Tipos de ACLs y su uso en firewalls y seguridad de red
1.
2. Los firewalls separan las áreas protegidas
de las no protegidas.
Impide a los usuarios no autorizados
acceder a recursos en redes protegidas.
Inicialmente, los únicos medios de
proporcionar protección de firewall eran
las listas de control de acceso (ACL),
incluyendo estándar, extendidas,
numeradas y nombradas.
3. Los firewalls de estados (stateful) usan
tablas para seguir el estado en tiempo
real de las sesiones end-to-end.
Los firewalls de estado toman en
consideración la naturaleza orientada a
sesiones del tráfico de red.
Los primeros firewalls de estados usaban
la opción "TCP established" para las
ACLs
4. Luego se usaron las ACLs reflexivas para
reflejar dinámicamente cierto tipo de tráfico
dirigido desde el interior de la red hacia el
exterior de modo de poder permitir el retorno
del mismo.
Las ACLs dinámicas fueron desarrolladas para
abrir un agujero en el firewall para tráfico
aprobado por un período determinado de
tiempo.
Las ACLs basadas en tiempo fueron ideadas
para aplicar ACLs durante ciertos momentos
del día en días de la semana específicos.
5. Con la proliferación de tipos de ACLs,
empezó a volverse más y más
importante poder verificar el
comportamiento apropiado de estas
ACLs con los comandos show y debug.
6. Hoy en días hay muchos tipos de firewalls disponibles,
incluyendo :
› los firewalls de filtrado de paquetes,
› de estados,
› de gateway de
› aplicación (proxy),
› de traducción dedirecciones,
› basados en hosts,
› transparentes e híbridos.
Los diseños de redes modernos deben incluir uno
más firewalls cuidadosamente colocados de modo
de proteger los recursos que requieren protección,
permitiendo el acceso en forma segura a los recursos
que deben permanecer disponibles.
7. Las listas de control de acceso (access
control lists - ACLs) se usan regularmente en
las redes de computadoras y en la
seguridad de las redes para mitigar
ataques de red y
controlar el tráfico de red.
Los administradores usan las ACLs para
definir y controlar las clases de tráfico en los
dispositivos de networking tomando como
base varios parámetros.
Estos parámetros son específicos de las
capas 2, 3, 4 y 7 del modelo OSI.
8. Prácticamente cualquier tipo de tráfico
puede ser definido explícitamente usando
apropiadamente una ACL numerada.
Por ejemplo, antiguamente, el campo de
tipo Ethernet en el encabezado de una
trama Ethernet era usado para definir
ciertos tipos de tráfico. Un tipo Ethernet
0x8035 indicaba una trama de protocolo
de resolución de direcciones inverso
(Reverse Address Resolution Protocol -
RARP).
9. Las ACLs numeradas dentro del rango
200-299 eran usadas para controlar el
tráfico de acuerdo con el tipo Ethernet
PROTOCOLO TIPO RANGO FILTRA POR
IP Estándar 1-99 y 1300-1999 el origen
IP Extendidas
100-199 y 2000-
2699
el origen, destino, protocolo,
puerto...
Ethernet
Código
(Type)
200-299 el tipo de código Ethernet
DECnet
Protocol
Suite
300-399 el origen
Appletalk
Protocol
Suite
600-699 el origen
Ethernet Direcciones 799-799 la dirección MAC
IPX Estándar 800-899 el origen
IPX Extendida 900-999
el origen, destino, protocolo,
puerto...
IPX SAP 1000-1099
tipo de aplicación (SAP, Service
Access Point)
10. También era común crear ACLs con la
dirección MAC como base. Una ACL
numerada dentro del rango 700-799 indica
que el tráfico es clasificado y controlado
con la dirección MAC como base.
Luego de que se especifica el tipo de
clasificación, pueden establecerse los
parámetros de control requeridos para esa
ACL.
Por ejemplo, una ACL numerada en el
rango que va desde el 700 hasta el 799
puede ser usada para prohibir que un
cliente con una dirección MAC específica
se asocie con un punto de acceso
predeterminado.
11. Hoy en día, para clasificar tráfico, los tipos
de parámetros más comúnmente utilizados
en las ACLs relacionadas con la seguridad
tienen que ver con las direcciones IPv4 e
IPv6 y con los números de puerto TCP y
UDP.
Por ejemplo, una ACL puede permitir a
todos los usuarios con una dirección de red
IP específica descargar archivos de
Internet usando FTP seguro.
Esa misma ACL puede ser usada para
denegar a todas las direcciones IP el
acceso al FTP tradicional.
12.
13. Las ACLs numeradas entre 1-99 y 1300-
1999 son ACLs IPv4 e IPv6 estándar.
Las ACLs estándar filtran los paquetes
examinando el campo de dirección IP
de origen en el encabezado IP de ese
paquete.
Estas ACLs son usadas para filtrar
paquetes basándose exclusivamente en
la información de origen de capa 3.
14. Las ACLs estándar permiten o deniegan
el tráfico basándose en la dirección de
origen.
Router(config)# access-list {1-99} {permit | deny} dir-origen [wildcard-origen]
15. número de la ACL
permitir o denegar el tráfico de la
dirección IP origen configurada
dirección IP de origen
máscara wildcard aplica
a ip de origen