La
seguridad de red es un tema muy amplio, una de las opciones más importantes que
necesita un administrador de red es el dominio de las listas de control de
acceso (ACL).
Algunos
administradores de red utilizan firewalls para proteger las redes del uso no
autorizado. Los firewalls son soluciones de hardware o de software que aplican
las políticas de seguridad de la red.
En un router Cisco, puede configurar un
firewall simple que proporcione capacidades básicas de filtrado de tráfico
mediante ACL. Los administradores utilizan las ACL para detener el tráfico o
para permitir solamente tráfico específico en sus redes.
Una
ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar)
que se aplican a los protocolos de capa superior o a las direcciones. Las ACL
son una herramienta potente para controlar el tráfico hacia y desde la red. Se
pueden configurar ACL para todos los protocolos de red enrutada.
El
motivo más importante para configurar ACL es aportar seguridad a una red.
En
el siguiente artículo, se explica cómo utilizar las ACL estándar y extendidas
en un router Cisco como parte de una solución de seguridad.
Tipos de ACL.
Podemos definir dos tipos de ACLs
que son los estándares y extendidas.
ACL estándar
Las ACL estándar se pueden utilizar para permitir o denegar el tráfico
de direcciones IPv4 de origen únicamente. El destino del paquete y los puertos
involucrados no se evalúan, y se pueden enumerar de la 1 a la 99
Ejemplo:
R1(config)# acces-list 10 deny 192.168.30.0 0.0.0.255
Con el ejemplo anterior se deniega todo el tráfico que pasa por el router proveniente de la red red 192.168.30.0/24. Las ACL estándar se crean en el modo de configuración global. Las
ACL estándar filtran paquetes IP solamente según la dirección de origen (solo
evaluaran la dirección de red de origen)
ACL extendidas
Las ACL extendidas son mas completas ya que se se pueden evaluar varios criterios, y su numeracion va en los rangos de (100 a 199) y (2000 a
2699).
Las ACL extendidas filtran paquetes IPv4 según varios atributos:
·
Tipo de protocolo
·
Dirección IPv4 de origen
·
Dirección IPv4 de destino
·
Puertos TCP o UDP de origen
·
Puertos TCP o UDP de
destino
·
Información optativa de
tipo de protocolo para un control más preciso
En cambio la estandar solo evalua la red de origen.
Ejemplos de ACL
extendida.
La siguiente ACL
bloquea el puerto http desde la red 192.168.1.0 hacia el host 172.23.2.11
|
R1(config)# acces-list 101 deny tcp 192.168.1.0 0.0.0.255 host
172.23.2.11 eq www
|
|
R1(config)# acces-list 101 permit ip any any
|
No olvidar colocar la
sentencia al final permit ip any any,
(con esto permitiremos todo el tráfico restante)
Tipos
de entradas.
Las ACL se pueden configurar para aplicarse al tráfico entrante o al
tráfico saliente, dependiendo de lo que queramos realizar.
· ACL de entrada: los
paquetes entrantes se procesan antes de enrutarse a la interfaz de salida. Las
ACL de entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas
si el paquete se descarta. Si las pruebas permiten el paquete, este se procesa
para el routing. Las ACL de entrada son ideales para filtrar los paquetes
cuando la red conectada a una interfaz de entrada es el único origen de los
paquetes que se deben examinar.
ACL
de salida: los paquetes entrantes se enrutan
a la interfaz de salida y después se procesan mediante la ACL de salida.
Las ACL de salida son ideales cuando se aplica el mismo filtro a los
paquetes que provienen de varias interfaces de entrada antes de salir por
la misma interfaz de salida.
No hay comentarios:
Publicar un comentario