Bueno uno de mis primeros post, que realizare será sobre el tema de Listas de Control Acceso o mas conocidas como ACL's que son nada mas que una herramienta de filtrado (hablando de nivel de paquetes), como ya lo habia comentado si son novatos en la materia, pero quisieran informarse más sobre los diferentes temas no duden en consultarnos, claro esta que poco a poco estare subirendo informacion, bueno para continuar iniciare con una pequeña introduccion sobre la importancia que estan tienen en el ambito empresarial:
Introduccion:
Las redes empresariales necesitan seguridad para asegurarse de que solo los usuarios autorizados accedan a los recursos de red.
Las herramientas de filtrado, como las listas de control acceso, son un componente importante de la seguridad de red empresarial.
Las ACL permiten y rechazan tipos específicos de informacion entrante y trafico saliente.
Los ingenieros y los técnicos de red planifican, configuran y verifican las ACL en los routers y otros dispositivos de red.
En este capítulo describiremos los siguientes puntos:
- Describir el filtrado de tráfico.
- Explicaremos como las listas de control de acceso (ACL) pueden filtrar el tráfico en las interfaces de Reuter.
Para los que tienen dudas sobre el filtrado de trafico aqui les doy una idea:
Filtrado de Trafico:
La seguridad dentro de una red empresarial es sumamente importante. Es esencial impedir el acceso de usuarios no autorizados y proteger la red de diversos ataques, como los ataques DoS. Los usuarios no autorizados pueden modificar, destruir o robar datos confidenciales de los servidores. Los ataques DoS impiden el acceso de los usuarios válidos. Estas dos situaciones hacen perder tiempo y dinero a las empresas.
Mediante el filtrado de tráfico, los administradores controlan el tráfico de varios segmentos de la red. El filtrado es el proceso de analizar los contenidos de un paquete para determinar si debe ser permitido o bloqueado.
El filtrado de paquetes puede ser simple o complejo, denegando o permitiendo el tráfico basado en:Mediante el filtrado de tráfico, los administradores controlan el tráfico de varios segmentos de la red. El filtrado es el proceso de analizar los contenidos de un paquete para determinar si debe ser permitido o bloqueado.
- Dirección IP de origen
- Dirección IP de destino
- Direcciones MAC
- Protocolos
- Tipo de aplicación
El filtrado de paquetes se puede comparar con el filtrado de correo basura. Muchas aplicaciones de correo electrónico permiten a los usuarios ajustar la configuración para que los correos electrónicos enviados desde una dirección de origen particular se eliminen automáticamente. El filtrado de paquetes se puede utilizar de la misma forma mediante la configuración de un router para identificar el tráfico no deseado.
El filtrado de tráfico mejora el rendimiento de la red. Al denegar el tráfico no deseado o restringido cerca de su origen, éste no viajará a través de la red ni consumirá recursos valiosos.
Los dispositivos más utilizados para proporcionar filtrado de tráfico son:
Los routers empresariales reconocen el tráfico perjudicial e impiden que ingrese y dañe la red. Casi todos los routers filtran tráfico de acuerdo con las direcciones IP de origen y de destino de los paquetes. También filtran aplicaciones específicas y protocolos tales como IP, TCP, HTTP, FTP y Telnet.
- Firewalls incorporados en routers integrados
- Aplicaciones de seguridad dedicadas
- Servidores
Los routers empresariales reconocen el tráfico perjudicial e impiden que ingrese y dañe la red. Casi todos los routers filtran tráfico de acuerdo con las direcciones IP de origen y de destino de los paquetes. También filtran aplicaciones específicas y protocolos tales como IP, TCP, HTTP, FTP y Telnet.
Listas de Control de Acceso:
Uno de los métodos más comunes de filtrado de tráfico es el uso de listas de control de acceso (ACL). Las ACL pueden utilizarse para administrar y filtrar el tráfico que ingresa a una red, así como también el tráfico que sale de ella.
Uno de los métodos más comunes de filtrado de tráfico es el uso de listas de control de acceso (ACL). Las ACL pueden utilizarse para administrar y filtrar el tráfico que ingresa a una red, así como también el tráfico que sale de ella.
El tamaño de una ACL varía desde una sentencia que permite o deniega el tráfico de un origen, hasta cientos de sentencias que permiten o deniegan paquetes de varios orígenes. El uso principal de las ACL es identificar los tipos de paquetes que se deben aceptar o denegar.
Las ACL identifican el tráfico para varios usos, por ejemplo:
- Especificar hosts internos para NAT
- Identificar o clasificar el tráfico para funciones avanzadas tales como QoS y colas
- Restringir el contenido de las actualizaciones de enrutamiento
- Limitar el resultado de la depuración
- Controlar el acceso de terminales virtuales a los routers
- La carga adicional sobre el router para verificar todos los paquetes se traduce en menos tiempo para el envío de paquetes.
- Las ACL con diseños defectuosos colocan una carga aún mayor sobre el router y podrían interrumpir el uso de la red.
- Las ACL colocadas de forma incorrecta bloquean el tráfico que debe ser permitido y permiten el tráfico que debe ser bloqueado.
Tipos y Uso de ACL:
Al crear listas de control de acceso, el administrador de red tiene varias opciones. La complejidad de las pautas de diseño determina el tipo de ACL necesaria.
Hay tres clases de ACL:
1.- ACL estándar:
La ACL estándar es la más simple de las tres clases. Al crear una ACL IP estándar, las ACL filtran según la dirección IP de origen de un paquete. Las ACL estándar permiten o deniegan el acceso de acuerdo con la totalidad del protocolo, como IP. De esta manera, si un dispositivo host es denegado por una ACL estándar, se deniegan todos los servicios provenientes de ese host. Este tipo de ACL sirve para permitir el acceso de todos los servicios de un usuario específico, o LAN, a través de un router y, a la vez, denegar el acceso de otras direcciones IP. Las ACL estándar están identificadas por el número que se les ha asignado. Para las listas de acceso que permiten o deniegan el tráfico IP, el número de identificación puede variar entre 1 y 99 y entre 1300 y 1999.
2.- ACL extendidas:
Las ACL extendidas filtran no sólo según la dirección IP de origen, sino también según la dirección IP de destino, el protocolo y los números de puertos. Las ACL extendidas se utilizan más que las ACL estándar porque son más específicas y ofrecen un mayor control. El rango de números de las ACL extendidas va de 100 a 199 y de 2000 a 2699.
3.- ACL nombradas:
Las ACL nombradas (NACL, Named ACL) son ACL estándar o extendidas a las que se hace referencia mediante un nombre descriptivo en lugar de un número. Cuando se configuran ACL nombradas, el IOS del router utiliza un modo de subcomando de NACL.
Hay tres clases de ACL:
1.- ACL estándar:
La ACL estándar es la más simple de las tres clases. Al crear una ACL IP estándar, las ACL filtran según la dirección IP de origen de un paquete. Las ACL estándar permiten o deniegan el acceso de acuerdo con la totalidad del protocolo, como IP. De esta manera, si un dispositivo host es denegado por una ACL estándar, se deniegan todos los servicios provenientes de ese host. Este tipo de ACL sirve para permitir el acceso de todos los servicios de un usuario específico, o LAN, a través de un router y, a la vez, denegar el acceso de otras direcciones IP. Las ACL estándar están identificadas por el número que se les ha asignado. Para las listas de acceso que permiten o deniegan el tráfico IP, el número de identificación puede variar entre 1 y 99 y entre 1300 y 1999.
2.- ACL extendidas:
Las ACL extendidas filtran no sólo según la dirección IP de origen, sino también según la dirección IP de destino, el protocolo y los números de puertos. Las ACL extendidas se utilizan más que las ACL estándar porque son más específicas y ofrecen un mayor control. El rango de números de las ACL extendidas va de 100 a 199 y de 2000 a 2699.
3.- ACL nombradas:
Las ACL nombradas (NACL, Named ACL) son ACL estándar o extendidas a las que se hace referencia mediante un nombre descriptivo en lugar de un número. Cuando se configuran ACL nombradas, el IOS del router utiliza un modo de subcomando de NACL.
Procesamiento de ACL
Las listas de control de acceso consisten de una o más sentencias. Cada sentencia puede permitir o denegar el tráfico según parámetros específicos. El tráfico se compara con cada sentencia de la ACL en forma secuencial hasta encontrar una coincidencia o hasta que no haya más sentencias.
La última sentencia de una ACL es siempre una denegación implícita. Esta sentencia se inserta automáticamente al final de cada ACL, aunque no esté presente físicamente. La denegación implícita bloquea todo el tráfico. Esta función impide la entrada accidental de tráfico no deseado.
Después de crear una lista de control de acceso, aplíquela a una interfaz para que entre en vigencia. La ACL se aplica al tráfico entrante o saliente a través de la interfaz. Si un paquete coincide con una sentencia de permiso, se le permite entrar o salir del router. Si coincide con una sentencia de denegación, no puede seguir avanzando. Una ACL que no tiene al menos una sentencia de permiso bloquea todo el tráfico. Esto se debe a que al final de todas las ACL hay una denegación implícita. Por lo tanto, una ACL rechazará todo el tráfico que no está específicamente permitido.
La última sentencia de una ACL es siempre una denegación implícita. Esta sentencia se inserta automáticamente al final de cada ACL, aunque no esté presente físicamente. La denegación implícita bloquea todo el tráfico. Esta función impide la entrada accidental de tráfico no deseado.
Después de crear una lista de control de acceso, aplíquela a una interfaz para que entre en vigencia. La ACL se aplica al tráfico entrante o saliente a través de la interfaz. Si un paquete coincide con una sentencia de permiso, se le permite entrar o salir del router. Si coincide con una sentencia de denegación, no puede seguir avanzando. Una ACL que no tiene al menos una sentencia de permiso bloquea todo el tráfico. Esto se debe a que al final de todas las ACL hay una denegación implícita. Por lo tanto, una ACL rechazará todo el tráfico que no está específicamente permitido.
El administrador aplica una ACL entrante o saliente a una interfaz de router. La dirección se considera entrante o saliente desde la perspectiva del router. El tráfico que ingresa a un interfaz será entrante y el tráfico que sale de ella será saliente.
Cuando un paquete llega a una interfaz, el router controla los siguientes parámetros:
- ¿Hay una ACL asociada con la interfaz?
- ¿La ACL es entrante o saliente?
- ¿El tráfico coincide con los criterios para permitir o para denegar?
Una ACL aplicada en dirección saliente a una interfaz no tiene efectos sobre el tráfico entrante en esa misma interfaz.
Cada interfaz de un router puede tener una ACL por dirección para cada protocolo de red. Respecto del protocolo IP, una interfaz puede tener una ACL entrante y una ACL saliente al mismo tiempo.
Las ACL aplicadas a una interfaz agregan latencia al tráfico. Incluso una ACL larga puede afectar el rendimiento del router.
Bueno hasta aqui hemos definido, visto el funcionamiento de las ACL, en otro siguiente post, les enseñare el funcionamiento de las wildcard y su proposito.
Espero que les halla sido de ayuda este Post y no se olviden que comentar es agradecer, Saludos.
0 comentarios:
Publicar un comentario
Antes de dejar su comentario, por favor, lea atentamente las indicaciones:
1) No deje su nombre completo (con que ponga el nombre de pila o nick alcanza).
2) No deje su dirección de correo electrónico ni direcciones de páginas en el contenido del comentario, esto no es un foro.
3) No resuelvo ejercicios ni configuraciones a pedido, puedo orientarlos ante una duda puntual pero no voy a hacer el trabajo por ustedes.
4) No haga comentarios ofensivos o que no tengan que ver con el contenido del post.
5) Escriba de forma correcta y entendible. Tenga en cuanta que la calidad y esfuerzo de mi respuesta va a ser directamente proporcional al de su pregunta.
Si su comentario no cumple con alguna de las indicaciones anteriores será borrado o editado sin previo aviso.