Está en la página 1de 57

Las listas son secuencias de sentencia de

permiso (permit) o denegación (deny) que


se aplican a los paquetes que atraviesan
dicha interfaz, en el sentido indicado (in/out),
con riguroso orden según hayan sido
declaradas .

Cualquier tráfico que pasa por la interfaz


debe cumplir ciertas condiciones que
forman parte de la ACL. Se pueden
configurar las ACL para todos los protocolos
de red enrutados.

n router actúa como filtro de paquetes
cuando reenvía o deniega paquetes
según las reglas de filtrado. Cuando un
paquete llega al router de filtrado de
paquetes, éste extrae determinada
información del encabezado del
paquete y toma decisiones según las
reglas de filtrado, ya sea autorizar el
ingreso del paquete o descartarlo. El
filtrado de paquetes actúa en la capa
de red (3) del modelo (OSI)
Como dispositivo de Capa 3, un router de
filtrado de paquetes utiliza reglas para
determinar la autorización o denegación
del tráfico según:

° Las |   IP de origen y de destino,


° Los Y  

de origen y destino.
° El Y del paquete.

Estas reglas se definen mediante las listas


de control de acceso o ACL.
˜    User Datagram Protocol

        


   
 
° Ô     
 Ô    
        
            
          

° Ô            
      ! 
El protocolo TCP (¦   

  , protocolo de control de
transmisión) basado en IP que es no fiable y
no orientado a conexión, y sin embargo es:
ï  |    Es necesario
establecer una conexión previa entre las
dos máquinas antes de poder transmitir
ningún dato. A través de esta conexión los
datos llegarán siempre a la aplicación
destino de forma ordenada y sin
duplicados. Finalmente, es necesario cerrar
la conexión.
ï   La información que envía el emisor
llega de forma correcta al destino.
ï Cómo es posible enviar información fiable
basándose en un protocolo no fiable (r
). Es
decir, si los datagramas que transportan los
segmentos 
se pueden perder, cómo
pueden llegar los datos de las aplicaciones
de forma correcta al destino.

ï cada vez que llega un mensaje se devuelve


una confirmación ( ) para que el emisor
sepa que ha llegado correctamente. Si no
le llega esta confirmación pasado un cierto
tiempo, el emisor reenvía el mensaje.

n PC puede estar conectado con distintos
servidores a la vez; por ejemplo, con un
servidor ftp y un servidor de correo. Para
distinguir las distintas conexiones dentro de
un mismo PC se utilizan los puertos.

n puerto es un número de 16 bits, por lo


que existen 65536 puertos en cada PC. Las
aplicaciones utilizan estos puertos para
recibir y transmitir mensajes.
son asignados dinámicamente y
generalmente son superiores al 1024.
Cuando una aplicación cliente quiere
comunicarse con un servidor, busca un
número de puerto libre y lo utiliza.

tilizan unos números de puerto
prefijados: son los llamados puertos Ñ
Ñ (bien conocidos). Estos puertos
están definidos en la  
A la combinación de IP origen, puerto
origen, IP destino, puerto destino se la
denomina " " y se dice que
identifica de forma unívoca una
conexión de red
P
ERTOS TCP
ï Las Listas de Control de Acceso ("i 
   [ ACL), son comandos que
sirven para filtrar el tráfico permitiendo o
denegando las conexiones basándose
en diferentes criterios como direcciones
IP, puertos, protocolos
ï   |  | Las listas
de acceso IP estándar comprueban las
direcciones de origen de los paquetes
que solicitan enrutamiento. Permiten o
rechazan el acceso a todo un conjunto
de protocolos, según las direcciones de
red, subred o host origen
  |  | |Y 
 Y
Las ACL estándar le permiten autorizar o
denegar el tráfico desde las direcciones
IP de origen. No importan el destino del
paquete ni los puertos involucrados.

El ejemplo permite todo el tráfico desde la


red 192.168.30.0/24. Debido a la sentencia
implícita "deny any" (denegar todo) al
final, todo el otro tráfico se bloquea con
esta ACL. Las ACL estándar se crean en el
modo de configuración global.
  |  | | Las listas de
acceso comprueban tanto la dirección
de origen como la de destino de cada
paquete. También pueden verificar
protocolos especificados, números de
puerto y otros parámetros.
 Y |       |Y |
| Y! "|Y 

  r
| #|  YY$ 

 %"|Y 
#

La ACL del ejemplo - 103 permite el tráfico


que se origina desde cualquier dirección en
la red 192.168.30.0/24 hacia cualquier puerto
80 de host de destino (HTTP). Las ACL
extendidas se crean en el modo de
configuración global.
Las listas de acceso no actúan sobre
paquetes originados en el propio router,
como las actualizaciones de
enrutamiento o las sesiones Telnet
salientes.
ï
na vez creada, una ACL debe asociarse a
una interfaz de la siguiente manera:

ï i   Los paquetes entrantes son


procesados antes de ser enrutados a una
interfaz de salida, si el paquete pasa las
pruebas de filtrado, será procesado para su
enrutamiento (evita la sobrecarga
asociada a las búsquedas en las tablas de
enrutamiento si el paquete ha de ser
descartado por las pruebas de filtrado).

ï i    Los paquetes entrantes son


enrutados a la interfaz de salida y después
son procesados por medio de la lista de
acceso de salida antes de su transmisión.
i  | | Si coinciden un
encabezado de paquete y una
sentencia de ACL, se omite el resto de
las sentencias de la lista y el paquete
tiene permitido pasar o no, según la
sentencia coincidente. Si el
encabezado del paquete no coincide
con una sentencia de ACL, el paquete
se prueba según la siguiente sentencia
de la lista. Este proceso de coincidencia
continúa hasta el final de la lista.
  Y$    cubre todos los
paquetes para los cuales las condiciones
no resultan verdaderas. Esta última prueba
coincide con todos los demás paquetes y
produce una "denegación" del paquete.
En lugar de salir o entrar a una interfaz, el
router descarta todos los paquetes
restantes. La última sentencia
generalmente se denomina "implicit deny
any statement" (denegar implícitamente
una sentencia) o "deny all traffic" (denegar
todo el tráfico). Debido a esta sentencia,
una ACL debe contar con, al menos, una
sentencia de permiso; de lo contrario, la
ACL bloquea todo el tráfico.
i  & 'ir i Antes de reenviar un
paquete a una interfaz de salida, el
router verifica la tabla de enrutamiento
para ver si el paquete es enrutable. Si no
lo es, se descarta. A continuación, el
router verifica si la interfaz de salida se
agrupa a una ACL. Si la interfaz de
salida no se agrupa a una ACL, el
paquete puede enviarse al búfer de
salida.
Para las listas salientes un Y  significa
enviar al búfer de salida, mientras que |#
se traduce en descartar el paquete.

Para las listas entrantes un Y  significa


continuar el procesamiento del paquete
tras su recepción en una interfaz, mientras
que |# significa descartar el paquete.

Cuando se descarta un paquete IP, ICMP


devuelve un paquete especial notificando
al remitente que el destino ha sido
inalcanzable.

tilizar ACL numeradas es un método
eficaz para determinar el tipo de ACL en
redes más pequeñas con más tráfico
definido de manera homogénea. Sin
embargo, un número no le informa el
propósito de la ACL. Por ello, si se parte
del IOS de Cisco å  ((), puede
utilizar un nombre para identificar una
ACL de Cisco.
Con listas de acceso IP numeradas, para
modificar una lista tendría que borrar
primero la lista de acceso numerada y
volver a introducirla de nuevo con las
correcciones necesarias. En una lista de
acceso numerada no es posible borrar
instrucciones individuales.

Las listas de acceso IP con nombre


permiten eliminar entradas individuales de
una lista específica. El borrado de entradas
individuales permite modificar las listas de
acceso sin tener que eliminarlas y volver a
configurarlas desde el principio.
Todas las ACL deben ubicarse donde más
repercutan sobre la eficacia. Las reglas
básicas son:

° Como las i  | no especifican las


direcciones de destino, colóquelas lo más
cerca del destino posible.

°
bicar las i  | | lo más cerca
posible del origen del tráfico denegado. De
esta manera, el tráfico no deseado se filtra sin
atravesar la infraestructura de red.
El tráfico que se Origina en la red 192.168.10.0/24 no debe ingresar a
la red 192.168.30.0/24.
na ACL en la interfaz de salida de R1
deniega a R1 la posibilidad de enviar tráfico a otros lugares. La
solución es colocar una ACL estándar en la interfaz de entrada de
R3 para detener todo el tráfico desde la dirección de origen
192.168.10.0/24.
na ACL estándar cumple con los requerimientos
porque sólo se centra en las direcciones IP de origen.
El administrador de las redes 192.168.10.0/24 y 192.168.11.0/24
desea denegar el tráfico Telnet y FTP desde Once a la red treinta.
Al mismo tiempo, se debe permitir todo el tráfico restante desde
Diez.
La mejor solución es acercarse al origen
y colocar una ACL extendida en la
interfaz de entrada Fa0/2 de R1. Esto
garantiza que los paquetes desde once
no ingresen a R1 y que luego no puedan
atravesar hacia diez ni incluso ingresar a
R2 o R3. Aún se permite el tráfico con
otras direcciones y puertos de destino
hacia R1.
ÿ& &ÿ &* &
Para los casos más frecuentes de
enmascaramiento wildcard se pueden
utilizar abreviaturas.

 ‰ A mascara comodín 0.0.0.0, utilizada


para un host especifico

 i# A 0.0.0.0 255.255.255.255, utilizado


para definir a cualquier host, red o
subred
En el caso de permitir o denegar redes o
subredes enteras se deben ignorar todos
los host pertenecientes a dicha
dirección de red o subred. Cualquier
dirección de host será leída como
dirección de red o subred.
Los procedimientos para configurar las
ACL extendidas son los mismos que para
las ACL estándar: primero crea la ACL
extendida y luego la activa en una
interfaz. Sin embargo, la sintaxis y los
parámetros del comando tienen más
complejidades para admitir las
funciones adicionales de las ACL
extendidas.