pregunta acerca de accces list
TRANSCRIPT
Pregunta acerca de acces-list
1- Qué es el análisis ”stateless” y qué es el análisis ”stateful” del tráfico a efectos de su filtrado?.
Ver diferencias entre a) la aplicación del parámetro ”established” de una lista estándar o extendida,
b) una lista reflexiva, y c) una lista CBAC.
El analisis “stateless” fue el primer metodo de empleado para el contro de acceso a redes y
usualmente se implementa a traves de ACLs. En ellas se indica el trafico que puede pasar y el que
no, a traves del filtro mediante el chequeo de las cabeceras TCP, UDP e IP y sus valores (puertos
TCP, UDP y direcciones IP). Se deben implementar y especificar gran cantidad de reglas estaticas,
ya que “stateless” se basa en el analisis de los paquetes en forma individual, sin embargo se tiene en
consecuencia una gestión muy compleja. Respecto al analisis de trafico, nunca se tiene en cuenta
los flujos de tráfico precedentes para tomar decisiones.
Desventajas: No se adapta a protocolos dinamicos, como por ejemplo FTP, ya qye los puertos
usados por este protocolo varian en el transcurso de la conexion (no estan predifinidos).
Tampoco es capaz de manejar de manera segura los procolos basados en UDP, ya que tampoco se
dispone de los puertos aleatorios elegidos por este protocolo para los clientes internos de la red, por
lo que para brindar conexion es necesario habilitar / abrir todos los puertos por encima del 1023 (es
decir todos los que no son “bien conocidos”).
**En definitiva este analisis funciona adecuadamente cuando se busca filtrar aplicaciones basadas
en TCP que no negocian dinamicamente los puertos.
El analisis “statefull” es un método de filtrado de paquetes mas avanzado que el visto
anteriormente, se trabaja a nivel de flujo o conexión y en algunas ocasiones se intervene a nivel de
la aplicación. Tienen inteligencia, por lo que hacen un seguimiento de las sesiones que atraviesan la
ACL y luego si chequean cada paquete que atraviesa el disposistivo (para ello llevan un Tabla de
Estado). Son capaces de predecir los pasos a dar por un protocolo o una aplicacion.
Se asume que si permite el inicio de una conexion, pueden establecerse n conexiones siempre que
las solicite la aplicación y las mismas seran permitidas.
Su configuracion es mucho mas amigable que en laso anterior, con tan solo especificar el trafico
deseado, automaticamente se configuran los caminos necesarios para el retorno. Es por eso que
a diferencia de “classless” , si puede trabajar con procolos dinamicos, como el caso ya analizado de
FTP. Se puede decir entonces que agregan seguridad y mejoran el rendimiento.
Desventaja: se dificulta el analsis de los contenidos de las aplicaciones.
** Se lo considera una forma confiable de filtrar el trafico de red entre dominios seguros.
Mediante el comando established se indica que solo permiten pasar paquetes TCP (con flags ACK
y RST activados), es decir, que se deniegan los comienzos de conexion TCP (con flag SYN=1 y
ACK=0). Dicho de otra manera, se fuerza a que se establezca la conexion se realice en el sentido
contrario a donde esta configurada la ACL. Todo lo anteriormente mencionado aplica para las listas
extendidas, en el caso de las estandar no es posible aplicar dicho comando.
Un ejemplo de aplicacion facil de visualizar es crear una ACL en un router para que permita
conexiones TCP salientes desde su LAN hacia el exterior, pero se deniegan las originadas en el
exterior que desean atravesar el router. En definitiva las cconexiones que se inician en la LAN será
permitidas y las que se inicien fuera no.
Las ACL reflexivas son mucho mas robustas que las extendidas en el uso de established, sin
embargo, son similares en el uso del mismo, ya que solo lo usan para TCP. Por otro lado en nivel de
seguridad que brindan es mucho mayor, ya que mientras las extendidas solo revisan los bits ACK y
RST, en las reflexivas deben coincidir varios parametros para dejar entrar un paquete, a los ya
mencionados ACK y RST, se verifican las direcciones de origen y de destino y los números de
puerto, es asi que estas listas son muco mas resistentes a los ataques de suplantacion de identidad.
Las listas CBAC brindan una mejora radical, si la comparamos con las reflexivas, se monitorea el
establecimiento de conexiones TCP, se revisan los numeros de secuencia de dicho protocolo
Sebastián Yakoup