Sie sind auf Seite 1von 16

LISTA DE CONTROL DE ACCESO (ACL) 1.

DEFINICIN

Las ACL son un concepto de seguridad informtica, son listas de condiciones que se aplican al trfico que viaja a travs de la interfaz del router. Estas listas le informan al router qu tipo de paquetes aceptar o rechazar, esta aceptacin y rechazo se pueden basar en ciertas condiciones especficas, como direcciones origen, direcciones destino, protocolos y nmeros de puerto de capa superior.

Las ACL permiten la administracin del trfico y aseguran el acceso hacia y desde una red, pudindose crear en cualquier protocolo de red enrutado; pero es necesario crear una ACL para cada direccin.

Razones principales para crear una ACL: Limitar el trfico de red y mejorar el rendimiento de la red. Al restringir el trfico de video, por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia mejorar el rendimiento de la misma.

Brindar control de flujo de trfico. Las ACL pueden restringir el envo de las actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda.

Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea. Por ejemplo, al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le niega el acceso a dicha red.

Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del router. Permitir que se enrute el trfico de correo electrnico, pero bloquear todo el trfico de telnet.

Permitir que un administrador controle a cules reas de la red puede acceder un cliente.

Analizar ciertos hosts para permitir o denegar acceso a partes de una red. Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.

Si las ACL no estn configuradas en el router, todos los paquetes que pasen a travs del router tendrn acceso a todas las partes de la red.

2. CREACIN

Las ACL se crean en el modo de configuracin global, al configurar las ACL en el router, cada ACL debe identificarse de forma nica, asignndole un nmero, este nmero identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango especfico de nmeros que es vlido para ese tipo de lista.

Una vez ingresado al modo de comando apropiado se decide el nmero de tipo de lista, el usuario debe ingresa sentencias de lista de acceso utilizando el comando access-list, seguida de los parmetros necesarios. Este es el primero de un proceso de dos pasos. El segundo paso consiste en asignar la lista a la interfaz apropiada.

En TCP/IP, las ACL se asignan a una o ms interfaces y pueden filtrar el trfico entrante o saliente, usando el comando ip accessgroup en el modo de configuracin de interfaz. Al asignar una ACL a una interfaz, se debe especificar la ubicacin entrante o saliente. Es posible establecer la direccin del filtro para verificar los paquetes que viajan hacia dentro o fuera de una interfaz.

Para determinar si la ACL controla el trfico entrante o saliente, el administrador de red necesita mirar las interfaces como si se observara desde dentro del router. Este es un concepto muy importante, una lista de acceso entrante filtra el trfico que entra por una interfaz y la lista de acceso saliente filtra el trfico que sale por una interfaz, despus de crear una ACL numerada, se la debe asignar a una interfaz.

Es necesario utilizar estas reglas bsicas a la hora de crear y aplicar las listas de acceso:

Una lista de acceso por protocolo y por direccin.

Se deben aplicar las listas de acceso estndar que se encuentran lo ms cerca posible del destino.

Se deben aplicar las listas de acceso extendidas que se encuentran lo ms cerca posible del origen.

Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando el puerto desde adentro del router.

Las sentencias se procesan de forma secuencial desde el principio de la lista hasta el final hasta que se encuentre una concordancia, si no se encuentra ninguna, se rechaza el paquete.

Hay un deny any (denegar cualquiera) implcito al final de todas las listas de acceso. Esto no aparece en la lista de configuracin.

Las entradas de la lista de acceso deben realizar un filtro desde lo particular a lo general. Primero se deben denegar hosts especfico y por ltimo los grupos o filtros generales.

Primero se examina la condicin de concordancia. El permiso o rechazo se examina SLO si la concordancia es cierta.

Utilice el editor de texto para crear comentarios que describan la lgica, luego complete las sentencias que realizan esa lgica.

Siempre, las lneas nuevas se agregan al final de la lista de acceso. El comando no access-listx elimina toda la lista. No es posible agregar y quitar lneas de manera selectiva en las ACL numeradas.

Se debe tener cuidado cuando se descarta una lista de acceso. Si la lista de acceso se aplica a una interfaz de produccin y se la elimina, segn sea la versin de IOS, puede haber una deny any (denegar cualquiera) por defecto aplicada a la interfaz, y se detiene todo el trfico.

Los filtros salientes no afectan al trfico que se origina en el router local.

3. FUNCIONAMIENTO

Una lista ACL es un grupo de sentencias que definen si se aceptan o rechazan los paquetes en interfaces entrantes o salientes, estas decisiones se toman haciendo coincidir una sentencia de condicin en una lista de acceso y luego realizando la accin de aceptacin o rechazo definida en la sentencia.

El orden en el que se ubican las sentencias de la ACL es importante, por ejemplo el software de Cisco verifica si los paquetes cumplen cada sentencia de condicin, en orden, desde la parte superior de la lista hacia abajo. Una vez que se encuentra una coincidencia, se lleva a cabo la accin de aceptar o rechazar y no se

verifican otras sentencias ACL. Si una sentencia de condicin que permite todo el trfico est ubicada en la parte superior de la lista, no se verifica ninguna sentencia que est por debajo. Si se requieren ms cantidad de sentencias de condicin en una lista de acceso, se debe borrar y volver a crear toda la ACL con las nuevas sentencias de condicin. Para que el proceso de revisin de una ACL sea ms simple, es una buena idea utilizar un editor de textos como el Bloc de notas y pegar la ACL a la configuracin del router.

Al enviar un paquete y existe una ACL, se verifica si el paquete cumple o no las condiciones de la lista, si es as se lleva a cabo la accin de aceptar o rechazar el paquete. Si se acepta el paquete en la interfaz, se lo compara con las entradas de la tabla de enrutamiento para determinar la interfaz destino y conmutarlo a aquella interfaz.

A continuacin, el router verifica si la interfaz destino tiene una ACL. Si existe una ACL, se compara el paquete con las sentencias de la lista y si el paquete concuerda con una sentencia, se lleva a cabo la aceptacin o el rechazo del paquete.

Si no hay ACL o se acepta el paquete, el paquete se encapsula en el nuevo protocolo de Capa 2 y se enva por la interfaz hacia el dispositivo siguiente. A manera de revisin, las sentencias de la ACL operan en orden secuencial lgico. Si se cumple una condicin, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si todas las sentencias ACL no tienen coincidencias, se coloca una sentencia implcita que dice deny any (denegar cualquiera) en el extremo de la lista por defecto. Aunque la lnea deny any no sea visible como ltima lnea de una ACL, est ah y no permitir que ningn paquete que no coincida con las lneas anteriores de la ACL sea aceptada.

4. VERIFICACION DE LAS ACLs

Existen varios comandos show que verifican el contenido y ubicacin de las ACL en el router, as tenemos:

El comando show ip interface muestra informacin de la interfaz IP e indica si se ha establecido alguna ACL.

El comando show access-lists muestra el contenido de todas las ACL en el router. Para ver una lista especfica, agregue el nombre o nmero ACL como opcin a este comando.

El comando show running-config tambin revela las listas de acceso en el router y la informacin de asignacin de interfaz.

5. TIPOS

a) ACL ESTNDAR

Las ACL estndar verifican la direccin origen de los paquetes IP que se deben enrutar. Con la comparacin se permite o rechaza el acceso a todo un conjunto de protocolos, segn las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes para establecer la direccin origen y el protocolo. Si se les otorga el permiso, los paquetes se enrutan a travs del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz entrante.

En la primera sentencia ACL, cabe notar que no hay mscara wildcard, para este caso donde no se ve ninguna lista, se utiliza la mscara por defecto, que es la 0.0.0.0. Esto significa que toda la direccin debe concordar o que esta lnea en la ACL no aplica y el router debe buscar una concordancia en la lnea siguiente de la ACL.

b) ACL EXTENDIDA

Las ACL extendidas se utilizan con ms frecuencia que las ACL estndar porque ofrecen un mayor control.

Las ACL extendidas verifican las direcciones de paquetes de origen y destino, y tambin los protocolos y nmeros de puertos, esto ofrece mayor flexibilidad para establecer qu verifica la ACL. Se puede permitir o rechazar el acceso de los paquetes segn el lugar donde se origin el paquete y su destino as como el tipo de protocolo y direcciones de puerto.

Una ACL extendida puede permitir el trfico de correo electrnico a destinos especficos, al mismo tiempo que deniega la transferencia de archivos y la navegacin en la red. Una vez descartados los paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.

Es posible configurar mltiples sentencias en una sola ACL, cada una de estas sentencias debe tener el mismo nmero de lista de acceso, para poder relacionar las sentencias con la misma ACL pudiendo haber tanta cantidad de sentencias de condicin como sean necesarias, siendo la nica limitacin la memoria disponible en el router.

Se tiene que tener en cuenta que mientras ms sentencias se establezcan, mayor ser la dificultad para comprender y administrar la ACL.

Al final de la sentencia de la ACL extendida, se obtiene ms precisin con un campo que especifica el Protocolo para el control de la transmisin (TCP) o el nmero de puerto del Protocolo de datagrama del usuario (UDP).

Las operaciones lgicas pueden especificarse como igual (eq), desigual (neq), mayor a (gt) y menor a (lt) aqullas que efectuarn las ACL extendidas en protocolos especficos. Las ACL extendidas utilizan el nmero de lista de acceso entre 100 y 199 (tambin entre 2000 y 2699 en IOS recientes).

c) ACL NOMBRADA

Las ACL nombradas IP se introdujeron en el software Cisco IOS Versin 11.2, permitiendo que las ACL extendidas y estndar tuvieran nombres en lugar de nmeros.

Las ventajas que ofrece una lista de acceso nombrada son las siguientes:

Identifica intuitivamente las ACL usando un nombre alfanumrico.

El IOS no limita el nmero de las ACL nombradas que se pueden configurar.

Las ACL nombradas tienen la capacidad de modificar las ACL sin tener que eliminarlas y luego reconfigurarlas. Cabe notar que las listas de acceso nombradas permiten eliminar sentencias pero slo permiten que las sentencias se agreguen al final de la lista. An con las ACL nombradas, se recomienda utilizar un editor de textos para crearlas.

Una ACL nombrada se crea con el comando ip accesslist. Esto coloca al usuario en el modo de configuracin de ACL. En el modo de configuracin de ACL, especifique una o ms condiciones que se permitan o rechacen. Esto determina si el paquete se enva o se descarta cuando hay concordancia con las sentencias de la ACL.

6. UBICACIN DE LAS ACLs

Las ACL se utilizan para controlar el trfico, filtrando paquetes y eliminando el trfico no deseado de la red.

Otra

consideracin

importante

tener

en

cuenta

al

implementar la ACL es dnde se ubica la lista de acceso, si las ACL se colocan en el lugar correcto, no slo es posible filtrar el trfico sino tambin toda la red se hace ms eficiente.

La regla es colocar las ACL extendidas lo ms cerca posible del origen del trfico denegado. Las ACL estndar no especifican las direcciones destino, de modo que se deben colocar lo ms cerca posible del destino.

PORT SECURITY Port Security es una caracterstica disponible en todo switch de clase empresarial o que posea una robustez media. Algunos switches permiten configuraciones muy complejas, mientras que otros solo proveen las funciones esenciales. He aqu un vistazo de las opciones que se pueden encontrar: 1. MAC Lockout: MAC Lockout permite que el switch rechace

determinado trfico que incluya una direccin MAC especfica, ya sea como fuente o como destino. Esto se realiza introduciendo de manera manual direcciones MAC que sern despus ignoradas. 2. MAC Lockdown: MAC Lockdown asigna de forma permanente la direccin MAC de un dispositivo a un puerto especfico en el switch,

permitiendo slo el acceso de un equipo determinado a un puerto elegido. MAC Lockout protege as al switch frente a accesos ilegales. 3. Mac Learning: Usando aprendizaje de cada una de las direcciones conectadas a los puertos, el switch puede establecer una seguridad de estos basadas en las conexiones activas. 4. Configuracin remota: Limita la configuracin remota a direcciones IP especficas, usando SSH (Secure Shell) en lugar de Telnet. SSH nos permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no escribir claves al conectar a las mquinas y pasar los datos de cualquier otra aplicacin por un canal seguro tunelizado mediante SSH. Configuracin Puesto que las caractersticas son similares entre fabricantes, elegimos como caso de estudio el del fabricante CISCO; el cual en su documentacin nos entrega los siguientes comandos: Command Router(config)# interface type1 slot/port Purpose Selects the LAN port to configure. Note With Release 12.2(18)SXE and later releases, the port can be a tunnel port or a PVLAN port. Configures the port as a Layer 2 switchport. Configures the port as a Layer 2 access port. Router(config-if)# switchport mode access Note A port in the default mode (dynamic desirable) cannot be configured as a secure port. Enables port security on the port. Disables port security on the port. Verifies the configuration. Selects the LAN port to configure. Router(config)# interface type1

Router(config-if)# switchport

Router(config-if)# switchport portsecurity Router(config-if)# no switchport port-security Router(config-if)# do show portsecurity interface type1 slot/port | include Port Security

slot/port Router(config-if)# switchport port- (Optional) Sets the violation mode and security violation {protect | the action to be taken when a security restrict | shutdown} violation is detected. Router(config-if)# no switchport port-security violation Router(config-if)# do show portsecurity interface type1 slot/port | include violation_mode2 Reverts to the default configuration (shutdown). Verifies the configuration.

Nmero mximo de MAC en un puerto Command Router(config)# interface type1 slot/port Purpose Selects the LAN port to configure.

Sets the maximum number of secure MAC addresses for the port Router(config-if)# switchport (default is 1). port-security maximum number_of_addresses vlan Note Per-VLAN {vlan_ID | vlan_range} configuration is supported only on trunks. Router(config-if)# no switchport port-security maximum Router(config-if)# do show port-security interface type1 slot/port | include Maximum Reverts to the default configuration. Verifies the configuration.

Direcciones MAC estticas Command Purpose Selects the LAN port to configure.

Router(config)# interface type1 slot/port

Router(config-if)# switchport port-security mac-address [sticky] mac_address [vlan vlan_ID]

Configures a static MAC address as secure on the port. Note Per-VLAN configuration is supported only on trunks.

Router(config-if)# no switchport port-security mac-address [sticky] mac_address

Clears a static secure MAC address from the port.

Router(config-if)# end

Exits configuration mode.

Router# show port-security address

Verifies the configuration.

Mostrando las configuraciones Command Purpose

Router# show port-security Displays port security [interface {{vlan vlan_ID} | settings for the switch or for {type1 slot/port}}] [address] the specified interface.

Cdigo consola:
Switch> enable Switch# config t Switch(config)#interface fa 0/1 Switch(config)#switchport mode access Switch(config)#switchport port-security Switch(config)#switchport port-security maximum 2 Switch(config)#switchport port-security mac-address 0006.2A2C.2552 Switch(config)#switchport port-security mac-address 0001.4288.B386

Switch(config)#interface fa 0/2 Switch(config)#switchport mode access Switch(config)#switchport port-security Switch(config)#switchport port-security maximum 2 Switch(config)#switchport port-security mac-address 0001.4288.B386 Switch(config)#switchport port-security mac-address 0010.1192.5764

Switch(config)#end

Switch#show running-config Switch#show mac-address table Switch#show port-security interface fa0/1 Switch#show port-security interface fa0/2 Switch#show interface fa0/1 Switch#show interface fa0/2

Das könnte Ihnen auch gefallen