Simplification measures in FP

Un aspecto que se debe de considerar implementar en toda red es la seguridad entre los segmentos creados, por ello para este proyecto se crearon listas de control de acceso (ACL) de salida las cuales, restringen los accesos no autorizados de los segmentos de red de los usuarios a los segmentos de red de los servidores. En la configuración actual, el firewall es capaz de separar segmentos de red, pero debido a la ausencia de éste en los nuevos segmentos, se aplicarán listas de control de acceso para cada VLAN de servidores.

La creación de las ACL depende de un trabajo conjunto entre los administradores de las aplicaciones ya que ellos son responsables de conocer los servicios que necesitan publicar y los administradores de la red quienes administran los equipos de comunicaciones, responsables que las aplicaciones funcionen correctamente, para este proyecto se contaba con una referencia de los permisos para la red de servidores, las cuales se obtuvieron de la configuración del firewall, el cual contenía los segmentos de red de usuarios y servidores, para aplicar listas de control de acceso en la red local del instituto, se realizó la interpretación de una regla aplicada en el firewall a una ACL aplicada en los switches de capa 3.

123

Una configuración adicional en los switches de capa 3 para la óptima creación de ACL fue:

MLX_A(config)#system-max ip-filter-sys 8192

Comando que establece el número de sentencias en los switches de capa 3 que va desde 0 hasta 40960.

MLX_A(config)#enable-acl-counter

Muestra las estadísticas de todas las ACL, útil para verificar el número de líneas.

MLX_A(config)#acl-duplication-check

Comando utilizado para revisar las entradas duplicadas en las ACL.

La configuración de ACL está definida por dos tipos; estándar y extendida, una ACL estándar con valor numérico permitido de 1 a 99 permite o niega paquetes en base a una dirección IP origen. Una ACL extendida con valor numérico permitido de 100 a 199 permite o niega paquetes en base a protocolo IP, dirección IP origen, dirección IP destino, puerto TCP/UDP origen, puerto TCP/UDP destino.

Sintaxis para la creación de listas de acceso ACL estándar

Syntax: [no] access-list <num>deny | permit <source-ip>| <hostname><wildcard> or

Syntax: [no] access-list <num>deny | permit <source-ip>/<mask-bits>| <hostname> Syntax: [no] access-list <num>deny | permit host <source-ip>| <hostname>

Syntax: [no] access-list <num>deny | permit any Syntax: [no] ip access-group <num>in

ACL extendida

Syntax: [no] access-list <num>deny | permit <ip-protocol> <source-ip>| <hostname><wildcard>

[<operator><source-tcp/udp-port>] <destination-ip>| <hostname><wildcard> [<operator><destination-tcp/udp-port>]

Implementación de la nueva red de área local

124

[tos <number>] [dscp-mapping <number>]

[dscp-marking <number>] | [fragment] [non-fragment]

[option value | name | keyword] [ priority <priority-value>| priority-force <priority-value>| priority-mapping <priority-value>] [mirror]

Syntax: [no] access-list <num>deny | permit host <ip-protocol>any any Syntax: [no] ip access-group <num>in | out

Los aspectos importantes a considerar para la creación de listas de control de acceso (ACL) para este proyecto, fué la asignación de una ACL a una interface virtual, siendo el procedimiento el siguiente:

1. Crear un script (bloc de notas) para mantener en orden las ACL aplicadas a cada una de las VLAN.

2. Ingresar a la interface virtual a la cual se implementará seguridad con el comando interface ve “ID referente a la VLAN”.

3. Limpiar la configuración de la ACL de salida con el comando no ip access-group “ID referente a la VLAN” out.

4. Salir del modo configuración interface virtual con el comando exit.

5. Limpiar la configuración de la ACL extendida con el comando no ip access-list extended “ID referente a la VLAN”.

6. Creación de una nueva ACL extendida con el comando ip access-list extended “ID referente a la VLAN”.

7. Creación de todas las líneas de configuración, que restringirán o permitirán los accesos, según un análisis de permisos previo.

8. Negar todos los segmentos de red de la red LAN, permitiendo solo los mencionados en líneas superiores debido a que una ACL se aplica de manera descendente, con el comando deny ip “redes con restricción” “mascara de redes con restricción” “red con actual ACL” “mascara de red con actual ACL”.

9. Permitir el resto del tráfico asegurando los accesos VPN a los segmentos de red local, con el comando permit ip any any.

10. Salir de la configuración ACL extendida con el comando exit

11. Volver a aplicar ACL por cambios realizados recientes, desde el modo configuración global con el comando ip rebind-acl “ID de VLAN”.

125

12. Ingresar nuevamente a la interface virtual a la cual se le aplicará ACL con el comando interface ve “ID de VLAN”

13. Asignar la ACL de salida a la interface virtual con el comando ip access- group “”ID de VLAN out

14. Salir de la configuración ACL aplicada en la interface virtual, con el comando exit

15. Volver a aplicar ACL con el comando ip rebind-acl “ID de VLAN”.

Estos pasos se deberán de seguir para cada ACL que se desee aplicar a alguna interface virtual. Ver Anexo No. 4

Por mejores prácticas se realizó un script (archivo txt) en el cual se mantendrán por separado las ACL de cada una de las VLAN y hacer las modificaciones en cada una de ellas cuando se necesite, para aplicar una ACL se debe ingresar a los switches de capa 3 por la interface de línea de comando, en modo configuración global y copiar el script para después validar su correcta instalación.