De acuerdo

Descripción e implementación de ACL en equipos Huawei

Última respuesta oct. 08, 2021 19:44:43 558 1 0 0 0

Hola a todos,


Hoy les presentaré una introducción al concepto de ACL (Listas de control de acceso)


¿Qué son las listas de control de acceso?


Las ACL son un filtro de red utilizado por routers y algunos switches para permitir y restringir los flujos de datos dentro y fuera de las interfaces de red. Cuando se configura una ACL en una interfaz, el dispositivo de red analiza los datos que pasan a través de la interfaz, los compara con los criterios descritos en la ACL y permite que los datos fluyan o los prohíbe.


¿Por qué utilizamos listas de control de acceso?


Hay una variedad de razones por las que usamos ACL. La razón principal es proporcionar un nivel básico de seguridad para la red. Las ACL no son tan complejas y protectoras en profundidad como las reglas de los firewalls, pero brindan protección en interfaces de mayor velocidad donde la velocidad de línea es importante y los firewalls pueden ser restrictivos. Las ACL también se usan para restringir las actualizaciones para el enrutamiento de los pares de la red y pueden ser fundamentales para definir el control de flujo para el tráfico de red.


¿Cuándo usamos las listas de control de acceso?


Como mencioné antes, las ACL para enrutadores no son tan complejas o robustas como los firewalls stateful, pero ofrecen una cantidad significativa de capacidad de firewall. Como profesional de la red de TI o de seguridad, la colocación de defensas es fundamental para proteger la red, sus activos y sus datos. Las ACL deben colocarse en enrutadores externos para filtrar el tráfico contra redes menos deseables y protocolos vulnerables conocidos.


Uno de los métodos más comunes en este caso es configurar una DMZ o zona de amortiguación desmilitarizada en su red. Esta arquitectura se implementa normalmente con dos dispositivos de red separados.


El enrutador más exterior proporciona acceso a todas las conexiones de red externas. Este enrutador generalmente tiene ACL menos restrictivas, pero proporciona bloques de acceso de protección más grandes a las áreas de las tablas de enrutamiento global que desea restringir. Este enrutador también debe proteger contra protocolos bien conocidos que absolutamente no planea permitir el acceso dentro o fuera de su red. Además, las ACL aquí deben configurarse para restringir el acceso de pares de la red y pueden usarse junto con los protocolos de enrutamiento para restringir las actualizaciones y la extensión de las rutas recibidas o enviadas a los pares de la red.


La DMZ es donde la mayoría de los profesionales de TI colocan sistemas que necesitan acceso desde el exterior. Los ejemplos más comunes de estos son servidores web, servidores DNS y acceso remoto o sistemas VPN.


El enrutador interno de una DMZ contiene ACL más restrictivas diseñadas para proteger la red interna de amenazas más definidas. Las ACL aquí a menudo se configuran con declaraciones explícitas de permiso y denegación para direcciones específicas y servicios de protocolo.


¿En qué consiste una lista de control de acceso?


Independientemente de la plataforma de enrutamiento que utilice, todos tienen un perfil similar para definir una lista de control de acceso. Las listas más avanzadas tienen un control más distintivo, pero las pautas generales son las siguientes:


  1. Nombre de la lista de control de acceso (según el enrutador puede ser numérico o una combinación de letras y números)

  2. Un número de secuencia o nombre de término para cada entrada

  3. Una declaración de permiso o denegación para esa entrada

  4. Un protocolo de red y funciones o puertos asociados

  5. Origen y destino


Estas son típicamente direcciones y se pueden definir como una sola dirección discreta, un rango o subred, o todas las direcciones


¿Qué tipos de listas de control de acceso hay?


Existen varios tipos de listas de control de acceso y la mayoría se definen para un propósito distinto. En los equipos Huawei, hay dos tipos principales: básicas y avanzadas. Estos dos tipos son las ACL más utilizadas y en las que me centraré en este y en futuros artículos, pero también hay otros tipos de ACL:  las ACL de capa 2, que se basan en la información presente en las tramas (direcciones MAC, etc), y las ACL definidas por usuarios, que se basan en reglas definidas por los propios usuarios.


Ejemplo de configuración y aplicación de ACLs


1. Aplicación de restricciones de tráfico utilizando ACL básica y política de tráfico:


Se requiere bloquear el acceso a internet de los host internos:


Ejemplo 1


Se define una ACL básica (el rango de numeración de las ACL básicas va desde 2000 a 2999):


[Switch] acl 2001
[Switch-acl-basic-2001] rule deny source 10.1.1.11 0  //Prevent the host with IP address 10.1.1.11 from accessing the Internet.
[Switch-acl-basic-2001] rule deny source 10.1.2.12 0  //Prevent the host with IP address 10.1.2.12 from accessing the Internet.
[Switch-acl-basic-2001] quit


Se crea un clasificador de tráfico que hace referencia a la ACL creada:


[Switch] traffic classifier tc1  //Create a traffic classifier.
[Switch-classifier-tc1] if-match acl 2001  //Associate an ACL with the traffic classifier.
[Switch-classifier-tc1] quit


Se configura un comportamiento de tráfico para definir la accion a tomar hacia los paquetes que hagan match con la ACL


[Switch] traffic behavior tb1  //Create a traffic behavior.
[Switch-behavior-tb1] deny     //Set the action of the traffic behavior to deny.
[Switch-behavior-tb1] quit


Se configura la política de tráfico que agrupa tanto al classifier como al traffic behavior:


[Switch] traffic policy tp1  //Create a traffic policy.
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //Associate the traffic classifier tc1 with the traffic behavior tb1.
[Switch-trafficpolicy-tp1] quit


Se aplica la política de tráfico a la interfaz del switch, en dirección saliente:


[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] traffic-policy tp1 outbound  //Apply the traffic policy to the outbound direction of an interface.
[Switch-GigabitEthernet2/0/1] quit

2. Aplicación de restricción de tráfico utilizando ACL avanzadas y políticas de tráfico.


Se requiere bloquear el acceso mutuo entre los segmentos de red de R&D y Marketing


Ejemplo 2



Se crea la ACL avanzada 3001 para bloquear el tráfico que va desde la vlan 10 a la vlan 20 (el rango de numeración de las ACL avanzadas va desde 3000 al 3999)


[Switch] acl 3001
[Switch-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255  //Prevent the R&D department from accessing the marketing department.
[Switch-acl-adv-3001] quit


Se crea la ACL avanzada 3002 para bloquear el tráfico que va desde la vlan 20 a la vlan 10


[Switch] acl 3002
[Switch-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255  //Prevent the marketing department from accessing the R&D department.
[Switch-acl-adv-3002] quit


Se crea el clasificador de tráfico que apunta a las ACL antes creadas


[Switch] traffic classifier tc1  //Create a traffic classifier.
[Switch-classifier-tc1] if-match acl 3001  //Associate an ACL with the traffic classifier.
[Switch-classifier-tc1] if-match acl 3002  //Associate an ACL with the traffic classifier.
[Switch-classifier-tc1] quit


Se crea el behavior que define el comportamiento para el tráfico


[Switch] traffic behavior tb1  //Create a traffic behavior.
[Switch-behavior-tb1] deny  //Set the action of the traffic behavior to deny.
[Switch-behavior-tb1] quit


Se configura la política de tráfico


[Switch] traffic policy tp1  //Create a traffic policy.
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //Associate the traffic classifier tc1 with the traffic behavior tb1.
[Switch-trafficpolicy-tp1] quit


Se aplica la política a las interfaces


[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound  //Apply the traffic policy to the inbound direction of an interface.
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] traffic-policy tp1 inbound  //Apply the traffic policy to the inbound direction of an interface.
[Switch-GigabitEthernet1/0/2] quit


NOTA: Ademas de la utilización de políticas de tráfico, también es posible utilizar otros métodos para el control de tráfico utilizando ACLs. Para más información pueden referirse al siguiente enlace: 

https://support.huawei.com/enterprise/en/doc/EDOC1000178177/1b7411f3/how-can-i-apply-an-acl-to-an-interface


Espero esta información les sea de utilidad.


Enlaces relacionados:

Localización de fallas usando ping

Simplificando la comprensión de los tipos de LSA de OSPF 

HCIA ROUTING AND SWITCHING Configuración Básica desde la CLI 

Configurar NAT y redirección para implementar dos egresos y proporcionar el servicio de web 

Ejemplo de Configuración para Conectar usuarios de una Intranet a Internet con el Modo Easy IP 


  • x
  • convención:

edelchino
Publicado 2021-10-8 19:44:43
#EncuentraComunidadEnterprise2021
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.