Listas de control de acceso o ACL.

Listas de control de acceso o ACL.

Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones IP o protocolos de capa superior. La ACL puede extraer la siguiente informacin del encabezado del paquete, probarla respecto de las reglas y decidir si "permitir" o "denegar" el ingreso segn los siguientes criterios:
Direccin IP de origen Direccin IP de destino Tipo de mensaje ICMP

La ACL tambin puede extraer informacin de las capas superiores y probarla respecto de las reglas. La informacin de las capas superiores incluye:
Puerto TCP/UDP de origen Puerto TCP/UDP de destino

ACL

ACL
La ACL se revisa de arriba a abajo, una lnea a la vez, y se busca un patrn que coincida con el paquete entrante.

Las tres P
Puede configurar una ACL por protocolo, por direccin y por interfaz.
Una ACL por protocolo: para controlar el flujo de trfico de una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Una ACL por direccin: las ACL controlan el trfico en una direccin a la vez de una interfaz. Deben crearse dos ACL por separado para controlar el trfico entrante y saliente. Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por ejemplo, Fast Ethernet 0/0.

ACL, tareas
Las ACL realizan las siguientes tareas:
Limitar el trfico de red para mejorar el rendimiento de sta. Brindar control de flujo de trfico. Proporcionar un nivel bsico de seguridad para el acceso a la red. Se debe decidir qu tipos de trfico enviar o bloquear en las interfaces del router. Controlar las reas de la red a las que puede acceder un cliente. Analizar los hosts para permitir o denegar su acceso a los servicios de red. Las ACL inspeccionan los paquetes de la red segn un criterio, como direccin de origen, de destino, protocolos y nmeros de puerto. Adems de permitir o denegar el trfico, una ACL puede clasificar el trfico para darle prioridad en la lnea.

Cmo funcionan las ACL

Las listas de acceso definen el conjunto de reglas que proporcionan control adicional para los paquetes que ingresan a las interfaces de entrada, paquetes que pasan a travs del router y paquetes que salen de las interfaces de salida del router. Las ACL no actan sobre paquetes que se originan en el mismo router. Las ACL se configuran para ser aplicadas al trfico entrante o saliente.
ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz de salida. ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesados a travs de la ACL de salida.

ACL de entrada

ACL de salida

ACL Cisco: estndar y extendidas.

Hay dos tipos de ACL Cisco: estndar y extendidas. ACL estndar
Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados.

ACL extendidas
Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor disparidad de control.

Tipos de ACL

Numeracin de las ACL

Ubicacin adecuada de las ACL

ACL extendidas lo ms cerca posible del origen del trfico denegado. De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de red. ACL estndar no especifican las direcciones de destino, colquelas lo ms cerca del destino posible.

ACL Estandar = Destino

ACL Extendida = Origen

Mejores prcticas de las ACL

Configuracin de las ACL estndar

Para configurar las ACL estndar numeradas en un router Cisco, primero debe crear la ACL estndar y, luego, activarla en una interfaz. El comando de configuracin global access-list define una ACL estndar con un nmero entre 1 y 99. El software IOS de Cisco Versin 12.0.1 extendi el rango y permite desde 1300 a 1999. Estos nmeros adicionales son denominados ACL IP expandidos. Para crear una ACL numerada nombrada 10 que permita la red 192.168.10.0 /24, debe ingresar:
R1(config)# access-list 10 permit 192.168.10.0

Para eliminar la ACL, se utiliza el comando de configuracin global no access-list <nmero acl>. show access-list

Configuracin de las ACL estndar

Mscaras wildcard
Una mscara wildcard es una secuencia de dgitos binarios que le indican al router qu partes del nmero de subred observar. Las mscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros binarios.
Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la direccin Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin

Mscaras wildcard

Palabras clave de la mscara de bits wildcard

La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica que todos los bits de direcciones IP deben coincidir o que slo un host coincide. La opcin any reemplaza la direccin IP y la mscara 255.255.255.255. Esta mscara indica que debe ignorarse toda la direccin IP o que deben aceptarse todas las direcciones.

Palabras clave de la mscara de bits wildcard

Procedimientos de configuracin de las ACL estndar

ACL para controlar el acceso VTY

Cisco recomienda utilizar SSH para conexiones administrativas a routers y switches. Si la imagen del software IOS de Cisco en su router no admite SSH, puede mejorar parcialmente la seguridad de las lneas administrativas restringiendo el acceso VTY. El comando access-class para filtrar sesiones de Telnet entrantes y salientes mediante direcciones de origen y para aplicar filtros a las lneas VTY, puede utilizar las sentencias de ACL estndar para controlar el acceso VTY. La sintaxis del comando access-class es:
access-classaccess-list-number {in [vrf-also] | out}

El parmetro in restringe las conexiones entrantes entre un dispositivo Cisco particular y las direcciones de la lista de acceso, mientras que el parmetro out restringe las conexiones salientes entre un dispositivo Cisco particular y las direcciones de la lista de acceso.

ACL para controlar el acceso VTY

Cuando configure las listas de acceso en las VTY, tenga en consideracin lo siguiente: Slo se pueden aplicar listas de acceso numeradas a las VTY. Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar conectarse a cualquiera de ellas.

Edicin de las ACL numeradas

Comentarios en las ACL

ACL estndar nombrada

Visualizar los contenidos de las ACL

Edicin de ACL nombradas

Las ACL nombradas son ms fciles de editar. A partir del software IOS de Cisco versin 12.3, las ACL IP nombradas permiten borrar entradas individuales en una ACL especfica. Puede usar secuencias de nmeros para insertar sentencias en cualquier parte de la ACL nombrada. Si utiliza una versin anterior del software IOS, puede agregar sentencias slo al final de la ACL nombrada. Como puede borrar entradas individuales, puede modificar su ACL sin necesidad de borrar y luego reconfigurar toda la ACL.

Edicin de ACL nombradas

ACL extendidas
ACL extendidas numeradas del 100 al 199 y del 2000 al 2699, ofrecen un total de 799 ACL extendidas posibles. A las ACL extendidas tambin se les puede asignar un nombre. Las ACL extendidas se utilizan con ms frecuencia que las ACL estndar porque proporcionan un mayor control.

ACL extendidas

ACL extendidas

Configuracin de ACL extendidas

Sin el parmetro established en la sentencia de ACL, los clientes pueden enviar trfico a un servidor Web, pero no lo reciben de ese servidor.

Cmo aplicar una ACL a una interfaz

Tipos de ACL complejas

ACL dinmicas
Las ACL dinmicas comienza con la aplicacin de una ACL extendida para bloquear trfico que atraviesa de router. Los usuarios que deseen atravesar el router son bloqueados por la ACL extendida hasta que utilizan Telnet para conectarse al router y ser autenticados. En ese momento, se interrumpe la conexin a Telnet, y se agrega una ACL dinmica de nica entrada a la ACL extendida existente. Esta entrada permite el trfico por un perodo determinado; es posible que se produzcan errores por inactividad y superacin del tiempo de espera.

ACL dinmicas

ACL dinmicas

ACL dinmicas

ACL reflexivas
Los administradores de red utilizan las ACL reflexivas para permitir el trfico IP en sesiones que se originan en su red y, al mismo tiempo, denegar el trfico IP en sesiones que se originan fuera de la red. Estas ACL permiten que el router administre el trfico de sesin en forma dinmica. El router examina el trfico saliente y, cuando ve una conexin, agrega una entrada a una ACL temporal para permitir la devolucin de respuestas. Las ACL reflexivas contienen slo entradas temporales.

ACL reflexivas
Las ACL reflexivas proporcionan una forma ms exacta de filtrado de sesin que una ACL extendida que utiliza el parmetro established presentado anteriormente. Si bien son similares en cuanto al concepto del parmetro established, las ACL reflexivas tambin funcionan para UDP e ICMP, que no tienen bits ACK ni RST. Las ACL reflexivas slo pueden definirse con ACL IP extendidas nombradas. No pueden definirse con ACL numeradas ni estndar nombradas ni con otras ACL protocolo. Las ACL reflexivas pueden utilizarse con otras ACL estndar y extendidas estticas.

Beneficios de las ACL reflexivas

Ayudan a proteger la red de piratas informticos y pueden incluirse en un firewall. Proporcionan un nivel de seguridad contra ataques de suplantacin de identidad y de denegacin de servicios. Las ACL reflexivas son mucho ms resistentes a los ataques de suplantacin de identidad porque deben coincidir ms criterios de filtro antes de dejar ingresar un paquete. Por ejemplo, se verifican las direcciones de origen y de destino y los nmeros de puerto, no solamente los bits ACK y RST. Son fciles de utilizar y, comparadas con las ACL bsicas, proporcionan un mayor control de los paquetes que ingresan a la red.

ACL reflexivas

ACL reflexivas

ACL reflexivas

ACL basadas en el tiempo

La ACL basada en el tiempo es similar en funcin a la ACL extendida, pero admite control de acceso basado en el tiempo. Para implementar las ACL basadas en el tiempo, debe crear un rango horario que defina la hora especfica del da y la semana. Debe identificar el rango de tiempo con un nombre y, luego, remitirse a l mediante una funcin. Las restricciones temporales son impuestas en la misma funcin.

ACL basadas en el tiempo

ACL basadas en el tiempo

Paso 1. Defina el rango de tiempo para implementar la ACL y darle el nombre EVERYOTHERDAY, en este caso.

Paso 2. Aplique el rango de tiempo a la ACL.

ACL basadas en el tiempo

Paso 3. Aplique la ACL a la interfaz.