9.2. LOS FILTROS DE PAQUETES Como ilustraci6n concreta de los filtros de paquetes se puede ver la sintaxis de las Access Control Lists, o ACLs, de los encaminadores de Cisco Systems. Los hay de dos tipos: standard y extended] Las ACLs de tipo standard|estin compuestas de una serie de reglas ordenadas, cada una de las cuales solo usan, como criterio, la direccién IP origen del mensaje, y tienen _una sintaxis: router(config)# access-list N {permit/deny} direccién-IP-origen [mascara comodin] Hay que recordar, ade: dos puntos importantes, tanto para estas reglas (las standard) ___ como para las extended: 1. Al final de todas las reglas existe una mas (que no pone el administrador) implicita, que deniega el resto del trafico, que no coincide con alguna de las reglas de la ACL. Es la condicién de «todo lo demas negado por defecto» 2. Hay una serie de «palabras clave», que se pueden utilizar para hacer las reglas mas legibles. Por ejemplo, en lugar de 144.21.13.12 0.0.0.0, se puede escribir host 144.21.13.12, o en lugar de escribir 0.0.0.0 0.0.0.0, se puede escribir any. 3. El comando anterior solo sirve para construir la ACL, pero no la aplica a ninguna interfaz. Para ello, existe otro comando diferente. En el caso de Cisco, se debe pasar a lo que Cisco denomina|«modo de configuracion de | aplicar el comando ip access-group. La sintaxis es: router(config)# interface nombre-interface router(config-if)# ip access-group N [in/out]9.2. LOS FILTROS DE PAQUETES Por_«nombre-interface», se refiere a la sintaxis propia de Cisco, por ejemplo: «ethernet-0», N es el ntimero que identifica la ACL que se quiere asociar a la interfaz. Finalmente, para indicar que la ACL se aplica al traéfico entrante, se debe indicar «in» y si se aplica al trafico saliente se debe indicar «out». La siguiente figura muestra un ejemplo real de comandos ACLs Red HAZL0N Se quiere dejar pasar hacia dentro todo el trafico de las redes externas (mas alla de la interfaz ethemet-1) excepto el que venga de la red 144.21.0.0. La ACL seria: router(config)# access-list 1 deny 144.21.0.0 0.0.255.255 router(config)# access-list 1 permit any La segunda linea es obligatoria. Si no se tiene en cuenta, funcionaré la «por defecto» : access-list I deny any Para aplicarla a la interfaz ethernet-1, los comandos serfan: router(config)# interface ethernet-1 —*" router(config-if)# ip access-group 1 in filtrando asi, solamente, el trafico entrante. Red a proteger9.2. LOS FILTROS DE PAQUETES Las|ACLs de tipo extended, |comparten todas las demas caracterfsticas de las standard, pero tienen una sintaxis, atendiendo a que permiten filtrar utilizando muchos otros criterios: router(config)# access-list N [permit/deny] protocolo dir.IP-fuente [mascara comodin] [op puerto-fuente] dir.IP-destino [mascara comodin] [op puerto-destino] En este caso, N es un nimero entre 100 y 199, para indicar que es una lista extended, protocolo es la referencia al campo de ntimero de protocolo de la cabecera IP y op es un operador que permite indicar incluso hasta rangos de niimeros de puerto. De hecho, op puede ser: * It, indicando «menor que» * le, indicando «menor o igual que» * gt, indicando «mayor que» * ge, indicando «mayor o igual que» * eq, indicando «igual a» * ne, indicando «distinto a» * range, que permite expresar un rango de ntimeros. Si lo que se busca es que se cumpla la siguiente politica: + No dejar entrar tréfico Telnet externo. salvo de la direccién 155.15.1.1 + Permitir el trafico, del tipo que sea, de la direccién 133.11.1.3. * No dejar entrar trafico general salvo de la red 144.2 la lista de acceso seria: router(config)# access-list 101 permit ip host 133.1 1.1.3 any router(config)# access-list 101 permit tep 155.15.1 1.1 any eq 23 router(config)# access-list 101 permit ip 144.21.0.0 0.0.255.255 any e, igual que antes, Ia condicién implicita por defecto, no permite entrar mas trafico. w