Reflexions on the Findings 45

Una lista de control de acceso (ACL) es utilizada para identificar flujos de tráfico, la cual al filtrar los paquetes de datos permite o deniega el tráfico cursante, de manera que se limite el tráfico en la porción de red requerida.

Una ACL puede clasificar los paquetes basándose en una serie de condiciones como por ejemplo: en función de una dirección origen, dirección de destino, protocolo o puertos.

Las listas de control de acceso en la tecnología 3Com están clasificadas en cuatro grupos:

 ACL Básica (numeradas del 2000 a 2999): basadas en la dirección origen.

 ACL Avanzada (numeradas del 3000 a 3999): basadas en la dirección de origen, dirección de destino, protocolo, número de puerto y otros parámetros específicos.

 ACL de capa 2 (numeradas del 4000 a 4999): basadas en campos de la cabecera de protocolo de capa 2, como dirección MAC origen, dirección MAC destino, prioridad 802.1p, y el tipo de protocolo de capa enlace.

 ACL definida por el usuario (numeradas del 5000 a 5999): basadas en información personalizada de los encabezados de protocolo.

Dentro de la clasificación de las listas de acceso las opciones más utilizadas son las ACL básicas y ACL avanzadas en los equipos de nivel de acceso.

Las listas de acceso creadas pueden ser aplicadas tanto para el tráfico de entrada “inbound”, como para el tráfico de salida “outbound”, dependiendo de la aplicación que se le desee dar.

Con el objeto de limitar el tráfico cursante en la red, en la institución se sugiere dos grupos de ACL diferentes:

 Listas de acceso básicas (2800 y 2900): utilizadas para limitar el tráfico generado por las diferentes redes.

 Lista de acceso avanzada (3800): utilizadas para limitar la administración del equipamiento activo a la VLAN de Administradores.

Estas listas de control de acceso serán configuradas en los switch 3com de la serie 5500 en el nivel de acceso.

3.5.4.2.1 Lista de control de acceso básica 2800

La función de la ACL 2800 será negar el tráfico de todas las redes internas, utilizadas en el edificio. Las reglas de la lista de acceso deben ser configuradas en los puertos trunk de cada uno de los switch de bloque, ya que por medio de este puerto se encamina todo el tráfico generado.

La lista de acceso 2800 es una lista de acceso básica ya que netamente será la encargada de negar el tráfico generado en la red.

Con las reglas aplicadas en la lista de acceso 2800 en primera instancia se encuentra negado todo el tráfico proveniente de las redes asignadas. De no crear alguna regla para permitir el tráfico en alguna de las subredes, las máquinas de los usuarios no tendrían conexión con ninguna de las demás subredes, ni con los miembros de la misma subred.

3.5.4.2.2 Lista de acceso 3800

La función de la lista de acceso 3800 será permitir que se genere tráfico entre los miembros de una VLAN.

De igual forma que la lista de acceso 2800, las reglas pertenecientes a la lista de acceso 3800 se las configurará en los puertos trunk de cada uno de los switches de acceso.

A diferencia de las reglas de acceso 2800, estas deben ser configuradas dependiendo de su necesidad, es decir simplemente las subredes que estén configuradas en el switch, su asignación está dada en función de la regla asociada a cada una de las VLAN como se observa a continuación en la tabla 22:

Tabla 22. Asignación de ACL en función de la VLAN

VLAN DEPENDENCIA NOMBRE NÚMERO

ACL

LOCALIZACIÓN BLOQUES

Vlan 1 Servidores y Equipos SRVEQU DATACENTER

Vlan 3 Centro de Conmutación CCONMUTA DATACENTER

Vlan 11 Unidad Ejecutora UNIEJE Rule 1 B1

Vlan 12 Departamento de Sistemas/Comunic COMU Rule 2 B1

Vlan 13 Dirección Administrativa/Seguridad SEGU Rule 3 B1 - B2

Vlan 14 Cuarto de Control CCTRL Rule 4 B1 - B2

Vlan 15 Dirección de Logística DIRLOGI Rule 5 B1 - B3

Vlan 16 Departamento de Control DEPCON Rule 6 B1 - B2

Vlan 17 Dirección de Personal DIRPER1 Rule 7 B2

Vlan 18 Dirección de Personal DIRPER2 Rule 8 B2

Vlan 19 Asuntos Internacionales ASUINT Rule 9 B2

Vlan 20 Salas de Reuniones SREU Rule 10 B2 - B4 -B5 - B6

Vlan 21 Cuartel General CGRAL Rule 11 B3

Vlan 22 Departamento de Ingeniería DEPING Rule 12 B3

Vlan 23 Departamento de Contratación Pública CONPUB Rule 13 B3

Vlan 24 Dirección de Sanidad SANIDAD Rule 14 B3

Vlan 25 Departamento de Evaluación y Control EVACTRL Rule 15 B3 - B6

Vlan 26 Dirección de Telecomunicaciones DIRTEL Rule 16 B4

Vlan 27 Dirección de Sistemas DIRSIST1 Rule 17 B4

Vlan 28 Dirección de Sistemas DIRSIST2 Rule 18 B4

Vlan 29 Dirección de Sistemas DIRSIST3 Rule 19 B4

Vlan 30 Dirección de Sistemas ADMIN Rule 20 B4

Vlan 31 Dirección Administrativa DIRADM1 Rule 21 B3 - B4

Vlan 32 Dirección Administrativa DIRADM2 Rule 22 B2 - B4

Vlan 33 Dependencia Jurídica JURIDICO Rule 23 B4 - B5

Vlan 34 Jefatura JEFATURA1 Rule 24 B5

Vlan 35 Jefatura JEFATURA2 Rule 25 B5

Vlan 36 Dirección de Intereses Nacionales INTNAC Rule 26 B5

Vlan 37 Dirección de Desarrollo Institucional DESAINST Rule 27 B5 - B6

Vlan 39 Cooperación Interinstitucional COOPINTER Rule 29 B6

Vlan 40 Dirección de Doctrina DOCTRINA Rule 30 B6

Vlan 41 Dirección de Planes y Ordenes PLANORD Rule 31 B6

Vlan 42 Federación Deportiva FEDDEP Rule 32 B6

Vlan 43 Dirección de Comunicación Social COMSOC Rule 33 B6

Vlan 44 Dirección de Investigaciones DIRINV Rule 34 B7

Vlan 45 Red Wireless WIRELESS Rule 35 B4

Fuente: Nancy Yolanda Ramón I.

Adicionalmente a las reglas que permiten el tráfico entre los miembros de las VLAN, se debe crear una regla que permita el acceso a la Administración del equipamiento activo a la red de Administradores.

2.4.4.2.3 Lista de acceso básica 2900

Esta lista de acceso limitará el acceso remoto para la administración del equipamiento activo a la VLAN de los Administradores, a todas las demás redes se negará su acceso.

Esta lista de acceso debe ser configurada en la interface vty de cada switch.