Curso de Redes

Listas de Control de Acceso

Curso de Redes

Qu son las ACL Las ACL son listas de instrucciones que se aplican a una interfaz del router. Estas listas indican al router qu tipos de paquetes se deben aceptar y qu tipos de paquetes se deben denegar. La aceptacin y rechazo se pueden basar en ciertas especificaciones, como direccin origen, direccin destino y nmero de puerto. Las ACL le permiten administrar el trfico y examinar paquetes especficos, aplicando la ACL a una interfaz del router. Cualquier trfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL.

Curso de Redes

Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo Internet (IP) y el Intercambio de paquetes de internetwork (IPX), para filtrar los paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. Por ejemplo, en el Distrito Escolar Washington, las ACL se pueden usar para evitar que el trfico de los estudiantes pueda entrar a la red administrativa. Las ACL filtran el trfico de red controlando si los paquetes enrutados se envan o se bloquean en las interfaces del router. El router examina cada paquete para determinar si se debe enviar o descartar, segn las condiciones especificadas en la ACL. Entre las condiciones de las ACL se pueden incluir la direccin origen o destino del trfico, el protocolo de capa superior, u otra informacin.

Curso de Redes

Las ACL se deben definir por protocolo. En otras palabras, es necesario definir una ACL para cada protocolo habilitado en una interfaz si desea controlar el flujo de trfico para esa interfaz. (Observe que algunos protocolos se refieren a las ACL como filtros.) Por ejemplo, si su interfaz de router estuviera configurada para IP, AppleTalk e IPX, sera necesario definir por lo menos tres ACL. Las ACL se pueden utilizar como herramientas para el control de redes, agregando la flexibilidad necesaria para filtrar los paquetes que fluyen hacia adentro y hacia afuera de las interfaces del router.

Curso de Redes

Curso de Redes

Razones para el uso de ACLRazones para el uso de AC

Hay muchas razones para crear ACL. Por ejemplo, las ACL se pueden usar para: Limitar el trfico de red y mejorar el rendimiento de la red. Por ejemplo, las ACL pueden designar ciertos paquetes para que un router los procese antes de procesar otro tipo de trfico, segn el protocolo. Esto se denomina colocacin en cola, que asegura que los routers no procesarn paquetes que no son necesarios. Como resultado, la colocacin en cola limita el trfico de red y reduce la congestin. Brindar control de flujo de trfico. Por ejemplo, las ACL pueden restringir o reducir el contenido de las actualizaciones de enrutamiento. Estas restricciones se usan para limitar la propagacin de la informacin acerca de redes especficas por toda la red. Proporcionar un nivel bsico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea. Al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le deniega el acceso a dicha red. Si no se configuran ACL en su router, todos los paquetes que pasan a travs del router supuestamente tendran acceso permitido a todas las partes de la red. Se debe decidir qu tipos de trfico se envan o bloquean en las interfaces del router. Por ejemplo, se puede permitir que se enrute el trfico de correo electrnico, pero bloquear al mismo tiempo todo el trfico de telnet.

Curso de Redes

Curso de Redes

Prueba de paquetes con ACL

El orden en el que se ubican las sentencias de la ACL es importante. Cuando el router est decidiendo si desea enviar o bloquear un paquete, el software del Sistema Operativo de Internetworking de Cisco (IOS) prueba el paquete, verificando si cumple o no cada sentencia de condicin, en el orden en que se crearon las sentencias. Nota: Una vez que se verifica que existe una coincidencia, no se verifican otras sentencias de condicin. Si se crea una sentencia de condicin que permita todo el trfico, no se verificar ninguna sentencia agregada ms adelante. Si necesita sentencias adicionales, en una ACL estndar o extendida se debe eliminar la ACL y volver a crearla con las nuevas sentencias de condiciones. Es por este motivo que es una buena idea editar una configuracin de router en un PC con un editor de texto y luego enviarla al router usando el Protocolo de transferencia de archivos trivial (TFTP). Puede crear una ACL para cada protocolo que desea filtrar para cada interfaz de router. Para algunos protocolos, se crea una ACL para filtrar el trfico entrante, y otra para filtrar el trfico saliente.

Curso de Redes

Curso de Redes

10

Funcionamiento de las ACL

Una ACL es un grupo de sentencias que define cmo los paquetes: Entran a las interfaces de entrada Se reenvan a travs del router Salen de las interfaces de salida del router El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o no. Cuando un paquete entra en una interfaz, el router verifica si un paquete es enrutable o puenteable. Ahora, el router verifica si la interfaz de entrada tiene una ACL. Si existe, ahora se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete es permitido, entonces se compara con las entradas de la tabla de enrutamiento para determinar la interfaz destino. A continuacin, el router verifica si la interfaz destino tiene una ACL. Si no la tiene, el paquete puede ser enviado directamente a la interfaz destino; por ejemplo, si usa E0, que no tiene ACL, el paquete usa E0 directamente. Las sentencias de la ACL operan en orden secuencial lgico. Si se cumple una condicin, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si las sentencias de la ACL no se verifican, se impone una sentencia implcita de "denegar cualquiera". Esto significa que, aunque la sentencia "denegar cualquiera" no se vea explcitamente en la ltima lnea de una ACL, est all.

Curso de Redes

11

Curso de Redes

12

Diagrama de flujo del proceso de comparacin de las ACL

Cuando la primera prueba indica que cumple la condicin, a un paquete se le deniega el acceso al destino. Se descarta y se elimina en la papelera de bits, y no se expone a ninguna de las pruebas de la ACL que siguen. Si el paquete no concuerda con las condiciones de la primera prueba, pasa a la siguiente sentencia de la ACL. Las ACL le permiten controlar lo que los clientes pueden acceder en la red. Las condiciones en un archivo de ACL pueden: Excluir ciertos hosts para permitir o denegar acceso a parte de su red Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.

Curso de Redes

13

Curso de Redes

14

Creacin de ACL
En la prctica, los comandos ACL pueden ser largas cadenas de caracteres. Entre las tareas clave para la creacin de ACL que se examinan en esta seccin se incluyen las siguientes: Las ACL se crean utilizando el modo de configuracin global. Al especificar un nmero ACL del 1 al 99 se instruye al router que debe aceptar las sentencias de las ACL estndar. Al especificar un nmero ACL del 100 al 199 se instruye al router para aceptar las sentencias de las ACL extendidas. Se deben seleccionar y ordenar lgicamente las ACL de forma muy cuidadosa. Los protocolos IP permitidos se deben especificar; todos los dems protocolos se deben denegar. Se deben seleccionar los protocolos IP que se deben verificar; todos los dems protocolos no se verifican. Ms adelante en el procedimiento, tambin se puede especificar un puerto destino opcional para mayor precisin. Agrupacin de ACL en interfaces Aunque cada protocolo tiene su propio conjunto de tareas especficas y reglas que se requieren para proporcionar filtrado de trfico, en general la mayora de los protocolos requieren los dos pasos bsicos. El primer paso es crear una definicin de ACL, y el segundo es aplicar la ACL a una interfaz. Las ACL se asignan a una o ms interfaces y pueden filtrar el trfico entrante o saliente, segn la configuracin. Las ACL salientes son generalmente ms eficientes que las entrantes, y por lo tanto siempre se prefieren. Un router con una ACL entrante debe verificar cada paquete para ver si cumple con la condicin de la ACL antes de conmutar el paquete a una interfaz saliente.

Curso de Redes

15

Asignacin de un nmero nico a cada ACL Al configurar las ACL en un router, se debe identificar cada ACL de forma exclusiva, asignando un nmero a la ACL del protocolo. Cuando se usa un nmero para identificar una ACL, el nmero debe estar dentro del intervalo especfico de nmeros que es vlido para el protocolo. Se pueden especificar ACL por nmeros para los protocolos enumerados para la tabla. La tabla tambin incluye el intervalo de nmeros de ACL que es vlido para cada protocolo. Despus de crear una ACL numerada, debe asignarla a una interfaz para poderla usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas, necesita eliminar todas las sentencias en la ACL numerada mediante el comando no access-list listnumber.

Curso de Redes

16

Curso de Redes

17

Propsito y funcin de los bits de la mscara wildcard

Una mscara wildcard es una cantidad de 32 bits que se divide en cuatro octetos, en la que cada octeto contiene 8 bits. Un bit de mscara wildcard de 0 significa "verificar el valor de bit correspondiente" y un bit 1 de una mscara wildcard significa "no verificar (ignorar) el valor de bit correspondiente". Una mscara wildcard se compara con una direccin IP. Los nmeros uno y cero se usan para identificar cmo tratar los bits de la direccin IP correspondientes. Las ACL usan mscaras wildcard para identificar una sola o mltiples direcciones para las pruebas de aprobar o rechazar. El trmino mscara wildcard es la denominacin aplicada al proceso de comparacin de bits de mscara y proviene de una analoga con el "wildcard" (comodn) que equivale a cualquier otro naipe en un juego de pquer. Aunque ambas son cantidades de 32 bits, las mscaras wildcard y las mscaras de subred IP operan de manera diferente. Recuerde que los ceros y unos en una mscara de subred determinan las porciones de red, subred y host de la direccin IP correspondientes. Los ceros y unos en un wildcard, como se ha observado, determinan si los bits correspondientes en la direccin IP se deben verificar o ignorar para los fines de la ACL.

Curso de Redes

18

Como hemos visto, los bits de ceros y unos en una mscara wildcard de ACL hacen que la ACL verifique o ignore el bit correspondiente en la direccin IP. En la figura, se aplica este proceso de mscara wildcard. Digamos que desea verificar una direccin IP para verificar la existencia de subredes que se pueden permitir o denegar. Supongamos que la direccin IP es una direccin Clase B (es decir, que los primeros dos octetos son el nmero de red) con 8 bits de divisin en subredes (el tercer octeto es para las subredes). Es necesario usar bits de mscara wildcard IP para permitir todos los paquetes desde cualquier host en las subredes 172.30.16.0 a 172.30.31.0. La figura muestra un ejemplo de cmo usar la mscara wildcard para hacer esto. Para empezar, la mscara wildcard verifica los primeros dos octetos (172.30), utilizando los bits de cero correspondientes en la mscara wildcard. Como no interesan las direcciones de host individuales (un identificador de host no tiene .00 al final de la direccin), la mscara wildcard ignora el octeto final, utilizando los bits unos correspondientes en la mscara wildcard.

Curso de Redes

19

En el tercer octeto, la mscara wildcard es 15 (00001111), y la direccin IP es 16 (00010000). Los primeros cuatro ceros en la mscara wildcard indican al router que debe comparar los primeros cuatro bits de la direccin IP (0001). Como los ltimos cuatro bits se ignoran, todos los nmeros dentro del intervalo de 16 (00010000) a 31 (00011111) coinciden porque comienzan con el patrn 0001. Para los cuatro bits finales (menos significativos) en este octeto, la mscara wildcard ignora el valor porque en estas posiciones, el valor de la direccin puede ser cero o uno binarios, y los bits wildcard correspondientes son unos. En este ejemplo, la direccin 172.30.16.0 con la mscara wildcard 0.0.15.255 coincide con las subredes 172.30.16.0 a 172.30.31.0. La mscara wildcard no coincide con ninguna otra subred.

Curso de Redes

20

Comando any

Trabajar con representaciones decimales de bits wildcard binarios puede ser una tarea muy tediosa. Para los usos ms comunes de las mscaras wildcard, se pueden usar abreviaturas. Estas abreviaturas reducen la cantidad de cosas que hay que escribir cuando se configuran condiciones de prueba de direcciones. Por ejemplo, supongamos que desea especificar que una prueba de ACL debe permitir cualquier direccin destino. Para indicar cualquier direccin IP, se debe introducir 0.0.0.0; luego, se debe indicar que la ACL debe ignorar (es decir, permitir sin verificar) cualquier valor, la mscara wildcard correspondiente para esta direccin debe ser de todos unos (es decir, 255.255.255.255). Se puede usar la abreviatura any para comunicar la misma condicin de prueba al software de ACL Cisco IOS. En lugar de escribir 0.0.0.0 255.255.255.255, se puede usar solamente la palabra any como palabra clave.

Curso de Redes

21

Curso de Redes

22

Comando host
Otra condicin comn en la que Cisco IOS permite una abreviatura en la mscara wildcard de ACL es cuando se desea que coincidan todos los bits de una direccin de host IP. Por ejemplo, supongamos que desea especificar que una prueba de ACL debe permitir una direccin de host IP especfica. Para indicar una direccin IP de host, debe introducir la direccin completa (por ejemplo: 172.30.16.29); luego, para indicar que la ACL debe verificar todos los bits en la direccin, la mscara wildcard correspondiente para esta direccin debe ser de todos ceros (es decir, 0.0.0.0). Se puede usar la abreviatura host para comunicar la misma condicin de prueba al software de ACL Cisco IOS. En el ejemplo, en lugar de escribir 172.30.16.29 0.0.0.0, se puede usar la palabra host frente a la direccin.
Por ejemplo, en lugar de usar esto: Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0 se puede usar esto: Router(config)# access-list 1 permit host 172.30.16.29

Curso de Redes

23

Curso de Redes

24

Qu son las ACL estndar

Se deben usar las ACL estndar cuando se desea bloquear todo el trfico de una red, permitir todo el trfico desde una red especfica o denegar conjuntos de protocolo. Las ACL estndar verifican la direccin origen de los paquetes que se deben enrutar. El resultado permite o deniega el resultado para todo un conjunto de protocolos, segn las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen de E0 para establecer la direccin origen y protocolo. Si se permiten, los paquetes salen a travs de S0, que se agrupa en la ACL. Si no se permite, se descarta.

Curso de Redes

25

Curso de Redes

26

Curso de Redes

27

Qu son las ACL extendidas

Las ACL extendidas se usan con mayor frecuencia para verificar condiciones porque ofrecen una mayor cantidad de opciones de control que las ACL estndar. Se puede usar una ACL extendida cuando se desea permitir el trfico de la Web pero denegar el Protocolo de transferencia de archivos (FTP) o telnet desde las redes que no pertenecen a la empresa. Las ACL extendidas verifican las direcciones origen y destino de los paquetes. Tambin pueden verificar protocolos, nmeros de puerto y otros parmetros especficos. Esto ofrece mayor flexibilidad para describir las verificaciones que debe realizar la ACL. Se pueden permitir o denegar paquetes segn su origen o destino. Por ejemplo, la ACL extendida puede permitir el trfico de correo electrnico desde E0 a destinos S0 especficos, denegando al mismo tiempo conexiones remotas o transferencias de archivos.

Curso de Redes

28

Supongamos que la interfaz E0 se ha agrupado a una ACL extendida. Esto significa que se utilizaron sentencias precisas y lgicas para crear la ACL. Antes de que un paquete pueda proceder a esta interfaz, es verificado por la ACL asociada con esa interfaz. De acuerdo con el resultado de las pruebas realizadas por la ACL extendida, el paquete se puede permitir o denegar. Para las listas entrantes, esto significa que los paquetes permitidos seguirn siendo procesados. Para las listas salientes, esto significa que los paquetes permitidos se enviarn directamente a E0. Si los resultados de las pruebas deniegan el permiso, se descarta el paquete. La ACL del router suministra control de firewall para denegar el uso de la interfaz E0. Cuando se descartan paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.

Curso de Redes

29

Para una sola ACL, se pueden definir mltiples sentencias. Cada una de estas sentencias debe hacer referencia al mismo nombre o nmero identificatorio, para relacionar las sentencias a la misma ACL. Se puede establecer cualquier cantidad de sentencias de condicin, con la nica limitacin de la memoria disponible. Por cierto, cuanto ms sentencias se establezcan, mayor ser la dificultad para comprender y administrar la ACL. Por lo tanto, la documentacin de las ACL evita la confusin. La ACL estndar (numerada del 1 al 99) probablemente no pueda ofrecerle el tipo de control de filtrado de trfico que se necesita. Las ACL estndar filtran el trfico segn una direccin y mscara origen. Las ACL estndar tambin pueden permitir o denegar todo el conjunto de protocolos Internet (IP). Puede ser necesario encontrar una forma ms precisa de control del trfico y el acceso. Para un control ms preciso de filtrado de trfico se usan las ACL extendidas. Las sentencias de las ACL extendidas verifican la direccin origen y destino. Adems, al final de la sentencia de la ACL extendida, se obtiene precisin adicional con un campo que especifica el nmero de puerto de protocolo opcional TCP o del Protocolo de datagrama del usuario (UDP). Estos pueden ser nmeros de puerto conocidos para TCP/IP. Algunos de los nmeros de puerto ms comunes aparecen en la figura . Se puede especificar la operacin lgica que la ACL extendida efectuar en protocolos especficos. Las ACL extendidas usan un nmero dentro del intervalo del 100 al 199.

Curso de Redes

30

Curso de Redes

31

Curso de Redes

32

Curso de Redes

33

Curso de Redes

34

Configuracin de las ACL nombradas

Las ACL nombradas permiten que las ACL IP estndar y extendidas se identifiquen con una cadena alfanumrica (nombre) en lugar de la representacin numrica actual (1 a 199). Las ACL nombradas se pueden usar para eliminar entradas individuales de una ACL especfica. Esto permite modificar sus ACL sin eliminarlas y luego reconfigurarlas. Se usan las ACL nombradas cuando: Se desea identificar intuitivamente las ACL utilizando un nombre alfanumrico. Existen ms de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado. Tenga en cuenta lo siguiente antes de implementar las ACL nombradas: Las ACL nombradas no son compatibles con las versiones de Cisco IOS anteriores a la versin 11.2. No se puede usar el mismo nombre para mltiples ACL. Adems, las ACL de diferentes tipos no pueden tener el mismo nombre. Por ejemplo, no es vlido especificar una ACL estndar llamada Jorge y una ACL extendida con el mismo nombre. Para nombrar la ACL, se utiliza el siguiente comando: Router(config)# ip access-list {standard | extended} name

Curso de Redes

35

En el modo de configuracin de ACL, se especifica una o ms condiciones de permitir o denegar. Esto determina si el paquete debe pasar o debe descartarse: Router(config {std| [source-wildcard] | any} o Router(config {std- | ext-}nacl)# [source-wildcard] | any}. permit {source ext-}nacl)# deny {source

La configuracin que aparece en la figura crea una ACL estndar denominada Internetfilter y una ACL extendida denominada marketing_group.

Curso de Redes

36

Se utiliza el comando de configuracin de ACL deny para establecer condiciones para una ACL nombrada. La sintaxis completa del comando es: deny {source [sourcewildcard] | any} Se usa la forma no de este comando para eliminar una condicin de denegar, utilizando la siguiente sintaxis:

no deny {source [source-wildcard] | any}

El ejemplo que aparece en la figura establece una condicin de denegar para una ACL estndar denominada Internetfilter:

Curso de Redes

37

Curso de Redes

38

Comando permit
Se utiliza el comando de configuracin de lista de acceso permit para establecer condiciones para una ACL nombrada estndar. La sintaxis completa del comando es: permit {source [source-wildcard] | any}[log] Se usa la forma no de este comando para eliminar una condicin de una ACL, utilizando la siguiente sintaxis: no permit {source [source-wildcard]| any} Se usa este comando en el modo de configuracin de lista de acceso, despus del comando ip access-list, para definir las condiciones bajo las cuales un paquete pasa por la ACL. El ejemplo siguiente es una ACL nombrada estndar denominada Internetfilter: ip access-list standard Internetfilter deny 192.5.34.0 0.0.0.255 permit 128.88.0.0 0.0.255.255 permit 36.0.0.0 0.255.255.255 !(Nota: cualquier otro acceso est implcitamente denegado)

Curso de Redes

39

En este ejemplo, las sentencias de permitir y denegar no tienen nmero, y no se elimina la prueba especfica de la ACL nombrada: Router(config {std- | ext-}nacl)# {permit | deny} {ip ACL test conditions} {permit | deny} {ip ACL test conditions} no {permit | deny} {ip ACL text conditions} Este ejemplo activa la ACL nombrada IP en una interfaz: Router(config-if)# ip access-group {name | 1-199 {in | out}} En la figura se muestra un ejemplo de resultado de configuracin.

Curso de Redes

40

Protocolos para los cuales se pueden crear las ACL

Las ACL pueden controlar la mayora de los protocolos en un router Cisco. Se introduce un nmero en el intervalo de nmeros de protocolo como el primer argumento de la sentencia ACL global. El router identifica cul es el software de ACL que se debe usar segn esta entrada numerada. Muchas ACL son posibles para un protocolo. Se selecciona un nmero diferente del intervalo de nmeros de protocolo para cada nueva ACL; sin embargo, se puede especificar slo una ACL por protocolo por interfaz. Para algunos protocolos, se pueden agrupar hasta dos ACL a una interfaz: una ACL entrante y una saliente. Con otros protocolos, se agrupa slo una ACL, que verifica los paquetes entrantes y salientes. Si la ACL es entrante, cuando el router recibe un paquete, el software Cisco IOS verifica las sentencias de condiciones de la ACL para buscar coincidencias. Si el paquete se permite, el software sigue procesando el paquete. Si el paquete se deniega, el software lo descarta colocndolo en la papelera de bits. Si la ACL es saliente, despus de recibir y enrutar un paquete a la interfaz saliente, el software verifica las sentencias de condiciones de la ACL para buscar coincidencias. Si el paquete se permite, el software lo transmite. Si el paquete se deniega, el software lo descarta envindolo a la papelera de bits

Curso de Redes

41

Curso de Redes

42

Regla: "Se colocan las ACL extendidas lo ms cerca posible del origen del trfico denegado"
Como vimos anteriormente, las ACL se utilizan para controlar el trfico filtrando paquetes y eliminando el trfico no deseado en un destino. Segn el lugar donde se ubique una sentencia de ACL, se puede reducir el trfico innecesario. El trfico que ser denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino. Supongamos que la poltica de una empresa busca denegar el trfico de telnet o FTP en el Router A a la LAN Ethernet conmutada en el puerto E1 del Router D. Al mismo tiempo, se debe permitir todo el trfico restante. Hay varias maneras de cumplir con esta poltica. El mtodo recomendado usa una ACL extendida. Especifica las direcciones origen y destino. Se coloca esta ACL extendida en el Router A. Entonces los paquetes no atraviesan la Ethernet del Router A, no atraviesan las interfaces seriales de los Routers B y C, y no entran al Router D. El trfico con direcciones diferentes origen y destino todava puede permitirse. La regla es colocar las ACL extendidas lo ms cerca posible del origen del trfico denegado. Las ACL estndar no especifican direcciones destino, de manera que se debe colocar la ACL estndar lo ms cerca posible del destino. Por ejemplo, se debe colocar una ACL estndar o extendida en E0 del Router D para evitar el trfico desde el Router A.

Curso de Redes

43

Uso de las ACL en routers firewall

Se deben utilizar ACL en routers firewall, que a menudo se sitan entre la red interna y una red externa, como Internet. El router firewall proporciona un punto de aislamiento, de manera que el resto de la estructura interna de la red no se vea afectada. Tambin se pueden usar las ACL en un router situado entre dos partes de la red a fin de controlar el trfico que entra o sale de una parte especfica de la red interna. Para aprovechar las ventajas de seguridad de las ACL, como mnimo se deben configurar las ACL en los routers fronterizos, que son routers situados en las fronteras de la red. Esto proporciona proteccin bsica con respecto a la red externa, u otra parte menos controlada de la red, para un rea ms privada de la red. En estos routers fronterizos, se pueden crear ACL para cada protocolo de red configurado en las interfaces del router. Se pueden configurar las ACL para que el trfico entrante, el trfico saliente, o ambos, sean filtrados en una interfaz.

Curso de Redes

44

Curso de Redes

45

Arquitectura de firewall para proteccin contra los intrusos Una arquitectura de firewall es una estructura que existe entre usted y el mundo exterior para protegerlo de los intrusos. En la mayora de los casos, los intrusos vienen de la Internet mundial y de los miles de redes remotas que interconecta. Normalmente, un firewall de red se compone de varias mquinas diferentes. En esta arquitectura, el router conectado a Internet (es decir, el router exterior) obliga todo el trfico entrante a pasar por el gateway de la aplicacin. El router conectado a la red interna (es decir, el router interior) acepta los paquetes slo del gateway de aplicacin. En efecto, el gateway controla la entrega de servicios basados en red que entran y salen de la red interna. Por ejemplo, slo ciertos usuarios pueden estar autorizados a comunicarse con Internet, o slo a ciertas aplicaciones se les puede permitir establecer conexiones entre un host interior y exterior. Si la nica aplicacin que se permite es el correo electrnico, entonces slo se permiten paquetes de correo electrnico a travs del router. Esto protege el gateway de aplicacin y evita que se supere su capacidad con paquetes que de otra manera se descartaran.

Curso de Redes

46

Curso de Redes

47

Verificacin de las ACL e interpretacin del resultado

El comando show ip interface muestra informacin de interfaz IP e indica si se ha establecido alguna ACL. El comando show access-lists muestra el contenido de todas las ACL. Cuando se introduce el nombre o nmero de una ACL como una opcin para este comando, aparece una lista especfica. Verificacin de las ACL