Access Control List Modulo 11, Semestre 2 CCNA.

Introducción Las listas de control de Acceso (ACLs) son un conjunto de condiciones que se aplican al tráfico que viaja a traves de la interfaz de un enrutador. Las ACLs le dicen al entutador que tipos de paquetes aceptar o negar. Con estas listas podemos habilitar el manejo del tráfico y accesos seguros desde y hacia una red ya sea interna o externa.

ACL Configuración de ACLs Estándar y Extendidas con la CLI Las ACL son usadas ampliamente en las redes de computadoras y en la seguridad de red para mitigar los ataques de red y controlar el tráfico de red. Los administradores utilizan ACLs para definir y controlar clases de tráfico sobre dispositivos de red basados en varios parámetros. Estos parámetros son específicos de la capas 2, 3, 4 y 7 del modelo OSI.

ACL Configuración de ACLs Estándar y Extendidas con la CLI Prácticamente cualquier tipo de tráfico puede ser definido explícitamente mediante el uso de la apropiada ACL numerada. Por ejemplo, en el pasado, el campo type Ethernet de la cabecera de una trama Ethernet era usado para definir ciertos tipos de tráfico. Un valor para el campo type de 0x8035 indica una trama RARP. Las ACL numeradas con un valor entre 200 y 299 eran usadas para controlar el tráfico en función del campo type Ethernet.

ACL Configuración de ACLs Estándar y Extendidas con la CLI También era común la creación de ACLs basadas en direcciones MAC. Una ACL numerada entre 700 y 799 indica que el tráfico es clasificado y controlado basado en direcciones MAC. Después de que el tipo de clasificación se especifica, se controlan los parámetros requeridos para que la ACL pueda ser establecida. Por ejemplo, una ACL numerada entre 700 y 799 podría ser utilizada para bloquear un cliente con una dirección MAC de asociación con un predeterminado punto de acceso.

ACL Configuración de ACLs Estándar y Extendidas con la CLI Hoy, cuando clasificamos el tráfico, los más comunes Tipos de parámetros utilizados en seguridad relacionados con las ACLs implican dirección IPv4 e IPv6 así como puertos TCP y UDP. Por ejemplo, una ACL puede permitir a todos los usuarios con una dirección de red IP específica descargar ficheros desde Internet usando un FTP seguro. Esa misma ACL puede ser usada para denegar a todas las direcciones IP el el acceso a FTP tradicionales.

Búsqueda secuencial.

LISTAS DE CONTROL DE ACCESO Configuración de ACLs Estándar y Extendidas con la CLI

Basic Rules. Una lista de acceso por protocolo por dirección. Las ACLs estándares deben aplicarse lo mas cerca al destino. Las ACLs extendidas deben aplicarse lo mas cerca a la fuente. Para saber si la aplicación de la lista sera de entrada o de salida tenemos que visualizar como el router ve el tráfico. Los enunciados son procesados de forma secuencial desde el inicio hasta que el tráfico coincide con alguno. Si no coincide con ningún enunciado entonces el paquete es negado. Existe un “implicit deny” al final de todas las ACLs. Los enunciados de las ACLs deben escribirse de lo especifico a lo general (hosts especificos deben negarse primero y grupos o filtros mas generales después).

Rules. Primero se evalua si el tráfico coincide con alguna regla, si coincide con alguna, entonces se realiza la función de permitir o negar. Nunca trabajar con una ACL que se encuentra aplicada y funcionando en una interfaz. Se recomienda utilizar un editor de texto para crear comentarios sobre las condiciones que se estan evaluando para corrobar que es la lógica correcta. Al añadir nuevas lineas a una ACL, se agregarán al final de la lista. El comando no access-list x removerá toda la lista, no se pueden seleccionar únicamente líneas para borrar. Una IP ACL enviará un “ICMP host unreachable message” a quien envía un paquete que fue rechazado y descartará el paquete. Hay que tener cuidado al remover una ACL. Si esta se encuentra aplicada a una interfaz en producción y es removida puede que el IOS (varia segun la version) niegue todo el tráfico.

Wildcard y palabras especiales. Wildcard mask es una cantidad de 32 bits dividida en 4 octetos. Los 0s y los 1s se utilizan para identificar como se deben tratar los bits correspondientes de la IP. Existen algunas palabras con las que se pueden sustituir las wildcard masks. La palabra host sustituye a la wildcard mask 0.0.0.0 y any sustituye a 255.255.255.255.

Verificando ACLs Comandos show que nos permiten verificar la creación y aplicación de nuestras ACLs: show ip interface show access-lists show running-config

Standard ACLs.

Extended ACLs.

Extended ACLs.

Named ACLs IP named ACLs se introdujeron a partir de los Cisco IOS 11.2, permitiendo las ACLs standard y extended pudieran definirse con nombres en lugar de números. Ventajas: Es mas fácil identificar a una ACL por un nombre. Elimina las reestricciones de la numeración por tipo de ACL. Provee la habilidad de modificar las ACLs sin borrarlas. Se pueden añadir líneas al final de las ya creadas.

Named ACLs

Placing ACLs. Recordar: Un administrador sólo puede colocar una ACL en un router sobre el cual tenga control, por lo tanto el lugar donde se coloca debe ser determinado por el contexto en el que nos encontramos.

Firewalls. Recordando: Un firewall es una estructura que existe entre el usuario y el mundo exterior para proteger nuestra red interna de intrusos. Las ACLs pueden funcionar como Firewalls.

Restricting VTYs Para aplicar una ACL a una interfaz utilizamos el comando ip access-group, para aplicarla a una terminal virtual utilizamos el comando access-class. Consideraciones al configurar lineas VTY: Solo pueden ser aplicadas “numbered ACLs”. Se tienen que establecer reestricciones idénticas en todas las terminales virtuales, ya que un intruso puede tratar de conectarse a cualquiera de ellas.

Restricting VTYs

ACL EJEMPLO Utilización de ACLs estándar y extendidas ACLs estándar Determinar si utilizar ACLs estándar o extendidas se basa en los objetivos generales de la ACL completa. Por ejemplo, imagínese un escenario en el cual todo el tráfico desde una sola subred, 172.16.4.0, debe ser denegado hacia otra subred, pero el resto del tráfico debe permitirse.

ACL EJEMPLO Utilización de ACLs estándar y extendidas ACLs estándar En este caso se puede aplicar una ACL estándar saliente sobre la interface Fa0/0: Todos los hosts de la subred 172.16.4.0 son bloqueados al salir por la interface Fa0/0 hacia la subred 172.16.3.0. Estos son los parámetros del comando access-list: • El parámetro 1 indica que se trata de una ACL estándar. • El parámetro deny indica que el tráfico que coincide con el parámetro seleccionado no es enviado. • El parámetro 172.16.4.0 es la dirección IP de la subred origen. • El parámetro 0.0.0.255 es la máscara de wildcard. Los ceros indican la posición que deben coincidir al ejecutar la función AND; los unos indican la posición que serán ignoradas. La mascara con ceros en los tres primeros octetos indica que esas posiciones deben coincidir. El 255 indica que el último octeto será ignorado. • El parámetro permit indica que el tráfico que coincide los parámetros seleccionados es enviado. • El parámetro any es una abreviación para las direcciones IP origen. Indica una dirección origen 0.0.0.0 y una máscara wildcard 255.255.255.255; todas las direcciones coincidirán. Debido al deny implícito al final de todas las ACLs, el comando access-list 1 permit any debe ser incluido para asegurar que sólo el tráfico que proviene de la subred 172.16.4.0 es bloqueado y que el resto del tráfico es permitido.

ACL EJEMPLO Utilización de ACLs estándar y extendidas ACLs extendidas En comparación con las ACLs estándar, las ACLs extendidas permiten que determinados tipos de tráfico sean denegados o permitidos. Imagina un escenario en el que el tráfico FTP desde una subred debe ser denegado hacia otra subred. En este caso, una ACL extendida se requiere para filtrar un tipo de tráfico específico.

ACL EJEMPLO Utilización de ACLs estándar y extendidas ACLs extendidas En esta ACL, el acceso al FTP es denegado desde subred 172.16.4.0/24 a la subred 172.16.3.0/24. El resto del tráfico es permitido. El puerto TCP 21 es utilizado para controlar el tráfico FTP. El puerto TCP 20 es utilizado para transferir datos FTP. Ambos puertos son denegados. La sentencia permit ip any any es requerida al final de la ACL, de lo contrario, todo el tráfico es denegado debido a la sentencia implícita deny. En este ejemplo, la mejor ubicación de la ACL es hacia el interior de la interface Fa0/1. Esto asegura que el tráfico FTP no deseado es parado antes de debilitar los recursos de procesamiento del router.

ACL EJEMPLO Utilización de ACLs estándar y extendidas ACLs extendidas En esta ACL, el acceso al FTP es denegado desde subred 172.16.4.0/24 a la subred 172.16.3.0/24. El resto del tráfico es permitido. El puerto TCP 21 es utilizado para controlar el tráfico FTP. El puerto TCP 20 es utilizado para transferir datos FTP. Ambos puertos son denegados. La sentencia permit ip any any es requerida al final de la ACL, de lo contrario, todo el tráfico es denegado debido a la sentencia implícita deny. En este ejemplo, la mejor ubicación de la ACL es hacia el interior de la interface Fa0/1. Esto asegura que el tráfico FTP no deseado es parado antes de debilitar los recursos de procesamiento del router. Tener en cuenta, con esta ACL, una sentencia permit any any reemplaza la sentencia implícita que deniega todo el tráfico que está al final de cada ACL. Esto significa que el resto del tráfico, incluyendo el tráfico FTP originado en la red 172.16.4.0/24 y destinado a cualquier otra red distinta de la red 172.16.3.0/24, será permitido.

Access Control List Modulo 11, Semestre 2 CCNA.