Administracin de Redes

Ing. Ma. Eugenia Macas Ros

Una de las capacidades ms importantes que un administrador de red necesita, es el dominio de las listas de control de acceso (ACL)

Las ACL se utilizan para detener el trfico o permitir slo el trfico especfico y, al mismo tiempo, para detener el resto del trfico en sus redes

Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones o protocolos de capa superior

Las ACL brindan una manera poderosa de controlar el trfico de entrada o de salida de la red

El motivo ms importante para configurar las ACL es brindar seguridad a la red.

Las ACL le permiten controlar el trfico de entrada y de salida de la red.

Las ACL tambin pueden configurarse para controlar el trfico de red segn el puerto TCP que se utiliza.

Una conversacin TCP

Una conversacin TCP

A veces denominado filtrado esttico de paquetes, controla el acceso a la red, analiza los paquetes de entrada y de salida, y permite o bloquea su ingreso segn un criterio establecido. El filtrado de paquetes acta en la capa de red del modelo de OSI o en la capa Internet de TCP/IP

Un router de filtrado de paquetes utiliza reglas para determinar la autorizacin o denegacin del trfico segn las direcciones IP de origen y de destino, el puerto origen y el puerto destino, y el protocolo del paquete. Estas reglas se definen mediante las listas de control de acceso o ACL

La ACL puede extraer la siguiente informacin del encabezado del paquete, probarla respecto de las reglas y decidir si "permitir" o "denegar" el ingreso segn los siguientes criterios:
Direccin IP de origen Direccin IP de destino Tipo de mensaje ICMP

La ACL tambin puede extraer informacin de las capas superiores y probarla respecto de las reglas. La informacin de las capas superiores incluye:
Puerto TCP/UDP de origen Puerto TCP/UDP de destino

La ACL es una configuracin de dispositivo que controla si un dispositivo permite o deniega paquetes segn el criterio encontrado en el encabezado del paquete.

Como cada paquete llega a travs de una interfaz con una ACL asociada, la ACL se

revisa de arriba a abajo, una lnea a la vez, y se busca un patrn que coincida con el paquete entrante

A continuacin, le presentamos pautas para el uso de las ACL:

En dispositivos firewall entre su red interna y su

red externa, como Internet.

En un dispositivo situado entre dos partes de la red a fin de controlar el trfico que entra o sale de una parte especfica de su red interna.

En routers de borde situados en los extremos de la red. Esto

proporciona un bfer muy bsico desde la red externa, o entre un rea menos controlada y un rea ms sensible de su red.

Configurar las ACL para cada protocolo de red configurado en las interfaces del router de borde. Configurar las ACL en una interfaz para filtrar el trfico entrante, saliente o ambos.

Puede recordar una regla general para aplicar las ACL en un router mediante las tres P. Puede configurar una ACL por protocolo, por direccin y por interfaz. Una ACL por protocolo: para controlar el flujo de trfico de una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Una ACL por direccin: las ACL controlan el trfico en una direccin a la vez de una interfaz. Deben crearse dos ACL por separado para controlar el trfico entrante y saliente. Una ACL por interfaz: las ACL controlan el trfico para una interfaz, por ejemplo, Fast Ethernet 0/0.

Limitar el trfico de red para mejorar el rendimiento de sta.

Brindar control de flujo de trfico

Proporcionar un nivel bsico de seguridad para el acceso a la red.

Se debe decidir qu tipos de trfico enviar o bloquear en las interfaces del router. Controlar las reas de la red a las que puede acceder un cliente.

Analizar los hosts para permitir o denegar su acceso a los servicios de red.

Las ACL no actan sobre paquetes que se originan en el mismo router. Las ACL se configuran para ser aplicadas al trfico entrante o saliente.
ACL de entrada: los paquetes entrantes se procesan

Si el paquete est autorizado por las pruebas, luego se procesa para el enrutamiento. ACL de salida: los paquetes entrantes se enrutan a la

antes de ser enrutados a la interfaz de salida. Una ACL de entrada es eficaz porque guarda la carga de bsquedas de enrutamiento si el paquete se descarta.

interfaz de salida y luego son procesados a travs de la ACL de salida.

Las sentencias de la ACL operan en orden secuencial. Comparan los paquetes con la ACL, de arriba hacia abajo, una sentencia a la vez.

La ltima sentencia generalmente se denomina "implicit deny any statement" (denegar implcitamente una sentencia) o "deny all traffic" (denegar todo el trfico). Debido a esta sentencia, una ACL debe contar con, al menos, una sentencia de permiso; de lo contrario, la ACL bloquea todo el trfico.

Puede aplicar una ACL a varias interfaces. Sin embargo, slo puede haber una ACL por protocolo, por direccin y por interfaz.

La sentencia de criterios implcita "Deny All Traffic" (Denegar todo el trfico)

ACL estndar

Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de origen. No importan el destino del paquete ni
los puertos involucrados. El ejemplo permite todo el trfico desde la red 192.168.30.0/24. Debido a la sentencia implcita "deny any" (denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin global.

ACL extendidas
Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor disparidad de control.

La wildcard mask es una mscara que indica que bits de la direccin IP se tienen que comprobar y cules no. La wildcard mask presenta las siguientes caractersticas:

Cantidad de 32-bits: cuatro octetos de 1s y 0s. Se compara contra una direccin IP. 1 y 0 identifican cmo tratar los bits de la direccin IP 0: Comprueba el valor del bit correspondiente 1: Ignora el valor del bit correspondiente 1s y 0s filtran direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos segn el valor de las mismas.

Palabras claves especiales utilizadas en las ACLs

Any Reemplaza la direccin IP con 0.0.0.0 y la mscara wildcard por 255.255.255.255. Esta opcin concuerda con cualquier direccin con la que se la compare. Host: Reemplaza la wildcard 0.0.0.0. Esta mscara necesita todos los bits de la direccin ACL y la concordancia de direccin del paquete. Esta opcin slo concuerda con una direccin. Remark: Similar a un comentario Facilita entendimiento de la ACL. Limitado a 100 caracteres. Por ejemplo: access-list 1 permit 171.69.2.88 access-list 1 remark Permit only Jones Workstation

Palabras claves especiales utilizadas en las ACLs

Protocolo:

Nombre o nmero de un protocolo de Internet: eigrp, icmp, igrp, ip, tcp, udp, etc. Para referirse a cualquier protocolo de Internet utiliza palabra clave ip Operadores lgicos: lt (menor que), gt (mayor que), eq (igual a) o neq (distinto que).

El bloqueo es una caracterstica de seguridad de filtrado de trfico que utiliza ACL dinmicas, a veces denominadas ACL de bloqueo. Est disponible slo para trfico IP. Las ACL dinmicas dependen de la conectividad Telnet, de la autenticacin (local o remota) y de las ACL extendidas.

Las ACL reflexivas obligan al trfico de respuesta del destino, de un reciente paquete saliente conocido, a dirigirse al origen de ese paquete saliente. Esto aporta un mayor control del trfico que se permite ingresar a la red e incrementa las capacidades de las listas de acceso extendidas.

La ACL basada en el tiempo es similar en funcin a la ACL extendida, pero admite control de acceso basado en el tiempo. Para implementar las ACL basadas en el tiempo, debe crear un rango horario que defina la hora especfica del da y la semana. Debe identificar el rango de tiempo con un nombre y, luego, remitirse a l mediante una funcin. Las restricciones temporales son impuestas en la misma funcin.