Informática


Listas de control de acceso


Listas de control de acceso (ACL): aporte a la seguridad de redes.

Autores:

Diciembre de 2012

Introducción

Desde la primera vez que se conectaron varios sistemas para formar una red, ha sido necesario implementar políticas que la aseguren.

La seguridad en las redes se ha definido como la capacidad de las redes de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes ofrecen o hacen accesibles.

Seguridad en redes es mantener bajo protección los recursos y la información con que se cuenta en la red, a través de procedimientos basados en una política de seguridad tales que permitan el control de lo actuado.

Entre las medidas que se toman para garantizar la seguridad de las redes se encuentran las listas de control de acceso (Acces Control List, ACL) concepto usado para fomentar la separación de privilegios. Las ACL permiten un control del tráfico de red, a nivel de los routers.

Desarrollo

Los administradores de redes de datos tienen entre sus funciones la de mantener la seguridad de las mismas y para esto deben ser capaces de impedir el acceso no autorizado y permitir el acceso autorizado. Para esto se valen de herramientas de seguridad y dispositivos de seguridad física los que a menudo carecen de controles específicos y de flexibilidad en el filtrado básico del tráfico.

Para solucionar estas dificultades los administradores se valen de las listas de control de acceso las que añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router.

Mediante la utilización de las funciones de filtrado de paquetes del software IOS (Sistema Operativo de Red), un administrador de red puede restringir el acceso a determinados sistemas, segmentos de red, rangos de direcciones y servicios, basándose en una serie de criterios. La capacidad de restringir el acceso cobra mayor importancia cuando la red de una empresa se conecta con otras redes externas, como otras empresas asociadas o Internet.

Las ACLs por si solas no constituyen una solución de seguridad pero si son parte importante de ésta unidas a otros componentes como antivirus, firewall especializados, proxy, etc. Constituyen listas de condiciones que se aplican al tráfico que viaja a través de una interfaz del router. Estas listas le indican al router que tipos de paquetes aceptar o denegar, de acuerdo a las direcciones o protocolos de las capas superiores.

El uso de las ACLs es de gran importancia ya que van a posibilitar el control de flujo de tráfico limitando el tráfico no deseado en red y mejorando el rendimiento de la misma, al restringir el tráfico de vídeo, por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia mejorar su rendimiento. Además proporcionan un nivel básico de seguridad para el acceso a la red ya que permiten decidir qué tipos de tráfico se envían o bloquean en las interfaces del router, por ejemplo, permitir que se envíe el tráfico relativo al correo electrónico, y se bloquea el tráfico de ftp o por ejemplo, pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área.

El proceso que realiza un enrutador para aplicar una ACL es el siguiente:

  • Cada uno de los paquetes al ingresar al router es analizado para que, en base a los valores de ciertos campos, puedan ser filtrados a través de las instrucciones del ACL. 

  • Si se cumple una condición, el paquete se permite o se rechaza , y el resto de las declaraciones ACL no se verifican.

  • Si ninguna de las declaraciones ACL tiene coincidencia, se coloca una declaración implícita que indica rechazar cualquiera en el extremo de la lista por defecto, que rechazará todos los paquetes que no coincidan con la ACL.

  • En el momento de crear una ACL es importante tener en cuenta que el enrutador compara el paquete con la ACL línea por línea por lo que habrá que listar los comandos desde los casos más específicos, hasta los más generales, o sea las excepciones tienen que estar antes de la regla general. Por otro lado cualquier línea agregada a una ACL se agrega al final por lo que para cualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Una ACL puede asignarse a una o varias interfaces.

    Existen numerosos tipos de ACL, los tipos básicos son IP estándar e IP extendidas. Cada ACL es identificada por un nombre o por un número.

    En la siguiente tabla se muestran los diferentes tipos de ACL y el rango de números que se relaciona con cada una:

    Tipo de ACL

    RANGO

    Standard IP access list

    1-99

    Standard IP access list (IOS 12.1 number ranges were extended)

    1300-1399

    Extended IP access list

    100-199

    Extended IP access list (IOS 12.1 number ranges were extended)

    2000-2699

    Ethernet type code

    200-299

    Transparent bridging (protocol type)

    200-299

    Source-route bridging (protocol type)

    200-299

    DECnet and extended DECnet

    300-399

    XNS

    400-499

    Extended XNS

    500-599

    AppleTalk

    600-699

    Transparent bridging (vendor code)

    700-799

    Source-route bridging (vendor code)

    700-799

    Standard IPX

    800-899

    Extended IPX

    900-999

    IPX SAP

    1000-1099

    Extended transparent bridging

    1100-1199

    NLSP route summary

    1200-1299

    Es importante notar que el rango de números es el mismo para diferentes protocolos, en este caso, el router distinguirá entre los tipos de lista de acceso por el formato de la lista de acceso en lugar del número.

    A la hora de crear una lista de control de acceso hay que tener en cuenta lo siguiente:

  • Las ACLs solo filtran el tráfico que circula a través del enrutador, no el que este origina.

  • Las entradas de las ACL deben realizar un filtro desde lo particular a lo general.

  • Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando el puerto desde adentro del router.

  • Cuando un paquete se compara con una lista de control de acceso, cada una de las líneas de la lista se examina de forma secuencial hasta que haya coincidencia.

  • Una vez encontrada la coincidencia, el paquete se acepta o se rechaza (dependiendo de lo que indique la línea), y el proceso de comparación se detiene.

  • Existe una sentencia “denegar” implícita al final de cualquier lista de acceso.

  • Cada vez que se añade una línea a la lista de acceso, dicha línea se sitúa al final de la lista.

  • No se puede eliminar una línea de una lista de acceso. Hay que eliminar la lista completa.

  • Si la lista de acceso no incluye al menos una sentencia “permitir”, se rechazarán todos los paquetes, debido la sentencia implícita “denegar”.

  • Sólo se puede asignar una lista de control de acceso por interfaz y sentido de la comunicación.

  • Es importante resaltar que, como se mencionó anteriormente, las listas de control de acceso también pueden ser distinguidas por el nombre en lugar del número lo que es beneficioso para los administradores cuando deben trabajar con un gran número de ACLs o cuando el número de ACL estándar que van a implementar es mayor que 99.

    Otra ventaja de las ACL con nombre es la posibilidad de modificar la lista de control, mientras que en las ACL numeradas para cambiar una línea de estas es necesario eliminar toda la lista e introducirla nuevamente desde el comienzo; las ACL nombradas permiten eliminar una línea.

    Conclusiones

    Como se ha podido apreciar en el presente trabajo las listas de control de acceso por si solas no constituyen una solución de seguridad pero si son parte importante de ésta unidas a otros componentes. Las ACL básicamente permiten:

  • Limitar el tráfico de red y mejorar el rendimiento de la misma.

  • Proporcionar un nivel básico de seguridad para el acceso a la red.

  • Establecer qué tipo de tráfico se envía o se bloquea en las interfaces del router. 

  • Bibliografía

    • [1] Libro Managing Cisco Network Security. Russell Lusignan y otros.

    [2] Monográfico: Listas de control de acceso (ACLs)-Utilización de ACLs en router. Por Elvira Mifsu (Septiembre de 2012). Disponible en: http://www.slideshare.net/yesyduc10/conceptos-bsicos-de-seguridad-en-redes-11895594

    [3] Conceptos básicos de seguridad en redes. Por Yesenia Cetina (Marzo de 2012. Disponible en: http://www.slideshare.net/yesyduc10/conceptos-bsicos-de-seguridad-en-redes-11895594

    [4] LISTA DE CONTROL DE ACCESO. Por Ing. Javier Padilla (Diciembre de 2011). Disponible en: http://ing.javierpadilla.over-blog.es/article-lista-de-control-de-acceso-93373625.html

    [5] "Acl De Router Y Cbac." BuenasTareas.com. (Mayo de 2010). Disponible en: http://www.buenastareas.com/ensayos/Acl-De-Router-y-Cbac/298343.html

    [6] Configuración de los filtros IP a través de listas de acceso - Parte I. Por Sergio Untiveros. Disponible en: http://www.aprendaredes.com/dev/articulos/configuracion-de-los-filtros-ip-parte-i.htm

    [7] FILTRADO DE PAQUETES DE DATOS A TRAVÉS DE LISTAS DE CONTROL DE ACCESO (ACL). Por Santiago Jácome / Mayra Salazar (Mayo de 2011). Disponible en: http://santiagojacome.wordpress.com/2011/05/25/filtrado-de-paquetes-de-datos-a-traves-de-listas-de-control-de-acceso-acl/




    Descargar
    Enviado por:El remitente no desea revelar su nombre
    Idioma: castellano
    País: Cuba

    Te va a interesar