Professional Documents
Culture Documents
Curso de Redes
Qu son las ACL Las ACL son listas de instrucciones que se aplican a una interfaz del router. Estas listas indican al router qu tipos de paquetes se deben aceptar y qu tipos de paquetes se deben denegar. La aceptacin y rechazo se pueden basar en ciertas especificaciones, como direccin origen, direccin destino y nmero de puerto. Las ACL le permiten administrar el trfico y examinar paquetes especficos, aplicando la ACL a una interfaz del router. Cualquier trfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL.
Curso de Redes
Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo Internet (IP) y el Intercambio de paquetes de internetwork (IPX), para filtrar los paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. Por ejemplo, en el Distrito Escolar Washington, las ACL se pueden usar para evitar que el trfico de los estudiantes pueda entrar a la red administrativa. Las ACL filtran el trfico de red controlando si los paquetes enrutados se envan o se bloquean en las interfaces del router. El router examina cada paquete para determinar si se debe enviar o descartar, segn las condiciones especificadas en la ACL. Entre las condiciones de las ACL se pueden incluir la direccin origen o destino del trfico, el protocolo de capa superior, u otra informacin.
Curso de Redes
Las ACL se deben definir por protocolo. En otras palabras, es necesario definir una ACL para cada protocolo habilitado en una interfaz si desea controlar el flujo de trfico para esa interfaz. (Observe que algunos protocolos se refieren a las ACL como filtros.) Por ejemplo, si su interfaz de router estuviera configurada para IP, AppleTalk e IPX, sera necesario definir por lo menos tres ACL. Las ACL se pueden utilizar como herramientas para el control de redes, agregando la flexibilidad necesaria para filtrar los paquetes que fluyen hacia adentro y hacia afuera de las interfaces del router.
Curso de Redes
Curso de Redes
Curso de Redes
Curso de Redes
Curso de Redes
Curso de Redes
10
Curso de Redes
11
Curso de Redes
12
Cuando la primera prueba indica que cumple la condicin, a un paquete se le deniega el acceso al destino. Se descarta y se elimina en la papelera de bits, y no se expone a ninguna de las pruebas de la ACL que siguen. Si el paquete no concuerda con las condiciones de la primera prueba, pasa a la siguiente sentencia de la ACL. Las ACL le permiten controlar lo que los clientes pueden acceder en la red. Las condiciones en un archivo de ACL pueden: Excluir ciertos hosts para permitir o denegar acceso a parte de su red Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.
Curso de Redes
13
Curso de Redes
14
Creacin de ACL
En la prctica, los comandos ACL pueden ser largas cadenas de caracteres. Entre las tareas clave para la creacin de ACL que se examinan en esta seccin se incluyen las siguientes: Las ACL se crean utilizando el modo de configuracin global. Al especificar un nmero ACL del 1 al 99 se instruye al router que debe aceptar las sentencias de las ACL estndar. Al especificar un nmero ACL del 100 al 199 se instruye al router para aceptar las sentencias de las ACL extendidas. Se deben seleccionar y ordenar lgicamente las ACL de forma muy cuidadosa. Los protocolos IP permitidos se deben especificar; todos los dems protocolos se deben denegar. Se deben seleccionar los protocolos IP que se deben verificar; todos los dems protocolos no se verifican. Ms adelante en el procedimiento, tambin se puede especificar un puerto destino opcional para mayor precisin. Agrupacin de ACL en interfaces Aunque cada protocolo tiene su propio conjunto de tareas especficas y reglas que se requieren para proporcionar filtrado de trfico, en general la mayora de los protocolos requieren los dos pasos bsicos. El primer paso es crear una definicin de ACL, y el segundo es aplicar la ACL a una interfaz. Las ACL se asignan a una o ms interfaces y pueden filtrar el trfico entrante o saliente, segn la configuracin. Las ACL salientes son generalmente ms eficientes que las entrantes, y por lo tanto siempre se prefieren. Un router con una ACL entrante debe verificar cada paquete para ver si cumple con la condicin de la ACL antes de conmutar el paquete a una interfaz saliente.
Curso de Redes
15
Asignacin de un nmero nico a cada ACL Al configurar las ACL en un router, se debe identificar cada ACL de forma exclusiva, asignando un nmero a la ACL del protocolo. Cuando se usa un nmero para identificar una ACL, el nmero debe estar dentro del intervalo especfico de nmeros que es vlido para el protocolo. Se pueden especificar ACL por nmeros para los protocolos enumerados para la tabla. La tabla tambin incluye el intervalo de nmeros de ACL que es vlido para cada protocolo. Despus de crear una ACL numerada, debe asignarla a una interfaz para poderla usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas, necesita eliminar todas las sentencias en la ACL numerada mediante el comando no access-list listnumber.
Curso de Redes
16
Curso de Redes
17
Curso de Redes
18
Como hemos visto, los bits de ceros y unos en una mscara wildcard de ACL hacen que la ACL verifique o ignore el bit correspondiente en la direccin IP. En la figura, se aplica este proceso de mscara wildcard. Digamos que desea verificar una direccin IP para verificar la existencia de subredes que se pueden permitir o denegar. Supongamos que la direccin IP es una direccin Clase B (es decir, que los primeros dos octetos son el nmero de red) con 8 bits de divisin en subredes (el tercer octeto es para las subredes). Es necesario usar bits de mscara wildcard IP para permitir todos los paquetes desde cualquier host en las subredes 172.30.16.0 a 172.30.31.0. La figura muestra un ejemplo de cmo usar la mscara wildcard para hacer esto. Para empezar, la mscara wildcard verifica los primeros dos octetos (172.30), utilizando los bits de cero correspondientes en la mscara wildcard. Como no interesan las direcciones de host individuales (un identificador de host no tiene .00 al final de la direccin), la mscara wildcard ignora el octeto final, utilizando los bits unos correspondientes en la mscara wildcard.
Curso de Redes
19
En el tercer octeto, la mscara wildcard es 15 (00001111), y la direccin IP es 16 (00010000). Los primeros cuatro ceros en la mscara wildcard indican al router que debe comparar los primeros cuatro bits de la direccin IP (0001). Como los ltimos cuatro bits se ignoran, todos los nmeros dentro del intervalo de 16 (00010000) a 31 (00011111) coinciden porque comienzan con el patrn 0001. Para los cuatro bits finales (menos significativos) en este octeto, la mscara wildcard ignora el valor porque en estas posiciones, el valor de la direccin puede ser cero o uno binarios, y los bits wildcard correspondientes son unos. En este ejemplo, la direccin 172.30.16.0 con la mscara wildcard 0.0.15.255 coincide con las subredes 172.30.16.0 a 172.30.31.0. La mscara wildcard no coincide con ninguna otra subred.
Curso de Redes
20
Comando any
Trabajar con representaciones decimales de bits wildcard binarios puede ser una tarea muy tediosa. Para los usos ms comunes de las mscaras wildcard, se pueden usar abreviaturas. Estas abreviaturas reducen la cantidad de cosas que hay que escribir cuando se configuran condiciones de prueba de direcciones. Por ejemplo, supongamos que desea especificar que una prueba de ACL debe permitir cualquier direccin destino. Para indicar cualquier direccin IP, se debe introducir 0.0.0.0; luego, se debe indicar que la ACL debe ignorar (es decir, permitir sin verificar) cualquier valor, la mscara wildcard correspondiente para esta direccin debe ser de todos unos (es decir, 255.255.255.255). Se puede usar la abreviatura any para comunicar la misma condicin de prueba al software de ACL Cisco IOS. En lugar de escribir 0.0.0.0 255.255.255.255, se puede usar solamente la palabra any como palabra clave.
Curso de Redes
21
Curso de Redes
22
Comando host
Otra condicin comn en la que Cisco IOS permite una abreviatura en la mscara wildcard de ACL es cuando se desea que coincidan todos los bits de una direccin de host IP. Por ejemplo, supongamos que desea especificar que una prueba de ACL debe permitir una direccin de host IP especfica. Para indicar una direccin IP de host, debe introducir la direccin completa (por ejemplo: 172.30.16.29); luego, para indicar que la ACL debe verificar todos los bits en la direccin, la mscara wildcard correspondiente para esta direccin debe ser de todos ceros (es decir, 0.0.0.0). Se puede usar la abreviatura host para comunicar la misma condicin de prueba al software de ACL Cisco IOS. En el ejemplo, en lugar de escribir 172.30.16.29 0.0.0.0, se puede usar la palabra host frente a la direccin.
Por ejemplo, en lugar de usar esto: Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0 se puede usar esto: Router(config)# access-list 1 permit host 172.30.16.29
Curso de Redes
23
Curso de Redes
24
Se deben usar las ACL estndar cuando se desea bloquear todo el trfico de una red, permitir todo el trfico desde una red especfica o denegar conjuntos de protocolo. Las ACL estndar verifican la direccin origen de los paquetes que se deben enrutar. El resultado permite o deniega el resultado para todo un conjunto de protocolos, segn las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen de E0 para establecer la direccin origen y protocolo. Si se permiten, los paquetes salen a travs de S0, que se agrupa en la ACL. Si no se permite, se descarta.
Curso de Redes
25
Curso de Redes
26
Curso de Redes
27
Las ACL extendidas se usan con mayor frecuencia para verificar condiciones porque ofrecen una mayor cantidad de opciones de control que las ACL estndar. Se puede usar una ACL extendida cuando se desea permitir el trfico de la Web pero denegar el Protocolo de transferencia de archivos (FTP) o telnet desde las redes que no pertenecen a la empresa. Las ACL extendidas verifican las direcciones origen y destino de los paquetes. Tambin pueden verificar protocolos, nmeros de puerto y otros parmetros especficos. Esto ofrece mayor flexibilidad para describir las verificaciones que debe realizar la ACL. Se pueden permitir o denegar paquetes segn su origen o destino. Por ejemplo, la ACL extendida puede permitir el trfico de correo electrnico desde E0 a destinos S0 especficos, denegando al mismo tiempo conexiones remotas o transferencias de archivos.
Curso de Redes
28
Supongamos que la interfaz E0 se ha agrupado a una ACL extendida. Esto significa que se utilizaron sentencias precisas y lgicas para crear la ACL. Antes de que un paquete pueda proceder a esta interfaz, es verificado por la ACL asociada con esa interfaz. De acuerdo con el resultado de las pruebas realizadas por la ACL extendida, el paquete se puede permitir o denegar. Para las listas entrantes, esto significa que los paquetes permitidos seguirn siendo procesados. Para las listas salientes, esto significa que los paquetes permitidos se enviarn directamente a E0. Si los resultados de las pruebas deniegan el permiso, se descarta el paquete. La ACL del router suministra control de firewall para denegar el uso de la interfaz E0. Cuando se descartan paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.
Curso de Redes
29
Para una sola ACL, se pueden definir mltiples sentencias. Cada una de estas sentencias debe hacer referencia al mismo nombre o nmero identificatorio, para relacionar las sentencias a la misma ACL. Se puede establecer cualquier cantidad de sentencias de condicin, con la nica limitacin de la memoria disponible. Por cierto, cuanto ms sentencias se establezcan, mayor ser la dificultad para comprender y administrar la ACL. Por lo tanto, la documentacin de las ACL evita la confusin. La ACL estndar (numerada del 1 al 99) probablemente no pueda ofrecerle el tipo de control de filtrado de trfico que se necesita. Las ACL estndar filtran el trfico segn una direccin y mscara origen. Las ACL estndar tambin pueden permitir o denegar todo el conjunto de protocolos Internet (IP). Puede ser necesario encontrar una forma ms precisa de control del trfico y el acceso. Para un control ms preciso de filtrado de trfico se usan las ACL extendidas. Las sentencias de las ACL extendidas verifican la direccin origen y destino. Adems, al final de la sentencia de la ACL extendida, se obtiene precisin adicional con un campo que especifica el nmero de puerto de protocolo opcional TCP o del Protocolo de datagrama del usuario (UDP). Estos pueden ser nmeros de puerto conocidos para TCP/IP. Algunos de los nmeros de puerto ms comunes aparecen en la figura . Se puede especificar la operacin lgica que la ACL extendida efectuar en protocolos especficos. Las ACL extendidas usan un nmero dentro del intervalo del 100 al 199.
Curso de Redes
30
Curso de Redes
31
Curso de Redes
32
Curso de Redes
33
Curso de Redes
34
Las ACL nombradas permiten que las ACL IP estndar y extendidas se identifiquen con una cadena alfanumrica (nombre) en lugar de la representacin numrica actual (1 a 199). Las ACL nombradas se pueden usar para eliminar entradas individuales de una ACL especfica. Esto permite modificar sus ACL sin eliminarlas y luego reconfigurarlas. Se usan las ACL nombradas cuando: Se desea identificar intuitivamente las ACL utilizando un nombre alfanumrico. Existen ms de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado. Tenga en cuenta lo siguiente antes de implementar las ACL nombradas: Las ACL nombradas no son compatibles con las versiones de Cisco IOS anteriores a la versin 11.2. No se puede usar el mismo nombre para mltiples ACL. Adems, las ACL de diferentes tipos no pueden tener el mismo nombre. Por ejemplo, no es vlido especificar una ACL estndar llamada Jorge y una ACL extendida con el mismo nombre. Para nombrar la ACL, se utiliza el siguiente comando: Router(config)# ip access-list {standard | extended} name
Curso de Redes
35
En el modo de configuracin de ACL, se especifica una o ms condiciones de permitir o denegar. Esto determina si el paquete debe pasar o debe descartarse: Router(config {std| [source-wildcard] | any} o Router(config {std- | ext-}nacl)# [source-wildcard] | any}. permit {source ext-}nacl)# deny {source
La configuracin que aparece en la figura crea una ACL estndar denominada Internetfilter y una ACL extendida denominada marketing_group.
Curso de Redes
36
Se utiliza el comando de configuracin de ACL deny para establecer condiciones para una ACL nombrada. La sintaxis completa del comando es: deny {source [sourcewildcard] | any} Se usa la forma no de este comando para eliminar una condicin de denegar, utilizando la siguiente sintaxis:
El ejemplo que aparece en la figura establece una condicin de denegar para una ACL estndar denominada Internetfilter:
Curso de Redes
37
Curso de Redes
38
Comando permit
Se utiliza el comando de configuracin de lista de acceso permit para establecer condiciones para una ACL nombrada estndar. La sintaxis completa del comando es: permit {source [source-wildcard] | any}[log] Se usa la forma no de este comando para eliminar una condicin de una ACL, utilizando la siguiente sintaxis: no permit {source [source-wildcard]| any} Se usa este comando en el modo de configuracin de lista de acceso, despus del comando ip access-list, para definir las condiciones bajo las cuales un paquete pasa por la ACL. El ejemplo siguiente es una ACL nombrada estndar denominada Internetfilter: ip access-list standard Internetfilter deny 192.5.34.0 0.0.0.255 permit 128.88.0.0 0.0.255.255 permit 36.0.0.0 0.255.255.255 !(Nota: cualquier otro acceso est implcitamente denegado)
Curso de Redes
39
En este ejemplo, las sentencias de permitir y denegar no tienen nmero, y no se elimina la prueba especfica de la ACL nombrada: Router(config {std- | ext-}nacl)# {permit | deny} {ip ACL test conditions} {permit | deny} {ip ACL test conditions} no {permit | deny} {ip ACL text conditions} Este ejemplo activa la ACL nombrada IP en una interfaz: Router(config-if)# ip access-group {name | 1-199 {in | out}} En la figura se muestra un ejemplo de resultado de configuracin.
Curso de Redes
40
Las ACL pueden controlar la mayora de los protocolos en un router Cisco. Se introduce un nmero en el intervalo de nmeros de protocolo como el primer argumento de la sentencia ACL global. El router identifica cul es el software de ACL que se debe usar segn esta entrada numerada. Muchas ACL son posibles para un protocolo. Se selecciona un nmero diferente del intervalo de nmeros de protocolo para cada nueva ACL; sin embargo, se puede especificar slo una ACL por protocolo por interfaz. Para algunos protocolos, se pueden agrupar hasta dos ACL a una interfaz: una ACL entrante y una saliente. Con otros protocolos, se agrupa slo una ACL, que verifica los paquetes entrantes y salientes. Si la ACL es entrante, cuando el router recibe un paquete, el software Cisco IOS verifica las sentencias de condiciones de la ACL para buscar coincidencias. Si el paquete se permite, el software sigue procesando el paquete. Si el paquete se deniega, el software lo descarta colocndolo en la papelera de bits. Si la ACL es saliente, despus de recibir y enrutar un paquete a la interfaz saliente, el software verifica las sentencias de condiciones de la ACL para buscar coincidencias. Si el paquete se permite, el software lo transmite. Si el paquete se deniega, el software lo descarta envindolo a la papelera de bits
Curso de Redes
41
Curso de Redes
42
Regla: "Se colocan las ACL extendidas lo ms cerca posible del origen del trfico denegado"
Como vimos anteriormente, las ACL se utilizan para controlar el trfico filtrando paquetes y eliminando el trfico no deseado en un destino. Segn el lugar donde se ubique una sentencia de ACL, se puede reducir el trfico innecesario. El trfico que ser denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino. Supongamos que la poltica de una empresa busca denegar el trfico de telnet o FTP en el Router A a la LAN Ethernet conmutada en el puerto E1 del Router D. Al mismo tiempo, se debe permitir todo el trfico restante. Hay varias maneras de cumplir con esta poltica. El mtodo recomendado usa una ACL extendida. Especifica las direcciones origen y destino. Se coloca esta ACL extendida en el Router A. Entonces los paquetes no atraviesan la Ethernet del Router A, no atraviesan las interfaces seriales de los Routers B y C, y no entran al Router D. El trfico con direcciones diferentes origen y destino todava puede permitirse. La regla es colocar las ACL extendidas lo ms cerca posible del origen del trfico denegado. Las ACL estndar no especifican direcciones destino, de manera que se debe colocar la ACL estndar lo ms cerca posible del destino. Por ejemplo, se debe colocar una ACL estndar o extendida en E0 del Router D para evitar el trfico desde el Router A.
Curso de Redes
43
Se deben utilizar ACL en routers firewall, que a menudo se sitan entre la red interna y una red externa, como Internet. El router firewall proporciona un punto de aislamiento, de manera que el resto de la estructura interna de la red no se vea afectada. Tambin se pueden usar las ACL en un router situado entre dos partes de la red a fin de controlar el trfico que entra o sale de una parte especfica de la red interna. Para aprovechar las ventajas de seguridad de las ACL, como mnimo se deben configurar las ACL en los routers fronterizos, que son routers situados en las fronteras de la red. Esto proporciona proteccin bsica con respecto a la red externa, u otra parte menos controlada de la red, para un rea ms privada de la red. En estos routers fronterizos, se pueden crear ACL para cada protocolo de red configurado en las interfaces del router. Se pueden configurar las ACL para que el trfico entrante, el trfico saliente, o ambos, sean filtrados en una interfaz.
Curso de Redes
44
Curso de Redes
45
Arquitectura de firewall para proteccin contra los intrusos Una arquitectura de firewall es una estructura que existe entre usted y el mundo exterior para protegerlo de los intrusos. En la mayora de los casos, los intrusos vienen de la Internet mundial y de los miles de redes remotas que interconecta. Normalmente, un firewall de red se compone de varias mquinas diferentes. En esta arquitectura, el router conectado a Internet (es decir, el router exterior) obliga todo el trfico entrante a pasar por el gateway de la aplicacin. El router conectado a la red interna (es decir, el router interior) acepta los paquetes slo del gateway de aplicacin. En efecto, el gateway controla la entrega de servicios basados en red que entran y salen de la red interna. Por ejemplo, slo ciertos usuarios pueden estar autorizados a comunicarse con Internet, o slo a ciertas aplicaciones se les puede permitir establecer conexiones entre un host interior y exterior. Si la nica aplicacin que se permite es el correo electrnico, entonces slo se permiten paquetes de correo electrnico a travs del router. Esto protege el gateway de aplicacin y evita que se supere su capacidad con paquetes que de otra manera se descartaran.
Curso de Redes
46
Curso de Redes
47
El comando show ip interface muestra informacin de interfaz IP e indica si se ha establecido alguna ACL. El comando show access-lists muestra el contenido de todas las ACL. Cuando se introduce el nombre o nmero de una ACL como una opcin para este comando, aparece una lista especfica. Verificacin de las ACL