Documentos de Académico
Documentos de Profesional
Documentos de Cultura
"s# podemos obtener estad$st%cas de &os pa'uetes 'ue pasan por un router e %mp&ementar po&$t%cas de se(ur%dad. )or e*emp&o: perm%t%r o dene(ar te&net# perm%t%r o dene(ar acceso a un router# perm%t%r 'ue s+&o a&(unos hosts puedan acceder a &a web# ev%tar 'ue c%ertos hosts rec%ban correo# etc. Una !" es una cond%c%+n o &%sta de cond%c%ones 'ue se ap&%ca a &os pa'uetes ,). Una vede.%n%da# se ap&%ca a una %nter.ace de& router Otra ap&%cac%+n de !" /'ue se conoce como d%str%bute &%st0 es .%&trar 'u1 redes se anunc%an en &os protoco&os de enrutam%ento d%n2m%co /R,)# O3)4# ...0. 5n este caso se ap&%can a& prococo&o y no a &a %nter.ace. "as !" se puede ap&%car en sent%do %nbound /de %nternet hac%a &a red %nterna0 o b%en en sent%do outbound /de &a red %nterna hac%a %nternet0 y en cua&'u%er %nter.ace. !+mo .unc%ona una !"? 5& router ana&%-a cada uno de &os pa'uetes 'ue atrav%esan una %nter.ace donde se ha ap&%cado &a !" y en e& sent%do espec%.%cado /%nbound/outbound0 6 3e compara e& pa'uete con &a cond%c%+n de &a pr%mera &$nea de &a !" 6 3e compara e& pa'uete con &a cond%c%+n de &a se(unda &$nea de &a !" 6 3e s%(ue comparando e& pa'uete hasta 'ue se encuentra una &$nea de &a !" donde e& pa'uete cump&e &a cond%c%+n. 5ntonces se procesa e& pa'uete de acuerdo con &o 'ue d%ce &a &$nea y 7O 35 3,8U57 9,R 7DO 9:3 ";75 3 D5 " !".
- Hay un "deny" implcito al final de cada ACL, es decir, si el paquete no cumple ninguna de las condiciones de la lista, se descarta
Inbound access lists 3e ap&%can a& tr2.%co 'ue entra por una %nter.ace 7<53 de tomar n%n(una otra dec%s%+n. 3% se descartan pa'uetes# 1stos ya no se procesan
!utbound ACL "os pa'uetes se mueven a &a %nter.a- de sa&%da# pero se &es ap&%ca &a !" antes de ser enrutados. 3% no pasan &a !"# no se enrutan
=ay 2 t%pos de !": 3tandard access &%sts: usan &a d%recc%+n ,) or%(en en un pa'uete como cond%c%+n de test. <odas &as dec%s%ones de procesado de& pa'uete se basan en &a d%recc%+n ,) or%(en. )or tanto# s%rven /s%mp&%.%cando0 para perm%t%r o dene(ar tr2.%co de muchos protoco&os /www# te&net# udp# ...0# ya 'ue no d%st%n(uen entre protoco&os.
5>tended access &%sts: perm%ten eva&uar campos en &os pa'uetes de capa ? o capa @: d%recc%+n ,) or%(en y dest%no# t%po de protoco&o# nAmero de puerto. !omo resu&tado# perm%ten .%&trar con m2s prec%s%+n.
En cada interface & protocolo & direccin slo se puede aplicar una access list. Por ejemplo: en la interface f0/1 direccin outbound, protocolo www (puerto 80), slo puede haber una ACL. Por qu? Porque si ponemos ms de una ACL y en la primera los paquetes resultan descartados, ya no hay ms paquetes para procesar.
Como en el momento en que un paquete cumple una condicin ya se enruta (hacia dentro o hacia fuera) y no se compara con ms condiciones, las condiciones ms restrictivas tienen que estar al principio de la ACL
Si aadimos lneas a la ACL van por defecto al final --> MAL --> Hay que copiar toda la ACL en un editor de texto, editarla, borrar la ACL original y volverla a crear a partir del fichero de texto
Tampoco se puede quitar una lnea de una ACL (si lo haces borras toda la ACL) --> Copiarla en un editor, borrar la lnea, borrar la ACL y crearla de nuevo a partir del editor de texto
Cada ACL debera acabar con una instruccin permit any o bien permit xxx o bien cualquier trfico que no cumpla ninguna condicin ser rechazado
Las ACL filtran trfico EXTERNO (originado fuera) al router, no trfico generado DENTRO del router (si nos conectamos por telnet al router y hacemos ping a otro router, a este trfico no se le aplican las ACL !)
Las ACL estndard filtran en base a la direccin IP de origen del paquete. Por tanto, hay que aplicarlas lo ms cerca posible del destino final del paquete. Si las aplicamos cerca del origen, es posible que no enviemos ningn paquete !
Las ACL extendidas hay que aplicarlas lo ms cerca posible del origen del paquete IP. Estas ACL son muy especficas, as que no vale la pena enviar trfico al otro extremo del
universo para que este trfico finalmente sea bloqueado, mejor bloquearlo en origen (y ahorrar ancho de banda)
ACL ESTNDARD
Se crean ACL estndard usando el nmero de access-list 1-99 o 1300-1999 (rango expandido)
Vamos a crear una ACL estndard con nmero 10 (el nmero de la ACL le indica al router el tipo de ACL que estamos creando): (1 a 99 y 1300 a 1999 ACL estndard)
Ahora hemos de decidir si queremos permitir (permit) o prohibir (deny) paquetes IP:
The next step requires a more detailed explanation. There are three options available. You can use the any parameter to permit or deny any host or network; you can use an IP address to specify either a single host or a range of them; or you can use the host command to specify a specific host only. The any command is pretty obviousany source address matches the state- ment, so every packet compared against this line will match. The host command is relatively simple. Heres an example using it:
Cualquier IP que cumpla las condiciones ser bloqueada. El parmetro [host] es el parmetro por defecto (default)
MSCARAS WILDCARD
Las mscaras wildcard se usan en access lists para especificar un nico host, un rango de hosts, una red o un rango de redes.
Un cero en la wildcard indica que cada uno de los bytes de la direccin debe coincidir
exactamente. Al revs, un 255 en la wildcard indica que el byte en la direccin puede tener cualquier valor.
Por ejemplo:
172.16.30.0
0.0.0.255
3upon(amos 'ue 'ueremos b&o'uear acceso a &as ,) en e& ran(o BC2.BD.E.F a BC2.BD.BG.F es dec%r# E d%recc%ones 5ntonces &a w%&dcard ser$a: BC2.BD.E.F F.F.C.2GG 5& router emp%e-a en BC2.BD.E.F y b&o'uea E d%recc%ones hac%a arr%ba.
The following example tells the router to match the first three octets exactly but that the fourth octet can be anything: Lab_A(config)#access-list 10 deny 172.16.10.0 0.0.0.255
The next example tells the router to match the first two octets and that the last two octets can be any value: Lab_A(config)#access-list 10 deny 172.16.0.0 0.0.255.255
Try to figure out this next line: Lab_A(config)#access-list 10 deny 172.16.16.0 0.0.3.255
The above configuration tells the router to start at network 172.16.16.0 and use a block size of 4. The range would then be 172.16.16.0 through 172.16.19.0.
The example below shows an access list starting at 172.16.16.0 and going up a block size of 8 to 172.16.23.0: Lab_A(config)#access-list 10 deny 172.16.16.0 0.0.7.255
The next example starts at network 172.16.32.0 and goes up a block size of 16 to 172.16.47.0: Lab_A(config)#access-list 10 deny 172.16.32.0 0.0.15.255
The next example starts at network 172.16.64.0 and goes up a block size of 64 to 172.16.127.0: Lab_A(config)#access-list 10 deny 172.16.64.0 0.0.63.255
The last example starts at network 192.168.160.0 and goes up a block size of 32 to 192.168.191.255: Lab_A(config)#access-list 10 deny 192.168.160.0 0.0.31.255
En este ejemplo veremos cmo bloquear acceso a la LAN de Finanzas a hosts especficos
En la figura siguiente, el router tiene 3 conexiones LAN y una conexin WAN hacia internet:
Los PC de Sales no deben acceder a Finance pero s a internet y Marketing Los PC de Marketing deben acceder a Finance y a a internet
Router# conf t Router(config)# access list 10 deny 172.160.40.0 0.0.0.255 Router(config)# access list 10 permit any ( la ltima lnea es igual a: # access list 10 permit 0.0.0.0 255.255.255.255 )
Ahora hemos de aplicar la access list a una interface y a una direccin especfica (inbound o outbound):
Ejemplo 2:
Se trata de impedir que los usuarios de Accounting usen el servidor Human Resources Server, pero que todos los dems puedan hacerlo
Usando ACL extended es ms fcil, pero con ACL estndard debemos ponerla en la interface E0 del router LabB
Ejemplo 3: Queremos una ACL que evite que cada una de las 4 redes acceda a internet (interfaz S0)