Es un gran problema pensar en la resolucion de la seguridad sin agregar a este pensamiento la utilidad y ventaja de poder limitar el acceso a ciertos recursos.
Un firewall por defecto solo permite el acceso desde la red interna haca internet y no al reves, esto se debe a que hay niveles de seguridad definidos a priori en todo sistema, cisco los ha denominado "security levels" y son estos los que permiten el acceso desde un sector de red a otro (El de mayor SecLev tendra acceso a los de menor y NO al reves).
Sin embargo este método de seguridad es muy limitado y no permite realizar controles especificos. Es para esto ultimo que han surgido las access-list y las conduits.
¿Cual es la diferencia entre ellas?
Bien, basicamente una acl es una lista de acceso y desarrolla su funcion como su nombre lo describe, si un host o un pool de addr se encuentra en una lista podra acceder a los recursos que esta lista tenga permitidos.
Las conduits son un poco distintas, tienen otra "mentalidad". Las conduits o "conductos" permiten que ciertos usuarios/pools tengan acceso a un recurso.
¿Que diferencia hay?
Basicamente las acl estan basadas en una lista del tipo (invitados)(permisos) y las conduits en una (recursos)(users habilitados)
La utilizacion de conduits genera una exepcion en el algoritmo de seguridad del PIX. Esta exepcion es global y aplica a todas las conexiones entrantes. La definicion de una "outbound" es identica a las de los conduits solo que en el camino reverso, es decir, con conexiones salientes.
La ventaja de las ACL es que pueden definirse grupos que contienen las distintas reglas, la utilizacion de las TACL (Turbo Access List). Con las ACL el manejo de las reglas se hace mucho mas sencillo y facil de analizar.
Al configurar la diferencia se hace notar, sobre todo para aquellos que siguen con un solo tipo de vision de los hechos. Veamos como se hace, cortesia de Cisco
Use Conduits on PIX Versions 4.4.5 and Later
Complete these steps for PIX software versions 4.4.5 and later using conduits.
1.Define a static address translation for the inside web server to an outside/global address.
static (inside,outside) 175.1.1.254 10.200.1.254
2.Define which hosts can connect on which ports to your web/FTP server.
conduit permit tcp host 175.1.1.254 eq www any
conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24
In PIX software versions 5.0.1 and later, ACLs with access groups can be used instead
of conduits. Conduits are still available, but the decision should be made whether to
use conduits or ACLs. It is not advisable to combine ACLs and conduits on the same configuration. If both are configured, ACLs take preference over the conduits.
Use ACLs on PIX Versions 5.0.1 and Later
Complete these steps for PIX software versions 5.0.1 and later using ACLs.
1.Define a static address translation for the inside web server to an outside/global address.
static (inside, outside) 175.1.1.254 10.200.1.254
2.Define which hosts can connect on which ports to your web/FTP server.
access-list 101 permit tcp any host 175.1.1.254 eq www
access-list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp
3.Apply the ACL to the outside interface.
access-group 101 in interface outside
Note: Be careful when you implement these commands. If either the conduit permit ip
any any or access-list 101 permit ip any any command is implemented, any host on the
untrusted network can access any host on the trusted network using IP as long as
there is an active translation.
Leer más...
Posts
