1 Problemas frecuentes de listas de acceso Los problemas de red pueden surgir de problemas de la capa de transporte en el router, especialmente en el borde

de la red donde las tecnologas de seguridad examinan y modifican el trfico. En este tema, se analizan dos de las tecnologas de seguridad de la capa de transporte que se implementan con mayor frecuencia: las listas de control de acceso (ACL) y la traduccin de direcciones de red (NAT). 2 La configuracin incorrecta causa los problemas ms frecuentes de las ACL. Existen ocho reas donde se producen con frecuencia configuraciones incorrectas: Seleccin del flujo de trfico La configuracin incorrecta del router ms frecuente es la aplicacin de la ACL al trfico errneo. El trfico se define por la interfaz del router a travs de la cual el trfico se desplaza y por la direccin en la cual se desplaza este trfico. Para que funcione de manera adecuada, una ACL debe aplicarse a la interfaz correcta y debe seleccionarse la direccin correcta del trfico. Orden de los elementos de control de acceso Los elementos de una ACL deben ordenarse de los ms especficos a los generales. Aunque una ACL incluya un elemento para permitir especficamente un flujo de trfico particular, los paquetes nunca coincidirn con ese elemento si otro elemento anterior de la lista los deniega. Deny all implcito En una situacin donde no se requiere un alto nivel de seguridad en la ACL, no incluir este elemento de control de acceso implcito puede ser la causa de una configuracin incorrecta de la ACL. Direcciones y mscaras wildcard Si el router ejecuta ACL y NAT, el orden en el cual se aplica cada una de estas tecnologas a un flujo de trfico es importante: La ACL entrante procesa el trfico entrante antes de que sea procesado por la NAT de afuera hacia adentro. La ACL saliente procesa el trfico saliente despus de que es procesado por la NAT de adentro hacia afuera. Las mscaras wildcard complejas proporcionan mejoras notables en la eficacia, pero son ms propensas a errores de configuracin. Un ejemplo de mscara wildcard compleja es utilizar la direccin 10.0.32.0 y la mscara wildcard 0.0.32.15 para seleccionar las primeras 15 direcciones host en la red 10.0.0.0 o en la red 10.0.32.0. Seleccin del protocolo de la capa de transporte Cuando se configuran las ACL, es importante que slo se especifiquen los protocolos de capa de transporte correctos. Muchos ingenieros de redes, cuando dudan acerca de si un flujo de trfico particular usa un puerto TCP o un puerto UDP, configuran los dos. La especificacin de ambos puertos abre un agujero en el firewall y posiblemente otorga acceso a los intrusos hacia la red. Tambin introduce un elemento adicional en la ACL, por lo que el procesamiento de la ACL demora ms y, as, se agrega ms latencia a las comunicaciones de red. Puertos de origen y destino El control adecuado del trfico entre dos hosts requiere elementos de control de acceso simtrico para las ACL de entrada y de salida. La informacin del puerto y la direccin para el trfico generado por un host que responde es el reflejo de la informacin del puerto y la direccin para el trfico generado por el host que inicia la transmisin. Uso de la palabra clave established

La palabra clave established aumenta la seguridad provista por una ACL. Sin embargo, si se aplica la palabra clave a una ACL saliente, pueden obtenerse resultados inesperados. Protocolos poco frecuentes A menudo, las ACL configuradas incorrectamente causan problemas con los protocolos menos frecuentes que TCP y UDP. Los protocolos poco frecuentes que estn aumentando su popularidad son VPN y los protocolos de encriptacin. Resolucin de problemas de las listas de control de acceso Un comando til para observar el funcionamiento de la ACL es la palabra clave log en las entradas de ACL. Esta palabra clave le indica al router que coloque una entrada en el registro del sistema cuando hay una coincidencia con esa condicin de entrada. El evento registrado incluye detalles del paquete que coincidi con el elemento de la ACL. La palabra clave log es especialmente til para la resolucin de problemas y, adems, proporciona informacin sobre los intentos de intrusin bloqueados por la ACL. 3 Problemas frecuentes de NAT El mayor problema de las tecnologas de NAT es la interoperatividad con otras tecnologas de red, en especial con aquellas que contienen o derivan informacin de direccionamiento de red del host en el paquete. Entre estas tecnologas se incluyen: BOOTP y DHCP: ambos protocolos administran la asignacin automtica de direcciones IP a clientes. Recuerde que el primer paquete que enva un cliente nuevo es un paquete IP de broadcast de solicitud de DHCP. El paquete de solicitud de DHCP tiene la direccin IP de origen 0.0.0.0. Como la NAT requiere una direccin IP de origen y de destino vlidas, puede haber problemas con el funcionamiento de BOOTP y DHCP sobre un router que ejecuta NAT esttica o dinmica. La configuracin de la funcin auxiliar de IP puede ayudar a resolver este problema. DNS y WINS: dado que un router que ejecuta NAT dinmica cambia la relacin entre las direcciones internas y externas regularmente a medida que las entradas de la tabla vencen y se recrean, un servidor DNS o WINS fuera del router NAT no tiene una representacin exacta de la red dentro del router. La configuracin de la funcin auxiliar de IP puede ayudar a resolver este problema. 4 SNMP: de forma similar a los paquetes DNS, NAT no puede modificar la informacin de direccionamiento almacenada en el contenido de datos del paquete. Por este motivo, es posible que una estacin de administracin de SNMP en un lado de un router NAT no pueda ponerse en contacto con los agentes SNMP del otro lado del router NAT. La configuracin de la funcin auxiliar de IP puede ayudar a resolver este problema. Protocolos de tunneling y encriptacin: los protocolos de tunneling y encriptacin a menudo requieren que el trfico se origine desde un puerto UDP o TCP especfico o que se use un protocolo en la capa de transporte que la NAT no puede procesar. Por ejemplo, la NAT no puede procesar los protocolos de tunneling IPsec y los protocolos de encapsulacin de enrutamiento genricos que usan las implementaciones de VPN. Si los protocolos de tunneling y encriptacin deben ejecutarse a travs de un router NAT, el administrador de red puede crear una entrada de NAT esttica para el puerto necesario para una sola direccin IP dentro del router NAT.

5 Uno de los errores de configuracin de NAT ms frecuente es el olvido de que la NAT afecta tanto al trfico entrante como al saliente. Un administrador de redes sin experiencia podra configurar una entrada de NAT esttica para redireccionar el trfico entrante a un host de respaldo interno especfico. Esta sentencia de NAT esttica tambin cambia la direccin de origen del trfico desde ese host y, posiblemente, cause comportamientos inesperados e indeseados o un funcionamiento subptimo. 6 Los temporizadores configurados de manera incorrecta tambin pueden causar comportamiento inesperado en la red y funcionamiento subptimo de la NAT dinmica. Si los temporizadores de NAT son demasiado cortos, las entradas en la tabla NAT pueden vencer antes de que se reciban las respuestas y, por lo tanto, se descartan los paquetes. La prdida de paquetes genera retransmisiones que consumen ms ancho de banda. Si los temporizadores son demasiado largos, las entradas pueden permanecer ms tiempo del necesario en la tabla NAT y consumir las conexiones disponibles. En las redes ocupadas, esto puede causar problemas de memoria en el router, y es posible que los hosts no puedan establecer conexiones si la tabla NAT dinmica est completa. 7 Sntomas de los problemas de la capa de aplicacin Los problemas de la capa de aplicacin impiden que se proporcionen servicios a los programas de aplicacin. Un problema en la capa de aplicacin puede hacer que los recursos se vuelvan inutilizables o inalcanzables cuando las capas fsica, de enlace de datos, de red y de transporte estn en funcionamiento. Es posible tener conectividad de red completa, pero la aplicacin simplemente no puede proporcionar datos. Otro tipo de problema en la capa de aplicacin ocurre cuando las capas fsica, de enlace de datos, de red y de transporte estn en funcionamiento, pero la transferencia de datos y las solicitudes de servicios de red de un solo servicio de red o aplicacin no cumplen las expectativas normales de un usuario. Un problema en la capa de aplicacin puede originar quejas de los usuarios porque la red o la aplicacin particular con la que estn trabajando funciona ms lento de lo normal cuando se transfieren datos o se solicitan servicios de red. La figura muestra algunos de los sntomas posibles de los problemas de la capa de aplicacin. 8 Resolucin de problemas de la capa de aplicacin El mismo proceso de resolucin de problemas general que se usa para aislar problemas en las capas inferiores puede usarse para aislar problemas en la capa de aplicacin. Los conceptos son los mismos, pero el enfoque tecnolgico ha cambiado para incluir aspectos como conexiones rechazadas o con el tiempo de espera agotado, listas de acceso y problemas de DNS. Los pasos para la resolucin de problemas de la capa de aplicacin son los siguientes: Paso 1. Hacer ping al gateway predeterminado. Si se realiza adecuadamente, los servicios de capa 1 y capa 2 estn funcionando correctamente. Paso 2. Verificar la conectividad de extremo a extremo. Use un ping extendido si intenta hacer ping desde un router Cisco. Si se realiza adecuadamente, la capa 3 est funcionando correctamente. Si las capas 1 a 3 funcionan correctamente, el problema debe estar en una capa superior. Paso 3. Verificar el funcionamiento de la NAT y las listas de acceso. Para resolver problemas en las listas de control de acceso, realice los siguientes pasos:

Use el comando show access-list. Existen ACL que podran estar deteniendo el trfico? Observe cules listas de acceso tienen coincidencias. Borre los contadores de la lista de acceso con el comando clear access-list counters e intente establecer una conexin nuevamente. Verifique los contadores de la lista de acceso. Alguno aument? Deben aumentar? Para resolver problemas de NAT, realice los siguientes pasos: Use el comando show ip nat translations. Existen traducciones? Las traducciones son las esperadas? Borre las traducciones NAT con el comando clear ip nat translation * e intente acceder al recurso externo nuevamente. Use el comando debug ip nat y examine el resultado. Observe el archivo de configuracin en ejecucin. Los comandos ip nat inside e ip nat outside estn ubicados en las interfaces correctas? El conjunto de NAT est configurado correctamente? La ACL est identificando los hosts de manera correcta? Si las ACL y la NAT estn funcionando de la manera esperada, el problema debe estar en una capa superior. Paso 4. Solucionar problemas de conectividad del protocolo de capa superior. Aunque haya conectividad IP entre un origen y un destino, an pueden existir problemas para un protocolo de capa superior especfico, como FTP, HTTP o Telnet. Estos protocolos se ejecutan sobre el transporte IP bsico, pero estn sujetos a problemas especficos de cada protocolo relacionados con filtros de paquetes y firewalls. Es posible que todas las funciones, excepto el correo, funcionen entre un origen y un destino dados. La resolucin de un problema de conectividad del protocolo de capa superior requiere la comprensin del proceso del protocolo. En general, esta informacin se encuentra en la RFC ms reciente para el protocolo o en la pgina Web del desarrollador. 9 Correccin de problemas de la capa de aplicacin Los pasos para la correccin de problemas de la capa de aplicacin son los siguientes: Paso 1: Hacer una copia de seguridad. Antes de continuar, asegrese de que se haya guardado una configuracin vlida para todos los dispositivos cuya configuracin pueda modificarse. Esto permite la recuperacin a un estado inicial conocido. Paso 2: Hacer un cambio en la configuracin inicial del hardware o software. Si la correccin requiere ms de un cambio, haga slo un cambio por vez. Paso 3: Evaluar y documentar cada cambio y sus resultados. Si los resultados de alguno de los pasos para la resolucin de problemas no son satisfactorios, deben deshacerse los cambios inmediatamente. Si el problema es intermitente, aguarde para ver si el problema vuelve a ocurrir antes de evaluar el efecto de algn cambio. Paso 4: Determinar si el cambio resuelve el problema. Verifique que el cambio realmente resuelve el problema sin introducir nuevos problemas. La red debe volver al funcionamiento de lnea de base y no deben presentarse sntomas nuevos o antiguos. Si el problema no se resuelve, deben deshacerse todos los cambios. Si se descubren problemas nuevos o adicionales, modifique el plan de correccin. Paso 5: Detenerse cuando se resuelva el problema. Deje de hacer cambios cuando parezca que el problema original est resuelto. Paso 6: De ser necesario, solicitar la ayuda de recursos externos. Puede ser un compaero de trabajo, un consultor o el Centro de asistencia tcnica (TAC) de Cisco. En algunas ocasiones, puede ser necesario un volcado de memoria, el cual genera un resultado que puede analizar un especialista de Cisco Systems. Paso 7: Documentar. Una vez que se soluciona el problema, debe documentarse la solucin.