este artículo es el comienzo de una nueva serie centrada en la seguridad de TI, pero centrada en la seguridad de redes con listas de control de acceso, comúnmente conocidas como ACL. Listas de control de Acceso, su función, y la implementación adecuada están cubiertos en los exámenes de Cisco, pero los conceptos y estrategias de implementación también están cubiertos en certificaciones como Security + y CISSP., En este artículo, investigaremos y definiremos los diferentes tipos de listas de control de acceso y examinaremos algunos conceptos de implementación, especialmente el «por qué» las usamos y el «cuándo». Los futuros artículos se centrarán en su implementación en routers Cisco, diseños específicos para permitir y denegar servicios, y se aventurarán en el mundo de los firewalls.
¿qué son las listas de control de acceso?
las ACL son un filtro de red utilizado por los routers y algunos switches para permitir y restringir los flujos de datos dentro y fuera de las interfaces de red., Cuando se configura una ACL en una interfaz, el dispositivo de red analiza los datos que pasan a través de la interfaz, los compara con los criterios descritos en la ACL y permite que los datos fluyan o los prohíbe.
¿por qué utilizamos listas de control de acceso?
hay una variedad de razones por las que usamos ACLs. La razón principal es proporcionar un nivel básico de seguridad para la red. Las ACL no son tan complejas y en profundidad de protección como los firewalls con estado, pero proporcionan protección en interfaces de mayor velocidad donde la velocidad de velocidad de línea es importante y los firewalls pueden ser restrictivos., Las ACL también se utilizan para restringir las actualizaciones de enrutamiento desde pares de red y pueden ser fundamentales para definir el control de flujo para el tráfico de red.
¿cuándo utilizamos las listas de control de acceso?
como mencioné antes, las ACL para enrutadores no son tan complejas o robustas como los firewalls con estado, pero ofrecen una cantidad significativa de capacidad de firewall. Como profesional de la red de TI o de la seguridad, la ubicación de sus defensas es fundamental para proteger la red, sus activos y datos., Las ACL deben colocarse en enrutadores externos para filtrar el tráfico contra redes menos deseables y protocolos vulnerables conocidos.
uno de los métodos más comunes en este caso es configurar una DMZ o zona de búfer desmilitarizada en su red. Esta arquitectura se implementa normalmente con dos dispositivos de red separados.
un ejemplo de esta configuración se muestra en la Figura 1.
el router más exterior proporciona acceso a todas las conexiones de red externas., Este enrutador generalmente tiene ACL menos restrictivas, pero proporciona bloques de acceso de protección más grandes a las áreas de las tablas de enrutamiento globales que desea restringir. Este enrutador también debe proteger contra protocolos bien conocidos que absolutamente no planea permitir el acceso dentro o fuera de su red. Además, las ACL aquí deben configurarse para restringir el acceso de pares de red y pueden usarse junto con los protocolos de enrutamiento para restringir las actualizaciones y el alcance de las rutas recibidas o enviadas a pares de red.,
la DMZ es donde la mayoría de los profesionales de TI colocan sistemas que necesitan acceso desde el exterior. Los ejemplos más comunes de estos son servidores web, servidores DNS y sistemas de acceso remoto o VPN.
el router interno de una DMZ contiene ACL más restrictivas diseñadas para proteger la red interna de amenazas más definidas. Las ACL aquí a menudo se configuran con instrucciones explicitas permit y deny para direcciones y servicios de protocolo específicos.
¿en qué consiste una lista de control de acceso?,
independientemente de la plataforma de enrutamiento que utilice, todas tienen un perfil similar para definir una lista de control de acceso.,s y números)
- Los ejemplos incluyen IP, IPX, ICMP, TCP, UDP, NETBIOS y muchos otros
- Estas son típicamente direcciones y se pueden definir como una sola dirección discreta, un rango o subred, o
- estas instrucciones adicionales solicitan funciones adicionales cuando se encuentra una coincidencia para la instrucción., Estos indicadores varían para cada protocolo, pero un indicador común agregado a las instrucciones es la función de registro que registra cualquier coincidencia con la instrucción en el registro del enrutador
¿Qué tipos de listas de control de acceso existen?
hay varios tipos de listas de control de acceso y la mayoría están definidas para un propósito o protocolo distinto. En los routers Cisco, hay dos tipos principales: estándar y extendido. Estos dos tipos son los ACLs más utilizados y los que me centraré en este y futuros artículos, pero también hay algunos ACLs avanzados., Algunos de los ACLs avanzados incluyen ACLs reflexivos y ACLS dinámicos y se definen de la siguiente manera. Las ACL reflexivas, también conocidas como ACL de sesión IP, se activan desde una ACL saliente para el tráfico iniciado desde la red interna. El enrutador identificará este nuevo flujo de tráfico y creará una entrada en una ACL separada para la ruta de entrada. Una vez finalizada la sesión, se elimina la entrada en el ACL reflexivo.
Las ACL dinámicas o las ACL de bloqueo y llave se crean para permitir el acceso del Usuario a un host de origen/destino específico a través de un proceso de autenticación del usuario., Las implementaciones de Cisco utilizan capacidades de Firewall de IOS y no obstaculizan las restricciones de seguridad existentes.
implementación de ACL en una interfaz de enrutador
la ubicación y la comprensión del flujo de tráfico es importante comprender de antemano antes de configurar una ACL en una interfaz de enrutador. La comprensión de la colocación y el impacto de las ACL son preguntas frecuentes en los exámenes CCNA y CCNP y los errores en la colocación de ACL son algunos de los más comunes que los administradores de red cometen durante la implementación de seguridad. Créeme, nos pasa a todos y no soy inmune a eso., La figura 2 proporciona un buen ejemplo del flujo de tráfico cuando se trata de ingresar y egresar en una interfaz de red de enrutador.
como puede ver en este diagrama, el tráfico de entrada fluye desde la red hacia la interfaz y los flujos de salida desde la interfaz hacia la red. Los profesionales de la red de ti y la seguridad deben prestar mucha atención aquí. Las ACL comienzan con una dirección de origen en primer lugar en su configuración y el destino en segundo lugar., Al configurar una ACL en la entrada de una interfaz de red, es importante reconocer que todas las redes o hosts locales deben considerarse como fuentes aquí, y exactamente lo contrario para la interfaz de salida.
lo que hace que esto sea más confuso es la implementación de ACL en la interfaz de un enrutador que se enfrenta a una red externa. Mira hacia atrás en la Figura 1. En ese ejemplo, el lado de ingreso proviene de la red externa y esas direcciones se consideran fuentes, mientras que todas las direcciones de red internas son destinos., En el lado de salida, las direcciones de red internas ahora son direcciones de origen y las direcciones externas ahora son destinos.
a medida que agrega puertos en ACLs extendidas, se puede crear confusión. El mejor consejo que tengo antes de cualquier implementación es documentar sus flujos y anotar sus direcciones de origen/destino. Cubriremos más de estas implementaciones más adelante en los artículos de configuración de ACL.
resumen
Las listas de control de acceso son un elemento principal para asegurar sus redes y comprender su función y ubicación adecuada es esencial para lograr su mejor efectividad., La capacitación de certificación cubre ACLs y hay varias preguntas en los exámenes que les conciernen. A medida que continuamos en esta serie, sería aconsejable probar algunos de los conceptos en simuladores de red o puertos de enrutador no utilizados para obtener una mejor perspectiva utilizando ACLs y cómo pueden representarse en implementaciones reales y en los exámenes.
listo para poner a prueba sus habilidades en Redes Informáticas? Vea cómo se comparan con esta evaluación de Smarterer. Inicie esta prueba de redes informáticas ahora