Sitio personal de Ariel M. Liguori De Gottig

Tuesday, April 15

CISCO: ACL vs Conduits

Es un gran problema pensar en la resolucion de la seguridad sin agregar a este pensamiento la utilidad y ventaja de poder limitar el acceso a ciertos recursos.
Un firewall por defecto solo permite el acceso desde la red interna haca internet y no al reves, esto se debe a que hay niveles de seguridad definidos a priori en todo sistema, cisco los ha denominado "security levels" y son estos los que permiten el acceso desde un sector de red a otro (El de mayor SecLev tendra acceso a los de menor y NO al reves).

Sin embargo este método de seguridad es muy limitado y no permite realizar controles especificos. Es para esto ultimo que han surgido las access-list y las conduits.
¿Cual es la diferencia entre ellas?
Bien, basicamente una acl es una lista de acceso y desarrolla su funcion como su nombre lo describe, si un host o un pool de addr se encuentra en una lista podra acceder a los recursos que esta lista tenga permitidos.
Las conduits son un poco distintas, tienen otra "mentalidad". Las conduits o "conductos" permiten que ciertos usuarios/pools tengan acceso a un recurso.
¿Que diferencia hay?
Basicamente las acl estan basadas en una lista del tipo (invitados)(permisos) y las conduits en una (recursos)(users habilitados)
La utilizacion de conduits genera una exepcion en el algoritmo de seguridad del PIX. Esta exepcion es global y aplica a todas las conexiones entrantes. La definicion de una "outbound" es identica a las de los conduits solo que en el camino reverso, es decir, con conexiones salientes.
La ventaja de las ACL es que pueden definirse grupos que contienen las distintas reglas, la utilizacion de las TACL (Turbo Access List). Con las ACL el manejo de las reglas se hace mucho mas sencillo y facil de analizar.

Al configurar la diferencia se hace notar, sobre todo para aquellos que siguen con un solo tipo de vision de los hechos. Veamos como se hace, cortesia de Cisco



Use Conduits on PIX Versions 4.4.5 and Later

Complete these steps for PIX software versions 4.4.5 and later using conduits.

1.Define a static address translation for the inside web server to an outside/global address.

static (inside,outside) 175.1.1.254 10.200.1.254

2.Define which hosts can connect on which ports to your web/FTP server.

conduit permit tcp host 175.1.1.254 eq www any
conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24

In PIX software versions 5.0.1 and later, ACLs with access groups can be used instead
of conduits. Conduits are still available, but the decision should be made whether to
use conduits or ACLs. It is not advisable to combine ACLs and conduits on the same configuration. If both are configured, ACLs take preference over the conduits.

Use ACLs on PIX Versions 5.0.1 and Later

Complete these steps for PIX software versions 5.0.1 and later using ACLs.

1.Define a static address translation for the inside web server to an outside/global address.

static (inside, outside) 175.1.1.254 10.200.1.254

2.Define which hosts can connect on which ports to your web/FTP server.

access-list 101 permit tcp any host 175.1.1.254 eq www
access-list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp

3.Apply the ACL to the outside interface.

access-group 101 in interface outside

Note: Be careful when you implement these commands. If either the conduit permit ip
any any or access-list 101 permit ip any any command is implemented, any host on the
untrusted network can access any host on the trusted network using IP as long as
there is an active translation.




2 comentarios:

vlan7 said...

Hola.

Primero de todo, gracias por dejarme un comentario en mi blog. He estado un rato por el tuyo y aprovecho para dejarte un comentario en esta entrada-

No quiero ser puntilloso, pero un buen FW por defecto deniega todo. En concreto, ya que hablas de los PIX de Cisco, con un PIX de Cisco justo antes del router bastion, como no lo configures nadie tiene internet.

Con el ISA Server de Microsoft, otro buen FW (aparte de otras cosas), lo mismo. Por ejemplo, en un dominio Active Directory con un ISA Server como FW, o le dices al ISA que permites el protocolo DNS al controlador de dominio, o nadie sale a internet.

Asi son los buenos FW. De entrada deniegan todo, por supuesto ultima regla implicita "denegar todo", y ale, a ir permitiendo trafico...

Saludos!

vlan7

Ariel M. Liguori de Gottig said...

Hola, Muchas gracias por tu comentario.
Es verdad loq eu dices por default siempre el esquema mas seguro posible "nadie ve a nadie".

Y siempre (regla de oro en Seguridad Informatica") la ultima condicion deny all.

Saludos,
Ariel.