Esta entrada de blog trata sobre las listas de control de acceso, más conocidas como ACL. Las ACL actúan como un firewall mediante comandos del IOS, los cuales son capaces de controlar si un router reenvía o descarta paquetes. De esta manera se produce el término conocido como “filtrado” de paquetes, es decir, las ACL actúan como un colador, el cual puede tener un filtro más fino o más grueso, según el grado de detalle en el que queramos filtrar.

 

La función de las ACL (Portero de discoteca)

Anteriormente hemos hablado de las ACL como si fueran un colador, pero resulta más fácil de entender la labor de estas comparándolas con el trabajo desempeñado por un portero de discoteca.

Al igual que ocurre en las discotecas con la selección de los clientes, las ACL también son capaces de seleccionar los paquetes entrantes en el router.

Siguiendo con la analogía anterior, supongamos que la discoteca es el router, al cual llegan los paquetes entrantes (clientes) y las ACL son el portero de la discoteca, el cual tiene unas instrucciones específicas antes de dejar entrar a un posible cliente. Pues bien, ese tipo de instrucciones serían las que se crean en una ACL para el filtrado de paquetes. En el caso del acceso a las discotecas se produce a través de una entrada controlada por el portero, y en nuestro caso la entrada sería la interfaz del router, y por último el encargado de controlar el acceso a través de dicho canal serían las instrucciones especificadas en la ACL (a cada instrucción se le llama ACE).

Cada vez que alguien llega a la puerta, el portero lo evalúa:

  • Si cumple los criterios –> pasa

  • Si no los cumple –> no pasa

 

Características de las Listas de Control de Acceso

  • Las declaraciones se leen EN ORDEN. Si un paquete no cumple con la condición de la primera declaración pasa a compararse con la siguiente…
  • No pueden existir dos listados de acceso asociados a la misma interfaz y al mismo protocolo.
  • Podemos asociar un mismo listado de acceso a varias interfaces.

 

Vulnerabilidades de las ACL

La configuración incorrecta causa los problemas más frecuentes de las ACL. Estas son algunas de las áreas donde se producen con frecuencia configuraciones incorrectas:

  • Selección del flujo de tráfico:

La configuración incorrecta del router más frecuente es la aplicación de la ACL al tráfico erróneo. El tráfico se define por la interfaz del router a través de la cual el tráfico se desplaza y por la dirección en la cual se desplaza este tráfico. Para que funcione de manera adecuada, una ACL debe aplicarse a la interfaz correcta y debe seleccionarse la dirección correcta del tráfico.

  • Orden de los elementos de control de acceso:

Los elementos de una ACL deben ordenarse de los más específicos a los generales. Aunque una ACL incluya un elemento para permitir específicamente un flujo de tráfico particular, los paquetes nunca coincidirán con ese elemento si otro elemento anterior de la lista los deniega.

  • Deny all implícito:

En una situación donde no se requiere un alto nivel de seguridad en la ACL, no incluir este elemento de control de acceso implícito puede ser la causa de una configuración incorrecta de la ACL.

 

Resolución de problemas de las listas de control de acceso

Un comando útil para observar el funcionamiento de la ACL es la palabra clave log en las entradas de ACL. Esta palabra clave le indica al router que coloque una entrada en el registro del sistema cuando hay una coincidencia con esa condición de entrada. El evento registrado incluye detalles del paquete que coincidió con el elemento de la ACL. La palabra clave log es especialmente útil para la resolución de problemas y, además, proporciona información sobre los intentos de intrusión bloqueados por la ACL.

 

 

Alberto Carretero Cruz

Alumno del curso: Cisco CCNA R&S

Centro: Tajamar

Año: 2015-2016