Cisco, listas de acceso (teoría)

Esto viene a raíz de una charla-discusión hace unos días … y siempre viene bien refrescar conocimientos ( y mas de cosas que hace mil años que no toco). Si mi ex-jefe con apellido de uva levantara la cabeza (supongo que se habrá jubilado ya)…

Para repasar … las listas de acceso o ACL es el mecanismo que tienen los cacharros de Cisco para filtrar el trafico que pasa por sus interfaces. Según el libro que me estoy leyendo dice que es un sistema eficaz, a lo que yo añadiría que bueno, pero que también es un coñazo, y que lo de que no mantenga tablas de conexiones también lo es (vale, que esto es solo para ganar pasta).

También añadiría que, gracias al sistema de ACL’s, la gran mayoría de los equipos están desprotegidos porque no hay $d3ity que las mantenga al día…

En fin … que hay 3 tipos de ACLs

Listas de acceso standard: Solo permiten filtrar ips
Listas de acceso extendidas: Permiten filtrar ips y además puertos.
Listas de acceso con nombre:Listas standard o extendidas pero con nombre en vez de un ID (En fin).

¿Como funcionan las listas de acceso?. Pues depende de si hablamos de trafico de entrada o de salida (ojo con esto … porque lo normal es que el trafico entre por un interface y salga por otro así que tienes que tener las ACL’s correspondientes a los dos (y cada una con su sentido correcto)). Y otro ojo a los «arquitectos» que jamas suelen mirar mas allá de sus certificaciones, a ver si diseñamos teniendo en cuenta que el trafico cruzado tiene que tender a 0 (pero claro, ellos no administran después así que se la suda).

Si la ACl es de entrada, los paquetes se procesan antes de ser enrutados.
Si la ACL es de salida, los paquetes se procesan después de ser enrutados

Ojo con esto porque suele pasar que, el trafico deja de llegar y piensas que es problema de las ACL’s cuando en realidad es un problema de routing. Si hubiese un log como es debido esto se vería enseguida … pero claro … no es el caso.

El procesamiento de las ACLs es secuencial, si encuentra algún match no sigue. Así que es fundamental el orden de las lineas y denegar siempre en la ultima

Ojo que las mascaras en las listas extendidas van con Wildcards.

Las ACL’s se pueden asociar a cualquier tipo de interface.

http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.