Post on 26-Sep-2015
description
Configuracin de ACL
complejas
Mnica Luevano
Pamela Terrazas
ACL
Conjunto de reglas contra las que se compara cada paquete que cruce la interfaz en la que se instalaron.
Cada paquete se compara contra las reglas una por una. Cuando el paquete corresponde con una de las reglas de la ACL, se le aplica la accin asociada a la regla y no se compara el paquete con ninguna otra regla.
Las ACLs entonces son reglas, una por lnea, que se identifican con un nmero o una palabra y que identifican flujos de datos o conjuntos de direcciones
Qu son las ACL complejas?
ACLs dinmicas ACLs reflexivas ACLs basadas en tiempo
stas usan un mecanismo
bsico de autenticacin,
generalmente Telnet, para
activar la ACL
Son un tipo de firewall
primitivo que permite el
trfico slo si es iniciado
en una direccin, pero sin
usar las banderas de
conexin de TCP
La idea de estas acls son
que se activan en las
fechas y horarios que se
hayan establecido
previamente
ACL dinmicas
La idea consiste en crear una regla en la ACL que slo se activar si es disparada por
algn evento, en ste caso un acceso por
telnet al enrutador
Est disponible slo para trfico IP. Las ACL dinmicas dependen de la conectividad
Telnet, de la autenticacin (local o remota) y
de las ACL extendidas.
Crea un nombre y una
contrasea de inicio de sesin
Permite establecer una
conexin telnet con el router
La entrada ACL dinmica se ignora hasta activar el bloqueo. La
ventana se abre durante 15 minutos y luego se cierra
automticamente aunque est en uso.
Aplica la ACL 101 a la interfaz
S0/0/1
Como esta ltima regla est asociada con un
acceso por telnet como disparador, en las lneas
de vty se debe poner un comando especial
autocommand access-enable host timeout 5
Beneficios de las ACL dinmicas
Las ACL dinmicas tienen los siguientes beneficios de seguridad comparadas con las ACL estndar y estticas extendidas:
Uso de un mecanismo de desafo para autenticar los usuarios individuales
Administracin simplificada en internetworks ms grandes En muchos casos, reduccin de la cantidad de
procesamiento de un router necesario para las ACL
Reduccin de la oportunidad de intromisiones a la red por parte de piratas informticos
Creacin de acceso dinmico al usuario a travs de un firewall, sin comprometer otras restricciones de seguridad configuradas.
ACL ReflexivasLas reflexivas son un tipo de firewall primitivo que permite el trfico slo si es iniciado en una direccin
ACL reflexivas son para UDP y otros protocolo no orientados a la conexin.
ACL Extendidas TCP
En las ACLs extendidas habamos visto que tcppermite agregar al final del identificador de origen o destino un identificador de puerto en incluso banderas de conexin como established, que indica que la conexin ya se abri
Con el truco de la bandera established (ack activo) se puede permitir de entrada slo los paquetes con sta condicin, de tal manera que si llegan paquetes solicitando una conexin desde fuera se rechazan, mientras que si las conexiones se abren desde adentro, todos los paquetes entrantes debern tener el ack activo y por lo tanto se van a permitir.
En una de las direcciones del trfico se debe marcar la
regla cuyo trfico de vuelta se va a permitir con la palabra
clave reflect
En la direccin de vuelta del
trfico (la acl que se va a instalar
en la direccin contraria) se
agrega la sentencia evaluate
Finalmente se instalan las listas, una de entrada y otra
de salida en la misma interfaz (el trfico entra y sale por
la misma interfaz).
En otras palabras, se le pone un identificador al
trfico que inicia la acl reflexiva, luego en la otra
direccin se le ordena que evale si el trfico
corresponde con la regla marcada para
permitirlo si coincide.
El listado instala una lista de acceso reflexiva que permite el
trfico de UDP e ICMP slo si se origin en la red
172.16.0.0/16.
ip access-list extended OUTB
permit udp 172.16.0.0 0.0.255.255 any reflect UDPTRAFFIC
permit icmp 172.16.0.0.0.0.255.255 any reflect ICMPTRAFF
ip access-list extended INB
evaluate UDPTRAFFIC
evaluate ICMPTRAFF
interface ser 0/0
ip access-group OUTB out
ip access-group INB in
ACLs Basadas
en tiempos
Se activan en las
fechas y horarios que
se hayan establecido
previamente, la
precondicin
evidente es que el
enrutador debe tener
configuradas su hora
y fecha
correctamente
Se puede configurar manualmente, confiando que el equipo no se vaya a
reiniciar por ningn motivo y que el
administrador va a mantener actualizado el
reloj en caso contrario.
Otra alternativa (ms confiable) es configurar un servidor para que el enrutador
mantenga su tiempo actualizado.
El listado crea una lista de acceso que se permite el acceso a
Internet para la red 172.16.0.0 slo despus de las 17hrs en
das de trabajo (Lunes a Viernes).
time-range NOCHES
periodic Monday Tuesday Wednesday Thursday Friday 17:00 to 00:00
access-list 101 permit tcp 172.16.0.0 0.0.255.255 any eq www time-range NOCHES
int fa 0/0
ip access-group 101 out