2. Las ACLs basadas en tiempo son similares
a las ACLs extendidas en función, salvo
que además restringen el tráfico en base
a la hora del día, el día de la semana o el
día del mes.
Estas ofrecen al profesional de la
seguridad mayor control sobre los
permisos de acceso a los recursos.
En ocasiones, es necesario abrir una
brecha de seguridad en el filtro de un
router para permitir un tipo específico de
tráfico.
Este agujero no debe permanecer
indefinidamente.
3. Por ejemplo, puede permitirse a los usuarios
acceder a Internet durante el almuerzo, pero
no durante las horas de trabajo.
Las ACLs basadas en tiempo permiten aplicar
este tipo de política.
También permiten controlar los mensajes de
registro.
Pueden registrar el tráfico en ciertos
momentos del día, pero no constantemente.
El administrador puede simplemente denegar
el acceso sin analizar los varios registros
generados durante las horas pico.
4. Las ACLs basadas en tiempo son una
extensión de las ACLs extendidas
numeradas y nombradas.
El administrador crea entradas basadas
en tiempo y usa el parámetro timerange
para especificar el período de tiempo
que la sentencia ACL será válida.
El período de tiempo especificado puede
ser recurrente o una instancia específica
que ocurra una sola vez.
5.
6. Al crear un rango de tiempo con el
comando time-range, éste debe tener un
nombre único.
El nombre debe comenzar con una letra
y no puede contener espacios.
Este nombre es utilizado para asociar una
sentencia ACL específica con este rango.
La ejecución del comando time-range
ubica al router en el modo de
subconfiguración de ACL.
En este modo, se pueden especificar dos
tipos de rangos: de una sola vez
(absoluto) y recurrente (periódico).
7. Comandos para la creación
de un rango de tiempo
Router(config)# time-range
nombre_rango
Router(config-time-range)# absolute
[hora_inicio fecha_inicio] [hora_fin
fecha_fin]
Router(config-time-range)# periodic
día_de_la_semana hh:mm to
[día_de_la_semana] hh:mm
8. El comando absolute especifica un único
período de tiempo para el cual el rango
de tiempo es válido.
Las sentencias ACL que hacen referencia
a este rango de tiempo no son utilizadas
luego de este período.
El administrador puede especificar un
tiempo de inicio, un tiempo de
finalización o ambos.
El tiempo especificado es de 24 horas:
hh:mm, donde las horas pueden ir desde
0 hasta 23 y los minutos, desde 0 hasta 59.
9. Por ejemplo, las 3 p.m. se representa como
15:00.
La fecha se especifica como día mes año.
El día se especifica como un número que
puede ir de 1 a 31, el mes es el nombre del
mes en inglés, como "May", y el año es un
valor de cuatro dígitos, como 2003.
Ejemplos de especificaciones de fechas son
19 November 2009 y 07 July 2010.
Si se omite el tiempo de inicio, por defecto se
usa la hora del router.
Si se omite el tiempo de finalización, por
defecto se usa 23:59 31 December 2035.
10. El comando periodic especifica un
período de tiempo recurrente para el
cual el rango de tiempo es válido.
Se permiten múltiples comandos periodic
dentro del mismo rango de tiempo.
Especifique el tiempo de inicio y de
finalización.
El tiempo de finalización puede
pertenecer a un día diferente.
El primer parámetro especificado es el
día de la semana (en inglés):
11. monday
tuesday
wednesday
thursday
friday
saturday
sunday
daily (todos los días)
weekdays (de lunes a viernes)
weekend (sábado y domingo)
12. El siguiente parámetro es el tiempo de
inicio, especificado como hh:mm,
seguido del parámetro to y el tiempo de
finalización.
Si se omite el parámetro del día de la
semana, por defecto se usa el día de la
semana configurado para el tiempo de
inicio.
Luego de esto va el tiempo de
finalización, especificado como hh:mm.
Es importante tomar en cuenta que el
reloj del router debe estar configurado
para que este comando opere como se
requiere.
13. Luego de crear los rangos de tiempo, el
administrador debe activarlos.
Esto se logra agregando el parámetro time-
range a la sentencia ACL.
Las ACLs extendidas, tanto nombradas como
numeradas, soportan esta función.
Esta es la sintaxis de configuración de una
ACL numerada.
Router(config)# access-list {100-199} {permit |
deny} protocolo dir-origen [máscaraorigen]
[operador operando] dir-destino [máscara-
destino] [operador operando]
[established][log | log-
input][established][time-range
nombre_del_rango_de_tiempo]
14. Debe agregarse el rango de tiempo a la
sentencia ACL.
Una vez hecho esto, el IOS de Cisco
procesa la sentencia ACL sólo cuando el
tiempo del router cae dentro del período
especificado por los comandos periodic
o absolute definidos en la configuración
timerange.
15.
16.
17.
18. Ejemplo: un administrador de red requiere
ACLs basadas en tiempo para aplicar
una política mediante la cual no se
permite a los usuarios acceder a Internet
durante las horas laborables, excepto
durante el almuerzo y las horas extra
hasta las 7 p.m. cuando cierra la oficina.
Esta es la ACL basada en tiempo que
soporta el requerimiento:
19. R1(config)# time-range employee-time
R1(config-time-range)# periodic weekdays
12:00 to 13:00
R1(config-time-range)# periodic weekdays
17:00 to 19:00
R1(config-time-range)# exit
R1(config)# access-list 100 permit ip
192.168.1.0 0.0.0.255 any time-range
employeetime
R1(config)# access-list 100 deny ip any any
R1(config)# interface FastEthernet 0/1
R1(config-if)# ip access-group 100 in
R1(config-if)# exit
20. En el ejemplo anterior, los comandos
permiten el acceso IP a Internet durante
el almuerzo y las horas extra: la ACL 100
permite tráfico de los empleados a
Internet durante el almuerzo y las horas
de trabajo extra entre las 5 p.m. y las 7
p.m.
21.
22. Resolución de problemas en
implementaciones de ACLs
complejas
Para verificar la configuración ACL, use el
comando show access-lists.
Router# show access-lists [número-ACL | nombre-
ACL]
La salida del comando muestra cuántos paquetes
coinciden con cada entrada de las ACLs, lo cual
permite al usuario monitorear los paquetes
específicos que han sido permitidos o denegados.
Para resolver problemas en una configuración
ACL, use el comando debug ip packet.
Router# debug ip packet [número-ACL] [detail]
23. El comando debug ip packet es útil para analizar
los mensajes que viajan entre los hosts locales y
remotos.
El debugging de paquetes IP captura los
paquetes conmutados por procesos, incluyendo
los paquetes recibidos, generados y reenviados.
La opción detail muestra información de
debugging de paquetes IP.
Esta información incluye tanto los códigos y tipos
de paquetes como los números de puerto de
origen y destino.
Tenga en consideración un uso prudencial del
comando debug ip packet en redes en
producción, ya que su ejecución genera una
cantidad importante de información y usa
considerablemente los recursos del sistema.
24.
25. Un contador ACL cuenta cuántos paquetes
coinciden (sean permitidos o denegados)
con cada línea de la ACL.
Este número se muestra como número de
coincidencias (number of matches).
Al verificar el número de coincidencias con el
comando show access-lists, el administrador
puede determinar si las ACLs IP estándar y
extendidas configuradas están filtrando
como se les pide.
Por ejemplo, si una entrada tiene muchas
más coincidencias que las esperadas, puede
ser demasiado general.
Esto puede indicar que la ACL no tiene el
efecto buscado en el tráfico de la red.
26.
27. En la salida de debug ip packet, la denegación de un
paquete se muestra explícitamente, lo cual permite una
determinación granular y en tiempo real del éxito de la
implementación ACL.
La "g" en la salida del comando debug ip packet indica
el gateway del siguiente salto.
Se puede detener la salida del comando debug con el
comando undebug all.
A veces toma algunos minutos detenerla, dependiendo
de qué comandos debug se han configurado y la
cantidad de tráfico que pasa por el router.
Los comandos de verificación y resolución de problemas
de las ACLs son relativamente fáciles de usar y no hay
demasiados comandos para recordar.
Es imperativo examinar las ACLs una vez implementadas
para controlar su correcto funcionamiento.
28.
29. Mitigación de ataques con
ACLs
Se puede usar ACLs para mitigar muchas
amenazas de red:
Falsificación de direcciones IP de entrada y de
salida
Ataques de DoS SYN TCP
Ataques de DoS smurf
Adicionalmente, las ACLs filtran el siguiente
tráfico:
Mensajes ICMP de entrada y de salida
traceroute
30. Los ataques de DoS tienden a ser los más
devastadores en las redes.
El IOS de Cisco soporta varias tecnologías
diseñadas para minimizar el daño causado
por los ataques de DoS.
La mayoría de los ataque usa algún tipo de
falsificación.
Hay muchas clases de direcciones IP bien
conocidas que nunca deben tomarse como
direcciones IP de origen del tráfico que
ingresa a la red de una organización.
Hay ACLs específicas que son fáciles de
implementar y previenen que los ataques se
originen de estos tipos de direcciones.
31. ICMP viene siendo muy utilizado en
ataques de red desde hace varios años.
El IOS de Cisco ahora soporta tecnologías
específicas que evitan daños a la red
que provengan de ataques basados en
ICMP
32. Ningún administrador debe permitir el ingreso
a una red privada de paquetes IP cuya
dirección de origen sea la de un host interno
o una red interna.
El administrador puede crear una ACL que
deniegue todos los paquetes que contengan
las siguientes direcciones IP en su campo de
origen:
Cualquier dirección de host local (127.0.0.0/8)
Cualquier dirección privada reservada (RFC
1918, Address Allocation for Private Internets)
Cualquier dirección en el rango de direcciones
IP multicast (224.0.0.0/4)
33. Los administradores no deben permitir la
salida de paquetes IP con una dirección
de origen que no sea una dirección IP
válida para la red interna.
Para este propósito, puede crearse una
ACL que permita sólo aquellos paquetes
que contengan direcciones de origen de
la red interna y deniegue los restantes.
34.
35.
36. DNS, SMTP y FTP son servicios comunes a los
que generalmente debe permitirse pasar por
un firewall.
También es muy común que un firewall
requiera una configuración para permitir
protocolos necesarios para la administración
del router.
Por ejemplo, puede ser necesario permitir el
paso de tráfico por un router interno para
que el tráfico de mantenimiento de routers
que proviene de un dispositivo externo
pueda pasar.
Telnet, SSH, syslog y SNMP son ejemplos de
servicios que el router puede necesitar incluir.
Siempre se prefiere SSH sobre Telnet.
37.
38. Los hackers usan varios tipos de mensajes ICMP
para atacar redes, sin embargo, varias
aplicaciones usan mensajes ICMP para reunir
información.
La administración de redes usa mensajes ICMP
generados automáticamente por el router.
Los hackers pueden usar paquetes eco ICMP
para descubrir subredes y hosts de una red
protegida y generar ataques de inundación
DoS.
Los hackers pueden usar mensajes de
redirección ICMP para alterar las tablas de
enrutamiento de los hosts.
La entrada de mensajes eco y de redirección
ICMP debe ser bloqueada por el router.
39. Se recomiendan varios mensajes ICMP
para la correcta operación de la red y
debe permitírseles la entrada:
Echo reply - (Respuesta de eco) Permite a
los usuarios hacer ping a hosts externos.
Source quench - (Disminución del tráfico
desde el origen) Solicita al remitente que
disminuya la cantidad de tráfico de
mensajes.
Unreachable - (Destino inalcanzable) Los
mensajes unreachable se generan
cuando un paquete es denegado
administrativamente por una ACL.
40. Se recomiendan varios mensajes ICMP para
la correcta operación de la red y debe
permitírseles la salida:
Echo - (Eco) Permite a los usuarios hacer ping
a hosts externos.
Parameter problem - (Problema de
parámetro) Informa al host sobre problemas
en el encabezado del paquete.
Packet too big - (Paquete demasiado
grande) Requerido para el descubrimiento
de la unidad de transmisión máxima (MTU) de
paquetes.
Source quench - (Disminución del tráfico
desde el origen) Ahoga el flujo de tráfico si es
necesario.
41. Todos los otros tipos de mensajes ICMP de
salida deben ser bloqueados.
Las ACLs se usan para detener la falsificación
de direcciones IP, permitir el paso por el
firewall de servicios específicos y permitir sólo
los mensajes ICMP requeridos.
Las ACLs son una herramienta dominante en
la seguridad de las redes.
Existen otras tecnologías que fueron
desarrolladas para el IOS de Cisco para
mejorar la funcionalidad del firewall.
¿Qué tecnologías superan a las ACLs
tradicionales en la creación de un perímetro
seguro para la red de una organización?