Listasdeacceso

Introduccin
Laslistasdeacceso,tambinllamadaslistasdecontroldeacceso(ACL,AccessControlLists),constituyenlosmecanismos principalesdefiltradodepaqueteenlamayorpartedelosenrutadoresdeCisco.Asimismo,lasACLseutilizanpara otra serie de funciones, incluyendo el filtrado de ruta y la utilizacin de determinados comandos show. Por ello, resulta necesario tener un slido conocimiento sobre las ACL para poder resolver cualquier clase de problemas y configurar los equipos de Cisco en la mayora de las redes. Las ACL permiten controlar qu clase de coincidencia efectaunenrutadorenrelacinconunadeterminadafuncin,comoelenvodepaquetes. Porejemplo,sinoexisteunaformadeespecificardeformacondicionalqupaquetespuedenenviarsedeuna redaotra(comoeselcasodeInternet),elusuariotendrqueautorizarelenvodetodoslospaquetes(locualhace que la red en cuestin sea un objetivo sencillo para los hockers), o bien denegar todos los paquetes (lo que hara imposiblelaconectividad).Elcontrolgeneralatravsdelfiltradodepaqueteconstituyeunafuncinprimariadelas ACL.Sin embargo,las ACL sepuedenutilizar concomandosmscomplejos(comolosmapasderutaolaslistasde distribucin), lo que proporciona un grado de control muy preciso sobre la funcionalidad del enrutador. En resumidas cuentas, siempre que sea preciso utilizar alguna clase de coincidencia condicional, las ACL suelen ser la herramientaaelegir. En el presente escrito se analizarn las caractersticas de las ACL, explicando fundamentalmente su propsito principal:elfiltradodepaquetes.Aunquetodoslosconceptosqueseestudianaqutambinseaplicanalrestodelos comandosqueutilizanlasACL,enelpresenteescritonoseconsiderarnlascaractersticasdedichoscomandos(en este sentido, si el lector desea consultar ejemplos de listas de distribucin ACL en protocolos de enrutamiento, se recomiendaconsultarloscaptulosquevandel22al26delManualdereferenciadeCISCO).Porotraparte,como para comprender el funcionamiento de las ACL es preciso conocer todas las cuestiones relacionadas con su configuracin,alolargodelpresenteescritoseexaminanlaresolucindeproblemasylaconfiguracindelasACLen lugardeanalizarlasenapartadosdistintos.Finalmente,comoTCP/IPconstituyeeltemafundamentaldelpresente libro,elfiltradodepaqueteIPXnoseanalizaaqu.

Comprenderelfiltradodepaquetes
Los objetivos bsicos del filtrado de paquete resultan muy sencillos. Supongamos que se desea que una red remota(generalmente, una red pblicacomo Internet) acceda exclusivamente arecursos especficos situados en una red privada, al tiempo que se autoriza el acceso de la red privada a la red remota. Parece simple, verdad? Desafortunadamente, es ms fcil decirlo que hacerlo. Para ver por qu, conviene observar la situacin que se ilustraenlailustracinNo.1,dondesepretendeefectuarunfiltradodepaquete.

Ilustracin1:Redsimplenosegura

La redque seilustra enlafigura no est utilizandola traduccin de direccionesdered(NAT,NetworkAddress Trasslation), sino que simplemente gestiona direcciones IP pblicas para las dos estaciones de trabajo, proporcionndolesaccesoaInternet.Elproblemaquepresentaesteesquemaesque,sinfiltradodepaquete,cada servidordelaredprivadapuedecomunicarseconInternetlibremente,yviceversa.Suponiendoquelainformacin bancada online del usuario est colocada en una unidad compartida situada en el servidor 64.1.1.69, la nica proteccinquerecibeelservidorantelaaparicindeintrusoseselsistemadeseguridaddelsistemaoperativo,que habitualmenteresultaaltamentesospechoso. Antesdeaprenderaresolveresteproblemaconvieneexaminarelsignificadodealgunosdelosnuevostrminos asociadosconlaNATyelfiltradodepaquete.Laredinternaeslaredquesedeseaprotegerdeunaccesorealizado desdeelexterior.Laredexternaeslaredremota.Lainterfazinternaeslainterfazdeenrutadorvinculadaalared interna. La interfaz externa es la interfaz vinculada a la red externa. Finalmente, cuando se trabaja con filtros es precisocomprenderelconceptodedireccin(osentidodelflujo):eltipodetrfico,entranteosaliente,alquese aplicaelfiltro. Siladireccinesentrante,elfiltroseaplicaaltrficointroduciendolainterfazdesdelaredvinculada.Enelcaso de una interfaz interna, el trfico entrante no es otra cosa que el trfico que introduce la interfaz desde la red interna.Siestetrficoseenrulahacialaredexterna,tendraqueconsiderarsetrficosalienteenlainterfazexterna. Siladireccinessaliente,elfiltroseaplicaaltrficoqueabandonalainterfazenlaredvinculada.Enelcasode unainterfazinternasetratadetrficoenviadodesdelainterfazinternaalaredinterna.Siestetrficoseenrula desdelaredexterna,tambinsedebeconsiderartrficoentranteenlainterfazexterna. Acontinuacinseresolvernlascuestionessuscitadasenelejemploanterior.Parasolucionarelproblemadel accesolibrealosrecursosinternossepuedeutilizarelfiltradodepaqueteenelenrutadorparadenegarelaccesoa la red interna desde Internet. Por ejemplo, es posible eliminar todo el acceso a la red interna desde Internet, de formaquesepuedeoptarporutilizarunfiltradodepaquetequerechacetodoslospaquetesdestinadosalared interna. Para ello habra que utilizar un filtro de paquete que ejecutara la funcin denegar todoo denegar paquetesconunadireccindedestinode64.1.1.64a71.Posteriormente,habraqueaplicarelfiltradodepaquete a los paquetes entrantes en la interfaz externa (64.1.1.2/24) o a los paquetes salientes en la interfaz interna (64.1.1.6.5/29). Parece que el problema se ha resuelto... Desafortunadamente, an no es as. Este filtro de paquete no slo rechazara el acceso no autorizado (correctamente) desde el mundo exterior, sino que tambin denegara los paquetes de retorno procedentes de los anfitriones internos a Internet. En otras palabras, cuando se enva un paqueteawivw.cwco.comdesdeelservidor64.1.1.69,lospaquetesdeestablecimientodeconexinTCPdeberan abandonar la red privada libremente dirigindose a Internet, pero cuando el servidor web situado en Cisco responda,elfiltrodeberadescartarlospaquetes!Obviamente,nosetratadeunasolucinadecuada,asquehay quevolveralamesadetrabajo. Unaposiblesolucinaesteproblemaconsisteenautorizarlaexistenciadepaquetesqueutilicennmerosde puerto de cliente para entrar en la red privada. Habitualmente, los clientes utilizaran puertos considerados exclusivamentecomodinmicosyprivadosporlaIANA,queincluyetodoslospuertossituadosentre49.192y 65.535. Sin embargo, muchos clientes tambin utilizaran puertos comprendidos en un rango que va de 1.024 a 49.191 (definidos por la IANA como registrados). Esto conduce a una serie de problemas a la hora de filtrar paquetes, ya que si simplemente se rechaza cada paquete que tiene un nmero de puerto inferior a 49.192, se acabarapordenegareltrficoderetornolegtimotantoalosclientescomoaltrficodecarctersospechoso. Asqueporqunoautorizarquetodoeltrficoutiliceunpuertodedestinosituadoporencimade1023?La respuestaessencilla:porquevariasaplicacionesdeservidordeusocomn,muchasdelascualesnodeberanresultar accesiblesdesdeservidoresexternos,utilizanpuertossituadoseneserango(comoeselcasodelservidordecatlogo globaldeMicrosoftenelDirectorioActivosituadoenlospuertos3268/3269yelservidorSNAdeMicrosoftsituado en1477y1478). Nota: Sisedeseaobtenerunlistadocompletodelosnmerosdepuertoregistradosyconocidos,hayque visitarladireccinhttp://www.iana.org/assignments/portnumbers.htm. Lasolucinmsfcilparaestepequeoproblemaconsisteenadmitirexclusivamenteeltrficode conexiones establecidas. Mediante esta accin cabe indicar al enrutador que admita la llegada de paquetes de retorno procedentes de cualquier servidor externo, posibilitando su entrada en la red privada. De esta manera, mientras la sesin TCP con el servidor remoto siga en activo, el enrutador autorizarquelospaquetesentrenenlaredprivada. Elfiltradodepaqueteestablecidofuncionadelamanerasiguiente:

1.Seconfiguraunfiltroestablecidoenlainterfazexternaparalospaquetesentrantesqueafirme bsicamente:Admitirtodaslasconexionesestablecidas. 2. Se envaun paquete aun servidor remoto. Puestoque el filtro de paquete est configurado para comprobar los paquetes entrantes exclusivamente en la interfaz externa, todos los paquetes procedentesdelaredinternaquevanaInternetquedanautorizadosautomticamente. 3.Elservidorremotoresponde.stedebetenerlosbitsACKoRSTconfiguradosenelpaquetede respuesta.Elfiltroestablecidoautorizatodoslospaquetesprocedentesdelaredexternaconestosbits configuradosenposicindeentrada. Obviamente,lafuncionalidaddescritaenelpaso3dejaunpequeoagujeroenloquerespectaala seguridaddelared.Porejemplo,unhackeravispadopodraconfigurarmanualmenteelbitACKenun paqueteTCPeintroducirlaredinterna.Porestarazn,losmecanismosdeCiscotambinadmitenun tipoespecialdefiltrodepaquete,conocidocomoACLreflexiva.UnaACLreflexivacreadinmicamente entradasdefiltrodepaqueteparaaspoderautorizarelaccesohaciaydesdeelservidor,ascomoel destinoparaelquesehaestablecidolasesin.LasACLreflexivasfuncionandelamanerasiguiente: 1. Se configura el filtro reflexivo en la interfaz externa para los paquetes entrantes, que afirme: Autorizartodaslasconexionesestablecidas. 2. Se enva un paquete al servidor remoto usando una IP de origen especfica (por ejemplo, 64.1.1.69),unpuertodeorigenespecfico(porejemplo,50.000),undestinoIPespecfico(comopodra ser71.100.1.1)yunpuertodedestinoespecfico(porejemplo,80paraHTTP).LaACLreflexivacons truyeunfiltrodepaquetedinmicoparaautorizartodaslasrespuestasclonadasdesdelaredexterna paraentrarenlaredinternahastaquehayacaducadoeltiempolmiteohastaqueelbitFINaparezca enlasesin.En'estecaso,laACLreflexivacrearaunaentradaquediralosiguiente:Autorizartodos los paquetes procedentes de la direccin de origen 71.100.1.1 con un puerto de origen de 80 y un destinode64.1.1.69,conunpuertodedestinode50.000paraentrarenlaredinterna. 3.Elservidorremotorespondeyseenvaelpaquete. 4.Cuandoterminalasesin(apareceelbitFINocaducaeltiempolmite),seeliminaelfiltrode paquetedinmico. Nota En muchos servidores proxy/NAT, incluyendo el servidor ISA de Microsoft, las conexiones establecidas y las conexiones reflejadas se autorizan automticamente, mientras que el resto de los paquetesserechazancomoefectosecundariodelacreacindelatablaNAT/PAT.Aunquenosetrata tcnicamentedeunfiltradodepaquete,sufuncionamientoeselmismo. El filtrado reflexivo simplifica las cosas, facilitando la autorizacin eficaz del trfico interno para accederalaredexterna.Sinembargo,estaclasedefiltradotienedoscaractersticasquehayquetener encuenta: Elfiltradoreflexivonofuncionacontodaslasaplicaciones.Especficamente,aquellasaplicaciones que cambian los nmeros de puerto en el transcurso de la sesin (por ejemplo, FTP y RPC) deben autorizarseestticamente. Asimismo, se pueden utilizar filtros reflexivos para autorizar slo aquellos tipos especficos de trficoquevayanaemplearseparaaccederalaredexternadesdelaredinterna. A continuacin se examinar el primer punto. Ciertas aplicaciones cambian dinmicamente los puertos en el transcurso de una sesin. Dichas aplicaciones deben autorizarse para transmitir elementos (si se requiere) de forma esttica. Por ejemplo, FTP utiliza dos puertos, 20 y 21, en el transcursodelascomunicaciones.CuandoseestableceunaconexinFTPseutilizaelpuerto21para transferirelcontroldesesindeestiloTelnet.Sinembargo,cuandosecomienzaadescargarunarchi voseutilizaelpuerto20paralatransferencia.LasACLreflexivasnoconocenelpuertodetransferencia de archivo. Lo nico que conocen es el puerto utilizado inicialmente, por tanto la ACL bloqueara la transferenciaFTP.Lallamadadeprocedimientoremoto(RPC,RemoteProcedureCali],utilizadaporla mayorpartedelasaplicacionesdeservidordeMicrosoft,funcionademanerasimilar,peroaadeun elementodecomplejidadadicional.Traslaconexininicial,RPCescogeunpuertoalazaren1024para establecerunacomunicacin. Pararesolverlascuestionesrelacionadasconestostiposdeaplicacionesexistendosposibilidades:

 Cambiar a una solucin de cortafuegos ms slida que comprenda los detalles de nivel de aplicacin(eficaz,peroquizsmuycara). Catalogarestaclasedeaplicaciones,elpuertoutilizadoylospuertosabiertos. Nota: Algunassolucionesproxy/cortafuegosyaincluyenlamayoradelosfiltrosdeniveldeaplicacinque puedanresultarnecesarios.ElsoporteFTP,porejemplo,estdisponibleporomisinenlamayorade losproductoscomerciales. Puesto que la primera solucin escapa al marco planteado en el presente libro, se analizar la segunda. La forma ms sencilla de implementarla consiste en activar ACL reflexivas y luego verificar quaplicacionesnofuncionan.Coneltiempo,elusuariosabrquaplicacionespodrconsiderarcomo ACLestticasparaadaptarseprcticamenteatodaslassituaciones(comoFTP),pero,inicialmente,se explicar la forma ms rpida de comenzar. Una vez que se haya determinado cules son las aplicacionesquenotienensoportedelasACLreflexivas,sepuedenrastrearlospuertosutilizadospor estaaplicacinyconfigurarlasACLparatransmitirestetrficoespecfico.Porejemplo,paraquetodos losclientespuedanutilizarFTPhabraqueconfigurarunaACLestticaquedijeralosiguiente:Autori zartodoeltrficoconunpuertodeorigende20yunadireccindedestinoequivalenteatodaslas direccionespresentesenlaredinterna. En el caso de las aplicaciones que elijan puertos aleatorios, como es el caso de RPC, la solucin resulta algo ms compleja. Si la aplicacin slo utiliza un pequeo rango de puertos, simplemente habrqueabrirlospuertosendichorango.Sinembargo,silaaplicacinutilizaunextensorangode puertos (como RPC) el trabajo se complica. El primer paso consiste en obligar a la aplicacin a que utiliceunrangodepuertosmspequeo.As,porejemplo,enelcasodeRPC,sepuedemodificarel registro de Windows en los anfitriones (normalmente, servidores) que requieran conectividad RPC a travsdelcortafuegos.Unavezdefinidounrangopequeodepuertosaleatorios,parautilizarlosbasta con aadir una sentencia de ACL esttica que permita que dichos puertos se comuniquen con estos puertosespecficos. Porejemplo,sihaycincoservidoresenelrangodedireccionesIP70.1.1.5a70.1.1.9quenecesiten comunicarseutilizandoRBCconotroservidorenladireccinIP140.0.0.1,enprimerlugarhabraque obligaraque,entodoslosservidores,RPCutilizarapuertosdentrodeunrangodado,comopuedeser el comprendido entre 50.000 y 60.000. Luego habra que aadir una sentencia ACL en la interfaz externadelcortafuegosparalared70.1.1.0quedijeralosiguiente:Autorizarpaquetesentrantescon unadireccindeorigende140.0.0.1queusecualquiernmerodepuertoconunadireccindedestino en el rango comprendido entre 70.1.1.5 y 70.1.1.9, y con un puerto de destino en el rango situado entre50.000y60.000.Enelcortafuegoscorrespondientealared140.0.0.0simplementehabraque reflejarestasentencia. CONSEJO Si se desea consultar informacin detallada sobre cmo obligar a RPC para que utilice un rango especficodepuertosenlasplataformasdeservidordeMicrosoftenusohayqueconsultarelartculo Q154596:http://support.microsoft.com/default.aspx?scid=kb;ENUS;q154596. Sin embargo, en el caso del filtrado de paquetes se puede actuar de una forma ms compleja y elegirlaposibilidaddeautorizarexclusivamenteciertostiposdetrficodesdelosanfitrionesinternos para permitir que salgan a la red externa. Por ejemplo, suponiendo que slo se desea proporcionar accesoaInternetparanavegacinweb,peronosequierequelosusuariosempleenotrasaplicaciones estndardeInternet,comoFTP,TelnetySMTP,obiensinosedeseaquelosclientesinternostengan la capacidad de utilizar aplicaciones no admitidas (y que en ocasiones consumen un gran ancho de banda)comoeselcasodeQuakeoNapster,habraquecrearunaACLreflexivaquedigalosiguiente: Autorizarquelosanfitrionesinternosaccedanatodoslosanfitrionesexternosutilizandoelpuerto80 (HTTP)y443(HTTPS/SSL).PosteriormentehabraqueaplicarlaACLalainterfazdeenrutadorinterna paraeltrficoentrante. Consejo Porreglageneral,hayqueintentaraplicarelfiltradodepaquetetancercadelbordedelaredcomo seaposible.Asimismo,hayqueintentarfiltrareltrficocuandoseentraenunainterfaz(direccinde entrada) en lugar de hacerlo cuando se sale de ella (direccin de salida). Esta estrategia ayuda a conservar los recursos del enrutador, eliminando la necesidad de que ste efecte un proceso en el paqueteantesdearrojarloalcubodebits.

UsodelaNATylaPATconfiltradodepaquetes
Latraduccindedireccionesdered(NAT,NetwvorkAddressTranslation)puedesimplificarlavidadel programadorevitandoquetengaqueconcentrarseenlacuestindelaccesonoautorizadoaanfitriones situados en la red privada. Por definicin, la NAT y la traduccin de direcciones de puerto (PAT, Pon AddressTranslation)generantablasdetraduccindinmicamente(aunquetambincabelaposibilidad dedefinirentradasestticas)paraautorizaranfitrionesprocedentesdelmundoexternodemodoque entrenenlaredinterna.Asimismo,estasentradasdinmicassecreanslocuandounanfitrininterno necesitaaccederalmundoexterno.Siunanfitrinexternodeseacomunicarseconunanfitrininternoy elmecanismoNATnodisponedeunaentradaenlatabladetraduccinparaelanfitrindedestino,el paqueteserechaza.Porconsiguiente,comosisetrataradeunsubproductoNAT,losrecursosinternos yatienenunniveldeseguridadsimilaraldeunaACLreflexiva. Nota: Si desea conocer las caractersticas de la NAT puede consultar el Captulo 6 de CISCO, Manual de referencia Sienlaredinternaexistenanfitrionesquedebenresultaraccesiblesdesdeanfitrionessituadosenlared externa,comopuedeserelcasodeunservidorweb,bastaconagregarunaentradaestticaenlaNAT similar a la entrada que habitualmente se colocara en un filtro de paquete estndar, exceptuando el hechodequehayqueespecificarladireccinexternayelpuertoasociadoconelservidorweb,ascomo la direccin interna y el puerto asociado con dicho servidor. Por ejemplo, en la ilustracin No. 2 se muestralaredqueaparecaenlaIlustracinNo.1conlaincorporacindeldireccionamientoprivado destinadoalaredinterna(elenrutadorestejecutandolaNAT)yunservidorwebenlaredinterna.En estecasohabraqueestipularquetodoeltrficoexternoestuvieraautorizadoparaaccederalservidor web,perosloenloquerespectaaHTTP(nosedebeautorizarelaccesoalservidorwebutilizandocual quierotroprotocolo).Asimismo,habraquepermitirquelosclientesinternosaccedieranalosrecursos externos,perosloenloquerespectaaFTP,HTTP,HTTPS,POP3ySMTP.Elrestodelascomunicaciones quedarandenegadas.

Ilustracin2:EjemploderedconinclusinNATyunservidorweb

 A continuacin se incluye un listado de los filtros de interfaz internacorrespondientes a la ilustracin No.2(enlalocalizacinmarcadaconun1): 1. FiltrosdeinterfazinternacorrespondientesalailustracinNo2

Para albergar estos requerimientos hay que crear una sentencia NAT que autorice que todas las direcciones pblicas se usen para una traduccin dinmica. Luego habra que agregar una traduccin esttica (conocida como correspondencia esttica) que asociara a 64.1.1.2, puerto 80, con 192.168.1.100,puerto80.DebidoalanaturalezadelaNAT,estasdosaccionesrechazanqueeltrfico entreenlaredinternadesdeunanfitrinremotoquenoseiniciemedianteunanfitrininternooque estdestinadoalHTTPenelservidorweb. A continuacin, para evitar que los anfitriones internos utilicen protocolos distintos de FTP (20, 21), HTTP(80),HTTPS(443),POP3(110)ySMTP(25)bastaconaplicarunfiltrodepaquetealtrficoentrante enlainterfazinternaquesealelosiguiente: Autorizareltrficodesdecualquieranfitrininternoutilizandocualquierpuertodeorigen destinadoacualquieranfitrinexterno,utilizandolospuertosdedestino20,21.80,443,110O o25. Autorizareltrficodesde192.168.1.100utilizandoelpuertodeorigen80paracualquier direccindedestinoypuerto. Rechazareltrficorestante. Como es lgico, una vez efectuados todos estos pasos para proteger la red, probablemente el lector puededarsecuentadequesigueexistiendounelementovulnerable:elpropiocortafuegos.Siunhacker tuviera la intencin de comprometer el cortafuegos, el resto de las configuraciones de seguridad tambinquedarancomprometidas.Paratratardeevitarestedesastrepotencialesprecisodesactivar todoslosserviciosnecesariosenelenrutador,efectuandounfiltradodepaquete/NAT.Enunasituacin de cortafuegos individual o nico, si el cortafuegos est efectuando una PAT, es preciso ser particularmentecuidadosoenloquerespectaalfiltradodepaqueteenlainterfazexterna.Poromisin, en un enrutador de Cisco, la PAT (tambin conocida como sobrecarga NAT) intenta asignar el mismo nmerodepuertoalospaquetestraducidos.Enotraspalabras,siunanfitrininternoestintentando comunicarseconunanfitrinexternoutilizandounpuertodeorigende12.000,laNATintentautilizarel mismopuertoparaladireccintraducida. Sin embargo, como es posible que el puerto de origen se haya elegido anteriormente (otro anfitrin internopuedeestarutilizando12.000comopuertodeorigen),esposiblequelaNATtengaqueasignar un nmero de puerto diferente. Cuando la NAT tiene que cambiar el puerto de una sesin, asigna aleatoriamente un puerto no utilizado a la comunicacin desde uno de los tres rangos de puerto

siguientes:1511,5121023y102465535.LaNATsiempreasignaunpuertoalpaquetetraducido,que estarenelmismorangoqueelpuertodepretraduccin. Porejemplo,sielclienteutilizoriginalmenteelpuerto443,laNATelegiraunpuertosituadoentre1y 511paralatraduccindepaquetes,dandoporsupuestoqueyasehautilizadoelpuerto443.Puesto que el puerto que la NAT elige para una conexin de cliente particular no se puede predecir, la posibilidadderealizarunfiltradodepaqueteenlainterfazexternaresultalimitada.Porestarazn,es preciso considerar cuidadosamente el filtrado de paquete correspondiente a la nterfaz externa del enrutadorantesdeimplementarlaNAT. Nota: LaconfiguracindelaNATenunenrutadordeCiscoescapaalmarcopropuestoporelpresentelibro. Para obtener ms informacin al respecto hay que visitar las pginas http://www.cisco.com/warp/pubc/cc/ pd/iosw/ioft/ionetn/prodlit/1195_pp.htm y http://www.cisco.com/warp/public/cc/pd/osw/ioft/iofwft/prodlit/osnt_qp.htm. ComprenderlaDMZ Una zona desmilitarizada (DMZ, Demilitarized Zone) (tambin conocida como subred protegida o apantallada) constituye una medida de seguridad adicional para garantizar que la disponibilidad de recursosdeaccesopbliconocomprometalaseguridaddelaredinterna.UnaDMZseparalosrecursos de acceso pblico de los recursos completamente privados, colocndolos en subredes distintas, auto rizandoelbloqueodelosrecursosprivadoseinclusoproporcionandoseguridadalosrecursospblicos. Nota: Aunque esto se puede considerar una blasfemia en algunos crculos de seguridad en redes, en el presente escrito se usa el trmino cortafuegos para representar cualquier mecanismo que filtre paquetes para el control del acceso, incluyendo tanto enrutadores de Cisco estndar como los productos cortafuegos especficos, como los de las series PIX, a menosqueseindiqueexpresamenteotracosa. Las DMZ se pueden estructurar de diversas formas, pero en este escrito slo se analizarn las configuracionesmsfrecuentes: DMZconcortafuegosindividual.EstetipodeDMZconstadeuncortafuegosindividualcontresoms interfaces, y al menos una de las interfaces conectadas a la red interna, a la red externa y a la DMZ. EstasDMZsonmseficacesentrminosdecoste,perolosbeneficiosdeseguridad(msalldeunnico cortafuegosquenotengaDMZ)resultanmnimos. DMZconcortafuegosdual.EstaclasedeDMZesunadelasmscomunesyconsisteenuncortafuegos externo, un cortafuegos interno y una DMZ situada entre ambos. Los recursos internos quedan protegidos por el cortafuegos interno, mientras que los recursos de la DMZ estn protegidos por el cortafuegosexterno.EstetipodeestructuraDMZpuedeincrementarlaseguridadsustancialmente:el cortafuegos dual proporciona una proteccin suplementaria a los recursos internos. Sin embargo, el problemasurgecuandoseconsideraquelaDMZconcortafuegosdualtiendeasermuchomscaraque una con cortafuegos individual, y, al mismo tiempo, su manejo puede requerir conocimientos adicionales(especialmente,sisesiguenlasrecomendacionesquelosdistintosfabricantesrealizansobre loscortafuegos). DMZconcortafuegostriple.Setratadeunaestructuraqueutilizatrescortafuegosparaprotegerla red interna y que, al mismo tiempo, utiliza DMZ interna y externa. Esta configuracin de cortafuegos

slo se usa en instituciones en las que la seguridad es un elemento muy importante y suele implicar toda una serie de aplicaciones subsidiarias. Aunque resultan extremadamente seguros, estos cortafuegos son extremadamente caros tanto en lo que respecta a su implementacin como a su mantenimiento. Enprimerlugarseexaminarlasolucindelcortafuegosindividual.Lailustracin.3muestraunnico cortafuegoscontresinterfaces.Losservidoreswebyotrosservidoresdeaccesopblicoestnsituados enlaDMZ,mientrasquetodoslosrecursosinternosestntotalmenteprotegidosenlasubredinterna. Asimismo hay que observar que el servidor SQL utilizado por el servidor web para generar e procesamientoestsituadoenlaredinterna.

Ilustracin3:SistemadecortafuegosindividualDMZ

A continuacin se incluye un listado de los filtros de interfaz correspondientes a las localizaciones numeradasenlailustracin.3. 1. Filtrosdeinterfazinternoscorrespondientesalailustracin.3.

 2. FiltrosDMZcorrespondientesalailustracin.3.

3. Filtrosdeinterfazexternacorrespondientesalailustracin.3.

Nota: Hayquetenerencuentaquelamayoradelosfabricantesdecortafuegos,incluyendoCisco,utilizanla regla de la primera coincidencia. Todos los filtros correspondientes a una determinada direccin en unainterfazdadaseexaminanenordenyseutilizaelprimerfiltrocoincidente. A continuacin se analizarn las caractersticas de los filtros de paquete, empezando por el filtro externo.Elprimerfiltrosituadoenlainterfazexternapermitequecualquieranfitrinalcancecualquier servidorpblicoenlaDMZutilizandocualquieradelospuertoscorrespondientesalosserviciosquese suministran en dichos servidores. En otras palabras, si en la DMZ se dispone de un servidor web, un servidorFTPounservidorSMTP,setendraaccesoalservidorwebutilizandoelpuerto80oel443,al tiempo que se tiene acceso al puerto FTP utilizando los puertos 20 y 21, y acceso al servidor SMTP utilizandoelpuerto25.

El segundo filtro en la interfaz externa es un filtro reflexivo que facilita la comunicacin inicialmente establecidamediantelosanfitrionesinternospararetornaradichosanfitriones.Elfiltrofinalpresente enlainterfazexternarechazaelrestodelascomunicaciones(enlasACLdeCisconoesnecesario,ya quesiemprehayunadenegacinimplcitaalfinal).Noseaplicanfiltroshaciaelexteriordelainterfaz externa,porloqueseautorizatodoeltrficoendichosentido. Asimismo,convieneobservarelordendelosfiltrosorientadoshaciadentro.Elprimerysegundofiltro admiten conexiones especficas, mientras que el tercero deniega todas las conexiones. Puesto que el filtroqueefectaladenegacinestsituadoalfinal,seconviertedesdeunpuntodevistafuncionalen un elemento que deniega al resto. Si los paquetes coincidieran con el primer filtro (destinados a un servidorpblicosituadoenunpuertopblico),seranautorizadosyfinalizaraelprocesamientodefiltro correspondiente a esta interfaz. En caso contrario, se examinara el filtro siguiente. Si el paquete coincide con el segundo filtro (si fuera un paquete de respuesta para una sesin previamente establecidamedianteunanfitrininternoobasadoenDMZ)tambinquedaraautorizadoyfinalizarael procesamiento de filtrocorrespondiente aesta interfaz.Si el paqueteno coincidiera con ningn filtro seradenegado.Nuevamente,hayquerecordarquelosfiltrosseprocesanenorden,yunavezquese lograunacoincidencia,finalizaelprocesamientodefiltrocorrespondienteaesainterfaz. EnelcasodelasDMZ,losdosprimerosfiltros,orientadoshaciadentro,autorizanalservidorweb(yslo al servidor web)presente en la DMZparaque se comuniquecon el servidor SQL aseguradoen la red interna, utilizando exclusivamente el protocolo SQL. La estipulacin de que SQL debe ser el nico protocolo utilizado garantiza que, en casode que los hackers ataquen a otros servidores pblicos,no puedan tener acceso a la base de datos segura situada en el servidor SQL. El tercer filtro, orientado hacia fuera, es un filtro reflexivo que autoriza todas las comunicaciones que se establecen desde anfitrinDMZ.Eltercerfiltroesnecesariodebidoalapresenciadelcuartofiltroorientadohaciafuera, quedeniegaelrestodepaquetes.UtilizandoestatcnicadefiltradocabegarantizarqueelservidorSQL seguronosloseabordedesdeanfitrionesexternos,sinotambindesdeservidoressituadosenlaDMZ. Finalmente,enelcasodelaredinterna,losdosfiltrosorientadoshaciadentropermitenqueelservidor SQLsecomuniqueexclusivamenteconelservidorwebenlaDMZutilizandoelprotocoloSQL.Estefiltro, aunque no se requiera estrictamente, garantiza la seguridad del servidor SQL asegurndose de que dichoservidornopuedacomunicarseconunanfitrinexternodistintodelservidorwebyluegoutilice exclusivamente SQL como aplicacin. Si el usuario no ha generado esta sentencia, un administrador situadofsicamentejuntoalservidorSQLpodraabrirunasesinaunsitiowebutilizandodichoservidor. Nota: SielservidorwebestuvieracomunicndoserealmenteconelservidorSQLinterno,empleandoSQLcomo protocolo,yelservidorSQLfueraunservidorSQLdeMicrosoft,elpuertoquehabraqueabrirserael 1433. Sin embargo, como puede utilizarse como extremo para el servidor SQL cualquier otro tipo de aplicacinuotraversincomercialdeSQL(comoeselcasodelaversindeOracle),enesteejemplono sehaincluidoelnmerodepuertoenbruto.Cuandoseutiliceestatcnicahayquesaberculessonlos puertosquepuedenabrirse. Aunquelosadministradoresquenaveguenporlawebdesdeunservidorrealmentenotienenmuchode qupreocuparse,existelaremotaposibilidaddequelasesinaunsitiowebpudieraversesecuestrada porunhackery,puestoquelasesinseestablecipreviamentemedianteelservidorSQL,lospaquetes que enviara el hacker al servidor SQL podran tener autorizacin para franquear el cortafuegos. Para eliminarestaposibilidadsepuedencreardosfiltrosparadesactivartodaslascomunicacionesSQLque se produzcan fuera de la red interna, exceptuando los paquetes necesarios para que el servidor web utilicelospuertosSQL.

Consejo: Cabe aplicar esta misma filosofa y tcnica de filtrado a prcticamente todos los servidores internos, eliminandolaposibilidaddeaccesonoautorizado.Porejemplo,sepuedeaplicarunfiltroadicionalantes deltercerfiltroparadenegarelbloquededireccin asignadoalosservidoresinternosdesdeelusode recursos externos. Sin embargo, hay que tener en cuenta queesta tcnica de filtrado requiere que los administradores del servidor utilicen estaciones de trabajo estndar para transferir actualizaciones y cualquierotroarchivodeservidornecesariodesdeInternet,yqueluegocompartanlasunidadesdedisco de las estaciones de trabajo !o utilicen redes secretas) para transferir los archivos a los servidores, provocando un esfuerzo administrativo adicional (lo cual no resulta necesario en un principio, aunque dependedelapolticadeseguridad). LoscincofiltrossiguientescolocadosenlainterfazinternaseusanparacontrolarelaccesoaInternet desdelosanfitrionesinternos.Estoscincofiltrospermitenquecualquieranfitrinsituadoenlasubred internaaccedaaInternetutilizandolospuertos80(HTTP),443(HTTPS/SSL),20o21(FTP)y25(SMTP), altiempoquedeniegacualquierotroacceso.AunqueelbloquededireccinIPqueaparecereflejadoen los filtros (192.168.1.X) no es estrictamente necesario (ya que se podra utilizar la sentencia any [cualquiera] para una subred individual), se incluye aqu para mostrar cmo utilizar la direccin de origenparapermitirquelosusuariosdeunasubredaccedanaInternetmientrassedeniegaelaccesoa Internet a otros usuarios situados en una subred diferente. Si otra subred (por ejemplo, 192.168.2.0) tuvieraestosfiltros,sedenegaraalasegundasubredlaconectividadalaDMZyaInternet. Despusdeanalizarlascaractersticasdelfiltromedianteuncortafuegosindividualseexaminarnlas DMZconcortafuegosdual.EnlaFigura.4seobservancortafuegosduales,internosyexternos,peroen mediodeambosapareceunaDMZ.

Ilustracin4:DMZconcortafuegosdual.

LosfiltrosdeinterfazparalaslocalizacionesnumeradaslustradasenlaFigura4aparecenenellistadosiguiente:

1.

Filtrosdeinterfazinternoscorrespondientesalailustracin.4


2. Filtrosdeinterfazexternacorrespondientesalailustracin.4

3. Filtrosdeinterfazinternacorrespondientesalailustracin.4

4. Filtrosdeinterfazexternacorrespondientesalailustracin.4

Lainterfazexternaenelcortafuegos3600tienebsicamentelasmismasACLquelainterfazexternadel cortafuegosilustradoenlaFigura27.3.Unfiltronoreflexivopermitelacomunicacinconlosservidores pblicosutilizandolosnmerosdepuertoadecuados,unaACLreflexivaautorizaelpasodeltrficode retorno desde los anfitriones internos y una sentencia deny en blanco se ocupa del trfico no autorizado.Lainterfazinternadelcortafuegos3600autorizaelpasoatodoeltrficohaciaelexteriorde lared.

La interfaz del P1X est autorizada a establecer comunicacin exclusivamente desde el servidor web pblicoparaaccederalservidorSQLconunalistadeaccesonoreflexiva.Luegoseocupadegarantizar que no se produzca comunicacin alguna desde cualquier mecanismo distinto del servidor web que pueda alcanzar el servidor SQL, con una lista de acceso no reflexiva que deniegue especficamente cualquierclasedecomunicacinconelservidorSQL.Puestoquelaentradaquepermitealservidorweb acceder al servidor SQL est colocada en primer lugar en la lista, mientras se utilicen los puertos correctos,elservidorwebgenerarunacoincidenciaconlasentenciapermitenprimerlugarytendr autorizacinparaaccederalservidorSQL. Lasentenciasiguienteesunasentenciareflexivaquepermitequetodaslascomunicacionesestablecidas desde los clientes internos accedan a los recursos externos. Finalmente, se deniega el resto de las comunicaciones externas entrantes mediante el uso de una sentencia deny en blanco, situada en la interfazPIXexterna. LasltimassentenciasseaplicanalainterfazinternadelPIX.Estassentenciaspermitenquelosclientes internos accedan a recursos externos utilizando HTTP. HTTPS/SSL, FTP y SMTP. Existe una sentencia adicional que autoriza al servidor SQL a comunicarse con el servidor web en la DMZ. Por ltimo, una sentenciadenyenblancorechazaelrestodelascomunicaciones. LaventajaquesuponelautilizacindeunaDMZdecortafuegosdualconsisteenlaconsecucindeun nivel de seguridad adicional de los recursos. Cuando se utilizan cortafuegos duales resulta ms difcil realizarentradasnoautorizadas,yaquedosmecanismosdebenestarcomprometidosparaaccedercon xito a los recursos internos. Si se utilizan cortafuegos de distintos fabricantes, la seguridad de la red aumenta, ya que el hacker debe tener los conocimientos necesarios para acceder a plataformas completamentedistintas.Lgicamente,ladesventajavienemarcadaporelcostedelaredylosposibles quebraderos de cabeza en lo que respecta a su configuracin. Sin embargo, en las redes de tamao intermedio,loscortafuegosdualesresultanmuypopulares. Nota: El ejemplo que aparece en la Figura .4 utiliza un cortafuegos dedicado para la red interna, con la estructuradeuncortafuegosPIXdeCisco.Aunquelafuncionalidaddecortafuegosbsicaconsisteenel "filtrado de paquetes (que pueden realizar la mayora de los enrutadores, los cortafuegos verdaderos tienenunaseriedefunciones(incluyendoelfiltrodepaquetedeestadocompleto)quepuedenmejorarel nivel de seguridad general de toda la red. En este captulo se analiza exclusivamente el filtrado de paquetes.Paraobtenermayorinformacinsobreloscortafuegosdedicados,puedeconsultarladireccin http://secinf.net/ifwe.html. En las situaciones en que se emplean cortafuegos triples cabe garantizar un alto nivel de seguridad, inclusocuandoserequieraimplementarcontextosdefiltradomuycomplejos.Porejemplo,enlaFigura. 5semuestraunejemplodediseodealtaseguridadconcortafuegostriple,utilizandoDMZduales.La DMZexternaseempleaparaalojarlosrecursosdedominiosabsolutamentepblicos,mientrasquela DMZ interna sirve para alojar el servidor SQL, as como los recursos externos a la red (semipblicos), como servidores VPN y servidores web externos a la red (como el acceso a web de Outlook). El cortafuegosexternoseutilizaparaprotegeralosservidoresquetenganaccesoaInternet,mientrasque elcortafuegosmedioseempleaparaprotegerlosrecursosexternosalared.Finalmente,elcortafuegos internoprotegeexclusivamentelosrecursosinternos,haciendoqueestaconfiguracindecortafuegos constituyaunabarreraformidablecontralosposiblesintentosdeaccesonoautorizado.


Ilustracin5:DMZconcortafuegostriple

Acontinuacinseincluyeunlistadodelosfiltrosdeinterfazcorrespondientesalaslocalizacionesnumeradasdela Figura.5.
1. Filtros de interfaz interna para la Figura. 5

2.

Filtros de interfaz externa para la Figura. 5

3.

Filtros de interfaz interna para la Figura. 5

 4. Filtros de interfaz externa para la Figura. 5

5.
Filtros de interfaz interna para la Figura. 5

6.
Filtros de interfaz externa para la Figura. 5

Los diseos que implican cortafuegos triples pueden justificar el esfuerzo que supone su creacin, aunque slo se utilizan en las redes ms extensas y con mayor preocupacin por las cuestiones de seguridad,oendeterminadassituaciones.

ConfiguracindelasACL
ElprimerpasoalahoradeconfigurarlasACLconsisteencomprenderlasintaxisdelaslistasdeacceso. Enelcasodeunalistadeaccesoestndar,lasintaxisnoresultademasiadocompleja.Sinembargo,enel casodelaslistasdeaccesoextendidas,lasintaxispuederesultarunpocomsconfusa. EnesteapartadoseanalizalaconfiguracindelaslistasdeaccesoutilizandoACLestndaryextendidas, tantoenestilodenominadocomoenestilonumerado. EnlaTablaNo.1sedescribenlascaractersticasdeloscomandosempleadosenesteapartado.
Tabla1:Comandosdelistasdeacceso

Comando
accesslist[nmerodelistadeacceso][deny \permit][origen][mscaracomodnde origen][log] accesslist[nmerodelistadeacceso] [denyIpermit][protocolo][origen] [mscaracomodndeorigen] [operadoresdepuerto(opcionales)] [destino][mscaracomodndedestino] [operadoresdepuerto(opcionales)] [established][log] ipaccessliststandard[nombre] [denyIpermit][origen][comodnde origen][log]

Descripcin CreaunalistadeaccesoIPnumeradade carcterestndar

Modo Configuracinglobal

Crea una lista de acceso numerada de carcterextendido

Configuracinglobal

Creaunalistadeaccesonumeradade carcterestndar Introducesentenciasenunalistadeacceso IPdenominadadecarcterestndar CreaunalistadeaccesoIPdenominadade carcterextendido Introducesentenciasenunalistadeacceso IPdenominadadecarcterextendido

Configuracinglobal

Configuracindelistasdeacceso

ipaccesslistextended[nombre]

Configuracinglobal

[deny\permit][protocolo][origen] [mscaracomodndeorigen] [operadoresdepuerto(opcionales)] [destino][mscaracomodndeorigen] [operadoresdepuerto(opcionales)] [established][log]

Configuracindelistasdeacceso

ip accessgroup [nmero o nombre de listadeacceso][inIout]

Aplicaunalistadeaccesoaunainterfaz

Configuracindeinterfaz

showipaccesslist[nmeroonombrede listadeacceso]

MuestraunaotodaslaslistasdeaccesoIP

Ejecucindeusuario

showaccesslists[nmeroonombredelista deacceso]

MuestraunaotodaslaslistasdeaccesoIP

Ejecucindeusuario

El primer comando que aparece en la lista, accesslist, se usa para crear listas de acceso IP numeradas de carcter estndaryextendido.Elfactordecisivoqueindicasiunalistadeaccesodebeserestndaroextendidaessimplementeel nmeroutilizadoparadefinirlalistadeacceso.Sidichonmeroestcomprendidoentre1y99,lalistadeaccesoseruna ACL IP estndar. Si, por el contrario, el nmero utilizado se sita entre 100 y 199, la lista de acceso ser una ACL IP extendida. Nota: En las nuevas versiones del IOS, las ACL numeradas con valores comprendidosentre1300y1999 tambinestndisponiblesparalasACLIPestndar.

Laconfiguracindelaslistasdeaccesoenelformatonumeradosigueunaseriedereglasdecarcter simple: Laslistasdeaccesocoincidenconlassentenciasintroducidasutilizandocomandosdelistade accesomltiplesconelmismonmero,paracrearlistasmultisentencia. Laslistasdeaccesocoincidenconlassentenciasprocesadasenelordenintroducido,dondela primerasentenciacoincideconelpaquetequeseestutilizando. SeincluyeunasentenciadenyalfinaldecadaACL,loquesignificaqueunavezqueseaplicaa una interfaz, todos los paquetes que no coincidan con cualquiera de las sentencias permit presentesenunaACLseabandonarnautomticamente. Lassentenciasindividualespresentesenlaslistasdeaccesonumeradasnopuedenmodificarse. Para eliminar una sentencia ACL hay que utilizar el comando no accessst [nmero], eliminandotodaslassentenciasasociadascondichaACL.

A medida que se exploren las caractersticas de los comandos accesslist, el usuario aprender ms sobrelaestructuradeestasreglas.Paralosprincipiantesseexplicaacontinuacincmoseconstruye unalistadeaccesoIPnumeradaestndar. Listasdeaccesoestndar La sintaxis utilizada para el comando accesslist cuando se construye un listado numerado estndar resultamuysencilla:accesslist[nmerodelistadeacceso][denyIpermit][origen][mscaracomodnde origen][conectar].Elnmerodebesituarse,lgicamente,enelrangoquevade1a99.Laseccindeny\ permitespecificalaaccinquesevaaefectuar(abandonaroenviar)enrelacinconlospaquetesque cumplenestasentenciamatch.Lasseccionesorigenymscaracomodndeorigendefinenqupaquetes deben coincidir, basndose en la direccin de origen, y el parmetro opcional log indica al IOS que conecteconpaquetesquecoincidanconestalistadeaccesoconlafuncinsyslog. LasnicaspartesdeunalistadeaccesoIPestndarquegeneranciertadificultadsonlasseccionesde direccindeorigenylademscaracomodn.Laseccinorigeneslapartedeladireccindeorigencon laquesedeseacoincidir.Porejemplo,sisedeseacoincidircontodaslasdireccionesdeorigenenlared 172.16.0.0,habraqueintroducir172.16.0.0comodireccindeorigen.Verdaderamente,sepuedeco locarcualquiercosaquesedeseeenlosltimosoctetosdeladireccin(siempreycuandoseconfigure la mscara correctamente), pero no tiene sentido introducir una direccin completa cuando lo nico que se desea es efectuar una coincidencia con los primeros dos octetos. La mscara realmente determinaqucantidaddeladireccindeorigenformapartedelacoincidencia.Lamscaraestescrita enelformatowildcard(comodn),yquizspuedaparecerqueestcolocadaenordeninversoacmo cabraesperar.Enunamscaracomodn,laspartesdeladireccinquesedescribenmedianteelvalor binario0enlamscaradebencoincidirexactamente,mientrasqueseignoranlaspartesquetienenun valorbinario1. Por ejemplo, para efectuar una coincidencia con 172.16.0.0172.16.255.255, habra que introducir la direccindeorigende172.16.0.0conunamscaracomodnde0.0.255.255.Siguiendolamismalgica, paraefectuarunacoincidenciaconcadadireccinIPsituadaentre192.168.1.128y192.168.1.255habra queintroducirunadireccindeorigende192.168.1.128conunamscaracomodnde0.0.0.127.Esta combinacincoincideconlasdireccionesIPseleccionadas,yaqueenlenguajebinariotodoslosbitsque tienenunvalorOdebencoincidirconlaIPdeorigenescogida(192.168.1.128),mientrasquetodoslos valores binarios 1 pueden ser diferentes. Cuando se convierte a binario, esta combinacin tiene el siguienteaspecto:

IP192.168.1.128:11000000.10101000.00000001.10000000 IP192.168.1.255:11000000.10101000.00000001.11111111 Mask0.0.0.127:00000000.00000000.00000000.01111111

Basndoseenestainformacin,sisedeseaconfigurarunfiltrodepaqueteutilizandoACLestndarpara bloqueartodaslastransmisionesdesde192.168.1.1,autorizartodaslascomunicacionesdesdeelresto delared192.168.1.0ydenegartodaslasdems,habraquecrearelfiltrodepaqueteconloscomandos siguientes:

Router(config)#accesslist1deny192.168.1.10.0.0.0 Router(config)#accesslist1permit192.168.1.00.0.0.255

Nota: Para especificar un anfitrin individual hay que utilizar la palabra clave host en la ACL. Por ejemplo,enelcomandoanterior,enlugardeescribiraccesslist1deny192.168.1.10.0.0.0,habraque escribirtypedaccesslist1denyhost192.168.1.1. Paragarantizarlacreacindeestalistadeaccesossepuedenutilizarloscomandosshowipaccesslisto showaccesslists:
Routertshowaccesslists StandardIPaccesslist1 deny 192.168.1.1 permit 192.168.1.0,wildcardbits0.0.0.255 Router#showipaccesslist StandardIPaccesslist1 deny 192.168.1.1 permit 192.168.1.0,wildcardbits0.0.0.255 Router#

El orden de los comandos en una ACL resulta muy importante. Por ejemplo, si se reorganizan estas sentencias, la direccin 192.168.1.1 tendra autorizacin para comunicarse, ya que dicha direccin coincide con 192.168.1.0 0.0.0.255. Hay que recordar que una ACL simplemente utiliza la primera sentenciacoincidenteeignoraelresto. Porlogeneral,lolgicoescolocarlasentradasmsespecficasenlapartesuperiordelalista.Eltruco consiste en examinar mentalmente el orden de la lista, punto por punto, y garantizar que todos los objetivosseencuentrensatisfechosenellistado.Sinembargo,amedidaquelalistasecomplica,este procesosehacecadavezmscomplejo. Porejemplo,hayquesuponerquesedeseaconfigurarunlistadoqueefectelassiguientestareas: Autorizar todas las direcciones situadas en el rango que va de 192.168.1.64 ; a 192.168.1.127. Autorizarlasquevande192.168.1.1a192.168.1.3. Autorizartodaslasdireccionescomprendidasentre10.0.2.0y10.255.255.255. Denegartodaslasdemsdirecciones. Enestecaso,sepodrautilizarlasiguientelistadeaccesoparacumplirestasmetas:
Router(config)#accesslist 1permit10.0.0.00.255.255.255 Router(config)#accesslist 1permit192.168.1.640.0.0.127 Router(config)#accesslist1permithost192.168.1.1 Router(config)#accesslist 1permithost192.168.1.2 Router(config)#accesslist 1permithost192.168.1.3 Router(config)#accesslist 1deny10.0.1.00.0.0.255

Ustedreconocelosproblemasquesurgenconestalista?Acontinuacinseexaminarcadaobjetivoen ordenparagarantizarelanlisisdecadaunodelosproblemas.

En primer lugar, se desea autorizar el rango que va de 192.168.1.64 a 127. Mirando en la lista, la segunda sentencia cumple este objetivo. Sin embargo, la sentencia accesslist 1 permit 192.168.1.64 0.0.0.127coincidecontodaslasdireccionesIPsituadasentre192.168.1.0y192.168.1.127. El segundo objetivo consiste en autorizar el rango que va desde 192.168.1.1 hasta 192.168.1.3 para establecerlacomunicacin.Aunquelatercera,lacuartaylaquintasentenciaefectanestatarea,sta noeslamaneramseficazdehacerlo.Adems,lasegundasentenciadellistadosealcanzaraantesde accederaestassentencias. Eltercerobjetivoconsisteenautorizartodaslasdireccionessituadasenelrangoquevade10.0.2.0a 10.255.255.255 para establecer la comunicacin. Aunque la primera sentencia, accesslist 1 permit 10.0.0.00.255.255.255,cumpleestatarea,coincidecontodaslasdireccionesdesdelared10.0.0.0. Elobjetivofinalesdenegartodoslospaquetes,locualnosellevaacabodebidoalassiguientesrazones: La segunda sentencia autoriza al rango que va de 192.168.1.0 a 192.168.1.63 para que establezcanlacomunicacin. La primera sentencia autoriza todas las direcciones de la red 10.0.0.0 (10.0.0.0 a 10.255.255.255) para que establezcan la comunicacin, lo cual no coincide con el rango especificado. Paraeliminarestosproblemashabraquereconstruirlalistadelasiguientemanera:
Router(config)#accesslist Router(config)#accesslist Router(config)#accesslist Router(config)#accesslist 1 1 1 1 deny10.0.0.00.0.1.255 permit10.0.0.00.255.255.255 permit192.168.1.640.0.0.63 permit192.168.1.00.0.0.3

Hayqueobservarque,enestecaso,sepuederealizarestatareaconslocuatrosentencias.Laprimera sentencia deniega el rango de direccin IP que va de 10.0.0.0 a 10.0.1.255, ya que la direccin y la mscaracoincidendelasiguientemanera:

Lasegundasentenciaautorizatodaslasdireccionesdelared10.0.0.0quenocoincidanconlaprimera sentencia.Latercerasentenciaadmitetodoslospaquetessituadosenelrangoquevade192.168.1.64a 192.168.1.127,comosemuestraacontinuacin:

Lacuartasentenciaautorizatodoslospaquetesquevande192,16811a192.168.1.3,comosemuestra acontinuacin:

Nota: En realidad, el ltimo filtro tambin coincide con 192.168.1.0, pero como esta direccin no se puedeutilizarenunareddeclaseCsinsuperred,notienesentidodenegarladireccinespecficamente. El deny implcito situado al final de la lista de acceso se ocupa del ltimo objetivo, que consiste en rechazartodoslosdemspaquetes.

Unavezcreadalalistadeacceso,serprecisoaplicarlaaunainterfazyelegirunadireccinutilizandoel comandoipaccessgroup[nmeroonombredelistadeacceso][entrada\salida].Hayquerecordarque cuandoseaplicaunalistadeaccesosesueledesearhacerlotancercadelorigendelpaquetecomosea posible. De esta manera, si se desea utilizar esta lista para realizar una coincidencia interna con los usuariosqueentrenenelenrutador,habraqueaplicarlalistaalainterfazdeenrutadorinternaconla direccinentrante,comosemuestraacontinuacin: Router{configif)#ipaccessgroup1in Nota: Hayquetenerencuentaqueslosepuedeaplicarunalistadeaccesoindividualencualquierinterfaz para el trfico orientado hacia dentro o hacia fuera (una ACL por direccin). Por tanto, es preciso garantizarquetodaslasmetasrequeridaspuedanalcanzarseconunaACLindividual. Enelcasodeunalistadeaccesodenominada,elprocesoescasiidntico,exceptuandoelhechodeque semodificalaACL.CuandoseintroducelaACLseempleaelcomandoipaccessliststandard[nombre]. Este comando permite cambiar al modo de configuracin de lista de acceso para la lista de acceso denominada,comoseilustraacontinuacin:
Router(config)#ipaccessliststandardtest Router(configstdnacl)#

Unavezenelmododeconfiguracindelistadeaccesosepuedenintroducirlosparmetrosdelistade accesoutilizandosentenciaspermitodeny: Router(configstdnacl)#deny10.0.0.00.0.255.255 Router(configstdnacl)#permit172.16.00.0.255.255 Estassentenciasseprocesanenelordenenqueseintroduzcan,comoocurreconlaslistasdeacceso numeradas.Lanicadiferenciaestenelhechodeque,adiferenciadelaslistasdeaccesonumeradas, se pueden eliminar comandos individuales en una lista de acceso denominada mediante el uso de sentenciasespecficasnodenyonopermit:

Consejo: Ladiferencia fundamentalque existe entre unalista deacceso denominaday una numerada radicaenlacapacidaddeutilizarnombresdescriptivosparalistasdeaccesodenominadasylacapacidad de modificar entradas individuales en las listas de acceso numeradas. Sin embargo, esta ltima diferencia suele quedar anulada, ya que basta con copiar la sentencia de lista de acceso en el portapapelesdesdeunalistadeaccesonumerada(mostradaenuncomandoshowrunoshowstar)y reordenarlalistaaplacer.Unavezterminadoesteproceso,bastaconeliminarlalistadeaccesooriginal con un comando no accesslist (nmero] y pegar la lista de acceso modificada en la ventana del terminal. Hayqueobservarquelasentenciahostapareceenlapartesuperiordelalistadeaccesoinclusosise introducedespusdeotrassentencias.Setratadeunelementoespecficoquepermiteaccederalistas quepertenecenaunanfitrindeterminado,yaquetienenuncarctermsespecficoy,habitualmente, deberancolocarseenlapartesuperiordelalista.Tambinhayqueadvertirlapresenciadelasentencia permit any. La palabra clave any constituye una forma rpida de garantizar que todos los paquetes coincidanconunfiltro.LapalabraclaveanyeslamismaqueseespecificenunIPde0.0.0.0(adecir verdad,cualquierIP)conunamscara255.255.255.255. Listasdeaccesoextendidas DespusdeconocerlasACLestndar,enesteapartadoseexplicarnlascomplejidadespropiasdelas ACL extendidas. En una ACL extendida se pueden especificar muchos ms parmetros, protocolos (incluyendoIP,TCPyUDP),direccionesdedestinoypuertos(paraTCPyUDP). Nota:LasACLIPextendidasnumeradaspuedenutilizarrangosquevande100a199ode2000a2699. ConunaACLextendidasedebeespecificarunprotocoloparagenerarlacoincidencia.Elprotocoloconel queseestablecedichacoincidenciapuedesercualquiernmerodeprotocoloIPsituadoentre1y255,o cualquieradelassiguientespalabrasclave IP(paracoincidircontodostospaquetesIP). ICMP. TCP EIGRR IGRP OSPF Losprotocolosrestantesescapanalpropsitodeesteapartado(PIM,IPINIPGRE,NOSoIGMP). CuandosegeneraunacoincidenciaconTCPoUDPseabrenotrasposibilidadesinteresantes.Sepuede elegirlaposibilidaddeestablecercoincidenciasconpuertosdeorigenodedestino.Cuandosecoincide conpuertosesprecisotenerlacapacidaddeefectuarlacoincidenciabasndoseencincooperadores: It.Menorqueelnmerolistado. gt.Mayorqueelnmerolistado. eq.Igualqueelnmerolistado. neq.Distintodelnmerolistado. range.Todoslospuertossituadosenelrangoespecificadomediantedosnmeros. Nota: Tambin se puedenespecificar puertos medianteel uso depalabras claveen lugarde nmeros. EntrelaspalabrasclaveIOSreconocidasparapuertosseincluyenlassiguientes:bgp,echo,finger,ftp, ftpdata,gopher,irc,nntp,pop2,pop3,smtp,syslog,telnet,whois,ywww. Asimismo, es posible especificar la autorizacin de paquetes (o su rechazo, aunque esto ltimo no resultatil)basndoseenelpaquetequeformapartedeunasesinpreviamenteestablecidamediante el uso de la palabra clave established. De esta misma manera, se puede utilizar la palabra clave establishedparalassentenciasreflexiveenlasACL. Para ver de qu forma casan todas estas piezas adicionales en una ACL extendida, a continuacin se analizar un conjunto de metas de filtrado y se explicar cmo alcanzar estos objetivos. Las metas

requeridas para filtrar los paquetes entrantes en la interfaz externa del enrutador se enumeran a continuacin: Deben autorizarse todos los paquetes destinados a 192.168.1.1 utilizando un puerto 80 de destinoTCP. Deben autorizarse todas las comunicaciones que se originen desde la red privada a los servidoreswebexternosqueutilicenHTTPyHTTPS. Debenautorizarsetodaslascomunicacionesentrantesdesdeelanfitrinexterno10.1.1.1que utilicennmerosdepuertodeorigenTCPyUDPquevayande22.000a44.000. Debenautorizarsetodaslascomunicacionesentrantesalanfitrin192.168.1.200. Debenautorizarsetodaslassesionesnoestablecidasqueentrenenlainterfazexternayutilicen puertosdedestinoconocidosalanfitrin192.168.1.100. Deberechazarsetodoeltrficorestante. Paraalcanzarelprimerobjetivohayqueintroducirunasentenciasimilaralasiguiente:
Router(config)#accesslist100permittcpanyhost192.168.1.1eq80

LapalabraclaveanyindicaalenrutadorquedeberealizarunacoincidenciaconcualquierIPdeorigen. Comoelpuertonoseespecificaacontinuacin,seefectaunacoincidenciacontodoslospuertosde origen. La seccin host 192.168.1.1 indi ca al enrutador que debe efectuar una coincidencia con el anfitrinde destino 192.168.1.1. Finalmente, eq 80 indica al enrutador quedebe efectuaruna coinci dencia con el puerto destino 80. Este filtro efecta exactamente la tarea requerida: establece coincidenciacontodaslascomunicacionesprocedentesdecualquieranfitrindestinadoa192.168.1.1 utilizandoelpuertodedestino80TCP80(HTTP). Para establecer una coincidencia con el prximo objetivo hay que emplear sentencias similares a las siguientes:
Router(config)ftaccesslist100permittcpanyeq80anyestablished Router(config)#accesslist100permittcpanyeq443anyestablished

ComoloquesedeseaesautorizarexclusivamentelospaquetesqueutilicenHTTPoHTTPSpararegresar alosanfitrionessituadosenlaredinterna,esnecesario establecerunacoincidenciaconelpuertode origenen80y443enlugardehacerloconeldedestino.Asimismo,puestoquenicamentesedesea devolver paquetes procedentes exclusivamente de las sesiones previamente establecidas por estos anfitriones,seutilizalapalabraclaveestablished. Paraautorizartodaslascomunicacionesentrantesprocedentesdelanfitrinexterno10.1.1.1utilizando nmerosdepuertodeorigenTCPyUDPcomprendidosentre22.000y44.000,hayqueintroducirdos sentenciassimilaresalassiguientes: Router(config)#accesslist100permittcp10.1.1.1range2200044000any Router(config)#accesslist100permitudp10.1.1.1range2200044000any Para autorizar todas las conexiones internas al anfitrin 192.168.1.200 hay que utilizar la sentencia siguiente: Router(config)#accesslist100permitipanyhost192.168.1.200 Finalmente, para autorizar conexiones utilizando puertos de destino conocidos al anfitrin 192.168.1.100hayqueutilizarlasentenciasiguiente:
Router(config)#accesslist100permitipanyhost192.168.1.100lt1024

Una vez terminada la construccin de la ACL, cabe aplicarla a la interfaz externa del enrutador, utilizandoelcomandoestndaripaccessgroup[nmeroonombredelistadeacceso][in\out].

LasACLextendidasdenominadassiguenlosmismosprincipiosgeneraleslasACLnumeradas,porloque aqunoseanalizarnsuscaractersticasBastaaplicarlosprincipiosrelacionadosconlasACLextendidas aloscomandosenumeradosenelapartadodedicadoalasACLdenominadasestndar.Siguiendoeste procedimiento,elusuariopodrcrearACLextendidasdenominadas. ACL extendidas y ACL reflexivas HayqueobservarqueunaACLextendidaqueutilizalapalabraclave established no es lo mismo que una ACL reflexiva verdadera. Una ACLreflexivaverdaderallevaunregistrodelassesionesyconstruye entradas ACL de carcter temporal basndose en dichas sesiones, mientrasquelapalabraclaveestablishedsimplementeexaminalos bitsACKyRSTenpaquetesyautorizacualquierpaquetequecumpla loscriteriosdefiltroconfiguradosconestosbits.Elsimpleusodela palabraclaveestablished,aunquepuedereducirlacomplejidadde la ACL y deshacer la mayor parte de los intentos de entrada, no detendraunhackerhbilquesepacmomanipularlosbitsACKo RSTenunpaquetey,portanto,nodebenutilizarseenredesdealta seguridad. En el presente libro no se analizarn con detalle las caractersticas de las ACL reflexivas, pero si el lector desea ms informacin al respecto, se recomienda visitar la direccin http://www.dsco.comando/univercd/cc/td/doc/ product/software/ios121/12Icgcr/secur_c/scprt3/scdreflx.htm. ReferenciasBibliogrficas: HILL,Brian.CISCOManualdereferencia.McGawHill/InteramericanadeEspaa.Pp963990.