Descripción de ACL de red

Conceptos básicos de la ACL de red

• Su VPC no viene con una ACL de red, pero puede crear una ACL de red y asociarla con una subred de VPC si es necesaria. De forma predeterminada, cada ACL de red deniega todo el tráfico entrante y saliente de la subred asociada hasta que agregue reglas.
• Puede asociar una ACL de red con varias subredes. Sin embargo, una subred solo se puede asociar a una ACL de red a la vez.
• Cada ACL de red recién creada se encuentra en el estado Inactive hasta que se asocien las subredes.
• Las ACL de red son de estado. Si envía una solicitud desde su instancia y se permite el tráfico saliente, se permite que el tráfico de respuesta para esa solicitud fluya independientemente de las reglas entrantes de ACL de red. De manera similar, si se permite el tráfico entrante, se permite que las respuestas al tráfico entrante permitido fluyan hacia fuera, independientemente de las reglas salientes.

  El periodo de tiempo de espera del seguimiento de la conexión varía según el protocolo. El periodo de tiempo de espera de una conexión TCP en el estado establecido es 600s, y el periodo de tiempo de espera de una conexión ICMP es 30s. Para otros protocolos, si se reciben paquetes en ambas direcciones, el periodo de tiempo de espera de seguimiento de conexión es de 180 segundos. Si se reciben uno o más paquetes en una dirección pero no se recibe ningún paquete en la otra dirección, el período de tiempo de espera de seguimiento de conexión es de 30 segundos. Para los protocolos distintos de TCP, UDP e ICMP, solo se realiza un seguimiento de la dirección IP y el número de protocolo.

Reglas por defecto de ACL de red

De forma predeterminada, cada ACL de red tiene reglas preestablecidas que permiten los siguientes paquetes:

• Paquetes cuyo origen y destino están en la misma subred
• Paquetes de difusión con el destino 255.255.255.255/32, que se utiliza para configurar la información de inicio del host.
• Paquetes de multidifusión con el destino 224.0.0.0/24, que es utilizado por los protocolos de enrutamiento.
• Paquetes de metadatos con el destino 169.254.169.254/32 y el puerto TCP número 80, que se utiliza para obtener metadatos.
• Paquetes de bloques CIDR reservados para servicios públicos (por ejemplo, paquetes con el destino 100.125.0.0/16)
• Una ACL de red niega todo el tráfico de entrada y salida de una subred, excepto los anteriores. Tabla 1 muestra las reglas predeterminadas de ACL de red. No puede modificar ni eliminar las reglas predeterminadas.

  Tabla 1 Reglas predeterminadas de ACL de red

  Dirección	Prioridad	Acción	Protocolo	Fuente	Destino	Descripción
  Entrante	*	Deny	All	0.0.0.0/0	0.0.0.0/0	Deniega todo el tráfico entrante.
  Saliente	*	Deny	All	0.0.0.0/0	0.0.0.0/0	Deniega todo el tráfico saliente.

Prioridades de las reglas

• Cada regla de ACL de red tiene un valor de prioridad donde un valor más pequeño corresponde a una prioridad más alta. Cada vez que dos reglas entran en conflicto, la regla con la prioridad más alta es la que se aplica. La regla cuyo valor de prioridad es un asterisco (*) tiene la prioridad más baja.
• Si varias reglas de ACL de red entran en conflicto, solo la regla con la prioridad más alta tiene efecto. Si necesita que una regla surta efecto antes o después de una regla específica, puede insertar esa regla antes o después de la regla específica.

Escenarios de aplicación

• Si la capa de aplicación necesita proporcionar servicios a los usuarios, se debe permitir que el tráfico llegue a la capa de aplicación desde todas las direcciones IP. Sin embargo, también debe evitar el acceso ilegal de usuarios maliciosos.

  Solución: puede agregar reglas de ACL de red para denegar el acceso desde direcciones IP sospechosas.

• ¿Cómo puedo aislar puertos con vulnerabilidades identificadas? Por ejemplo, ¿cómo puedo aislar el puerto 445 que puede ser explotado por el gusano WannaCry?

  Solución: puede agregar reglas de ACL de red para denegar el tráfico de acceso desde un puerto y protocolo específicos, por ejemplo, el puerto TCP 445.

• No se requiere defensa para la comunicación dentro de una subred, pero se requiere control de acceso para la comunicación entre subredes.

  Solución: puede agregar reglas de ACL de red para controlar el tráfico entre subredes.

• Para las aplicaciones a las que se accede con frecuencia, es posible que sea necesario ajustar una secuencia de reglas de seguridad para mejorar el rendimiento.

  Solución: Una ACL de red le permite ajustar la secuencia de reglas para que las reglas usadas con frecuencia se apliquen antes que otras reglas.

Proceso de configuración:

Figura 2 muestra el procedimiento para configurar una ACL de red.

Figura 2 Procedimiento de configuración de ACL de red

1. Cree una ACL de red siguiendo los pasos descritos en Creación de una ACL de red.
2. Agregue las reglas de ACL de red siguiendo los pasos descritos en Adición de una regla de ACL de red.
3. Asocie las subredes con la ACL de red siguiendo los pasos descritos en Asociación de subredes con una ACL de red. Después de asociar las subredes con la ACL de red, las subredes estarán protegidas por las reglas configuradas de ACL de red.

Restricciones de ACL de red

• De forma predeterminada, puede crear un máximo de 200 ACL de red en su cuenta en la nube.
• Puede asociar una ACL de red con varias subredes. Sin embargo, una subred solo se puede asociar a una ACL de red a la vez.
• Se recomienda que una ACL de red no contenga más de 20 reglas en una dirección. De lo contrario, su rendimiento puede deteriorarse.
• Para un rendimiento óptimo, no importa más de 40 reglas de ACL de red a la vez. Las reglas existentes seguirán estando disponibles después de importar las reglas nuevas. Cada regla se puede importar solo una vez.