LISTAS DE CONTROL DE ACCESO ACL

Transcripción

1 LISTAS DE CONTROL DE ACCESO ACL REDES DE AREA AMPLIADA WAN CAPITULO 5 Chapter 1 1

2 INTRODUCCION Una ACL es una lista secuencial de sentencias que permiten o niegan el flujo de tráfico Direcciones IP Puertos de las aplicaciones Dependiendo del tipo de control que se requiera realizar existen dos tipos Estándar.- IP origen Extendida.- IP origen y destino, puerto origen y destino Las ACL brindan seguridad a la red y se aplican al tráfico entrante o saliente Chapter 1 2

3 CONVERSACION TCP TCP es orientado a conexión Control de flujo Limitar la cantidad de datos para el envío Con el número de puerto se determina el aplicativo de capa superior Chapter 1 3

4 NUMERO DE PUERTOS Chapter 1 4

5 NUMERO DE PUERTOS Chapter 1 5

6 FILTRADO DE PAQUETES Controla la entrada y salida de paquetes, permitiendo o negándolo de acuerdo a las condiciones de la ACL El router es un dispositivo de capa 3, por lo que los controles o filtrado lo realiza utilizando cierta información de la cabecera del paquete IP IP Origen IP Destino ICMP Una ACL también puede extraer información de las capas superiores y realizar controles en base Puerto Origen (TCP/UDP) Puerto Destino (TCP/UDP) Chapter 1 6

7 FILTRADO DE PAQUETES Chapter 1 7

8 QUE ES UNA ACL Un router por defecto no tiene configuradas ACL s, por lo que todo el trafico entrante es enrutado en función de la tabla de enrutamiento sin condiciones Chapter 1 8

9 QUE ES UNA ACL ACL en routers entre una red interna y una externa. ACL en un router situado entre dos partes de la red a fin de controlar el tráfico que entra o sale de una parte específica de su red interna. ACL para cada protocolo de red configurado en las interfaces del router de borde. Puede configurar las ACL en una interfaz para filtrar el tráfico entrante, saliente o ambos. Chapter 1 9

10 QUE ES UNA ACL Las tres P ACL por protocolo: para controlar el flujo de tráfico de una interfaz. ACL por dirección: controlan el tráfico en una dirección a la vez de una interfaz. Dos ACL por separado para controlar el tráfico entrante y saliente. ACL por interfaz: controlan el tráfico para una interfaz, por ejemplo, Fast Ethernet 0/0. Chapter 1 10

11 QUE ES UNA ACL Limitar el tráfico que circula por la red para mejorar el rendimiento de ésta. Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las actualizaciones de enrutamiento en casos de redes estables. Controlar las áreas de la red a las que puede acceder un cliente. Chapter 1 11

12 COMO FUNCIONA UNA ACL Las ACL no actúan sobre paquetes que se originan en el mismo router. Las sentencias de la ACL operan en orden secuencial. Chapter 1 12

13 COMO FUNCIONA UNA ACL La última sentencia generalmente se denomina "implicit deny any statement" (denegar implícitamente una sentencia) o "deny all traffic" (denegar todo el tráfico) Sólo puede haber una ACL por protocolo, por dirección y por interfaz. Chapter 1 13

14 TIPOS DE ACL ACL estándar Permiten o niegan el tráfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. Las ACL estándar se crean en el modo de configuración global. ACL extendidas Filtran los paquetes IP en función de varios atributos: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e información opcional de tipo de protocolo para una mejor capacidad de control. Las ACL extendidas se crean en el modo de configuración global. Chapter 1 14

15 COMO FUNCIONA UNA ACL ESTANDAR Paso 1. Crear una lista de acceso Paso 2. Aplicar la ACL a las interfaces o líneas de terminal. Chapter 1 15

16 NUMERACION Y DENOMINACION DE LAS ACL S IOS de Cisco Versión 11.2 se puede utilizar un nombre para identificar una ACL de Cisco. En cuanto a las ACL, si se pregunta por qué se saltan los números del 200 al 1299, la respuesta es porque esos números son utilizados por otros protocolos. Los números del 600 al 699 son utilizados por AppleTalk y los números del 800 al 899 por IPX. Chapter 1 16

17 DONDE UBICAR LAS ACL s ACL extendidas más cercanas al origen del tráfico denegado. Se filtra sin atravesar la infraestructura de red. ACL estándar más cercanas al destino Chapter 1 17

18 MEJORES PRACTICAS Chapter 1 18

19 CONFIGURACION: ACL ESTANDAR El orden de las sentencias de una ACL es importante El router comprueba la coincidencia de la condición en el orden que fueron ingresadas Colocar al inicio las condiciones más específicas Al menos debe tener una sentencia de permitir el tráfico.- La última condición es NEGAR TODO Chapter 1 19

20 LOGICA DE UNA ACL Si los paquetes tienen permiso, se enrutan Si se les niega el permiso los descarta en la interfaz de entrada, es decir no se los procesa (enruta) Chapter 1 20

21 CONFIGURACION: ACL ESTANDAR NUMERADA Router(config)#access-list número-de-lista-de-acceso {deny permit remark} IP origen [wildcard origen] [log] Chapter 1 21

22 ELIMINAR UNA ACL Para borrar una ACL se utiliza el comando NO seguido del número. Para borrar una condición intermedia o inicial se debe borrar toda la lista Chapter 1 22

23 WILDCARD En ocasiones el WILDCARD es el inverso de la máscara 0 indica verificar 1 indica no interesa o bit no verificable Chapter 1 23

24 WILDCARD Chapter 1 24

25 WILDCARD Chapter 1 25

26 WILDCARD Chapter 1 26

27 PROCEDIMIENTO PARA LA CONFIGURACION Chapter 1 27

28 PROCEDIMIENTO PARA LA CONFIGURACION Chapter 1 28

29 PROCEDIMIENTO PARA LA CONFIGURACION Chapter 1 29

30 PROCEDIMIENTO PARA LA CONFIGURACION Chapter 1 30

31 ACL SOBRE TERMINALES VIRTUALES Las listas de acceso extendidas y estándar se aplican a paquetes que viajan a través de un router. No están diseñadas para bloquear paquetes que se originan dentro del router. Sólo se pueden aplicar listas de acceso numeradas a las VTY. Deben establecerse las mismas restricciones en todas las VTY porque un usuario puede intentar conectarse a cualquiera de ellas. Chapter 1 31

32 EDICION DE ACL S NUMERADAS No puede insertar o borrar líneas de manera selectiva. Crear una ACL en un editor de texto, modificarla y luego pegarla en el router. Chapter 1 32

33 COMENTARIOS EN LAS ACL NUMERADAS Cada línea de observación está limitada a 100 caracteres. La observación puede ir antes o después de una sentencia permit o deny. Chapter 1 33

34 ACL ESTANDAR NOMBRADA Chapter 1 34

35 MONITOREO Y VERIFICACION Chapter 1 35

36 EDICION DE ACL NOMBRADAS En el primer resultado del comando show, la ACL WEBSERVER tiene tres líneas numeradas que indican las reglas de acceso para el servidor Web. Para otorgar acceso a otra estación de trabajo de la lista sólo debe ingresar una línea numerada. En el ejemplo, se agrega la estación de trabajo con la dirección IP El último resultado del comando show verifica que la nueva estación de trabajo tenga acceso. Chapter 1 36

37 ACL EXTENDIDAS Chapter 1 37

38 ACL EXTENDIDAS Control más fino del tráfico ACL extendidas numeradas del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles. ACL extendidas también se les puede asignar un nombre. Complemento a las políticas de seguridad Al configurar una ACL extendida existen dos parámetros que controlan los puertos Operador igual (eq), desigual (neq), mayor que (gt) y menor que (lt). Operando Identificador del puerto (número o simbología) Chapter 1 38

39 ACL EXTENDIDAS: Ejemplos Chapter 1 39

40 CONFIGURACION: ACL EXTENDIDAS Chapter 1 40

41 CONFIGURACION: ACL EXTENDIDAS Se requiere restringir el acceso a Internet para permitir sólo la navegación Web. La ACL 103 se aplica al tráfico que sale de la red , y la ACL 104 al tráfico que ingresa a la red. Chapter 1 41

42 CONFIGURACION: ACL EXTENDIDAS La ACL 103: Permite el tráfico que ingresa de cualquier dirección en la red , pero únicamente de los puertos 80 (HTTP) y 443 (HTTPS). HTTP requiere que el tráfico regrese a la red, así que es necesario controlar el tráfico entrante a la red interna established La ACL 104 lo hace bloqueando el tráfico entrante, a excepción de las conexiones establecidas. HTTP establece conexiones a partir de la solicitud original y luego mediante el intercambio de mensajes ACK, FIN y SYN. Este parámetro permite respuestas al tráfico que se origina desde la red /24 a la interfaz de entrada s0/0/0. Se produce una coincidencia si el datagrama TCP tiene ajustados los bits ACK o reset (RST) que indican que el paquete pertenece a una conexión existente. Sin el parámetro established en la sentencia de ACL, los clientes pueden enviar tráfico a un servidor Web, pero no lo reciben tráfico de ese servidor. Chapter 1 42

43 COMO APLICAR LAS ACL EXTENDIDAS A LAS INTERFACES Chapter 1 43

44 EJEMPLOS DE CONFIGURACION Chapter 1 44

45 EJEMPLOS DE CONFIGURACION Chapter 1 45

46 ACL EXTENDIDAS NOMBRADAS Las 2 ACL s en la práctica hacen la misma acción. Permiten la navegación desde la red interna y restringe las respuestas de los servidores WEB Chapter 1 46

47 ACL COMPLEJAS Chapter 1 47

48 ACL DINAMICAS El bloqueo es una característica de seguridad de las ACL dinámicas Denominadas ACL de bloqueo. Sólo para tráfico IP. Las ACL dinámicas dependen de la conectividad Telnet, de la autenticación (local o remota) y de las ACL extendidas. Chapter 1 48

49 ACL DINAMICAS La configuración de las ACL dinámicas comienza con la aplicación de una ACL extendida para bloquear tráfico que atraviesa de router. Los usuarios que deseen atravesar el router son bloqueados por la ACL extendida hasta que utilizan Telnet para conectarse al router y ser autenticados. En ese momento, se interrumpe la conexión a Telnet, y se agrega una ACL dinámica de única entrada a la ACL extendida existente. Esta entrada permite el tráfico por un período determinado; es posible que se produzcan errores por inactividad y superación del tiempo de espera. Chapter 1 49

50 BENEFICIOS DE LAS ACL DINAMICAS Uso de un mecanismo de desafío para autenticar los usuarios individuales Administración simplificada en internetworks más grandes En muchos casos, reducción de la cantidad de procesamiento de un router necesario para las ACL Reducción de la oportunidad de intromisiones a la red por parte de piratas informáticos Creación de acceso dinámico al usuario a través de un firewall, sin comprometer otras restricciones de seguridad configuradas En la figura, el usuario de PC1 es un administrador que requiere acceso de puerta trasera a la red /24 ubicada en el router R3. Se configuró una ACL dinámica para permitir el acceso FTP y HTTP al router R3 sólo por tiempo limitado. Chapter 1 50

51 EJEMPLOS DE ACL DINAMICAS PC1 debe obtener acceso periódico a la red ( /24) a través del router R3. Una ACL dinámica en la interfaz serial S0/0/1 del router R3. Chapter 1 51

52 ACL REFLEXIVA Chapter 1 52

53 ACL REFLEXIVA Obligan al tráfico de respuesta de un paquete saliente conocido, a dirigirse al origen de ese paquete. Las ACL reflexivas permiten el tráfico IP en sesiones que se originan en su red y, al mismo tiempo, denegar el tráfico IP en sesiones que se originan fuera de la red. Estas ACL permiten que el router administre el tráfico de sesión en forma dinámica. El router examina el tráfico saliente y, cuando ve una conexión, agrega una entrada a una ACL temporal para permitir la devolución de respuestas. Sólo entradas temporales. Se crean automáticamente cuando se inicia una nueva sesión IP y se eliminan automáticamente cuando finaliza la sesión. Chapter 1 53

54 ACL REFLEXIVA Control más eficaz que las ACL extendidas con el comando established Son similares en cuanto al concepto del parámetro established, las ACL reflexivas también funcionan para UDP e ICMP, que no tienen bits ACK ni RST. established tampoco funciona con aplicaciones que alteran de forma dinámica el puerto de origen para el tráfico de sesión. La sentencia permit established sólo verifica los bits ACK y RST, no la dirección de origen ni la de destino. Las ACL reflexivas sólo pueden definirse con ACL IP extendidas nombradas. Chapter 1 54

55 ACL REFLEXIVA: BENEFICIOS Ayudan a proteger la red de piratas informáticos y pueden incluirse en un firewall. Proporcionan un nivel de seguridad contra ataques de suplantación de identidad y de denegación de servicios. Las ACL reflexivas son mucho más resistentes a los ataques de suplantación de identidad porque deben coincidir más criterios de filtro antes de dejar ingresar un paquete. Por ejemplo, se verifican las direcciones de origen y de destino y los números de puerto, no solamente los bits ACK y RST. Son fáciles de utilizar y, comparadas con las ACL básicas, proporcionan un mayor control de los paquetes que ingresan a la red. Chapter 1 55

56 ACL REFLEXIVA: BENEFICIOS Un administrador necesita una ACL reflexiva que permita tráfico ICMP entrante y saliente, y que permita sólo el tráfico TCP que se inició desde el interior de la red. La ACL reflexiva se aplica a la interfaz de salida de R2. Chapter 1 56

57 ACL BASADAS EN TIEMPO Similar a la ACL extendida, pero admite control de acceso basado en el tiempo. Crear un rango horario que define el horario de activación. Debe identificar el rango de tiempo con un nombre y, luego, remitirse a él mediante una función. Las restricciones temporales son impuestas en la misma función. Chapter 1 57

58 ACL BASADAS EN TIEMPO: BENEFICIOS Incrementa el control sobre el tráfico de la red Las entradas de las ACL pueden registrar el tráfico en determinados momentos del día, pero no de forma permanente. Chapter 1 58

59 ACL BASADAS EN TIEMPO 1. Definir el rango de tiempo para implementar la ACL y darle el nombre EVERYOTHERDAY. 2. Aplique el rango de tiempo a la ACL. 3. Aplique la ACL a la interfaz. Chapter 1 59

60 ERRORES COMUNES EN LAS ACLS La sentencia 10 deniega el host y la sentencia 20 no llega a procesarse. Chapter 1 60

61 ERRORES COMUNES EN LAS ACLS TFTP utiliza UDP. La sentencia 30 de la lista de acceso 120 permite el resto del tráfico TCP. La sentencia 30 debe ser ip any any. Chapter 1 61

62 ERRORES COMUNES EN LAS ACLS Si desea denegar el tráfico Telnet que ingresa a S0, debe denegar el número de puerto de destino igual al de Telnet, por ejemplo, deny tcp any any eq telnet. Chapter 1 62

63 ERRORES COMUNES EN LAS ACLS La ACL debe aplicarse a Fa0/0 de R1 en dirección entrante. Chapter 1 63

64 ERRORES COMUNES EN LAS ACLS La sentencia 10 deniega la dirección de origen de , pero esa dirección sólo sería el origen si el tráfico fuera saliente y no entrante en la interfaz S0/0. Chapter 1 64

65 Chapter 1 65