Listas de control de acceso (ACL): aporte a la seguridad de redes. Autores: Diciembre de 2012 Introducción Desde la primera vez que se conectaron varios sistemas para formar una red, ha sido necesario implementar polÃ−ticas que la aseguren. La seguridad en las redes se ha definido como la capacidad de las redes de resistir, con un determinado nivel de confianza, los accidentes o acciones ilÃ−citas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes ofrecen o hacen accesibles. Seguridad en redes es mantener bajo protección los recursos y la información con que se cuenta en la red, a través de procedimientos basados en una polÃ−tica de seguridad tales que permitan el control de lo actuado. Entre las medidas que se toman para garantizar la seguridad de las redes se encuentran las listas de control de acceso (Acces Control List, ACL) concepto usado para fomentar la separación de privilegios. Las ACL permiten un control del tráfico de red, a nivel de los routers. Desarrollo Los administradores de redes de datos tienen entre sus funciones la de mantener la seguridad de las mismas y para esto deben ser capaces de impedir el acceso no autorizado y permitir el acceso autorizado. Para esto se valen de herramientas de seguridad y dispositivos de seguridad fÃ−sica los que a menudo carecen de controles especÃ−ficos y de flexibilidad en el filtrado básico del tráfico. Para solucionar estas dificultades los administradores se valen de las listas de control de acceso las que añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router. Mediante la utilización de las funciones de filtrado de paquetes del software IOS (Sistema Operativo de Red), un administrador de red puede restringir el acceso a determinados sistemas, segmentos de red, rangos de direcciones y servicios, basándose en una serie de criterios. La capacidad de restringir el acceso cobra mayor importancia cuando la red de una empresa se conecta con otras redes externas, como otras empresas asociadas o Internet. Las ACLs por si solas no constituyen una solución de seguridad pero si son parte importante de ésta unidas a otros componentes como antivirus, firewall especializados, proxy, etc. Constituyen listas de condiciones que se aplican al tráfico que viaja a través de una interfaz del router. Estas listas le indican al router que tipos de paquetes aceptar o denegar, de acuerdo a las direcciones o protocolos de las capas superiores. El uso de las ACLs es de gran importancia ya que van a posibilitar el control de flujo de tráfico limitando el tráfico no deseado en red y mejorando el rendimiento de la misma, al restringir el tráfico de vÃ−deo, por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia mejorar su rendimiento. 1 Además proporcionan un nivel básico de seguridad para el acceso a la red ya que permiten decidir qué tipos de tráfico se envÃ−an o bloquean en las interfaces del router, por ejemplo, permitir que se envÃ−e el tráfico relativo al correo electrónico, y se bloquea el tráfico de ftp o por ejemplo, pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. El proceso que realiza un enrutador para aplicar una ACL es el siguiente: • Cada uno de los paquetes al ingresar al router es analizado para que, en base a los valores de ciertos campos, puedan ser filtrados a través de las instrucciones del ACL. • Si se cumple una condición, el paquete se permite o se rechaza , y el resto de las declaraciones ACL no se verifican. • Si ninguna de las declaraciones ACL tiene coincidencia, se coloca una declaración implÃ−cita que indica rechazar cualquiera en el extremo de la lista por defecto, que rechazará todos los paquetes que no coincidan con la ACL. En el momento de crear una ACL es importante tener en cuenta que el enrutador compara el paquete con la ACL lÃ−nea por lÃ−nea por lo que habrá que listar los comandos desde los casos más especÃ−ficos, hasta los más generales, o sea las excepciones tienen que estar antes de la regla general. Por otro lado cualquier lÃ−nea agregada a una ACL se agrega al final por lo que para cualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Una ACL puede asignarse a una o varias interfaces. Existen numerosos tipos de ACL, los tipos básicos son IP estándar e IP extendidas. Cada ACL es identificada por un nombre o por un número. En la siguiente tabla se muestran los diferentes tipos de ACL y el rango de números que se relaciona con cada una: Tipo de ACL Standard IP access list Standard IP access list (IOS 12.1 number ranges were extended) Extended IP access list Extended IP access list (IOS 12.1 number ranges were extended) Ethernet type code Transparent bridging (protocol type) Source-route bridging (protocol type) DECnet and extended DECnet XNS Extended XNS AppleTalk Transparent bridging (vendor code) Source-route bridging (vendor code) Standard IPX Extended IPX IPX SAP Extended transparent bridging NLSP route summary RANGO 1-99 1300-1399 100-199 2000-2699 200-299 200-299 200-299 300-399 400-499 500-599 600-699 700-799 700-799 800-899 900-999 1000-1099 1100-1199 1200-1299 2 Es importante notar que el rango de números es el mismo para diferentes protocolos, en este caso, el router distinguirá entre los tipos de lista de acceso por el formato de la lista de acceso en lugar del número. A la hora de crear una lista de control de acceso hay que tener en cuenta lo siguiente: • Las ACLs solo filtran el tráfico que circula a través del enrutador, no el que este origina. • Las entradas de las ACL deben realizar un filtro desde lo particular a lo general. • Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando el puerto desde adentro del router. • Cuando un paquete se compara con una lista de control de acceso, cada una de las lÃ−neas de la lista se examina de forma secuencial hasta que haya coincidencia. • Una vez encontrada la coincidencia, el paquete se acepta o se rechaza (dependiendo de lo que indique la lÃ−nea), y el proceso de comparación se detiene. • Existe una sentencia “denegar” implÃ−cita al final de cualquier lista de acceso. • Cada vez que se añade una lÃ−nea a la lista de acceso, dicha lÃ−nea se sitúa al final de la lista. • No se puede eliminar una lÃ−nea de una lista de acceso. Hay que eliminar la lista completa. • Si la lista de acceso no incluye al menos una sentencia “permitir”, se rechazarán todos los paquetes, debido la sentencia implÃ−cita “denegar”. • Sólo se puede asignar una lista de control de acceso por interfaz y sentido de la comunicación. Es importante resaltar que, como se mencionó anteriormente, las listas de control de acceso también pueden ser distinguidas por el nombre en lugar del número lo que es beneficioso para los administradores cuando deben trabajar con un gran número de ACLs o cuando el número de ACL estándar que van a implementar es mayor que 99. Otra ventaja de las ACL con nombre es la posibilidad de modificar la lista de control, mientras que en las ACL numeradas para cambiar una lÃ−nea de estas es necesario eliminar toda la lista e introducirla nuevamente desde el comienzo; las ACL nombradas permiten eliminar una lÃ−nea. Conclusiones Como se ha podido apreciar en el presente trabajo las listas de control de acceso por si solas no constituyen una solución de seguridad pero si son parte importante de ésta unidas a otros componentes. Las ACL básicamente permiten: • Limitar el tráfico de red y mejorar el rendimiento de la misma. • Proporcionar un nivel básico de seguridad para el acceso a la red. • Establecer qué tipo de tráfico se envÃ−a o se bloquea en las interfaces del router. BibliografÃ−a • [1] Libro Managing Cisco Network Security. Russell Lusignan y otros. [2] Monográfico: Listas de control de acceso (ACLs)-Utilización de ACLs en router. Por Elvira Mifsu (Septiembre de 2012). Disponible en: http://www.slideshare.net/yesyduc10/conceptos-bsicos-de-seguridad-en-redes-11895594 [3] Conceptos básicos de seguridad en redes. Por Yesenia Cetina (Marzo de 2012. Disponible en: http://www.slideshare.net/yesyduc10/conceptos-bsicos-de-seguridad-en-redes-11895594 [4] LISTA DE CONTROL DE ACCESO. Por Ing. Javier Padilla (Diciembre de 2011). Disponible en: http://ing.javierpadilla.over-blog.es/article-lista-de-control-de-acceso-93373625.html 3 [5] "Acl De Router Y Cbac." BuenasTareas.com. (Mayo de 2010). Disponible en: http://www.buenastareas.com/ensayos/Acl-De-Router-y-Cbac/298343.html [6] Configuración de los filtros IP a través de listas de acceso - Parte I. Por Sergio Untiveros. Disponible en: http://www.aprendaredes.com/dev/articulos/configuracion-de-los-filtros-ip-parte-i.htm [7] FILTRADO DE PAQUETES DE DATOS A TRAVà S DE LISTAS DE CONTROL DE ACCESO (ACL). Por Santiago Jácome / Mayra Salazar (Mayo de 2011). Disponible en: http://santiagojacome.wordpress.com/2011/05/25/filtrado-de-paquetes-de-datos-a-traves-de-listas-de-control-de-acceso 4