Overblog Seguir este blog
Edit post Administration Create my blog

Javier Enrique Padilla Hernandez

Javier Enrique Padilla Hernandez

Ingeniero de Sistemas

LISTA DE CONTROL DE ACCESO.

Publicado por Ing. Javier Padilla. activado 20 Diciembre 2011, 12:52pm

 Una Lista de Control de Acceso o ACL es un concepto de seguridad informática usado para fomentar la separación de privilegios.

 

Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.

 

Las ACLs, aportan una cota mayor de protección para los archivos que los permisos tradicionales de acceso a los archivos. Dichas listas se pueden utilizar para permitir o limitar el acceso a los archivos por parte de usuarios individuales ajenos al grupo de pertenencia. Sólo el propietario de un archivo o un usuario con los privilegios apropiados puede crear listas de control de acceso. [1]

 

El propietario de un objeto puede modificar su ACL en cualquier momento, lo que hace fácil prohibir accesos antes permitidos. El único problema es que probable que la modificación de la ACL no afecte a los usuarios que utilicen en ese momento al objeto (por ejemplo; alguien que tenga abierto el archivo). [2]

 

Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición.

 

Las ACL, se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio.

 

Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a un cortafuego.

 

3.2 TENER EN CUENTA AL CONFIGURAR LAS ACL.

  •  Colocar las listas de acceso estándar cerca del destino.
  • Colocar las listas de acceso extendidas cerca del origen.
  • Al asignarlas a una interfaz de red, aplicar la palabra clave “in” o “out” como si proviniera el paquete desde el interior del switch.
  •  Las declaraciones se procesan de forma secuencial, desde la parte superior de la lista hasta que se encuentre una coincidencia; si no se encuentra ninguna, se rechaza el paquete.
  • Existe un “deny any” implícito al final de las ACL, aunque éste no haya sido escrito por el administrador. Para contrarrestar su efecto, se puede poner antes la sentencia "permit any".

 

Si las ACL no están configuradas en el switch, todos los paquetes que pasen a través del switch tendrán acceso a todas las partes de la red.

 

 Las ACL se crean en el modo de configuración global.

 

Existen dos tipos de ACLs.

  • ACL Estándar.
  • ACL Extendidas.

 3.3 MASCARA WILDCARD.

 

Una máscara wildcard es una cantidad de 32-bits que se divide en cuatro octetos. La apariencia de una máscara wildcard le recordará probablemente a una máscara de subred. Salvo esa apariencia, no existe otra relación entre ambas.

Por ejemplo, una máscara wildcard puede tener este aspecto: 0.0.0.255, o escrito en binario, como se muestra a continuación.

 

El término máscara wildcard es la denominación aplicada al proceso de comparación de bits de máscara y proviene de una analogía con el "wildcard" (comodín) que equivale a cualquier otro naipe en un juego de póquer.

 

Las máscaras wildcard no guardan relación funcional con las máscaras de subred. Se utilizan con distintos propósitos y siguen distintas reglas.

 

Las máscaras de subred y las máscaras de wildcard representan dos cosas distintas al compararse con una dirección IP.

 

Las máscaras de subred usan unos y ceros binarios para identificar las porciones de red, de subred y de host de una dirección IP. Las máscaras de wildcard usan unos y ceros binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando el acceso a recursos según el valor de las mismas.

 

Durante el proceso de máscara wildcard, la dirección IP en la sentencia de la lista de acceso tiene la máscara wildcard aplicada a ella. Esto crea el valor de concordancia, que se utiliza para comparar y verificar si esta sentencia ACL debe procesar un paquete o enviarlo a la próxima sentencia para que se lo verifique. La segunda parte del proceso de ACL consiste en que toda dirección IP que una sentencia ACL en particular verifica, tiene la máscara wildcard de esa sentencia aplicada a ella.

 

El resultado de la dirección IP y de la máscara debe ser igual al valor de concordancia de la ACL.

 

Hay dos palabras clave especiales que se utilizan en las ACL, las opciones anyy host. Para explicarlo de forma sencilla, la opción any reemplaza la dirección IP con 0.0.0.0 y la máscara wildcard por 255.255.255.255. Esta opción concuerda con cualquier dirección con la que se le compare. La máscara 0.0.0.0 reemplaza la opción host. Esta máscara necesita todos los bits de la dirección ACL y la concordancia de dirección del paquete. Esta opción sólo concuerda con una dirección.

 

 3.4  ACL ESTANDAR.

 

Una ACL estándar sólo filtra la dirección origen, donde ésta puede ser una dirección de host, de red o un rango de direcciones. Con la comparación se permite o deniega el acceso. La configuración se hace en modo de configuración global, y luego se hace la asignación a la interfaz de red que corresponda, ya sea a la entrada o a la salida.

 

3.5 ACL EXTENDIDAS.

 

Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque ofrecen un mayor control.

 

Las ACL extendidas verifican las direcciones de paquetes de origen y destino,  también los protocolos y números de puerto.

 

Se puede permitir o rechazar el acceso de los paquetes según el lugar donde se originó el paquete y su destino, así como el tipo de protocolo y número de puerto o servicio que se utiliza.

 

Una ACL extendida puede permitir el tráfico de correo electrónico de Fa0/0 a destinos específicos S0/0, al mismo tiempo que deniega la transferencia de archivos y la navegación en la red.

 

Una vez descartados los paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.

 

Las ACLs extendidas permiten usar tanto las direcciones origen como destino para hacer la comprobación.

_________________________________________________

[1].http://docs.hp.com/es/5992-3422/ch06s02.html

[2].http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/MonogSO/SEGSO200_ archivos/Lista%20de%20control%20de%20acceso

Para estar informado de los últimos artículos, suscríbase:

Comentar este post

Control de Accesos 11/11/2013 10:58

Muy buena la información. Gracias! :)

Control de Accesos 09/03/2013 11:51

Muy buena información, hay muchas maneras de controlar el acceso, ya sea a un dispositivo, controlar el acceso en el lugar de trabajo, el acceso de vehiculos...Gracias!

Ing. Javier Padilla. 10/14/2013 23:50



Gracias por leer visitar mi blog.


Gracias por interesarte por mis articulos.


Gracias por el comentario.