FUNDAMENTOS DE LAS LISTAS DE CONTROL DE ACCESO Principales razones para crear las ACL Se tienen varias razones, entre

las principales: • Brindar control de flujo de tráfico. • Limitar el tráfico no deseado en red y mejorar el rendimiento de la red. • Proporcionar un nivel básico de seguridad para el acceso a la red. • Se puede decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Mediante un ACL se puede por ejemplo: • Permitir al Host A el acceso a la red de Recursos Humanos y al Host B se le niega el acceso a dicha red. • Permitir que se enrute el tráfico de correo electrónico, pero bloquear todo el tráfico de telnet. ¿Cómo trabajan las ACLs? Cada uno de los paquetes al ingresar al router es analizado para que en base a los valores de ciertos campos poder filtrarlos a través de las instrucciones del ACL[2]. Figura 2: Las ACL del IOS de Cisco verifican el encabezado de cada paquete. La Figura 3 muestra el flujo del paquete mientras es analizado por cada una de las instrucciones del ACL: Figura 3: Diagrama de flujo del análisis que realiza el ACL sobre los paquetes.
• •

Si se cumple una condición, el paquete se permite (permit) o se rechaza (deny), y el resto de las declaraciones ACL no se verifican. Si ninguna de las declaraciones ACL tiene coincidencia, se coloca una declaración implícita que indica “deny any” (rechazar cualquiera) en el extremo de la lista por defecto, que rechazará todos los paquetes que no coincidan con la ACL.

Lo que se debe conocer de las ACL • El dispositivo al analizar línea por línea el paquete, habrá que listar los comandos desde los casos más específicos, hasta los más generales. ¡Las excepciones tienen que estar antes de la regla general! • Cualquier línea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificación, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar allí. • Una ACL es una lista que consta de una o más instrucciones. • Se asigna una lista a una o más interfaces. • Cada instrucción permite o rechaza tráfico, usando uno o más de los siguientes criterios: 1. el origen del tráfico, 2. el destino del tráfico, 3. el protocolo usado.

El router analiza cada paquete, comparándolo con la ACL correspondiente.

ACL Estándar y Extendidas Existen dos tipos de ACL[3]:

Las ACL ESTÁNDAR (1-99) sólo permiten controlar en base a la dirección de ORIGEN.

una máscara de wildcard es lo contrario de una máscara de red[4] así se tiene que en una máscara de red: “1” significa que la IP no cambia. MÁSCARA DE WILDCARDS “Wildcard” significa “comodín“. con máscara de red: 255. “0” significa que la IP puede cambiar.168. las máscaras wildcard también permiten más.4. con máscara de red: 255.• Las ACL EXTENDIDAS (100-199) permiten controlar el tráfico en base a la dirección de ORIGEN. es decir.0. por ejemplo.255.0.0. Mientras que en una máscara de wildcard: “1″ significa que la IP puede cambiar.0. como en la dirección de destino. es decir se queda “pinchado el valor”. Sin embargo. Ejemplos: Ejemplo 1: Dada la red: 192. “0” significa que la IP no cambia.0/24.0/24.10. Tanto en la dirección de origen.254 Explicación: Se toma el cuarto octeto de la dirección de red y de la máscara wildcard Red Wildcard 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0 Direcciones Disponibles Dirección 1 Dirección 2 Dirección 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0 0 .255.2.255. la máscara wildcard para IPs pares es: 0. pares.255 Explicación: Se toma el cuarto octeto de la dirección de red y de la máscara wildcard Red Wildcard 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 Direcciones Disponibles Dirección 1 Dirección 2 Dirección 3 … Ejemplo 2: Dada la red: 10.0. de una ACL se especifican las direcciones como dos grupos de números: un número IP y una máscara wildcard. se pueden denegar todas las máquinas con números IP impares.255.0. seleccionar un rango determinado (IPs de la 1 a la 31). la mitad inferior o superior de un segmento de red. es decir. la máscara wildcard es: 0. la dirección de DESTINO y el PROTOCOLO utilizado.

0.0.255.255.16.0.10.224.0.0.4. para evitar tráfico innecesario en el resto de la red. rango [128-255] es: 0.255.10.0. entonces la wildcard sería:0.4.0. es decir. Una ACL en la interfaz de salida de R1 deniega a R1 la posibilidad de enviar tráfico a otros lugares.0/24.0. rango [0-127] es: 0.255.25. con máscara de red: 255. es decir. la máscara wildcard para las mitad inferior de todas las IPs.0.0.10. La solución es colocar una ACL estándar en la interfaz de entrada de R3 para detener todo el tráfico desde la dirección de origen 192.0.16.10.0.0.0.255.255. Subred es: 194.30.2. Esto se debe a sus limitaciones: no se puede distinguir el destino.254.2.127 Ejemplo 5: Dada la red: 10.0 0.0.0.0/24.0.1 Permitir o denegar una subred: 172. es decir. con la variación de que las IPs comienzan en 10.160/27. “equivale a” host 172.0. Las ACL extendidas (100-199) se colocan cerca del origen del tráfico por eficiencia.255 “equivale a” any UBICACIÓN DE LAS ACL • • Las ACL estándar (1-99) se colocan cerca del destino del tráfico. con máscara de red: 255. la máscara wildcard para IPs impares es la misma 0.0 255. dentro de esta subred se quiere el rango de IPs [176-183] correspondiente al 3/4 de IPs de la 6ta.1 0. Las ACL extendidas (100-199) se colocan cerca del origen del tráfico.255. 0 0 0 0 0 1 1 0 No cambia Ejemplo 3: Dada la red: 10.255.0.127. Ejemplo: Figura 4: Ubicación de un ACL estándar • • • El administrador desea que el tráfico que se origina en la red 192.0.0.0/24 no ingrese a la red 192. con máscara de red: 255. “equivale a” 172. subred: La 6ta.255. Las ACL estándar (1-99) se colocan cerca del destino del tráfico.0 255.0/24. la máscara wildcard para las mitad superior de todas las IPs.10.255.0..255.10.10.0.0/24.0/24 en 8 subredes y seleccionar la máscara wildcard del 3/4 de IPs de la 6ta.1 Ejemplo 4: Dada la red: 10.152.168.7 Especificación de direcciones con Wildcard • • • Permitir o denegar una IP específica: 172.16.255 Permitir o denegar a todas las IPs: 0.16.168. Ejemplo: Figura 5: Ubicación de un ACL extendida . es decir.152.0/24. subred.10.128 Ejemplo 6: Segmentar la red 194. es decir. con la variación de que las IPs comienzan en 10. con máscara de red: 255.Dirección 4 ….255.168.25.

3. B. X y Y son hosts o redes). al número de Interfaces y por 2 dependiendo la dirección (in o out)[5].3. se puede controlar el tráfico desde X hacia Y en las interfaces de entrada o salida de los routes A o B o C.17.168. C son routers. Si el tráfico va de X hacia Y.2 255.5. interfaz S0/0 o el tráfico saliente en la interfaz de la derecha.0/24 Figura 7: Topología base para ejemplos Configuración en la entrada de R3: access-list 1 permit host 172.0. pero el administrador no controla R3.0/24 y 192. además. excepto la máquina 172.10 access-list 1 deny 172.17.168. Cantidad de ACL en un router La cantidad de ACL que puede tener un router. Esto garantiza que los paquetes desde diez no ingresen a R1 y que luego no puedan atravesar hacia once ni incluso ingresar a R2 o R3 DIRECCIÓN DEL TRÁFICO (in – out) Hay que señalar que los ACL se los puede colocar en la interfaz de entrada del dispositivo de networking o en la interfaz de salida.0. La mejor solución es acercarse al origen y colocar una ACL extendida en la interfaz de entrada Fa0/2 de R1. interfaz S0/1.255 access-list 1 permit any interface Serial 0/0/1 ip address 172. el efecto es similar pero su funcionamiento se diferencia.30.3.3.17. Esto afecta la eficacia general de la red. o de igual manera en el router C.17.0 0. sólo para bloquearlo en el destino. En la topología de la Figura 6: A.168.10. De la misma manera se puede controlar el tráfico en el router B: tráfico entrante en la interfaz de la izquierda. se calcula en base al número de protocolos que maneja el router (IP.0/24 desea denegar el tráfico Telnet y FTP desde la red once a la red 192.17.16.252 ip access-group 1 in Sintaxis de una ACL extendidas Sintaxis para un renglón (se escribe en el modo de configuración global): . Esa solución sigue permitiendo.• • • • El administrador de las redes 192.0/24.255. ¿CÓMO SE ESCRIBEN LAS ACL? Sintaxis de una ACL estándar access-list (número) (deny | permit) (ip origen) (wildcard origen) Ejemplo 1: ACL estándar Bloquear toda la subred 172.0/24.0.11. [4] Figura 6: Ubicación de un ACL estándar Las ACL al colocar en una interfaz se debe especificar si es en la entrada (in) o salida de la interfaz (out)[3].10 en la red 172.255. en router A se puede controlar el tráfico entrante (in) en la interfaz que está a su izquierda F0/1 o el tráfico saliente (out) en la interfaz que está a su derecha S0/0. Una ACL extendida en R3 que bloquea el tráfico Telnet y FTP desde once podría realizar la tarea. que el tráfico no deseado atraviese toda la red.IPX o Apple Talk).

17. • • El “operador” puede ser: eq (igual).16.1 255.17.3.10 host 172.10 que debe permitir el tráfico solo al servidor 172.0.10 host 172. bootpc server ó 67).0. VoIP ó 2000) Ejemplo 2: ACL extendida Ampliar el filtrado del ejemplo 1: Bloquear toda la subred 172.255.0.3.10 access-list 102 deny ip any any interface FastEthernet0/0 ip address 172.10 host 172. excepto la máquina 172.10. ICMP.255 host 172.16.0 0.255.17.17.10 access-list 102 deny ip 172.0.3. configuración correcta: Configuración en la entrada R1 access-list 102 permit ip host 172.10 access-list 101 permit tcp any host 172.255 host 172.17. 69 ó tftp.0.3. entre otras cosas: Ejemplo 3: ACL extendida Permitir tráfico HTTP y “ping” (ICMP) al servidor 172. pop3 ó 110) ( UDP: 53 ó dns.255.3.10 access-list 102 permit ip any any interface FastEthernet 0/0 ip address 172.10 eq www interface FastEthernet0/0 ip address 172. https ó 443.0.17.3.0. rip ó 520.17. www ú 80. lt (menor a) El “operando” puede ser un número de puerto o servicio TCP/IP ( TCP: 21 ó ftp.0.17.255 host 172.10 access-list 102 deny ip 172.0 0. para todos.0.16.0.16.UDP.10 access-list 102 deny ip any any interface FastEthernet 0/0 ip address 172.255.0/24. bootpc cliente ó 68.255.0.161 ó snmp. 25 ó smtp.16.3.17. otros (irc ó 194. neq (desigual).3.0.16.16.0.0.0. gt (mayor a).0 ip access-group 101 in Se encuentra por defecto la siguiente línea al final: access-list 101 deny ip any any .0. 23 ó telnet. algo no deseado.1 255. Configuración en la entrada de R1 access-list 101 permit icmp any host 72.17.255. TCP.17.1 255.255.0 ip access-group 102 in Esta versión de ACL permite.0.17.16.16.3.16.3.access-list (número) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino) [(operador) (operando)] Donde: • El “protocolo” puede ser (entre otros) IP (todo tráfico de tipo TCP/IP).10 Configuración en la entrada de R1 access-list 102 permit ip host 172.10 access-list 102 deny ip 172. Denegar todo lo demás.255.1 255.0 ip access-group 102 in Impacto en el cambio de una palabra del ACL Del ejemplo anterior.3.0.3.0 ip access-group 102 in Configuración incorrecta: access-list 102 permit ip host 172.

1 con wild-mask 0.168.0 y wild-mask 0.0. dos switch y 2PCs. Para la creación de ACL estándar en importante: • Seleccionar y ordenar lógicamente las ACL. • Seleccionar los protocolos IP que se deben verificar. Se aplican a los interfaces con: Router (config-if)# ip access-group numACL in|out • In: tráfico a filtrar que ENTRA por la interfaz del router • out : tráfico a filtrar que SALE por la interfaz del router. Por ejemplo. • wild-mask: indica con 0 el bit a evaluar y con 1 indica que el bit correspondiente se ignora.168. Ejemplo 1 Supongamos que queremos crear en un Router0 una ACL con el número 1 (numACL) que deniegue el host 192.168. si queremos indicar un único host 192.0.0. Tienen la configuración siguiente: Router(config)# access-list numACL permit|deny origen [wild-mask] El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99.0 Si queremos eliminar una ACL: Router0(config)# no access-list Para mostrar las ACL: Router0# show access-list Standard IP access list 1 deny host 192.Creación de ACL Utilizamos la herramienta de simulación Packet Tracer y una topología de red muy sencilla. .255.1.1 especifico: 192. • Asignar un número exclusivo para cada ACL.2 0.168.0.1.2 permit any Recordar que para salir del modo de configuración global (config) hay que escribir 'exit'.1.1. cada uno de ellos en una subred.2.0.1. Trabajaremos desde el modo de configuración global: (config)# Hay dos tipos de ACL y utilizan una numeración para identificarse: • ACL estándar: del 1 al 99 • ACL extendida: del 100 al 199 ACLs estándar: sintaxis Las ACL estándar en un router Cisco siempre se crean primero y luego se asignan a una interfaz.0 y si queremos especificar toda la red clase C correspondiente lo hacemos con 192.168. • Aplicar ACL a interfaces para el tráfico entrante y saliente.1.0. formada por un router.168. Desde configuración global: Router0(config)# access-list 1 deny 192.

el número de puerto de protocolo TCP o UDP para el que se aplica la sentencia: • 20 y 21: datos y programa FTP • 23: Telnet • 25: SMTP • 53: DNS • 69: TFTP . En este caso no habría problema porque solo tenemos un router. ICMP.0 0.0 Router0(config) #access-list 1 permit 192.255 Router0(config)#interface S0/0/0 Router0(config-if)#ip access-group 1 out Ahora borramos la ACL anterior y vamos a definir una ACL estándar que deniegue un host concreto.0.0.255 Router0(config)#interface S0/0/0 Router0(config-if)#ip access-group 1 out ACLs extendidas Las ACL extendidas filtran paquetes IP según: • Direcciones IP de origen y destino • Puertos TCP y UDP de origen y destino • Tipo de protocolo (IP.168. Las ACLs extendidas usan un número dentro del intervalo del 100 al 199.1.1.0.1. el Router0.168.0 0.0/24. opcionalmente.0. Router0#configure terminal Router0(config)#access-list 1 permit 192.168. UDP.1.Ahora hay que utilizar el comando de configuración de interfaz para seleccionar una interfaz a la que aplicarle la ACL: Router0(config)# interface FastEthernet 0/0 Por último utilizamos el comando de configuración de interfaz ip access-group para activar la ACL actual en la interfaz como filtro de salida: Router0(config-if)# ip access-group 1 out Ejemplo 2 Tenemos la siguiente topología de red. La primera cuestión que se plantea es ¿dónde instalar la ACL? ¿en qué router? ¿en qué interfaz de ese router?. Router0(config)#no access-list 1 Router0(config)#access-list 1 deny 192.0.168.0. TCP o número de puerto de protocolo). Al final de la sentencia de la ACL extendida se puede especificar. Vamos a definir una ACL estándar que permita el trafico de salida de la red 192. Pero la regla siempre es instalar la ACL lo más cerca posible del destino.10 0.

UDP. Router0(config)# access-list 101 deny tcp 192.0.0 0. IGRP • fuente | destino: Identificadores de direcciones origen y destino • mascara-fuente | mascara-destino: Máscaras de wildcard • operador: lt.0. Asociar ACL a interfaz. eq. sintaxis: Router(config)# access-list numACL {permit|deny} protocolo fuente [mascara-fuente destino mascara-destino operador operando] [established] • numACL: Identifica número de lista de acceso utilizando un número dentro del intervalo 100-199 • protocolo: IP.168.0 0. ICMP. La regla es colocar las: • ACL estándar lo más cerca posible del destino (no especifican direcciones destino).2.1.255 192. o Si ACL es saliente.255 eq 20 Router(config)# access-list 101 permit ip any any Router(config)# interface F0/1 Router0(config-if)#ip access-group 101 in Ejemplo 2 En el esquema anterior.0. o Se puede nombrar o numerar un protocolo IP.168.255 192.1.255 any eq 23 Router(config)# access-list 101 permit ip any any Router(config)# interface F0/0 Router0(config-if)#ip access-group 101 out Ubicación de las ACLs Es muy importante el lugar donde se ubique una ACL ya que influye en la reducción del tráfico innecesario.0.0. neq • operando: número de puerto • established: permite que pase el tráfico TCP si el paquete utiliza una conexión establecida.0.1.0.0 0. se comprueba después de recibir y enrutar el paquete a la interfaz saliente.168. Router0(config)# access-list 101 deny tcp 192.0. sintaxis: Router(config-if)# ip access-group num_ACL {in | out} Ejemplo 1 En el esquema anterior. El tráfico que será denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino. • ACL extendidas lo más cerca posible del origen del tráfico denegado.0. o Respecto a los protocolos: o Sólo se puede especificar una ACL por protocolo y por interfaz.2.168. denegar solo telnet a la subred 192.0 0.255 eq 21 Router0(config)# access-list 101 deny tcp 192.168.0.1.0 0. Así el tráfico no deseado se filtra sin atravesar la infraestrucra de red . denegar FTP entre las subredes y permitir todo lo demás.Definir ACL extendida. TCP.168. gt. se comprueba al recibir el paquete. GRE. o Si ACL es entrante.0.

UDP. Mascara wildcard origen y mascara destino : Son las mascaras comodín. In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.0. La mascara predeterminada es 0.168. y los 1 las “que no importan”. o neq (distinto que) y un número de puerto de protocolo correspondiente. Dirección de origen identifica la dirección IP de origen. Mascara comodín o wildcard identifica los bits del campo de la dirección que serán comprobados.El proceso de creación de una ACL se lleva a cabo creando la lista y posteriormente asociándola a una interfaz entrante o saliente. Puerto opcional) puede ser por ejemplo: lt (menor que). Asociación de la lista a una interfaz Router(config-if)#ip access-group[nº de lista de acceso][in|out] Donde: Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz. Protocolo: como por ejemplo IP. ICMP Dirección origen y destino: identifican direcciones IP de origen y destino. Ejemplo de una ACL estándar denegando una red: Router#configure terminal Router(config)#access-list 10 deny 192. gt (mayor que). .1. Permit|deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección especificada. Las 0 indican las posiciones que deben coincidir. Configuración de ACL estándar Router(config)#access-list[1-99][permit|deny][dirección de origen][mascara comodín] Donde: 1-99 Identifica el rango y la lista.1. eq (igual a).0 (coincidencia de todos los bits).168.0.0 Router(config)#access-list 10 permit any Router(config)#interface serial 0 Router(config-if)#ip access-group 10 in Se ha denegado al host 192.0 y luego se ha permitido a cualquier origen.0.0 0. Posteriormente se asocio la ACL a la interfaz Serial 0. Configuración de ACL extendida El proceso de configuración de una ACL IP extendida es el siguiente: Router(config)#access-list[100-199][permit|deny][protocol][dirección de origen] [mascara comodín][dirección de destino][mascara de destino][puerto] [establisehed][log] 100-199 identifica el rango y número de lista Permit|deny: indica si la entrada permitirá o bloqueara la dirección especificada.0. TCP.

Esto permite que él rafico TCP pase si el paquete utiliza una conexión ya establecida (por ejemplo posee un conjunto de bits ACK) Log: (opcional) Envía un mensaje de registro a la consola a un servidor syslog determinado.204. Algunos de los números de puertos más conocidos: 20 Datos del protocolo FTP 21 FTP 23 Telnet 25 SMTP 69 TFTP 53 DNS Asociación de la lista a una interfaz Router(config-if)#ip access-group[nº de lista de acceso][in|out] Donde: Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.204. Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red: Router(config)#access-list 120 deny tcp host 204. In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.10. Aplicación de una ACL a la linea de telnet Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una lista de acceso estándar y asociarla a la Line VTY.10.1. El modo de asociar la ACL a la Línea de telnet es el siguiente: router(config)#line vty 0 4 router(config-line)#access-class[Nº de lista de acceso][in|out] Como eliminar las listas de acceso Desde el modo interfaz donde se aplico la lista: Router(config-if)#no ip access-group[Nº de lista de acceso] Desde el modo global elimine la ACL router(config)#no access-list[Nº de lista de acceso] . Esta ACL se asocio a la interfaz Serial 1 como entrante.Establisehed: (opcional) Se usa solo para TCP de entrada. El proceso de creación se lleva a cabo como una ACL estándar denegando o permitiendo un origen hacia esa interfaz. Posteriormente se permite todo trafico IP.1 any eq 80 Router(config)#access-list 120 permit ip any any Router(config)#interface serial 1 Router(config-if)#ip access-group 120 in Se ha denegado al host 204. (identificándolo con la abreviatura “host”) hacia el puerto 80 de cualquier red de destino (usando el termino any).

por favor consulte entradas anteriores que he escrito sobre subredes.com a la 172.0. Política de seguridad de ejemplo La política que vamos a usar es la misma del ejercicio anterior.0/24 y un servidor de Intranet en la ip 10. Si algo de lo mencionado no está claro.18.com a la dirección del servidor mismo. la vez pasada configuramos una red con ciertas políticas de seguridad usando sólo ACLs estándar.1. www. Existen dos redes LAN que son las redes de los extremos. impuesta por un “superior” administrativo.1.0. cambié el PC que simula internet por un servidor y agregué a la configuración unas entradas de DNS.0. Para retomar el ejercicio. losenlaces dentro del espacio 10. En el servidor funcionan los servicios usuales: www. continúo con el ejemplo de uso de ACLs en un ejercicio completo con visos de realismo. Hay pequeños cambios respecto a la topología anterior: agregué un switch y un pc a la red del router2. Tenemos una topología en la cual los hosts pertenecen a subredes dentro del espacio 172. Disfrútenlo. 1. recordemos la topología de ejemplo. dns y tftp .0. El servidor es de la intranet . Hay que configurar el dns para que resuelva las peticiones a example. .1 que provengan de cualquier host de la red (incluso de los invitados).0/12.2 e intranet. una para resolver example.com a la dirección 172.1.18. es decir que de las redes del Router4 y Router2 deben poder acceder a la web interna.¿Cómo configurar ACLs?: problema/ejercicio completo con ACLs extendidas En ésta entrada.com a la ip 172. enrutamiento y la serie sobre ACLs.0.example. una red de invitados que es la segunda red de izquierda a derecha del diagrama. Para hacer éste ejercicio use la topología sugerida en esta entrada. una red de servidores (sólo uno) y finalmente simulamos el acceso a internet con la red del extremo derecho superior.0.16.18.5. ahora vamos a hacer el mismo ejercicio usando listas extendidas.

0.0.0. De la entrada anterior deducimos que hay ciertos objetivos que no se pueden lograr con ACLs estándar.3 any eq 23 • access-list 101 permit ip 172. mientras que con listas estándar esa opción no suele estar disponible.1 0. como las listas de acceso terminan por defecto con un deny any. deben detectar y corregir. De todos modos.0.0. como las actualizaciones de enrutamiento entre los enrutadores.0. No sobra repetirlo: asegúrese que tiene copia de seguridad de la configuración inicial para evitar que si se cae todo y los nervios nos limitan la capacidad de respuesta.0 0. usualmente podemos configurar con listas extendidas todo en un sólo enrutador.0 0.3 any Router4 . sea bloqueado por defecto y.0. antes de hacer ping entre la estación yexample.19. se pueda restaurar el estado de operación inicial de la red con sólo restaurar la configuración y reiniciar algún equipo. Así podemos resolver sin presiones el problema o. La lista inicial quedaría así: Router2 • access-list 101 permit ip 172.0.0 0. 3. recuerden que éste es un ejercicio y la ACL final va a tener defectos que uds.255.5 eq www • access-list 102 deny host 172.16.19. sabemos que hay otros requerimientos implícitos que hay que considerar antes de implementar.2. Router2 ni a los enrutadores mismos).255 172. configurar todo en un solo enrutador no es eficiente por varias razones. como nuestro foco de atención son las políticas de seguridad. por ejemplo.com).com se debe resolver el dominio a una dirección IP y eso es un tráfico intermedio de DNS desde la estación al servidor (quien resuelve la petición con la dirección 172. Recuerde que las listas de acceso extendidas se instalan de entrada en el enrutador más cercano al origen del tráfico. por lo tanto el tráfico que queríamos bloquear ya no pasa pero tampoco pasará ningún otro. no se puede permitir sólo el tráfico de DNS la red de invitados hacia el servidor.0.255.19. 5. una es que la carga de procesamiento queda en un solo dispositivo y otra razón es que una distribución eficiente de las listas de acceso ayuda a evitar tráfico innecesario.0. simularlo. lo cual es un requerimiento implícito: el servidor también es responsable por DNS.19. sólo quienes tengan direcciones IP impar pueden acceder a Internet.255. mejor aún. nos resulte difícil deducir ese resultado inesperado o peor aún. es decir. son mucho más flexibles para su implementación. aparte de permitir más granularidad a la hora de definir los criterios de selección de tráfico.255 • access-list 101 permit tcp 172. no al servidor ni a las redes internas (las de Router4. el resto no. Los PCs internos (excepto los invitados) pueden acceder mutuamente a sus recursos y a los enrutadores. El PC 5 no puede acceder a ningún enrutador por ningún medio. por lo tanto sólo pueden acceder a Internet. Configuración con listas extendidas Una ventaja de las listas extendidas es que. eso evita que el enrutador haga búsquedas en la tabla de enrutamiento para los paquetes bloqueados y evita que el tráfico no permitido cruce la red innecesariamente.0.254 any • access-list 101 deny tcp host 172. 4. De los PCs de las redes internas.18. es probable que tráfico necesario. pero la razón del “bloqueo” es que el enrutamiento se cayó totalmente.19. por ejemplo. 6. por ejemplo. Ya con la experiencia de la entrada anterior. Ahora vamos a intentar poner ésta política en términos de ACLs extendidas. Cualquier tráfico no contemplado debe ser bloqueado. que verifiquemos que se haya bloqueado el tráfico que queríamos bloquear y quedemos convencidos de que sí se logró el objetivo (por no verificar el tráfico permitido). por lo tanto para poder hacer operaciones con dominios (como ping example.255. recuerde también que ésto último no se puede hacer con listas estándar porque ellas se tienen que instalar lo más cerca al destino.255 host 10. después de que ocuparon ancho de banda en la red y procesamiento en los enrutadores y dispositivos intermedios.0.1).0. Los PCs de la red del enrutador Router1 son invitados. Eso hay que verlo haciendo el ejercicio de la entrada anterior.

16.0.1.1.0 incluso el tráfico de DNS.0.17.0.0 0.1. Así que también falta una regla que permita el tráfico de DNS en ésta lista.17.0 0.255 eq 53 Que se instala en el router1 corresponde con el tráfico proveniente de la red 172.0.0. por ejemplo la regla • access-list 101 permit udp 172.0.255.17. Para que las listas de acceso extendidas sean eficientes.0.1.255 172. el tráfico de DNS proveniente de la red de invitados entra al servidor.0 0.19. una vez que se instalen las listas de acceso en las interfaces correctas.254 any access-list 101 permit ip 172.16.0 0. si se dió cuenta del problema pasó la primera prueba.com pero para observar los detalles que nos pueden engañar.0. la lista estándar se instala en la vty (acceso por telnet/ssh) del enrutador correspondiente con el comando access-class <N> in. Si hacemos ping example. lo cual comprueba el resto de la ACL. se deben instalar de entrada lo más cerca posible del origen del tráfico a bloquear.0 0.255 • access-list 101 deny ip 172.255.0 0.255 10. si probamos la lista en el PC 172.19. ¿cierto? Pues no. La lista estándar que se ve en router2.17. Ponerlas en el orden inverso implicaría que siempre se denegaría el tráfico de la red 172.255 10. porque después de ejecutar la regla general de denegación (puesta antes de la específica) terminaría la ejecución de la lista de acceso (cuando se encuentra una correspondencia se aplica la acción y se deja de ejecutar la lista.255 eq 53 • access-list 101 permit ip 172.0.255 10.0.0.0.1.0. Bueno. por lo tanto debe ir antes en el listado.19.19.0. la lista de router2 la instalaría en la interfaz fa0/0 de entrada.0.17. Instalando la ACL del router2 vemos el primer problema: el tráfico de telnet desde la IP 172. Un buen ejemplo de lista de • • • .16.0.17.0.0.255.255.255 10.3 que pensamos que ibamos a bloquear pasa por la primera regla (permitir IP impar concualquier destino).0 0. no se examinan más cláusulas).1 0. la lista no permite dns y por lo tanto nunca se sabrá la IP de example.0 0.255.0 0. si una regla corresponde con cierto tráfico que se incluye en otra regla.255 access-list 101 permit tcp 172.16.255.17. Finalmente.com desde cualquiera de los PCs de la red de router2 hacia cualquier destino el ping es exitoso. por lo tanto. La tarea que les sugiero es que intenten instalando la lista actual y encontrar los defectos (tiene muchos) luego usen la lista de acceso resuelta que también dejaré adjunta a la entrada.0.0 0.1. ya creo que queda claro lo que hay que hacer: comprobar exhaustivamente qué tráfico quedó permitido y qué tráfico bloqueado . en otras palabras.0.0.0. También hay que tener en cuenta que el orden de la lista tiene un efecto importantísimo en el filtrado de tráfico.0.0.255.0. la más específica debería ir primero.0. diferente del comando access-group <N> in de las interfaces ordinarias.access-list 101 permit ip 172.255 • access-list 101 deny ip 172. Hacer el ejercicio Obviamente el ejercicio ya está resuelto.255 Esta regla incluye el tráfico permitido con la regla anterior.255 • access-list 101 permit udp 172. Si yo incluyo una regla para denegar el resto del tráfico proveniente de la red de invitados hacia el servidor de esta manera: • access-list 101 deny ip 172.1.255.0. de tal manera que el tráfico bloqueado ni siquiera implique enrutar esos paquetes en ese enrutador.0.0 0.0.1. el archivo que dejo a disposición es un archivo de Packet Tracer con la topología propuesta y está configurada con conectividad total entre todas las estaciones.0.0.255 any Router0 • No hay ACLs porque las políticas se cumplen en cada enrutador.0 0.0 0.17.255. De esta instalación se deduce que todas las listas estarán en las interfaces de lan de los enrutadores correspondientes en la dirección de entrada.255.0. es una lista especial que usaremos para bloquear el acceso por telnet a este enrutador y en éste mismo bloqueamos el acceso por telnet a los otros.0.17. porque una regla permite cualquier tráfico desde ese PC hacia cualquier destino.0. la primera regla es más específica que la segunda.255.0.0 0.255. el permit deja pasar ese tráfico.0.255 172.0 0.0 0.255 172.5 eq www Router1 • access-list 101 deny ip 172.0.0.0 que va hacia el servidor por UDP en el puerto 53. la política de seguridad estará en uso.255.0.255 host 10.0.3 sí pasará.

Recuerde: las listas extendidas se deben instalar (excepto cuando definitivamente no es posible) de entrada en las interfaces más cercanas al origen del tráfico con el comando de modo de interfaz ip access-group <N> in. Los dejo con los archivos prometidos y les ruego paciencia ya que no he podido volver a escribir regularmente con éste nivel de detalle (y creo que cada vez va a ser más difícil). Lo anterior es una de las razones por las que el currículo de Cisco insiste en la documentación: hay que planificar concienzudamente lo que se desea y verificar exhaustivamente su cumplimiento .acceso bien aplicada es la que se aplica en el router2: sólo permite lo que debe permitir y bloquea cualquier otra cosa. para bloquear el tráfico de una vty se usa el comando access-class <N> in. Conclusiones Las ACLs son complicadas porque no estamos acostumbrados a pensar en términos de clasificación de tráfico y a veces la comprobación debe ser muy minuciosa para poder determinar que todos los objetivos quedaron incluidos. . sin embargo habría que agregarle una regla que permita el acceso por telnet al enrutador.

Sign up to vote on this title
UsefulNot useful