Ejemplos de listas de acceso de Cisco
Hola,Estoy tratando de entender la correlación entre las ACLs y los niveles de seguridad de la interfaz en un ASA.Estoy trabajando con un ASA que utiliza ambos!!! ¿Es esto posible? Supuestos: Cualquier ACL aplicada a continuación está en el cable de transmisión (interfaz) sólo en la dirección de entrada.Escenario 1Nivel de seguridad alto de la interfaz a nivel de seguridad bajo de la interfaz.Sin ACL = pasa como espero¿Qué sucede si hay una ACL negando un paquete de prueba en el escenario anterior? Escenario 2Bajo nivel de seguridad a altoSin ACL = El tráfico no pasa como espero¿Qué pasa si hay una ACL que permite el paquete de prueba anterior.He revisado la documentación en el sitio web y no puedo encontrar ejemplos que incluyan ambos (uso de ACL en conjunto con niveles de seguridad).Gracias de antemano por cualquier ayuda ofrecida.
Los niveles de seguridad en las interfaces del ASA son para definir el grado de confianza en el tráfico de esa interfaz. El nivel 100 es el más confiable y el 0 es el menos confiable. Algunas personas utilizan el nivel 50 para una DMZ, ya que se confía más en el tráfico de Internet, pero menos en el tráfico interno. Así es como veo los niveles de seguridad: Un nivel de seguridad de 1 a 99 siempre dos ACL’s implícitas. Una para permitir el tráfico a las interfaces de seguridad inferiores y otra para denegar el tráfico a las interfaces de seguridad de nivel superior. El nivel de seguridad 100 tiene un permit ip any implícito y el nivel 0 tiene un deny ip any implícito.En el escenario 1, si aplicas una ACL deny a un nivel de seguridad del 1 al 99, eliminará ese permit ip any implícito y denegará el tráfico según la ACL y todo el tráfico. Tendrías que crear una ACL para permitir cualquier otro tráfico que quieras. Si esta ACL se aplica a un nivel de seguridad de 100, esencialmente negará todo el tráfico ya que eliminará la ACL implícita permit ip any any. De nuevo, tendrá que crear otra ACL para permitir el tráfico.En el escenario 2, si aplica una ACL de permiso a una interfaz de nivel de seguridad 0, permitirá ese tráfico, pero seguirá denegando el resto del tráfico. Sin embargo, si el nivel de seguridad es 1-100, todo el tráfico se dirigirá a ese destino y se eliminarán las ACL implícitas (permit y deny)
¿Cuál es la diferencia entre la lista de acceso estándar y la extendida?
Las listas de acceso estándar sólo coinciden con la dirección IP de origen del paquete. Las listas de acceso ampliadas pueden coincidir con la dirección de origen y de destino, además del puerto, el protocolo y muchos otros campos.
¿Qué es la ACL estándar y la ACL ampliada?
Hay dos tipos de ACL IPv4: ACLs estándar: Estas ACLs permiten o deniegan paquetes basándose únicamente en la dirección IPv4 de origen. ACLs extendidas: Estas ACLs permiten o deniegan paquetes basándose en la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino, etc.
Lista de acceso estándar
Originalmente, las ACLs eran la única manera de lograr la protección del cortafuegos. Hoy en día, existen muchos tipos de cortafuegos y alternativas a las ACL. Sin embargo, las organizaciones siguen utilizando las ACL junto con tecnologías como las redes privadas virtuales (VPN) que especifican qué tráfico debe ser cifrado y transferido a través de un túnel VPN.
Una ACL del sistema de archivos es una tabla que informa al sistema operativo de un ordenador de los privilegios de acceso que tiene un usuario a un objeto del sistema, incluyendo un solo archivo o un directorio de archivos. Cada objeto tiene una propiedad de seguridad que lo conecta con su lista de control de acceso. La lista tiene una entrada para cada usuario con derechos de acceso al sistema.
Los privilegios típicos incluyen el derecho a leer un solo archivo (o todos los archivos) en un directorio, a ejecutar el archivo, o a escribir en el archivo o archivos. Los sistemas operativos que utilizan una ACL son, por ejemplo, Microsoft Windows NT/2000, Novell’s Netware, Digital’s OpenVMS y los sistemas basados en UNIX.
Las ACL de red se instalan en routers o switches, donde actúan como filtros de tráfico. Cada ACL de red contiene reglas predefinidas que controlan qué paquetes o actualizaciones de enrutamiento tienen permitido o denegado el acceso a una red.
Ejemplo de lista de acceso estándar y extendida
Cisco recomienda utilizar SSH para las conexiones administrativas a los routers y switches. Si la imagen del software Cisco IOS de su router no soporta SSH, puede mejorar la seguridad de las líneas administrativas restringiendo el acceso VTY. La restricción del acceso VTY es una técnica que permite definir a qué direcciones IP se les permite el acceso Telnet al proceso EXEC del router. Puede controlar qué estación de trabajo administrativa o red gestiona su router con una ACL y una declaración de clase de acceso configurada en sus líneas VTY. También puede utilizar esta técnica con SSH para mejorar aún más la seguridad del acceso administrativo.
Las listas de acceso estándar y extendidas se aplican a los paquetes que viajan a través de un router. No están diseñadas para bloquear paquetes que se originan dentro del router. Una ACL extendida de Telnet saliente no impide las sesiones de Telnet iniciadas por el router, por defecto.
El filtrado del tráfico Telnet o SSH se considera normalmente una función de ACL extendida de IP porque filtra un protocolo de nivel superior. Sin embargo, dado que el comando access-class se utiliza para filtrar las sesiones Telnet/SSH entrantes o salientes por dirección de origen, se puede utilizar una ACL estándar.
Permitir ip cualquier cualquier
El conmutador utiliza listas basadas en reglas para controlar el acceso de los paquetes a los puertos y para seleccionar las rutas para su redistribución a los dominios de enrutamiento definidos por los protocolos de enrutamiento dinámico. Esta sección describe la construcción de Listas de Control de Acceso (ACLs), listas de prefijos y mapas de ruta.
Una lista de control de acceso (ACL) es una lista de reglas que controlan el flujo de entrada de paquetes en las interfaces Ethernet, subinterfaces e interfaces de canal de puerto o el plano de control del conmutador. El conmutador admite la implementación de una amplia variedad de criterios de filtrado, incluyendo direcciones IP y MAC, puertos TCP/UDP con opciones de inclusión/exclusión sin comprometer su rendimiento o conjunto de características. La sintaxis de filtrado es estándar en la industria.
Un mapa de ruta es una lista de reglas que controlan la redistribución de las rutas IP en un dominio de protocolo sobre la base de criterios tales como las métricas de ruta, las listas de control de acceso, las direcciones de siguiente salto y las etiquetas de ruta. Los mapas de ruta también pueden alterar los parámetros de las rutas a medida que se redistribuyen.
La divergencia RACL optimiza el uso de los recursos de hardware ocupados en cada ASIC de reenvío instalando las ACL sólo en los componentes de hardware correspondientes a las interfaces miembros pertenecientes a los SVI en los que se aplican las ACL. De este modo, se ahorran los recursos de hardware utilizados y se permite a las RACL escalar a una configuración mayor. Los comandos show se utilizan para mostrar el mapeo de la interfaz, las entradas de la TCAM y la información de utilización de la TCAM.