquete. Hay un deny any (denegar cualquiera)implícito al final de todas las listas de acceso. Esto no aparece en la lista de configuración. Las entradas de la lista de acceso deben realizar un filtro desde lo particular a lo general. Primero se deben denegar hosts específico y por último los grupos o filtros generales.
Objetivos Primero se examina la condición de concordancia. El permiso o rechazo se examina SÓLO si la concordancia es cierta. Nunca trabaje con una lista de acceso que se utiliza de forma activa. Utilice el editor de texto para crear comentarios que describan la lógica, luego complete las sentencias que realizan esa lógica. Siempre, las líneas nuevas se agregan al final de la lista de acceso. El comando no access-listx elimina toda la lista. No es posible agregar y quitar líneas de manera selectiva en las ACL numeradas. Una lista de acceso IP envía un mensaje ICMP llamado de host fuera de alcance al emisor del paquete rechazado y descarta el paquete en la papelera de bits. Se debe tener cuidado cuando se descarta una lista de acceso. Si la lista de acceso se aplica a una interfaz de producción y se la elimina, según sea la versión de IOS, puede haber una deny any (denegar cualquiera) por defecto aplicada a la interfaz, y se detiene todo el tráfico. Los filtros salientes no afectan al tráfico que se origina en el router local.
Función de la máscara wildcard Una máscara wildcard se compara con una dirección IP. Los números binarios uno y cero en la máscara se usan para identificar cómo se deben manejar los bits de la dirección IP correspondiente. Las máscaras wildcard se utilizan con distintos propósitos y siguen reglas diferentes de las de las máscaras de subredes. Las máscaras wildcard están diseñadas para filtrar direcciones IP individuales o múltiples, a fin de permitir o rechazar el acceso a los recursos según las direcciones. Otro problema es que los unos y ceros significan cosas diferentes en la máscara wildcard y en la máscara de subred. Un cero significa que se deje pasar el valor para verificarlo. Las X (1) significan impedir que se compare el valor.
Función de la máscara wildcard Hay dos palabras clave especiales que se utilizan en las ACL: las opciones any y host. La opción any reemplaza a la dirección IP y la máscara 255.255.255.255. Esta máscara dice que ignora la dirección IP completa o que acepta todas las direcciones. La máscara 0.0.0.0 reemplaza a la opción host. Esta máscara establece que todos los bits de la dirección IP deben coincidir o que solamente un host coincide. La máscara wildcard de una máscara de subred completa se obtiene al restar la máscara de subred de 255.255.255.255. Por ejemplo, si la máscara de subred es 255.255.240.0, se usará la siguiente ecuación: 255.255.255.255 - 255.255.240.0 0. 0. 15.255 0.0.15.255 es la máscara wildcard.
Ejemplo 1
Ejemplo 1
Ejemplo 2
Ejemplo 2
Ejemplo 3
Ejemplo 3
Permitir a un PC específico Permitir a Cualquiera Permitir a un PC específico
Verificación de las ACL Existen varios comandos show que verifican el contenido y ubicación de las ACL en el router. El comando show ip interface muestra información de la interfaz IP e indica si se ha establecido alguna ACL. El comando show access-lists muestra el contenido de todas las ACL en el router. Para ver una lista específica, agregue el nombre o número ACL como opción a este comando.
ACL estándar Las ACL estándar verifican SOLO la dirección origen de los paquetes IP que se deben enrutar. Se deben usar las ACL estándar cuando se desea BLOQUEAR todo el tráfico e una Red, permitir todo el tráfico desde una red específica o denegar conjuntos de protocolos. Con la comparación se permite o rechaza el acceso a todo un conjunto de protocolos, según las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen en Fa0/0 para establecer la dirección origen y el protocolo. Si se les otorga el permiso, los paquetes se enrutan a través del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz entrante. La sintaxis completa del comando ACL estándar es: Router(config)#access-listaccess-list-number {deny | permit | remark} source [source-wildcard ] [log]
Ejemplo 1 Permitir solamente el tráfico proveniente de la red 172.16.0.0
Ejemplo 2 Bloquear el tráfico proveniente de la dirección 172.16.4.13 y permitir todo el tráfico restante enviándolo a la dirección Fe0/0
ACL extendidas Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque ofrecen un mayor rango de control. Las ACL extendidas verifican las direcciones de paquetes de origen y destino, y también los protocolos y números de puerto. Esto ofrece mayor flexibilidad para definir qué filtrará la ACL. Se puede permitir o rechazar el acceso de los paquetes según el lugar donde se originaron y su destino, así como el tipo de protocolo y direcciones de puerto. Es posible configurar varias declaraciones en una sola ACL. La sintaxis de una declaración ACL extendida puede ser muy extensa, y a menudo se ajustará la línea en la ventana terminal. Las wildcards también tienen la opción de utilizar las palabras clave host o any en el comando. Las ACL extendidas utilizan las direcciones origen y destino. Adicionalmente se debe conocer qué puertos se utilizan para FTP, Telnet, SMTP, HTTP y DNS. La primera parte de la ACL extendida IP es la misma que la de la ACL estándar IP. El número está entre 100 y 199.
ACL extendidas
Direcciones de Puertos
ACL nombradas Las ACL nombradas IP se introdujeron en el software Cisco IOS versión 11.2 para permitir que las ACL extendidas y estándar tuvieran nombres en lugar de números. Las ventajas de una lista de acceso nombrada son las siguientes: Identifica intuitivamente las ACL con un nombre alfanumérico. Elimina el límite de 99 ACL simples y 100 extendidas. Permite modificar las ACL sin eliminarlas y, luego, reconfigurarlas.
Introducción a las ACLs Creación ACL nombrada Definición de restricciones
Ubicación de las ACL Las ACL se utilizan para controlar el tráfico, mediante el filtrado de paquetes y la eliminación del tráfico no deseado de la red. Otra consideración importante para tener en cuenta al implementar las ACL es dónde se ubica la lista de acceso. La ACL se debe colocar en un lugar donde mejore la eficiencia de forma significativa. La regla general consiste en colocar las ACL extendidas lo más cerca posible del origen del tráfico denegado. Las ACL estándar no especifican las direcciones destino, de modo que se deben colocar lo más cerca posible del destino.
Cómo restringir el acceso de terminal virtual Las listas de acceso extendidas y estándar se aplican a paquetes que viajan a través de un router. No están diseñadas para bloquear paquetes que se originan dentro del router. Una lista de acceso extendida Telnet saliente, por defecto, no impide las sesiones Telnet iniciadas por el router. Este tipo de ACL controla cuáles son los usuarios que pueden hacer telnet en un router remoto.
El proceso de creación de una lista de acceso vty es igual al descrito para una interfaz. Sin embargo, para aplicar la ACL a una línea terminal se necesita el comando access-class en vez del access-group. Cuando configure las listas de acceso en las líneas vty tenga en consideración lo siguiente: Cuando controle el acceso a una interfaz, es posible utilizar un número o un nombre. Sólo se pueden aplicar listas de acceso numeradas a las líneas virtuales. Imponga restricciones idénticas a todas las líneas de terminal virtual, porque el usuario puede querer conectarse a cualquiera de ellas.
Cómo restringir el acceso de terminal virtual