Saltar al contenido

Asegurando las redes: Conceptos de la Lista de Control de Acceso (ACL)

Este artículo es el comienzo de una nueva serie centrada en la seguridad informática, pero centrada en la seguridad de las redes con listas de control de acceso, comúnmente denominadas ACL. Las listas de control de acceso, su función y su correcta implementación se cubren en los exámenes de Cisco, pero los conceptos y estrategias de implementación también se cubren en certificaciones como Security + y CISSP. En este artículo, investigaremos y definiremos los diferentes tipos de listas de control de acceso y examinaremos algunos conceptos de implementación, especialmente el “por qué” las usamos y el “cuándo”. Los futuros artículos se centrarán en su implementación en los routers Cisco, en los diseños específicos para permitir y denegar servicios, y en aventurarse en el mundo de los cortafuegos.

¿Qué son las listas de control de acceso?

Las ACL son un filtro de red utilizado por los enrutadores y algunos conmutadores para permitir y restringir los flujos de datos hacia y desde las interfaces de la red. Cuando se configura una ACL en una interfaz, el dispositivo de red analiza los datos que pasan por la interfaz, los compara con los criterios descritos en la ACL y permite que los datos fluyan o los prohíbe.

Asegurando las redes: Conceptos de la Lista de Control de Acceso (ACL)
Asegurando las redes: Conceptos de la Lista de Control de Acceso (ACL)

¿Por qué usamos listas de control de acceso?

Hay una variedad de razones por las que usamos los LCA. La razón principal es proporcionar un nivel básico de seguridad para la red. Las ACLs no son tan complejas y con una protección tan profunda como los cortafuegos con estado, pero sí proporcionan protección en interfaces de mayor velocidad donde la velocidad de la línea es importante y los cortafuegos pueden ser restrictivos. Las ACL también se utilizan para restringir las actualizaciones de enrutamiento de los pares de la red y pueden ser fundamentales para definir el control del flujo del tráfico de la red.

¿Cuándo usamos las listas de control de acceso?

Como mencioné antes, los ACL para los enrutadores no son tan complejos o robustos como los cortafuegos de estado, pero ofrecen una cantidad significativa de capacidad de cortafuegos. Como profesional de seguridad o de redes informáticas, la colocación de sus defensas es crítica para proteger la red, sus activos y datos. Las ACLs deben colocarse en enrutadores externos para filtrar el tráfico contra las redes menos deseables y los protocolos vulnerables conocidos.

Uno de los métodos más comunes en este caso es establecer una DMZ, o zona de amortiguación desmilitarizada en su red. Esta arquitectura se implementa normalmente con dos dispositivos de red separados.

En la figura 1 se muestra un ejemplo de esta configuración.

El enrutador más exterior proporciona acceso a todas las conexiones de la red exterior. Este enrutador suele tener ACLs menos restrictivos, pero proporciona bloques de acceso de protección más grandes a las áreas de las tablas de enrutamiento global que desea restringir. Este enrutador también debería proteger contra protocolos bien conocidos que no tiene previsto en absoluto permitir el acceso a la red o fuera de ella. Además, las ACLs aquí deben ser configuradas para restringir el acceso a los pares de la red y pueden ser usadas en conjunto con los protocolos de enrutamiento para restringir las actualizaciones y la extensión de las rutas recibidas o enviadas a los pares de la red.

La DMZ es donde la mayoría de los profesionales de la informática colocan los sistemas que necesitan acceso desde el exterior. Los ejemplos más comunes de estos son los servidores web, los servidores DNS y los sistemas de acceso remoto o VPN.

El enrutador interno de una DMZ contiene ACLs más restrictivos diseñados para proteger la red interna de amenazas más definidas. Las ACLs aquí se configuran a menudo con declaraciones explícitas de permiso y denegación para direcciones y servicios de protocolo específicos.

¿En qué consiste una lista de control de acceso?

Independientemente de la plataforma de enrutamiento que utilice, todas tienen un perfil similar para definir una lista de control de acceso. Las listas más avanzadas tienen un control más diferenciado, pero las pautas generales son las siguientes:

  • Nombre de la lista de control de acceso (dependiendo del enrutador puede ser numérico o una combinación de letras y números)
  • Un número de secuencia o nombre de término para cada entrada
  • Una declaración de permiso o denegación para esa entrada
  • Un protocolo de red y la función o los puertos asociadosLos ejemplos incluyen IP, IPX, ICMP, TCP, UDP, NETBIOS y muchos otros
  • Objetivos de destino y origenTípicamente son direcciones y pueden definirse como una sola dirección discreta, un rango o subred, o todas las direcciones
  • Banderas o identificadores adicionales Estas declaraciones adicionales solicitan funciones adicionales cuando se encuentra una coincidencia para la declaración. Estos indicadores varían para cada protocolo, pero un indicador común que se añade a las instrucciones es la función de registro que registra cualquier coincidencia con la instrucción en el registro del enrutador

¿Qué tipos de listas de control de acceso existen?

Existen varios tipos de listas de control de acceso y la mayoría se definen con un propósito o protocolo distinto. En los enrutadores Cisco, hay dos tipos principales: estándar y extendido. Estos dos tipos son las ACL más utilizadas y en las que me centraré en este y futuros artículos, pero también hay algunas ACL avanzadas. Algunas de las ACL avanzadas incluyen ACLs reflexivas y ACLs dinámicas y se definen de la siguiente manera. Las ACLs reflexivas, también conocidas como ACLs de sesión IP, se activan desde una ACL saliente para el tráfico iniciado desde la red interna. El enrutador identificará este nuevo flujo de tráfico y creará una entrada en una ACL separada para la ruta de entrada. Una vez que la sesión termina, la entrada en el ACL reflexivo se elimina.

Las ACLs dinámicas o las ACLs de bloqueo y clave se crean para permitir el acceso del usuario a un host de origen/destino específico a través de un proceso de autenticación de usuario. Las implementaciones de Cisco utilizan las capacidades del IOS Firewall y no obstaculizan las restricciones de seguridad existentes.

Implementación de ACL en una interfaz de router

La colocación y la comprensión del flujo de tráfico es importante entenderlo de antemano antes de configurar un ACL en la interfaz de un router. La comprensión de la colocación y el impacto de las ACL son preguntas frecuentes en los exámenes de la CCNA y la CCNP, y los errores en la colocación de las ACL son algunos de los más comunes que cometen los administradores de red durante la implementación de la seguridad. Créeme, nos pasa a todos y no soy inmune a eso. La figura 2 proporciona un buen ejemplo del flujo de tráfico cuando se trata de la entrada y salida en la interfaz de red de un enrutador.

Como se puede ver en este diagrama, el tráfico de entrada fluye desde la red hacia la interfaz y el de salida desde la interfaz hacia la red. Los profesionales de la red y la seguridad deben prestar mucha atención aquí. Las ACLs comienzan con una dirección de origen primero en su configuración y de destino segundo. Al configurar una ACL en la entrada de una interfaz de red, es importante reconocer que toda la red local o los hosts deben considerarse como fuentes aquí, y lo contrario para la interfaz de salida.

Lo que hace esto más confuso es la implementación de ACLs en la interfaz de un enrutador que se enfrenta a una red externa. Mira la Figura 1. En ese ejemplo, el lado de entrada viene de la red externa y esas direcciones se consideran como fuentes, mientras que todas las direcciones de la red interna son destinos. En el lado de salida, las direcciones de la red interna son ahora direcciones de origen y las direcciones externas son ahora destinos.

A medida que se añaden puertos en los ACLs extendidos, puede surgir la confusión. El mejor consejo que tengo antes de cualquier implementación es documentar sus flujos y anotar sus direcciones de origen/destino. Cubriremos más de estas implementaciones más adelante en los artículos de configuración de las ACL.

Resumen

Las listas de control de acceso son un elemento principal para asegurar sus redes y la comprensión de su función y la colocación adecuada es esencial para lograr su mejor eficacia. El entrenamiento para la certificación cubre las LCA y hay varias preguntas en los exámenes que les conciernen. A medida que continuamos en esta serie, sería prudente probar algunos de los conceptos en simuladores de red o puertos de enrutadores no utilizados para obtener una mejor perspectiva utilizando las ACL y cómo pueden estar representadas en las implementaciones reales y en los exámenes.

¿Listo para probar tus habilidades en Redes de Computadoras? Vea cómo se acumulan con esta evaluación de Smarterer. Inicie esta prueba de Redes de Computadoras ahora