Listas de control de acceso

Anuncio
Listas de control de acceso (ACL): aporte a la seguridad de redes.
Autores:
Diciembre de 2012
Introducción
Desde la primera vez que se conectaron varios sistemas para formar una red, ha sido necesario implementar
polÃ−ticas que la aseguren.
La seguridad en las redes se ha definido como la capacidad de las redes de resistir, con un determinado nivel
de confianza, los accidentes o acciones ilÃ−citas o malintencionadas que comprometan la disponibilidad,
autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que
dichas redes ofrecen o hacen accesibles.
Seguridad en redes es mantener bajo protección los recursos y la información con que se cuenta en la red, a
través de procedimientos basados en una polÃ−tica de seguridad tales que permitan el control de lo
actuado.
Entre las medidas que se toman para garantizar la seguridad de las redes se encuentran las listas de control de
acceso (Acces Control List, ACL) concepto usado para fomentar la separación de privilegios. Las ACL
permiten un control del tráfico de red, a nivel de los routers.
Desarrollo
Los administradores de redes de datos tienen entre sus funciones la de mantener la seguridad de las mismas y
para esto deben ser capaces de impedir el acceso no autorizado y permitir el acceso autorizado. Para esto se
valen de herramientas de seguridad y dispositivos de seguridad fÃ−sica los que a menudo carecen de
controles especÃ−ficos y de flexibilidad en el filtrado básico del tráfico.
Para solucionar estas dificultades los administradores se valen de las listas de control de acceso las que
añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces
del router.
Mediante la utilización de las funciones de filtrado de paquetes del software IOS (Sistema Operativo de
Red), un administrador de red puede restringir el acceso a determinados sistemas, segmentos de red, rangos de
direcciones y servicios, basándose en una serie de criterios. La capacidad de restringir el acceso cobra mayor
importancia cuando la red de una empresa se conecta con otras redes externas, como otras empresas asociadas
o Internet.
Las ACLs por si solas no constituyen una solución de seguridad pero si son parte importante de ésta
unidas a otros componentes como antivirus, firewall especializados, proxy, etc. Constituyen listas de
condiciones que se aplican al tráfico que viaja a través de una interfaz del router. Estas listas le indican al
router que tipos de paquetes aceptar o denegar, de acuerdo a las direcciones o protocolos de las capas
superiores.
El uso de las ACLs es de gran importancia ya que van a posibilitar el control de flujo de tráfico limitando el
tráfico no deseado en red y mejorando el rendimiento de la misma, al restringir el tráfico de vÃ−deo, por
ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia mejorar su rendimiento.
1
Además proporcionan un nivel básico de seguridad para el acceso a la red ya que permiten decidir qué
tipos de tráfico se envÃ−an o bloquean en las interfaces del router, por ejemplo, permitir que se envÃ−e el
tráfico relativo al correo electrónico, y se bloquea el tráfico de ftp o por ejemplo, pueden permitir que
un host acceda a una parte de la red y evitar que otro acceda a la misma área.
El proceso que realiza un enrutador para aplicar una ACL es el siguiente:
• Cada uno de los paquetes al ingresar al router es analizado para que, en base a los valores de ciertos
campos, puedan ser filtrados a través de las instrucciones del ACL.Â
• Si se cumple una condición, el paquete se permite o se rechaza , y el resto de las declaraciones ACL no se
verifican.
• Si ninguna de las declaraciones ACL tiene coincidencia, se coloca una declaración implÃ−cita que indica
rechazar cualquiera en el extremo de la lista por defecto, que rechazará todos los paquetes que no
coincidan con la ACL.
En el momento de crear una ACL es importante tener en cuenta que el enrutador compara el paquete con la
ACL lÃ−nea por lÃ−nea por lo que habrá que listar los comandos desde los casos más especÃ−ficos, hasta
los más generales, o sea las excepciones tienen que estar antes de la regla general. Por otro lado cualquier
lÃ−nea agregada a una ACL se agrega al final por lo que para cualquier otro tipo de modificación, se tiene
que borrar toda la lista y escribirla de nuevo. Una ACL puede asignarse a una o varias interfaces.
Existen numerosos tipos de ACL, los tipos básicos son IP estándar e IP extendidas. Cada ACL es
identificada por un nombre o por un número.
En la siguiente tabla se muestran los diferentes tipos de ACL y el rango de números que se relaciona con
cada una:
Tipo de ACL
Standard IP access list
Standard IP access list (IOS 12.1 number ranges
were extended)
Extended IP access list
Extended IP access list (IOS 12.1 number
ranges were extended)
Ethernet type code
Transparent bridging (protocol type)
Source-route bridging (protocol type)
DECnet and extended DECnet
XNS
Extended XNS
AppleTalk
Transparent bridging (vendor code)
Source-route bridging (vendor code)
Standard IPX
Extended IPX
IPX SAP
Extended transparent bridging
NLSP route summary
RANGO
1-99
1300-1399
100-199
2000-2699
200-299
200-299
200-299
300-399
400-499
500-599
600-699
700-799
700-799
800-899
900-999
1000-1099
1100-1199
1200-1299
2
Es importante notar que el rango de números es el mismo para diferentes protocolos, en este caso, el router
distinguirá entre los tipos de lista de acceso por el formato de la lista de acceso en lugar del número.
A la hora de crear una lista de control de acceso hay que tener en cuenta lo siguiente:
• Las ACLs solo filtran el tráfico que circula a través del enrutador, no el que este origina.
• Las entradas de las ACL deben realizar un filtro desde lo particular a lo general.
• Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando el puerto desde adentro del
router.
• Cuando un paquete se compara con una lista de control de acceso, cada una de las lÃ−neas de la lista se
examina de forma secuencial hasta que haya coincidencia.
• Una vez encontrada la coincidencia, el paquete se acepta o se rechaza (dependiendo de lo que indique la
lÃ−nea), y el proceso de comparación se detiene.
• Existe una sentencia “denegar” implÃ−cita al final de cualquier lista de acceso.
• Cada vez que se añade una lÃ−nea a la lista de acceso, dicha lÃ−nea se sitúa al final de la lista.
• No se puede eliminar una lÃ−nea de una lista de acceso. Hay que eliminar la lista completa.
• Si la lista de acceso no incluye al menos una sentencia “permitir”, se rechazarán todos los paquetes,
debido la sentencia implÃ−cita “denegar”.
• Sólo se puede asignar una lista de control de acceso por interfaz y sentido de la comunicación.
Es importante resaltar que, como se mencionó anteriormente, las listas de control de acceso también
pueden ser distinguidas por el nombre en lugar del número lo que es beneficioso para los administradores
cuando deben trabajar con un gran número de ACLs o cuando el número de ACL estándar que van a
implementar es mayor que 99.
Otra ventaja de las ACL con nombre es la posibilidad de modificar la lista de control, mientras que en las
ACL numeradas para cambiar una lÃ−nea de estas es necesario eliminar toda la lista e introducirla
nuevamente desde el comienzo; las ACL nombradas permiten eliminar una lÃ−nea.
Conclusiones
Como se ha podido apreciar en el presente trabajo las listas de control de acceso por si solas no constituyen
una solución de seguridad pero si son parte importante de ésta unidas a otros componentes. Las ACL
básicamente permiten:
• Limitar el tráfico de red y mejorar el rendimiento de la misma.
• Proporcionar un nivel básico de seguridad para el acceso a la red.
• Establecer qué tipo de tráfico se envÃ−a o se bloquea en las interfaces del router.Â
BibliografÃ−a
• [1] Libro Managing Cisco Network Security. Russell Lusignan y otros.
[2] Monográfico: Listas de control de acceso (ACLs)-Utilización de ACLs en router. Por Elvira Mifsu
(Septiembre de 2012). Disponible en:
http://www.slideshare.net/yesyduc10/conceptos-bsicos-de-seguridad-en-redes-11895594
[3] Conceptos básicos de seguridad en redes. Por Yesenia Cetina (Marzo de 2012. Disponible en:
http://www.slideshare.net/yesyduc10/conceptos-bsicos-de-seguridad-en-redes-11895594
[4] LISTA DE CONTROL DE ACCESO. Por Ing. Javier Padilla (Diciembre de 2011). Disponible en:
http://ing.javierpadilla.over-blog.es/article-lista-de-control-de-acceso-93373625.html
3
[5] "Acl De Router Y Cbac." BuenasTareas.com. (Mayo de 2010). Disponible en:
http://www.buenastareas.com/ensayos/Acl-De-Router-y-Cbac/298343.html
[6] Configuración de los filtros IP a través de listas de acceso - Parte I. Por Sergio Untiveros. Disponible
en: http://www.aprendaredes.com/dev/articulos/configuracion-de-los-filtros-ip-parte-i.htm
[7] FILTRADO DE PAQUETES DE DATOS A TRAVÃ S DE LISTAS DE CONTROL DE
ACCESO (ACL). Por Santiago Jácome / Mayra Salazar (Mayo de 2011). Disponible en:
http://santiagojacome.wordpress.com/2011/05/25/filtrado-de-paquetes-de-datos-a-traves-de-listas-de-control-de-acceso
4
Descargar