Lista de control de acceso (ACL)
Una lista de control de acceso o ACL (del
inglés, access control list) es un concepto de seguridad informática usado para
fomentar la separación de privilegios. Es una forma de determinar los permisos
de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos
del proceso que hace el pedido.
Las ACL permiten controlar el flujo del
tráfico en equipos de redes, tales como enrutadores y conmutadores. Su
principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de
red de acuerdo a alguna condición. Sin embargo, también tienen usos
adicionales, como por ejemplo, distinguir "tráfico interesante"
(tráfico suficientemente importante como para activar o mantener una conexión)
en RDSI.
En redes informáticas, ACL se refiere a una
lista de reglas que detallan puertos de servicio o nombres de dominios (de
redes) que están disponibles en un terminal u otro dispositivo de capa de red,
cada uno de ellos con una lista de terminales y/o redes que tienen permiso para
usar el servicio. Tanto servidores individuales como enrutadores pueden tener
ACL de redes. Las listas de control de acceso pueden configurarse generalmente
para controlar tráfico entrante y saliente y en este contexto son similares a
un cortafuegos.
Existen
dos tipos de listas de control de acceso: listas fijas y listas variables.
INSPECT
FireWall-1 es la
solución firewall de la empresa CheckPoint. Provee herramientas para la
administración de aspectos de seguridad distribuida sobre una red.
FireWall-1
permite definir una política de seguridad de forma central utilizando una
herramienta gráfica, y una vez que se ha definido una regla o conjunto de
reglas, el sistema provee la habilidad de definir sobre que puntos de la red
serán aplicadas.
El lenguaje
utilizado por FireWall-1 para la definición de políticas de seguridad, llamado
INSPECT permite incorporar aspectos de reglas de seguridad,
conocimiento particular de las aplicaciones, información de contexto, y datos
de comunicación en un solo sistema. Es un lenguaje script de alto nivel,
orientado a objetos que provee a su Modulo de Inspección un medio de
implementar la política de seguridad diseñada para la red completa.
En la mayoría de
los casos, la política es definida usando la interfaz gráfica de FireWall-1. A
partir de la política de seguridad, se genera un script de inspección, escrito
en código INSPECT. Luego se genera un código de inspección del script y es
cargado en los puntos de aplicación del firewall, donde reside en Modulo de
Inspección (encargado de aplicar la política correspondiente). Los scripts son
archivos en código ASCII por lo que son fácilmente editables para facilitar
tareas de depuración o cubrir requerimientos especializados.
INSPECT provee
extensibilidad del sistema, permitiendo a una organización incorporar nuevas
aplicaciones, servicios y protocolos, simplemente modificando una de las
plantillas de scripts propias de FireWall-1 usando la interfaz gráfica.
Protocolo SNMP
El
Protocolo Simple de Administración de Red o SNMP (del inglés Simple Network
Management Protocol) es un protocolo de la capa de aplicación que facilita el
intercambio de información de administración entre dispositivos de red. Los
dispositivos que normalmente soportan SNMP incluyen routers, switches,
servidores, estaciones de trabajo, impresoras, bastidores de módem y muchos
más. Permite a los administradores supervisar el funcionamiento de la red,
buscar y resolver sus problemas, y planear su crecimiento.
SNMP
es un componente de la suite de protocolo de Internet como se define por el
IETF. Se compone de un conjunto de normas para la gestión de la red, incluyendo
una capa de aplicación del protocolo , una base de datos de esquema , y un
conjunto de objetos de datos . Las versiones de SNMP más utilizadas son SNMP
versión 1 (SNMPv1) y SNMP versión 2 (SNMPv2).
SNMP
en su última versión (SNMPv3) posee cambios significativos con relación a sus
predecesores, sobre todo en aspectos de seguridad; sin embargo no ha sido
mayoritariamente aceptado en la industria.
Función de Protocolo SNMP
En
usos típicos SNMP, uno o más equipos administrativos, llamados gerentes, tienen
la tarea de supervisión o la gestión de un grupo de hosts o dispositivos de una
red informática. En cada sistema gestionado se ejecuta, en todo momento, un
componente de software llamado agente que reporta la información a través de
SNMP con el gerente.
Los agentes SNMP exponen los datos de gestión en los
sistemas administrados como variables. El protocolo también permite realizar
tareas de gestión de activos, tales como la modificación y la aplicación de una
nueva configuración a través de la modificación remota de estas variables. Las
variables accesibles a través de SNMP están organizadas en jerarquías. Estas
jerarquías, y otros metadatos (tales como el tipo y la descripción de la
variable), se describen por Bases de Información de Gestión (MIB).
Comandos básicos
Los
dispositivos administrados son supervisados y controlados usando cuatro
comandos SNMP básicos: lectura, escritura, notificación y operaciones
transversales.
El
comando de lectura es usado por un NMS para supervisar elementos de red. El NMS
examina diferentes variables que son mantenidas por los dispositivos
administrados.
El
comando de escritura es usado por un NMS para controlar elementos de red. El
NMS cambia los valores de las variables almacenadas dentro de los dispositivos
administrados.
El
comando de notificación es usado por los dispositivos administrados para
reportar eventos en forma asíncrona a un NMS. Cuando cierto tipo de evento
ocurre, un dispositivo administrado envía una notificación al NMS.
Las
operaciones transversales son usadas por el NMS para determinar qué variables
soporta un dispositivo administrado y para recoger secuencialmente información
en tablas de variables, como por ejemplo, una tabla de rutas.
No hay comentarios:
Publicar un comentario