P. 1
Acl

Acl

|Views: 50|Likes:
Publicado porsociotorrent

More info:

Published by: sociotorrent on Apr 30, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

12/13/2013

pdf

text

original

FUNDAMENTOS DE LAS LISTAS DE CONTROL DE ACCESO Principales razones para crear las ACL Se tienen varias razones, entre

las principales: • Brindar control de flujo de tráfico. • Limitar el tráfico no deseado en red y mejorar el rendimiento de la red. • Proporcionar un nivel básico de seguridad para el acceso a la red. • Se puede decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Mediante un ACL se puede por ejemplo: • Permitir al Host A el acceso a la red de Recursos Humanos y al Host B se le niega el acceso a dicha red. • Permitir que se enrute el tráfico de correo electrónico, pero bloquear todo el tráfico de telnet. ¿Cómo trabajan las ACLs? Cada uno de los paquetes al ingresar al router es analizado para que en base a los valores de ciertos campos poder filtrarlos a través de las instrucciones del ACL[2]. Figura 2: Las ACL del IOS de Cisco verifican el encabezado de cada paquete. La Figura 3 muestra el flujo del paquete mientras es analizado por cada una de las instrucciones del ACL: Figura 3: Diagrama de flujo del análisis que realiza el ACL sobre los paquetes.
• •

Si se cumple una condición, el paquete se permite (permit) o se rechaza (deny), y el resto de las declaraciones ACL no se verifican. Si ninguna de las declaraciones ACL tiene coincidencia, se coloca una declaración implícita que indica “deny any” (rechazar cualquiera) en el extremo de la lista por defecto, que rechazará todos los paquetes que no coincidan con la ACL.

Lo que se debe conocer de las ACL • El dispositivo al analizar línea por línea el paquete, habrá que listar los comandos desde los casos más específicos, hasta los más generales. ¡Las excepciones tienen que estar antes de la regla general! • Cualquier línea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar allí. • Una ACL es una lista que consta de una o más instrucciones. • Se asigna una lista a una o más interfaces. • Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: 1. el origen del tráfico, 2. el destino del tráfico, 3. el protocolo usado.

El router analiza cada paquete, comparándolo con la ACL correspondiente.

ACL Estándar y Extendidas Existen dos tipos de ACL[3]:

Las ACL ESTÁNDAR (1-99) sólo permiten controlar en base a la dirección de ORIGEN.

la máscara wildcard es: 0.10. Tanto en la dirección de origen.0/24. es decir.255.168. MÁSCARA DE WILDCARDS “Wildcard” significa “comodín“.255 Explicación: Se toma el cuarto octeto de la dirección de red y de la máscara wildcard Red Wildcard 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 Direcciones Disponibles Dirección 1 Dirección 2 Dirección 3 … Ejemplo 2: Dada la red: 10. es decir se queda “pinchado el valor”. las máscaras wildcard también permiten más. la dirección de DESTINO y el PROTOCOLO utilizado. “0” significa que la IP puede cambiar. la máscara wildcard para IPs pares es: 0. es decir.4.0.0.0. como en la dirección de destino.0. de una ACL se especifican las direcciones como dos grupos de números: un número IP y una máscara wildcard. una máscara de wildcard es lo contrario de una máscara de red[4] así se tiene que en una máscara de red: “1” significa que la IP no cambia.255.255. la mitad inferior o superior de un segmento de red.0/24. con máscara de red: 255.254 Explicación: Se toma el cuarto octeto de la dirección de red y de la máscara wildcard Red Wildcard 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0 Direcciones Disponibles Dirección 1 Dirección 2 Dirección 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0 0 . Mientras que en una máscara de wildcard: “1″ significa que la IP puede cambiar. “0” significa que la IP no cambia.2.0. con máscara de red: 255. Ejemplos: Ejemplo 1: Dada la red: 192. pares. Sin embargo.0. seleccionar un rango determinado (IPs de la 1 a la 31).255.• Las ACL EXTENDIDAS (100-199) permiten controlar el tráfico en base a la dirección de ORIGEN. por ejemplo. se pueden denegar todas las máquinas con números IP impares.

0. “equivale a” 172.0/24.2.0.0. Esto se debe a sus limitaciones: no se puede distinguir el destino.255 “equivale a” any UBICACIÓN DE LAS ACL • • Las ACL estándar (1-99) se colocan cerca del destino del tráfico.0.160/27.0.0.255. la máscara wildcard para las mitad superior de todas las IPs.168. para evitar tráfico innecesario en el resto de la red. es decir.25.0 0.1 Ejemplo 4: Dada la red: 10. subred: La 6ta.0.0/24 en 8 subredes y seleccionar la máscara wildcard del 3/4 de IPs de la 6ta.1 0.10.4. con máscara de red: 255.0/24. Las ACL extendidas (100-199) se colocan cerca del origen del tráfico por eficiencia.152.255.0. es decir.0.224.16.25. rango [0-127] es: 0.2.16.10.7 Especificación de direcciones con Wildcard • • • Permitir o denegar una IP específica: 172.255. Una ACL en la interfaz de salida de R1 deniega a R1 la posibilidad de enviar tráfico a otros lugares.0.4.10.10.0.255.255.0 255.128 Ejemplo 6: Segmentar la red 194.Dirección 4 …. Las ACL extendidas (100-199) se colocan cerca del origen del tráfico.0.0/24.0.168. entonces la wildcard sería:0. 0 0 0 0 0 1 1 0 No cambia Ejemplo 3: Dada la red: 10.0.0.0.152. es decir.0. con máscara de red: 255. Las ACL estándar (1-99) se colocan cerca del destino del tráfico. es decir.255 Permitir o denegar a todas las IPs: 0.16. La solución es colocar una ACL estándar en la interfaz de entrada de R3 para detener todo el tráfico desde la dirección de origen 192.16. la máscara wildcard para las mitad inferior de todas las IPs.0.255.255.255. Ejemplo: Figura 4: Ubicación de un ACL estándar • • • El administrador desea que el tráfico que se origina en la red 192.255.10.1 Permitir o denegar una subred: 172. dentro de esta subred se quiere el rango de IPs [176-183] correspondiente al 3/4 de IPs de la 6ta.0/24.. la máscara wildcard para IPs impares es la misma 0.10.0. con máscara de red: 255.0/24.0.168.255.0 255.0.0.0.10. subred.254.255. con la variación de que las IPs comienzan en 10.0/24 no ingrese a la red 192.255. Subred es: 194.127. “equivale a” host 172. con la variación de que las IPs comienzan en 10.127 Ejemplo 5: Dada la red: 10. Ejemplo: Figura 5: Ubicación de un ACL extendida .30. es decir. rango [128-255] es: 0.10. con máscara de red: 255.

255.255.0/24 y 192.17.• • • • El administrador de las redes 192. sólo para bloquearlo en el destino. además.0.0/24.17. se calcula en base al número de protocolos que maneja el router (IP. De la misma manera se puede controlar el tráfico en el router B: tráfico entrante en la interfaz de la izquierda.252 ip access-group 1 in Sintaxis de una ACL extendidas Sintaxis para un renglón (se escribe en el modo de configuración global): . se puede controlar el tráfico desde X hacia Y en las interfaces de entrada o salida de los routes A o B o C. Cantidad de ACL en un router La cantidad de ACL que puede tener un router.2 255.17. Esto garantiza que los paquetes desde diez no ingresen a R1 y que luego no puedan atravesar hacia once ni incluso ingresar a R2 o R3 DIRECCIÓN DEL TRÁFICO (in – out) Hay que señalar que los ACL se los puede colocar en la interfaz de entrada del dispositivo de networking o en la interfaz de salida. B.0/24. ¿CÓMO SE ESCRIBEN LAS ACL? Sintaxis de una ACL estándar access-list (número) (deny | permit) (ip origen) (wildcard origen) Ejemplo 1: ACL estándar Bloquear toda la subred 172.3.3. en router A se puede controlar el tráfico entrante (in) en la interfaz que está a su izquierda F0/1 o el tráfico saliente (out) en la interfaz que está a su derecha S0/0. Esto afecta la eficacia general de la red.30.IPX o Apple Talk).168.0/24 Figura 7: Topología base para ejemplos Configuración en la entrada de R3: access-list 1 permit host 172.5.3. Una ACL extendida en R3 que bloquea el tráfico Telnet y FTP desde once podría realizar la tarea.16.17. interfaz S0/0 o el tráfico saliente en la interfaz de la derecha. C son routers. X y Y son hosts o redes).0 0. Esa solución sigue permitiendo.10 en la red 172.0. o de igual manera en el router C.10. interfaz S0/1.168.11. el efecto es similar pero su funcionamiento se diferencia.3.0/24 desea denegar el tráfico Telnet y FTP desde la red once a la red 192.17. pero el administrador no controla R3.10 access-list 1 deny 172.0. que el tráfico no deseado atraviese toda la red. La mejor solución es acercarse al origen y colocar una ACL extendida en la interfaz de entrada Fa0/2 de R1.255 access-list 1 permit any interface Serial 0/0/1 ip address 172. excepto la máquina 172. En la topología de la Figura 6: A. [4] Figura 6: Ubicación de un ACL estándar Las ACL al colocar en una interfaz se debe especificar si es en la entrada (in) o salida de la interfaz (out)[3].168. Si el tráfico va de X hacia Y. al número de Interfaces y por 2 dependiendo la dirección (in o out)[5].

0/24.0.10 access-list 102 deny ip 172. TCP.16.3.0.3.17.16. 23 ó telnet.10.3.10 access-list 102 deny ip 172.10 access-list 102 deny ip 172.3.0 0. • • El “operador” puede ser: eq (igual).17.255 host 172.17. https ó 443.0.255. lt (menor a) El “operando” puede ser un número de puerto o servicio TCP/IP ( TCP: 21 ó ftp. otros (irc ó 194.0.0.10 eq www interface FastEthernet0/0 ip address 172.17.0.17.0.access-list (número) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino) [(operador) (operando)] Donde: • El “protocolo” puede ser (entre otros) IP (todo tráfico de tipo TCP/IP).3. www ú 80. bootpc cliente ó 68.17.16.10 host 172.17. rip ó 520.1 255.16.255.3. Denegar todo lo demás.0.0 ip access-group 102 in Configuración incorrecta: access-list 102 permit ip host 172.16. algo no deseado. 69 ó tftp.0 0.3.0.10 access-list 102 permit ip any any interface FastEthernet 0/0 ip address 172. pop3 ó 110) ( UDP: 53 ó dns.3.17.10 access-list 101 permit tcp any host 172.0.10 que debe permitir el tráfico solo al servidor 172.0. VoIP ó 2000) Ejemplo 2: ACL extendida Ampliar el filtrado del ejemplo 1: Bloquear toda la subred 172.0.16.255 host 172.10 access-list 102 deny ip any any interface FastEthernet 0/0 ip address 172.3.0.1 255.3.0 ip access-group 102 in Esta versión de ACL permite.255 host 172.255. para todos.16. Configuración en la entrada de R1 access-list 101 permit icmp any host 72. gt (mayor a).3.1 255.17.255.161 ó snmp.17.0.255.10 access-list 102 deny ip any any interface FastEthernet0/0 ip address 172.10 host 172. bootpc server ó 67).17.16.0 ip access-group 101 in Se encuentra por defecto la siguiente línea al final: access-list 101 deny ip any any . entre otras cosas: Ejemplo 3: ACL extendida Permitir tráfico HTTP y “ping” (ICMP) al servidor 172.UDP.3.17.255.10 Configuración en la entrada de R1 access-list 102 permit ip host 172.0.10 host 172. configuración correcta: Configuración en la entrada R1 access-list 102 permit ip host 172.0.255.16.255.0 ip access-group 102 in Impacto en el cambio de una palabra del ACL Del ejemplo anterior. excepto la máquina 172.0.0. neq (desigual). 25 ó smtp.16.1 255. ICMP.

2.1.168.0 y wild-mask 0. • Aplicar ACL a interfaces para el tráfico entrante y saliente.0.0 y si queremos especificar toda la red clase C correspondiente lo hacemos con 192. formada por un router. Para la creación de ACL estándar en importante: • Seleccionar y ordenar lógicamente las ACL.0. Se aplican a los interfaces con: Router (config-if)# ip access-group numACL in|out • In: tráfico a filtrar que ENTRA por la interfaz del router • out : tráfico a filtrar que SALE por la interfaz del router. Por ejemplo.1 especifico: 192. • wild-mask: indica con 0 el bit a evaluar y con 1 indica que el bit correspondiente se ignora.168.0 Si queremos eliminar una ACL: Router0(config)# no access-list Para mostrar las ACL: Router0# show access-list Standard IP access list 1 deny host 192. • Asignar un número exclusivo para cada ACL.2 permit any Recordar que para salir del modo de configuración global (config) hay que escribir 'exit'. Ejemplo 1 Supongamos que queremos crear en un Router0 una ACL con el número 1 (numACL) que deniegue el host 192. cada uno de ellos en una subred.168.0. Desde configuración global: Router0(config)# access-list 1 deny 192.1. dos switch y 2PCs.0.255.168.1 con wild-mask 0. si queremos indicar un único host 192. Trabajaremos desde el modo de configuración global: (config)# Hay dos tipos de ACL y utilizan una numeración para identificarse: • ACL estándar: del 1 al 99 • ACL extendida: del 100 al 199 ACLs estándar: sintaxis Las ACL estándar en un router Cisco siempre se crean primero y luego se asignan a una interfaz.2 0.1.168.0.1. Tienen la configuración siguiente: Router(config)# access-list numACL permit|deny origen [wild-mask] El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99.1.168.0.1.Creación de ACL Utilizamos la herramienta de simulación Packet Tracer y una topología de red muy sencilla. . • Seleccionar los protocolos IP que se deben verificar.

La primera cuestión que se plantea es ¿dónde instalar la ACL? ¿en qué router? ¿en qué interfaz de ese router?.255 Router0(config)#interface S0/0/0 Router0(config-if)#ip access-group 1 out Ahora borramos la ACL anterior y vamos a definir una ACL estándar que deniegue un host concreto.0 0. Al final de la sentencia de la ACL extendida se puede especificar. ICMP. Router0(config)#no access-list 1 Router0(config)#access-list 1 deny 192.1.0.168. Las ACLs extendidas usan un número dentro del intervalo del 100 al 199.1.168.Ahora hay que utilizar el comando de configuración de interfaz para seleccionar una interfaz a la que aplicarle la ACL: Router0(config)# interface FastEthernet 0/0 Por último utilizamos el comando de configuración de interfaz ip access-group para activar la ACL actual en la interfaz como filtro de salida: Router0(config-if)# ip access-group 1 out Ejemplo 2 Tenemos la siguiente topología de red. Pero la regla siempre es instalar la ACL lo más cerca posible del destino.0. el Router0.1. UDP.168. Vamos a definir una ACL estándar que permita el trafico de salida de la red 192.168.0 Router0(config) #access-list 1 permit 192.0.0/24.0.0 0. En este caso no habría problema porque solo tenemos un router.0.255 Router0(config)#interface S0/0/0 Router0(config-if)#ip access-group 1 out ACLs extendidas Las ACL extendidas filtran paquetes IP según: • Direcciones IP de origen y destino • Puertos TCP y UDP de origen y destino • Tipo de protocolo (IP. opcionalmente. el número de puerto de protocolo TCP o UDP para el que se aplica la sentencia: • 20 y 21: datos y programa FTP • 23: Telnet • 25: SMTP • 53: DNS • 69: TFTP .0. TCP o número de puerto de protocolo).1. Router0#configure terminal Router0(config)#access-list 1 permit 192.10 0.

1. o Se puede nombrar o numerar un protocolo IP. o Respecto a los protocolos: o Sólo se puede especificar una ACL por protocolo y por interfaz. • ACL extendidas lo más cerca posible del origen del tráfico denegado. GRE.168. Router0(config)# access-list 101 deny tcp 192. El tráfico que será denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino.0 0. Asociar ACL a interfaz.1.0.0. TCP.168. sintaxis: Router(config-if)# ip access-group num_ACL {in | out} Ejemplo 1 En el esquema anterior.0 0. UDP.0 0. o Si ACL es entrante.0. o Si ACL es saliente.255 eq 20 Router(config)# access-list 101 permit ip any any Router(config)# interface F0/1 Router0(config-if)#ip access-group 101 in Ejemplo 2 En el esquema anterior.2.0. ICMP.0 0.255 192. se comprueba al recibir el paquete.255 192.168.0.Definir ACL extendida.255 any eq 23 Router(config)# access-list 101 permit ip any any Router(config)# interface F0/0 Router0(config-if)#ip access-group 101 out Ubicación de las ACLs Es muy importante el lugar donde se ubique una ACL ya que influye en la reducción del tráfico innecesario.0.0. La regla es colocar las: • ACL estándar lo más cerca posible del destino (no especifican direcciones destino). sintaxis: Router(config)# access-list numACL {permit|deny} protocolo fuente [mascara-fuente destino mascara-destino operador operando] [established] • numACL: Identifica número de lista de acceso utilizando un número dentro del intervalo 100-199 • protocolo: IP. Así el tráfico no deseado se filtra sin atravesar la infraestrucra de red . gt. se comprueba después de recibir y enrutar el paquete a la interfaz saliente.168.1. IGRP • fuente | destino: Identificadores de direcciones origen y destino • mascara-fuente | mascara-destino: Máscaras de wildcard • operador: lt. eq.2.168.0.1.0 0.168. neq • operando: número de puerto • established: permite que pase el tráfico TCP si el paquete utiliza una conexión establecida. denegar solo telnet a la subred 192.255 eq 21 Router0(config)# access-list 101 deny tcp 192.0. Router0(config)# access-list 101 deny tcp 192.0. denegar FTP entre las subredes y permitir todo lo demás.0.

El proceso de creación de una ACL se lleva a cabo creando la lista y posteriormente asociándola a una interfaz entrante o saliente.0 0.0.1.0 (coincidencia de todos los bits). Puerto opcional) puede ser por ejemplo: lt (menor que). Posteriormente se asocio la ACL a la interfaz Serial 0. .0. UDP. Las 0 indican las posiciones que deben coincidir. Permit|deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección especificada.0 y luego se ha permitido a cualquier origen. Ejemplo de una ACL estándar denegando una red: Router#configure terminal Router(config)#access-list 10 deny 192.0. Dirección de origen identifica la dirección IP de origen. Configuración de ACL estándar Router(config)#access-list[1-99][permit|deny][dirección de origen][mascara comodín] Donde: 1-99 Identifica el rango y la lista. In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida. ICMP Dirección origen y destino: identifican direcciones IP de origen y destino.168. La mascara predeterminada es 0. o neq (distinto que) y un número de puerto de protocolo correspondiente. Mascara wildcard origen y mascara destino : Son las mascaras comodín. gt (mayor que).0 Router(config)#access-list 10 permit any Router(config)#interface serial 0 Router(config-if)#ip access-group 10 in Se ha denegado al host 192.1. Protocolo: como por ejemplo IP.0. TCP. y los 1 las “que no importan”. eq (igual a).168. Configuración de ACL extendida El proceso de configuración de una ACL IP extendida es el siguiente: Router(config)#access-list[100-199][permit|deny][protocol][dirección de origen] [mascara comodín][dirección de destino][mascara de destino][puerto] [establisehed][log] 100-199 identifica el rango y número de lista Permit|deny: indica si la entrada permitirá o bloqueara la dirección especificada. Mascara comodín o wildcard identifica los bits del campo de la dirección que serán comprobados. Asociación de la lista a una interfaz Router(config-if)#ip access-group[nº de lista de acceso][in|out] Donde: Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.

1 any eq 80 Router(config)#access-list 120 permit ip any any Router(config)#interface serial 1 Router(config-if)#ip access-group 120 in Se ha denegado al host 204.204.1.10. Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red: Router(config)#access-list 120 deny tcp host 204. El modo de asociar la ACL a la Línea de telnet es el siguiente: router(config)#line vty 0 4 router(config-line)#access-class[Nº de lista de acceso][in|out] Como eliminar las listas de acceso Desde el modo interfaz donde se aplico la lista: Router(config-if)#no ip access-group[Nº de lista de acceso] Desde el modo global elimine la ACL router(config)#no access-list[Nº de lista de acceso] . (identificándolo con la abreviatura “host”) hacia el puerto 80 de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP.Establisehed: (opcional) Se usa solo para TCP de entrada. Algunos de los números de puertos más conocidos: 20 Datos del protocolo FTP 21 FTP 23 Telnet 25 SMTP 69 TFTP 53 DNS Asociación de la lista a una interfaz Router(config-if)#ip access-group[nº de lista de acceso][in|out] Donde: Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.204. Aplicación de una ACL a la linea de telnet Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una lista de acceso estándar y asociarla a la Line VTY.10. Esta ACL se asocio a la interfaz Serial 1 como entrante. Esto permite que él rafico TCP pase si el paquete utiliza una conexión ya establecida (por ejemplo posee un conjunto de bits ACK) Log: (opcional) Envía un mensaje de registro a la consola a un servidor syslog determinado. El proceso de creación se lleva a cabo como una ACL estándar denegando o permitiendo un origen hacia esa interfaz. In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.

Hay pequeños cambios respecto a la topología anterior: agregué un switch y un pc a la red del router2.0. recordemos la topología de ejemplo.1 que provengan de cualquier host de la red (incluso de los invitados). www.0.1.com a la dirección 172. .¿Cómo configurar ACLs?: problema/ejercicio completo con ACLs extendidas En ésta entrada.0.0. ahora vamos a hacer el mismo ejercicio usando listas extendidas.18.0/12. es decir que de las redes del Router4 y Router2 deben poder acceder a la web interna. una red de servidores (sólo uno) y finalmente simulamos el acceso a internet con la red del extremo derecho superior.1. El servidor es de la intranet . cambié el PC que simula internet por un servidor y agregué a la configuración unas entradas de DNS. Si algo de lo mencionado no está claro.com a la dirección del servidor mismo.2 e intranet. una para resolver example.com a la 172.0/24 y un servidor de Intranet en la ip 10. dns y tftp .16. Para retomar el ejercicio. Disfrútenlo. Hay que configurar el dns para que resuelva las peticiones a example. Política de seguridad de ejemplo La política que vamos a usar es la misma del ejercicio anterior. por favor consulte entradas anteriores que he escrito sobre subredes.0.1. Existen dos redes LAN que son las redes de los extremos. En el servidor funcionan los servicios usuales: www. continúo con el ejemplo de uso de ACLs en un ejercicio completo con visos de realismo.0. Para hacer éste ejercicio use la topología sugerida en esta entrada. enrutamiento y la serie sobre ACLs. losenlaces dentro del espacio 10.example.5.com a la ip 172.18. Tenemos una topología en la cual los hosts pertenecen a subredes dentro del espacio 172. una red de invitados que es la segunda red de izquierda a derecha del diagrama.18. 1. la vez pasada configuramos una red con ciertas políticas de seguridad usando sólo ACLs estándar. impuesta por un “superior” administrativo.

Los PCs internos (excepto los invitados) pueden acceder mutuamente a sus recursos y a los enrutadores. aparte de permitir más granularidad a la hora de definir los criterios de selección de tráfico.19. por lo tanto para poder hacer operaciones con dominios (como ping example.3 any Router4 . Ahora vamos a intentar poner ésta política en términos de ACLs extendidas.5 eq www • access-list 102 deny host 172. mejor aún. una es que la carga de procesamiento queda en un solo dispositivo y otra razón es que una distribución eficiente de las listas de acceso ayuda a evitar tráfico innecesario. No sobra repetirlo: asegúrese que tiene copia de seguridad de la configuración inicial para evitar que si se cae todo y los nervios nos limitan la capacidad de respuesta. no se puede permitir sólo el tráfico de DNS la red de invitados hacia el servidor. no al servidor ni a las redes internas (las de Router4.0 0.255. el resto no. Ya con la experiencia de la entrada anterior.0. usualmente podemos configurar con listas extendidas todo en un sólo enrutador. Cualquier tráfico no contemplado debe ser bloqueado. es decir. De la entrada anterior deducimos que hay ciertos objetivos que no se pueden lograr con ACLs estándar.0. por ejemplo. deben detectar y corregir.0. como las listas de acceso terminan por defecto con un deny any. El PC 5 no puede acceder a ningún enrutador por ningún medio. Así podemos resolver sin presiones el problema o. recuerden que éste es un ejercicio y la ACL final va a tener defectos que uds.0. Eso hay que verlo haciendo el ejercicio de la entrada anterior.0. sólo quienes tengan direcciones IP impar pueden acceder a Internet. Recuerde que las listas de acceso extendidas se instalan de entrada en el enrutador más cercano al origen del tráfico.0.0 0.255 host 10. por ejemplo. es probable que tráfico necesario. pero la razón del “bloqueo” es que el enrutamiento se cayó totalmente. por lo tanto sólo pueden acceder a Internet.0 0. 5. La lista inicial quedaría así: Router2 • access-list 101 permit ip 172. De los PCs de las redes internas. nos resulte difícil deducir ese resultado inesperado o peor aún.0.18. que verifiquemos que se haya bloqueado el tráfico que queríamos bloquear y quedemos convencidos de que sí se logró el objetivo (por no verificar el tráfico permitido). después de que ocuparon ancho de banda en la red y procesamiento en los enrutadores y dispositivos intermedios.0. configurar todo en un solo enrutador no es eficiente por varias razones. recuerde también que ésto último no se puede hacer con listas estándar porque ellas se tienen que instalar lo más cerca al destino.255. son mucho más flexibles para su implementación.1 0. por lo tanto el tráfico que queríamos bloquear ya no pasa pero tampoco pasará ningún otro.19. simularlo. 6.0.255 172.255.16.0. De todos modos. mientras que con listas estándar esa opción no suele estar disponible. como nuestro foco de atención son las políticas de seguridad. Los PCs de la red del enrutador Router1 son invitados. sabemos que hay otros requerimientos implícitos que hay que considerar antes de implementar.com). 4. se pueda restaurar el estado de operación inicial de la red con sólo restaurar la configuración y reiniciar algún equipo.1). Configuración con listas extendidas Una ventaja de las listas extendidas es que.255. eso evita que el enrutador haga búsquedas en la tabla de enrutamiento para los paquetes bloqueados y evita que el tráfico no permitido cruce la red innecesariamente. por ejemplo.19.2.254 any • access-list 101 deny tcp host 172.19.com se debe resolver el dominio a una dirección IP y eso es un tráfico intermedio de DNS desde la estación al servidor (quien resuelve la petición con la dirección 172.3 any eq 23 • access-list 101 permit ip 172.19. sea bloqueado por defecto y.255 • access-list 101 permit tcp 172. antes de hacer ping entre la estación yexample. Router2 ni a los enrutadores mismos).0. como las actualizaciones de enrutamiento entre los enrutadores. lo cual es un requerimiento implícito: el servidor también es responsable por DNS.0.0. 3.

si una regla corresponde con cierto tráfico que se incluye en otra regla.255 host 10.255 Esta regla incluye el tráfico permitido con la regla anterior.1.255 • access-list 101 deny ip 172.1. Finalmente.255 eq 53 Que se instala en el router1 corresponde con el tráfico proveniente de la red 172.16.0. el tráfico de DNS proveniente de la red de invitados entra al servidor.16.17.0.0.0.17.17. por lo tanto. el permit deja pasar ese tráfico. Ponerlas en el orden inverso implicaría que siempre se denegaría el tráfico de la red 172.0.0 0.255.255. Bueno. la lista de router2 la instalaría en la interfaz fa0/0 de entrada. Para que las listas de acceso extendidas sean eficientes.0.0.0.16.255 • access-list 101 deny ip 172.0 0.0 0.0.0. de tal manera que el tráfico bloqueado ni siquiera implique enrutar esos paquetes en ese enrutador.1.0. Así que también falta una regla que permita el tráfico de DNS en ésta lista. Instalando la ACL del router2 vemos el primer problema: el tráfico de telnet desde la IP 172.0.0 0. porque una regla permite cualquier tráfico desde ese PC hacia cualquier destino.255 • access-list 101 permit udp 172.17.255.3 que pensamos que ibamos a bloquear pasa por la primera regla (permitir IP impar concualquier destino).0 0.0.com pero para observar los detalles que nos pueden engañar.0 0.0 0.255 172. se deben instalar de entrada lo más cerca posible del origen del tráfico a bloquear.0 0. es una lista especial que usaremos para bloquear el acceso por telnet a este enrutador y en éste mismo bloqueamos el acceso por telnet a los otros.0.19.17.0. ya creo que queda claro lo que hay que hacer: comprobar exhaustivamente qué tráfico quedó permitido y qué tráfico bloqueado .0 0. diferente del comando access-group <N> in de las interfaces ordinarias.0.255.3 sí pasará.0.0.0.0 que va hacia el servidor por UDP en el puerto 53.0 0.17.19. lo cual comprueba el resto de la ACL. porque después de ejecutar la regla general de denegación (puesta antes de la específica) terminaría la ejecución de la lista de acceso (cuando se encuentra una correspondencia se aplica la acción y se deja de ejecutar la lista. Un buen ejemplo de lista de • • • .255. la lista estándar se instala en la vty (acceso por telnet/ssh) del enrutador correspondiente con el comando access-class <N> in. También hay que tener en cuenta que el orden de la lista tiene un efecto importantísimo en el filtrado de tráfico.255 172.1.255. el archivo que dejo a disposición es un archivo de Packet Tracer con la topología propuesta y está configurada con conectividad total entre todas las estaciones. De esta instalación se deduce que todas las listas estarán en las interfaces de lan de los enrutadores correspondientes en la dirección de entrada.255 10.255.com desde cualquiera de los PCs de la red de router2 hacia cualquier destino el ping es exitoso.access-list 101 permit ip 172. La tarea que les sugiero es que intenten instalando la lista actual y encontrar los defectos (tiene muchos) luego usen la lista de acceso resuelta que también dejaré adjunta a la entrada.1.17.0.0.17. Si hacemos ping example.0.0.0 0.0 0.255 172. no se examinan más cláusulas).0.0. si se dió cuenta del problema pasó la primera prueba.0.0 0.0.0 0.0.0.19.0.255.16.255.0 0.0.1. la lista no permite dns y por lo tanto nunca se sabrá la IP de example.0.17. por ejemplo la regla • access-list 101 permit udp 172. La lista estándar que se ve en router2.0.5 eq www Router1 • access-list 101 deny ip 172. por lo tanto debe ir antes en el listado.254 any access-list 101 permit ip 172.1.1 0. la más específica debería ir primero.255.255.0.1.0.19.0.0.255 access-list 101 permit tcp 172. en otras palabras.0.255 eq 53 • access-list 101 permit ip 172.0. la primera regla es más específica que la segunda.255 10. ¿cierto? Pues no. Hacer el ejercicio Obviamente el ejercicio ya está resuelto. Si yo incluyo una regla para denegar el resto del tráfico proveniente de la red de invitados hacia el servidor de esta manera: • access-list 101 deny ip 172.255 any Router0 • No hay ACLs porque las políticas se cumplen en cada enrutador.255 10.255.0 incluso el tráfico de DNS. la política de seguridad estará en uso. una vez que se instalen las listas de acceso en las interfaces correctas.0 0.0.255. si probamos la lista en el PC 172.255 10.

. Lo anterior es una de las razones por las que el currículo de Cisco insiste en la documentación: hay que planificar concienzudamente lo que se desea y verificar exhaustivamente su cumplimiento . Conclusiones Las ACLs son complicadas porque no estamos acostumbrados a pensar en términos de clasificación de tráfico y a veces la comprobación debe ser muy minuciosa para poder determinar que todos los objetivos quedaron incluidos. sin embargo habría que agregarle una regla que permita el acceso por telnet al enrutador. Recuerde: las listas extendidas se deben instalar (excepto cuando definitivamente no es posible) de entrada en las interfaces más cercanas al origen del tráfico con el comando de modo de interfaz ip access-group <N> in. Los dejo con los archivos prometidos y les ruego paciencia ya que no he podido volver a escribir regularmente con éste nivel de detalle (y creo que cada vez va a ser más difícil).acceso bien aplicada es la que se aplica en el router2: sólo permite lo que debe permitir y bloquea cualquier otra cosa. para bloquear el tráfico de una vty se usa el comando access-class <N> in.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->