Cómo crear y configurar una lista de control de acceso
UnLista de control de acceso (ACL)es una herramienta utilizada para hacer cumplir las políticas de seguridad de TI. Especifica a qué usuarios o procesos del sistema (sujetos) se les concede acceso a los recursos (objetos), así como qué operaciones están permitidas en determinados objetos.
Se denegará cualquier intento de acceso por parte de un sujeto a un objeto que no tenga una entrada coincidente en la configuración de ACL. Esto significa que la forma en que aplica la lista de acceso determina lo que realmente hace la lista de acceso.
Hay muchos casos de uso para las listas de acceso. Por ejemplo, si aplica su lista de acceso a...
- Una interfaz, luego cualquier tráfico identificado por su lista de acceso está permitido a través de esa interfaz.
- A Traducción de Direcciones de Red (NAT), cualquier tráfico identificado por la lista de acceso se procesa a través de una NAT.
- A vpn configuración, cualquier tráfico que identifique con su lista de acceso se cifra y se envía a través del túnel VPN.
- Un mapa de ruta, luego, cualquier anuncio que coincida con sus listas de acceso será aceptado mediante un proceso de enrutamiento.
- Calidad de servicio (QoS), cualquier tráfico que coincida con su lista de acceso se priorizará o se le quitará prioridad en consecuencia.
A los efectos de este artículo, nos centraremos en la lista de acceso aplicada a las interfaces porque este es el caso de uso más común para una lista de acceso. Por ejemplo, puede configurar una lista de acceso en un cortafuegos interfaz para permitir que sólo ciertos hosts accedan a recursos basados en web en Internet mientras restringe otros. Con la combinación correcta de listas de acceso, los administradores de seguridad obtienen el poder que necesitan para hacer cumplir las políticas de seguridad de manera efectiva.
Sistemas operativos Las configuraciones de aplicaciones, firewall y enrutador dependen de las listas de control de acceso para funcionar correctamente. Cuando crea una lista de acceso en un enrutador, está inactiva hasta que le dice a ese enrutador qué hacer con ella y en qué dirección del tráfico desea que se aplique la lista de acceso: entrante o saliente.
Cuando se aplica una lista de acceso a paquetes entrantes en una interfaz, esos paquetes se procesan a través de la lista de acceso antes de enrutarse a la interfaz saliente. Cualquier paquete denegado no se enrutará porque se descarta antes de que se invoque el proceso de enrutamiento. Cuando se aplica una lista de acceso a paquetes salientes en una interfaz, esos paquetes se enrutan a la interfaz saliente y luego se procesan a través de la lista de acceso antes de ponerse en cola.
Tipos de listas de acceso
Hay dos tipos principales de listas de acceso: ACL estándar y ACL extendida.
ACL estándar
Las ACL estándar son el tipo más antiguo de listas de control de acceso. Se utilizan para filtrar el tráfico de la red examinando la fuente. dirección IP en un paquete. Puede crear una lista de acceso IP estándar utilizando números de lista de acceso que van del 1 al 99 o del 1300 al 1999 (rango ampliado). Al utilizar estos números, le está diciendo al enrutador que desea crear una lista de acceso IP estándar, por lo que el enrutador esperará una sintaxis que especifique solo la dirección IP de origen.
Los comodines se utilizan con listas de acceso para especificar un host individual, una red o un rango determinado.
de redes. La máscara comodín le indica al enrutador qué partes de una dirección IP deben coincidir con la lista de acceso y cuáles no. Luego otorga a todo lo que pertenece a esa red acceso total o nulo.
A las ACL estándar no les importa hacia dónde van los paquetes, sino que se centran en de dónde provienen. Cuando necesite decidir en función de las direcciones de origen y de destino, una lista de acceso estándar no le permitirá hacerlo ya que solo decide en función de la dirección de origen. La incapacidad de las ACL estándar para buscar una dirección de destino las hace ineficaces en tales escenarios. Aquí es donde entra en juego la ACL extendida.
ACL extendida
Las ACL extendidas amplían las funcionalidades de las ACL estándar al observar no solo el origen sino también el destino. Permite especificar la dirección de origen y destino así como el protocolo y los números de puerto TCP y UDP que los identifican. Al utilizar listas de acceso extendidas, puede permitir de manera efectiva que los usuarios accedan a una LAN física y evitar que accedan a hosts específicos, o incluso a servicios específicos en esos hosts.
En empresas medianas y grandes, la gestión de listas de acceso puede volverse difícil y complicada con el tiempo, especialmente a medida que crece la cantidad de ACL numeradas. En tales escenarios, las listas de acceso estándar y extendida se vuelven inadecuadas. Esto nos lleva al concepto de lista de acceso con nombre.
ACL nombrada
Las listas de acceso con nombre son simplemente otra forma de crear listas de acceso estándar y extendidas. Le permite usar nombres para crear y aplicar listas de acceso estándar o extendida. Las ACL con nombre permiten que las ACL estándar y extendidas reciban nombres en lugar de números. Son más convenientes que las listas de acceso numeradas porque pueden especificar un nombre significativo que es más fácil de recordar y asociar con una tarea. Puede reordenar declaraciones o agregar declaraciones a una lista de acceso con nombre. El nombre puede ser significativo e indicativo del propósito de la lista. Esto es especialmente importante para fines de documentación y mantenimiento.
Cómo funcionan las listas de control de acceso
Las declaraciones de la lista de acceso funcionan de forma muy parecida a los filtros de paquetes utilizados para comparar paquetes; o declaraciones condicionales como declaraciones si-entonces en programación de computadoras. Si se cumple una condición determinada, se realiza una acción determinada. Si no se cumple la condición específica, no sucede nada y se evalúa la siguiente declaración.
Hay dos puntos clave en un enrutador en los que se debe tomar una decisión de filtrado a medida que los paquetes pasan a través del enrutador:
- como un paquetellegaen la interfaz del enrutador (Entrada)
- como un paquetehojasla interfaz del enrutador (Salir)
Las condiciones de ACL se pueden aplicar a estas ubicaciones. Cuando se aplican condiciones de ACL en la entrada del enrutador, se denomina entrante filtrar. Cuando se aplica en el punto de salida, se llama saliente filtrar. Las ACL entrantes filtran el tráfico antes de que el enrutador decida y deben colocarse en la interfaz de entrada. Las ACL salientes filtran el tráfico después de que el enrutador lo decida y deben colocarse en la interfaz de salida. Una condición de filtro ACL tiene dos acciones: permitir y denegar. Podemos permitir ciertos tipos de tráfico mientras bloqueamos otros, o podemos bloquear ciertos tipos de tráfico mientras permitimos otros. Una vez aplicada, ACL filtrará cada paquete que pase por la interfaz. Esto hace que el firewall o enrutador analice cada paquete que pasa a través de esa interfaz en la dirección especificada y tome la acción adecuada.
Hay algunas reglas importantes que sigue un paquete cuando se compara con una lista de acceso:
- Siempre se compara con cada línea de la lista de acceso en orden secuencial comenzando con la primera línea de la lista de acceso, hasta la segunda y tercera línea, según sea el caso.
- Se compara con líneas de la lista de acceso sólo hasta que se logra una coincidencia. Una vez que el paquete coincide con la condición en una línea de la lista de acceso, se actúa sobre el paquete y no se realizan más comparaciones.
- Hay un 'denegar' implícito al final de cada lista de acceso; esto significa que si un paquete no coincide con la condición en ninguna de las líneas de la lista de acceso, el paquete será descartado.
Conceptos básicos de networking: lo que necesitas saber
Antes de que puedas dominar completamente el arte de configurar e implementar control de acceso lista, debe comprender dos conceptos de red importantes: máscara de subred y máscara comodín.
Máscara de subred: Una computadora utiliza máscaras de subred para determinar si alguna computadora está en la misma red determinada o en una red diferente. Una máscara de subred IPv4 es una secuencia de 32 bits de unos (1) seguida de un bloque de ceros (0). Los unos designan el prefijo de la red, mientras que el bloque final de ceros designa el identificador del host. En una máscara de subred, son los bits de la red, los (unos) que más nos importan. En Subredes VLSM o notación CIDR , usamos /24, lo que simplemente significa que una máscara de subred tiene 24 unos y el resto son ceros.
dirección IP | 11000000.00000000.00000010.10000010 | /24 | 192.0.2.130 |
Máscara de subred | 11111111.11111111.11111111.00000000 | /24 | 255.255.255.0 |
Tabla 1.0 Dirección IP y máscara de subred en formato binario y decimal
Máscara comodín: Una máscara comodín es muy similar a una máscara de subred excepto que los ceros y los unos están invertidos. Es todo lo contrario de una máscara de subred. Dondequiera que haya un uno (1), lo reemplazas con un cero (0), y dondequiera que haya un cero (0), lo reemplazas con un 1 (uno).
Para calcular su máscara comodín a partir de la máscara de subred, simplemente reste su máscara de subred de 255.255.255.255. Por ejemplo, si va a restar la máscara de subred /24 de la dirección anterior, es decir: 255.255.255.255 – 255.255.255.0 = 0.0.0.255. Como puede ver, llegaría a una máscara comodín de 0.0.0.255. Si está configurando una lista de acceso con una dirección IP que tiene notación CIDR, debe usar una máscara comodín.
Tabla 2.0 Dirección IP y máscara de subred en formato binario y decimal
Tenga en cuenta lo siguiente cuando utilice un comodín:
- Siempre que haya un cero (0) en un comodín, significa que el octeto de la dirección debe coincidir exactamente. Por ejemplo, usar 172.16.30.0 0.0.0.255 le indica al enrutador que haga coincidir exactamente los primeros tres octetos.
- Siempre que hay un 255 en un comodín, significa que el octeto de la dirección puede tener cualquier valor. Por ejemplo, usar 172.16.30.0 0.0.0.255 le dice al enrutador que el cuarto octeto puede tener cualquier valor.
- El comodín es siempre un número menor que el tamaño del bloque. Por ejemplo, si usó un tamaño de bloque de 8, el comodín sería 7.
Cómo crear una lista de acceso estándar
Con la comprensión anterior, ahora le mostraremos cómo crear una lista de acceso estándar. Ahora aquí está la sintaxis utilizada para crear una lista de acceso estándar:
|_+_|El desglose de las diferentes partes de la sintaxis es el siguiente:
- <1-99 or 1300-1999>Especifica el rango de números IP de ACL estándar
- PermisoEspecifica el paquete a reenviar (a permiso el tráfico de la dirección IP de origen configurada)
- DenegarEspecifica los paquetes a rechazar (es decir, (a denegar el tráfico de la dirección IP de origen configurada)
- dirección-fuenteLa dirección IP de origen que debe coincidir
- Comodín de fuenteLa máscara comodín que se aplicará a la dirección IP previamente configurada para indicar el rango.
dirección IP | 11000000.00000000.00000010.10000010 | /24 | 192.0.2.130 |
Máscara de subred | 11111111.11111111.11111111.00000000 | /24 | 255.255.255.0 |
Máscara comodín | 00000000.00000000.00000000.11111111 | /24 | 0.0.0.255 |
Tabla 2.0 Dirección IP y máscara de subred en formato binario y decimal
Tenga en cuenta lo siguiente cuando utilice un comodín:
- Siempre que haya un cero (0) en un comodín, significa que el octeto de la dirección debe coincidir exactamente. Por ejemplo, usar 172.16.30.0 0.0.0.255 le indica al enrutador que haga coincidir exactamente los primeros tres octetos.
- Siempre que hay un 255 en un comodín, significa que el octeto de la dirección puede tener cualquier valor. Por ejemplo, usar 172.16.30.0 0.0.0.255 le dice al enrutador que el cuarto octeto puede tener cualquier valor.
- El comodín es siempre un número menor que el tamaño del bloque. Por ejemplo, si usó un tamaño de bloque de 8, el comodín sería 7.
Cómo crear una lista de acceso estándar
Con la comprensión anterior, ahora le mostraremos cómo crear una lista de acceso estándar. Ahora aquí está la sintaxis utilizada para crear una lista de acceso estándar:
|_+_|El desglose de las diferentes partes de la sintaxis es el siguiente:
- <1-99 or 1300-1999>Especifica el rango de números IP de ACL estándar
- PermisoEspecifica el paquete a reenviar (a permiso el tráfico de la dirección IP de origen configurada)
- DenegarEspecifica los paquetes a rechazar (es decir, (a denegar el tráfico de la dirección IP de origen configurada)
- dirección-fuenteLa dirección IP de origen que debe coincidir
- Comodín de fuenteLa máscara comodín que se aplicará a la dirección IP previamente configurada para indicar el rango.
La Figura 1.0 anterior muestra una red de dos enrutadores con tres LAN, incluida una conexión WAN en serie para una empresa de logística. Como ingeniero de redes de esta empresa, se le ha pedido que utilice una lista de acceso estándar para evitar que los usuarios de la unidad de administración accedan al servidor de operaciones conectado al Remote_Router y al mismo tiempo permitir que todos los demás usuarios accedan a ese Y .
En primer lugar, debe determinar el comodín de la lista de acceso (que es básicamente lo inverso de la máscara de subred) y dónde colocar la lista de acceso. Las listas de acceso estándar, por regla general, se colocan más cerca del destino, en este caso, la interfaz E0 del Remote_Router. Entonces, para lograr esta implementación, configuraremos una lista de control de acceso y la aplicaremos en la interfaz de salida E0 del Remote_Router. Estos son los parámetros requeridos para esta configuración.
- Identificación de red:192.168.10.128
- Comodín:255.255.255.255 – 255.255.255.224 = 0.0.0.31
La siguiente tabla es un desglose de los comandos de la lista de acceso que se utilizarán para esta tarea.
Router_remoto#config t | Ingrese al modo de configuración global |
Remote_Router(config)#lista de acceso 10 denegar 192.168.10.128 0.0.0.31 | Denegar el acceso LAN del administrador al servidor de operaciones |
Remote_Router(config)#access-list 10 permite cualquier | permitir que todos los demás |
Remote_Router(config)#interfaz ethernet 0 | Ingrese al modo de configuración de la interfaz |
Remote_Router(config-if)#ip acceso-grupo 10 fuera | La lista de acceso de aplicación está en la interfaz como una lista saliente |
Confirmar entrada en la lista de acceso | |
Remote_Router#mostrar listas de acceso | Mostrar toda la lista de acceso configurada |
Eliminar lista de acceso | |
Remote_Router(config)#sin lista de acceso 10 | Eliminar toda la entrada de la lista de acceso |
Router_remoto(config)#end | Volver al modo ejecutivo anterior |
Listas de acceso Remote_Router#sh | Confirmar si la lista de acceso ha sido eliminada |
Enrutador_remoto# | Nada que mostrar, la lista de acceso eliminada |
Cómo crear una lista de acceso extendida
A continuación le mostraremos cómo crear una lista de acceso extendida. Aquí está la sintaxis del comando para configurar una lista de control de acceso numerada extendida:
|_+_|El desglose de las diferentes partes de la sintaxis anterior es el siguiente:
- <100-199 or 2000-2699>Especifica el rango de números IP de ACL estándar
- Permitir o denegarEspecifica si se permitirá o denegará el tráfico según los criterios siguientes
- ProtocoloEl tipo de protocolo, es decir, IP, TCP, UDP, ICMP u otro subprotocolo IP.
- dirección-fuenteLa dirección IP de origen que debe coincidir
- Comodín de fuenteLa máscara comodín que se aplicará a la dirección IP previamente configurada para indicar el rango.
- dirección-destinoLa dirección IP de destino que debe coincidir
- Comodín de destinoLa máscara comodín asociada que se aplicará.
Como administrador de red para la red que se muestra en la Figura 1.0 anterior, se le ha pedido que configure una lista de acceso que detendrá ftp y acceso Telnet al servidor de operaciones mientras se permiten otros protocolos.
Esta tarea implica el uso de una lista de acceso extendida. Para lograr esta implementación, configuraremos una lista de control de acceso utilizando los números de puerto FTP y telnet y la aplicaremos en la interfaz de salida E0 del Remote_Router. Estos son los parámetros requeridos para esta configuración:
- Identificación de red:192.168.10.192
- Comodín:255.255.255.255 – 255.255.255.224 = 0.0.0.31
- Número de puerto FTP:veintiuno
- Número de puerto Telnet:23
La siguiente tabla es el desglose de los comandos y configuraciones de la lista de acceso que se pueden usar para implementar esta tarea:
Router_remoto#config t | Ingrese al modo de configuración global |
Remote_Router(config)#access-list 120 denegar tcp cualquier 192.168.10.192 0.0.0.31 eq 21 | Denegar el acceso FTP al servidor de operaciones en la interfaz E0 |
Remote_Router(config)#access-list 120 denegar tcp cualquier 192.168.10.192 0.0.0.31 eq 23 | Denegar el acceso telnet al servidor de operaciones en la interfaz E0 |
Remote_Router(config)#access-list 120 permite ip cualquiera | Permitir todos los demás paquetes/protocolos |
Remote_Router(config)#interfaz ethernet 0 | Ingrese al modo de configuración de interfaz para E0 |
Remote_Router(config-if)#ip acceso-grupo 120 fuera | Aplicar la lista de acceso en la interfaz E0 como una lista saliente |
Conclusión
Las ACL pueden ser una herramienta eficaz para aumentar la postura de seguridad de su organización. Pero recuerde siempre que no se realizará ninguna acción hasta que la lista de acceso se aplique en una interfaz en una dirección específica.
Sin embargo, si no se tiene el suficiente cuidado, pueden producirse errores de configuración. Cualquier configuración incorrecta en las políticas de acceso a la red en su firewall o enrutador puede provocar una exposición no deseada de la red. Sin embargo, con una planificación cuidadosa y el cumplimiento de las mejores prácticas, como el principio de privilegio mínimo y otras reglas importantes de ACL, la mayoría de esos problemas se pueden evitar. Cada una de estas reglas tiene algunas implicaciones poderosas al filtrar paquetes IP con listas de acceso. Por lo tanto, tenga en cuenta que crear listas de acceso eficaces requiere algo de práctica.
Preguntas frecuentes sobre la lista de control de acceso
¿En qué configuración sería preferible una ubicación de ACL saliente a una ubicación de ACL entrante?
Se debe utilizar una ACL saliente para una interfaz saliente. Filtrará los paquetes que lleguen desde múltiples interfaces entrantes antes de que salgan de la interfaz.
¿En qué modo de configuración debe estar para crear una nueva ACL?
Debe estar en modo EXEC privilegiado para poder crear una nueva ACL. Llegue a esto ingresando el comando permitir .
¿Qué comando de configuración del mapa de rutas coincide con las rutas identificadas por una ACL o una lista de prefijos?
Para configurar un mapa de ruta para que coincida con una lista de ACL, primero debe crear el mapa de ruta con el comando:
mapa de ruta nombre { permiso | denegar } [ secuencia de números ]
A continuación, emita el comando:
fósforo dirección IP acl_id [ acl_id ] [...] [ lista de prefijos ]
¿Cuál es la sintaxis del comando para ingresar al modo de configuración ACL de IPv6?
Puede usar IPv6 en una lista de acceso y poner el enrutador en el modo de configuración de la lista de acceso IPv6 con el comando:
lista de acceso ipv6 nombre