Qué son las ACL
Las ACL son listas de instrucciones que se aplican a una interfaz del router. Estas listas indican al router qué tipos de paquetes se deben aceptar y qué tipos de paquetes se deben denegar. La aceptación y rechazo se pueden basar en ciertas especificaciones, como dirección origen, dirección destino y número de puerto. Las ACL le permiten administrar el tráfico y examinar paquetes específicos, aplicando la ACL a una interfaz del router. Cualquier tráfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL.
Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo Internet (IP) y el Intercambio de paquetes de internetwork (IPX), para filtrar los paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. Por ejemplo, en el Distrito Escolar Washington, las ACL se pueden usar para evitar que el tráfico de los estudiantes pueda entrar a la red administrativa.
Las ACL filtran el tráfico de red controlando si los paquetes enrutados se envían o se bloquean en las interfaces del router. El router examina cada paquete para determinar si se debe enviar o descartar, según las condiciones especificadas en la ACL. Entre las condiciones de las ACL se pueden incluir la dirección origen o destino del tráfico, el protocolo de capa superior, u otra información.
Las ACL se deben definir por protocolo. En otras palabras, es necesario definir una ACL para cada protocolo habilitado en una interfaz si desea controlar el flujo de tráfico para esa interfaz. (Observe que algunos protocolos se refieren a las ACL como filtros.) Por ejemplo, si su interfaz de router estuviera configurada para IP, AppleTalk e IPX, sería necesario definir por lo menos tres ACL. Las ACL se pueden utilizar como herramientas para el control de redes, agregando la flexibilidad necesaria para filtrar los paquetes que fluyen hacia adentro y hacia afuera de las interfaces del router.
Estudio guiado de caso
Proyecto Washington: Requisitos de seguridad
El diseño LAN para todas las escuelas del Distrito Escolar Washington requiere que cada escuela tenga dos redes: una para el currículum y la otra para administración. Cada segmento exclusivo de LAN se debe conectar a un puerto Ethernet separado en el router para brindar servicios a esa LAN. Estos routers existen: busque en http://www.cisco.com para más información. Como parte de la solución de seguridad, necesita desarrollar una ACL para el router de acceso al sitio local que deniegue acceso a los usuarios del segmento de LAN del currículum al segmento de LAN administrativo, otorgando al mismo tiempo acceso completo de la LAN administrativa al segmento de LAN del currículum.
Una excepción a esta ACL es que el router debe pasar cualquier tráfico de Sistema de nombres de dominio (DNS) o de correo electrónico al servidor DNS/correo electrónico, que se ubica en el segmento de la LAN de administración. Este es tráfico que se origina en la LAN a la que acceden los estudiantes. Por lo tanto, si un estudiante está navegando en la Web y necesita el servidor DNS para resolver nombres de host, esta ACL permite la resolución de nombres de host. Además, esta ACL permite que los estudiantes envíen y reciban correo electrónico.
Razones para el uso de ACL
Hay muchas razones para crear ACL. Por ejemplo, las ACL se pueden usar para:
Limitar el tráfico de red y mejorar el rendimiento de la red. Por ejemplo, las ACL pueden designar ciertos paquetes para que un router los procese antes de procesar otro tipo de tráfico, según el protocolo. Esto se denomina colocación en cola, que asegura que los routers no procesarán paquetes que no son necesarios. Como resultado, la colocación en cola limita el tráfico de red y reduce la congestión.
Brindar control de flujo de tráfico. Por ejemplo, las ACL pueden restringir o reducir el contenido de las actualizaciones de enrutamiento. Estas restricciones se usan para limitar la propagación de la información acerca de redes específicas por toda la red.
Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. Al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le deniega el acceso a dicha red. Si no se configuran ACL en su router, todos los paquetes que pasan a través del router supuestamente tendrían acceso permitido a todas las partes de la red.
Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Por ejemplo, se puede permitir que se enrute el tráfico de correo electrónico, pero bloquear al mismo tiempo todo el tráfico de telnet.
Estudio guiado de caso
Proyecto Washington: Uso de las ACL
Cuando se usan ACL en los routers de acceso al sitio local, todo el tráfico desde la LAN del currículum se debe prohibir en la LAN de la administración. Se pueden establecer excepciones a este requisito, permitiendo que ciertas aplicaciones, tales como los servicios de correo electrónico o de directorio, pasen libremente porque el riesgo que presentan es mínimo.
Es necesario que en todo el distrito haya acceso al correo electrónico y DNS, y estos tipos de servicios no deben permitir el acceso no autorizado a la red de administración. Todas las ACL creadas deben controlarse en la oficina de distrito, y es necesario revisar las excepciones a las ACL antes de su implementación.
Prueba de paquetes con ACL
El orden en el que se ubican las sentencias de la ACL es importante. Cuando el router está decidiendo si desea enviar o bloquear un paquete, el software del Sistema Operativo de Internetworking de Cisco (IOS) prueba el paquete, verificando si cumple o no cada sentencia de condición, en el orden en que se crearon las sentencias.
Nota: Una vez que se verifica que existe una coincidencia, no se verifican otras sentencias de condición.
Si se crea una sentencia de condición que permita todo el tráfico, no se verificará ninguna sentencia agregada más adelante. Si necesita sentencias adicionales, en una ACL estándar o extendida se debe eliminar la ACL y volver a crearla con las nuevas sentencias de condiciones. Es por este motivo que es una buena idea editar una configuración de router en un PC con un editor de texto y luego enviarla al router usando el Protocolo de transferencia de archivos trivial (TFTP).
Puede crear una ACL para cada protocolo que desea filtrar para cada interfaz de router. Para algunos protocolos, se crea una ACL para filtrar el tráfico entrante, y otra para filtrar el tráfico saliente.
Funcionamiento de las ACL
Una ACL es un grupo de sentencias que define cómo los paquetes:
Entran a las interfaces de entrada
Se reenvían a través del router
Salen de las interfaces de salida del router
El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o no. Cuando un paquete entra en una interfaz, el router verifica si un paquete es enrutable o puenteable. Ahora, el router verifica si la interfaz de entrada tiene una ACL. Si existe, ahora se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete es permitido, entonces se compara con las entradas de la tabla de enrutamiento para determinar la interfaz destino.
A continuación, el router verifica si la interfaz destino tiene una ACL. Si no la tiene, el paquete puede ser enviado directamente a la interfaz destino; por ejemplo, si usa E0, que no tiene ACL, el paquete usa E0 directamente.
Las sentencias de la ACL operan en orden secuencial lógico. Si se cumple una condición, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si las sentencias de la ACL no se verifican, se impone una sentencia implícita de «denegar cualquiera». Esto significa que, aunque la sentencia «denegar cualquiera» no se vea explícitamente en la última línea de una ACL, está allí.
6.1.5 Diagrama de flujo del proceso de comparación de las ACL
Cuando la primera prueba indica que cumple la condición, a un paquete se le deniega el acceso al destino. Se descarta y se elimina en la papelera de bits, y no se expone a ninguna de las pruebas de la ACL que siguen. Si el paquete no concuerda con las condiciones de la primera prueba, pasa a la siguiente sentencia de la ACL.
Las ACL le permiten controlar lo que los clientes pueden acceder en la red. Las condiciones en un archivo de ACL pueden:
Excluir ciertos hosts para permitir o denegar acceso a parte de su red
Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.
Estudio guiado de caso
Proyecto Washington: Permiso del usuario
Es necesario implementar una política de identificador y contraseña para todos los computadores del distrito. Esta política se debe publicar y aplicar estrictamente. Finalmente, debe asegurarse de que todos los computadores en la red del distrito tengan pleno acceso a Internet.
Tareas de configuración de las ACL
Creación de ACL
En la práctica, los comandos ACL pueden ser largas cadenas de caracteres. Entre las tareas clave para la creación de ACL que se examinan en esta sección se incluyen las siguientes:
Las ACL se crean utilizando el modo de configuración global.
Al especificar un número ACL del 1 al 99 se instruye al router que debe aceptar las sentencias de las ACL estándar. Al especificar un número ACL del 100 al 199 se instruye al router para aceptar las sentencias de las ACL extendidas.
Se deben seleccionar y ordenar lógicamente las ACL de forma muy cuidadosa. Los protocolos IP permitidos se deben especificar; todos los demás protocolos se deben denegar.
Se deben seleccionar los protocolos IP que se deben verificar; todos los demás protocolos no se verifican. Más adelante en el procedimiento, también se puede especificar un puerto destino opcional para mayor precisión.
Agrupación de ACL en interfaces
Aunque cada protocolo tiene su propio conjunto de tareas específicas y reglas que se requieren para proporcionar filtrado de tráfico, en general la mayoría de los protocolos requieren los dos pasos básicos. El primer paso es crear una definición de ACL, y el segundo es aplicar la ACL a una interfaz.
Las ACL se asignan a una o más interfaces y pueden filtrar el tráfico entrante o saliente, según la configuración. Las ACL salientes son generalmente más eficientes que las entrantes, y por lo tanto siempre se prefieren. Un router con una ACL entrante debe verificar cada paquete para ver si cumple con la condición de la ACL antes de conmutar el paquete a una interfaz saliente.
Asignación de un número único a cada ACL
Al configurar las ACL en un router, se debe identificar cada ACL de forma exclusiva, asignando un número a la ACL del protocolo. Cuando se usa un número para identificar una ACL, el número debe estar dentro del intervalo específico de números que es válido para el protocolo.
Se pueden especificar ACL por números para los protocolos enumerados para la tabla. La tabla también incluye el intervalo de números de ACL que es válido para cada protocolo.
Después de crear una ACL numerada, debe asignarla a una interfaz para poderla usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas, necesita eliminar todas las sentencias en la ACL numerada mediante el comando no access-list list-number.
Diario de ingeniería
Ejemplo de configuración de ACL numerada
Propósito y función de los bits de la máscara wildcard
Una máscara wildcard es una cantidad de 32 bits que se divide en cuatro octetos, en la que cada octeto contiene 8 bits. Un bit de máscara wildcard de 0 significa «verificar el valor de bit correspondiente» y un bit 1 de una máscara wildcard significa «no verificar (ignorar) el valor de bit correspondiente».
Una máscara wildcard se compara con una dirección IP. Los números uno y cero se usan para identificar cómo tratar los bits de la dirección IP correspondientes. Las ACL usan máscaras wildcard para identificar una sola o múltiples direcciones para las pruebas de aprobar o rechazar. El término máscara wildcard es la denominación aplicada al proceso de comparación de bits de máscara y proviene de una analogía con el «wildcard» (comodín) que equivale a cualquier otro naipe en un juego de póquer.
Aunque ambas son cantidades de 32 bits, las máscaras wildcard y las máscaras de subred IP operan de manera diferente. Recuerde que los ceros y unos en una máscara de subred determinan las porciones de red, subred y host de la dirección IP correspondientes. Los ceros y unos en un wildcard, como se ha observado, determinan si los bits correspondientes en la dirección IP se deben verificar o ignorar para los fines de la ACL.
Como hemos visto, los bits de ceros y unos en una máscara wildcard de ACL hacen que la ACL verifique o ignore el bit correspondiente en la dirección IP. En la figura, se aplica este proceso de máscara wildcard.
Digamos que desea verificar una dirección IP para verificar la existencia de subredes que se pueden permitir o denegar. Supongamos que la dirección IP es una dirección Clase B (es decir, que los primeros dos octetos son el número de red) con 8 bits de división en subredes (el tercer octeto es para las subredes). Es necesario usar bits de máscara wildcard IP para permitir todos los paquetes desde cualquier host en las subredes 172.30.16.0 a 172.30.31.0. La figura muestra un ejemplo de cómo usar la máscara wildcard para hacer esto.
Para empezar, la máscara wildcard verifica los primeros dos octetos (172.30), utilizando los bits de cero correspondientes en la máscara wildcard. Como no interesan las direcciones de host individuales (un identificador de host no tiene .00 al final de la dirección), la máscara wildcard ignora el octeto final, utilizando los bits unos correspondientes en la máscara wildcard.
En el tercer octeto, la máscara wildcard es 15 (00001111), y la dirección IP es 16 (00010000). Los primeros cuatro ceros en la máscara wildcard indican al router que debe comparar los primeros cuatro bits de la dirección IP (0001). Como los últimos cuatro bits se ignoran, todos los números dentro del intervalo de 16 (00010000) a 31 (00011111) coinciden porque comienzan con el patrón 0001. Para los cuatro bits finales (menos significativos) en este octeto, la máscara wildcard ignora el valor porque en estas posiciones, el valor de la dirección puede ser cero o uno binarios, y los bits wildcard correspondientes son unos. En este ejemplo, la dirección 172.30.16.0 con la máscara wildcard 0.0.15.255 coincide con las subredes 172.30.16.0 a 172.30.31.0. La máscara wildcard no coincide con ninguna otra subred.
Comando any
Trabajar con representaciones decimales de bits wildcard binarios puede ser una tarea muy tediosa. Para los usos más comunes de las máscaras wildcard, se pueden usar abreviaturas. Estas abreviaturas reducen la cantidad de cosas que hay que escribir cuando se configuran condiciones de prueba de direcciones. Por ejemplo, supongamos que desea especificar que una prueba de ACL debe permitir cualquier dirección destino. Para indicar cualquier dirección IP, se debe introducir 0.0.0.0; luego, se debe indicar que la ACL debe ignorar (es decir, permitir sin verificar) cualquier valor, la máscara wildcard correspondiente para esta dirección debe ser de todos unos (es decir, 255.255.255.255). Se puede usar la abreviatura any para comunicar la misma condición de prueba al software de ACL Cisco IOS. En lugar de escribir 0.0.0.0 255.255.255.255, se puede usar solamente la palabra any como palabra clave.
Por ejemplo, en lugar de usar esto:
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
se puede usar esto:
Router (config) # access-list 1 permit any
Comando host
Otra condición común en la que Cisco IOS permite una abreviatura en la máscara wildcard de ACL es cuando se desea que coincidan todos los bits de una dirección de host IP. Por ejemplo, supongamos que desea especificar que una prueba de ACL debe permitir una dirección de host IP específica. Para indicar una dirección IP de host, debe introducir la dirección completa (por ejemplo: 172.30.16.29); luego, para indicar que la ACL debe verificar todos los bits en la dirección, la máscara wildcard correspondiente para esta dirección debe ser de todos ceros (es decir, 0.0.0.0). Se puede usar la abreviatura host para comunicar la misma condición de prueba al software de ACL Cisco IOS. En el ejemplo, en lugar de escribir 172.30.16.29 0.0.0.0, se puede usar la palabra host frente a la dirección.
Por ejemplo, en lugar de usar esto:
Router (config)# access-list 1 permit 172.30.16.29 0.0.0.0
Se puede usar esto:
Router (config)# access-list 1 permit host 172.30.16.29
ACL estándar
Qué son las ACL estándar
Se deben usar las ACL estándar cuando se desea bloquear todo el tráfico de una red, permitir todo el tráfico desde una red específica o denegar conjuntos de protocolo. Las ACL estándar verifican la dirección origen de los paquetes que se deben enrutar. El resultado permite o deniega el resultado para todo un conjunto de protocolos, según las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen de E0 para establecer la dirección origen y protocolo. Si se permiten, los paquetes salen a través de S0, que se agrupa en la ACL. Si no se permite, se descarta.
Escribir un comando de ACL estándar válido utilizando todos los parámetros disponibles
Como hemos aprendido, se usa la versión estándar del comando de configuración global access-list para definir una ACL estándar con un número. Este comando se usa en el modo de comando de configuración global.
La sintaxis completa del comando es
Router(config)# access-list access-list-number {deny | permit} source
[log]
Se usa la forma no de este comando para eliminar una ACL estándar. Esta es la sintaxis:
Router(config)# no access-list access-list-number
La tabla muestra descripciones de los parámetros utilizados en esta sintaxis.
Cómo se verifican las listas de acceso
Se usa el comando EXEC show access-lists para mostrar el contenido de todas las ACL. Además, se usa el comando EXEC show access-lists seguido del nombre o número de una ACL para mostrar el contenido de una ACL. El siguiente ejemplo de una ACL estándar permite el acceso para los hosts en las tres redes especificadas:
access-list 1 permit 192.5.34.0 0.0.0.255
access-list 1 permit 128.88.0.0 0.0.255.255
access-list 1 permit 36.0.0.0 0.255.255.255
! (Nota: cualquier otro acceso está implícitamente denegado)
En el ejemplo, los bits wildcard se aplican a las porciones de host de las direcciones de red. Cualquier host con una dirección origen que no concuerde con las sentencias de la ACL será rechazado. Para especificar un gran número de direcciones individuales con mayor facilidad, se puede omitir el wildcard si se compone de sólo ceros. De esta manera, los siguientes dos comandos de configuración tienen el mismo efecto:
Access-list 2 permit 36.48.0.3
Access-list 2 permit 36.48.0.3 0.0.0.0
El comando ip access-group agrupa una ACL existente a una interfaz. Recuerde que sólo se permite una ACL por puerto por protocolo por dirección. El formato Del comando es:
Router (config-if) #ip access-group access-list-number {in | out}
6.3.4 Qué son las ACL estándar
En este ejemplo, la ACL sólo permite que se envíe el tráfico desde la red origen 172.16.0.0. El tráfico que no es de 172.16.0.0 se bloquea. El ejemplo muestra cómo la ACL sólo permite que se envíe el tráfico desde la red origen 172.16.0.0 y que se bloquee el que no es de 172.16.0.0.
También se muestra en el ejemplo cómo el comando ip access-group 1 out agrupa la ACL en una interfaz saliente.
<strong>Permitir el tráfico desde la red origen 172.16.0.0</strong>
access-list 1 permit 172.16.0.0 0.0.255.255
(deny any está implícito – no visible en la lista)
(access-list 1 deny 0.0.0.0 255.255.255.255)
interface Ethernet 0
ip access-group 1 out
interface Ethernet 1
Ip access-group 1 out
Escribir una ACL estándar para denegar un host específico
El ejemplo siguiente muestra cómo se designó una ACL para bloquear el tráfico proveniente de una dirección específica, 172.16.4.13, y para permitir que todo el tráfico restante sea enviado en la interfaz Ethernet 0. El primer comando access-list usa el parámetro deny para denegar el tráfico del host identificado. La máscara de dirección 0.0.0.0 en esta línea requiere que en la prueba coincidan todos los bits.
En el segundo comando access-list la combinación de máscara wildcard / dirección IP 0.0.0.0 255.255.255.255 identifica el tráfico de cualquier origen. Esta combinación también se puede escribir utilizando la palabra clave any. Una dirección de sólo ceros indica un valor introducido por el usuario, y sólo unos en la máscara indican que los 32 bits no se verificarán en la dirección origen. Cualquier paquete que no coincida con la primera línea de la ACL coincidirá con la segunda y se enviará.
Denegar un host específico
access-list 1 deny host 172.16.4.13 0.0.0.0
access-list 1 permit 0.0.0.0 255.255.255.255
(deny any implícito)
(access-list 1 deny 0.0.0.0 255.255.255.255)
interface ethernet 0
ip access-group 1 out
<strong>Escribir una ACL estándar para denegar una subred específica</strong>
El ejemplo muestra cómo una ACL está diseñada para bloquear el tráfico desde una subred específica, 172.16.4.0, y para permitir que el resto del tráfico sea enviado. Observe la máscara wildcard, 0.0.0.255: Los ceros en los primeros tres octetos indican que estos bits se probarán para verificar la existencia de coincidencias, mientras que el último octeto de sólo unos indica una condición de "no importa" para la comparación del último octeto de la dirección IP (la porción del host). Observe también que la abreviatura any ha sido usada para la dirección IP del origen.
Denegar una subred específica
(access-list 1 deny) 172.16.4.0 0.0.0.255
access-list 1 permit any
(deny any implícito)
(access-list 1 deny any)
interface ethernet 0
ip access-group 1 out
Actividad de laboratorio interactiva (Flash, 514 kB)
Antes de realizar la actividad de laboratorio propiamente dicha, le recomendamos que lleve a cabo esta actividad preparatoria para probar su conocimiento de la sintaxis de comando de las Listas de control de acceso estándar (ACL).
Actividad de laboratorio
En esta práctica de laboratorio se trabaja con Listas de control de acceso estándar (ACL) para regular el tráfico que se permite pasar a través de un router según el origen, ya sea un host específico (normalmente una estación de trabajo o servidor) o una red completa (cualquier host o servidor en esa red).
<strong>ACL extendidas</strong>
<strong>Qué son las ACL extendidas</strong>
Las ACL extendidas se usan con mayor frecuencia para verificar condiciones porque ofrecen una mayor cantidad de opciones de control que las ACL estándar. Se puede usar una ACL extendida cuando se desea permitir el tráfico de la Web pero denegar el Protocolo de transferencia de archivos (FTP) o telnet desde las redes que no pertenecen a la empresa. Las ACL extendidas verifican las direcciones origen y destino de los paquetes. También pueden verificar protocolos, números de puerto y otros parámetros específicos. Esto ofrece mayor flexibilidad para describir las verificaciones que debe realizar la ACL. Se pueden permitir o denegar paquetes según su origen o destino. Por ejemplo, la ACL extendida puede permitir el tráfico de correo electrónico desde E0 a destinos S0 específicos, denegando al mismo tiempo conexiones remotas o transferencias de archivos.
Supongamos que la interfaz E0 se ha agrupado a una ACL extendida. Esto significa que se utilizaron sentencias precisas y lógicas para crear la ACL. Antes de que un paquete pueda proceder a esta interfaz, es verificado por la ACL asociada con esa interfaz.
De acuerdo con el resultado de las pruebas realizadas por la ACL extendida, el paquete se puede permitir o denegar. Para las listas entrantes, esto significa que los paquetes permitidos seguirán siendo procesados. Para las listas salientes, esto significa que los paquetes permitidos se enviarán directamente a E0. Si los resultados de las pruebas deniegan el permiso, se descarta el paquete. La ACL del router suministra control de firewall para denegar el uso de la interfaz E0. Cuando se descartan paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.
Para una sola ACL, se pueden definir múltiples sentencias. Cada una de estas sentencias debe hacer referencia al mismo nombre o número identificatorio, para relacionar las sentencias a la misma ACL. Se puede establecer cualquier cantidad de sentencias de condición, con la única limitación de la memoria disponible. Por cierto, cuantas más sentencias se establezcan, mayor será la dificultad para comprender y administrar la ACL. Por lo tanto, la documentación de las ACL evita la confusión.
La ACL estándar (numerada del 1 al 99) probablemente no pueda ofrecerle el tipo de control de filtrado de tráfico que se necesita. Las ACL estándar filtran el tráfico según una dirección y máscara origen. Las ACL estándar también pueden permitir o denegar todo el conjunto de protocolos Internet (IP). Puede ser necesario encontrar una forma más precisa de control del tráfico y el acceso.
Para un control más preciso de filtrado de tráfico se usan las ACL extendidas. Las sentencias de las ACL extendidas verifican la dirección origen y destino. Además, al final de la sentencia de la ACL extendida, se obtiene precisión adicional con un campo que especifica el número de puerto de protocolo opcional TCP o del Protocolo de datagrama del usuario (UDP). Estos pueden ser números de puerto conocidos para TCP/IP. Algunos de los números de puerto más comunes aparecen en la figura . Se puede especificar la operación lógica que la ACL extendida efectuará en protocolos específicos. Las ACL extendidas usan un número dentro del intervalo del 100 al 199.
<strong>Parámetros de las ACL extendidas</strong>
<strong> </strong>
La forma completa del comando access-list es:
Router(config)# access-list access-list-number {permit | deny}
Protocol source
[established]
El comando ip access-group enlaza una ACL extendida existente a una interfaz. Recuerde que sólo se permite una ACL por interfaz, por protocolo por dirección. El formato del comando es:
Router (config-if)# ip access-group access-list-number {in | out}
Actividad de sintaxis interactiva (Flash, 135 kB)
Utilice esta actividad para poner a prueba su conocimiento de la sintaxis de los parámetros de las Listas de control de acceso (ACL) extendidas
Números de puerto UDP y TCP
Las ACL extendidas que especifican direcciones destino y origen o protocolos específicos deben identificarse con números dentro del intervalo 100 a 199. Las ACL extendidas que incluyen números de puerto de nivel superior TCP o UDP, además de las demás pruebas, también deben identificarse con números dentro de este mismo intervalo. Algunos de los números de puerto reservados UDP y TCP aparecen en la tabla.
Escribir una ACL para denegar FTP en una interfaz Ethernet
La figura muestra un ejemplo de una ACL extendida que bloquea el tráfico de FTP.
El comando de la interfaz E0 access-group 101 enlaza la ACL 101 a la interfaz saliente E0.
Observe que el bloqueo del puerto 21 evita que se transmitan los comandos FTP, evitando de esta manera las transferencias de archivo FTP. El bloqueo del puerto 20 evita que el tráfico mismo se transmita, pero no bloquea los comandos FTP. Los servidores FTP se pueden configurar fácilmente para funcionar en diferentes puertos. Debe entender que los números de puerto conocidos son simplemente lo que indica su nombre: conocidos. No existen garantías de que los servicios estén presentes en esos puertos, aunque normalmente lo están.
Escribir una ACL que deniegue telnet desde un puerto Ethernet y que permita todo el tráfico restante
El ejemplo en la figura no permite que el tráfico de Telnet (eq 23) desde 172.16.4.0 se envíe desde la interfaz E0. Se permite todo el tráfico desde cualquier otro origen a cualquier otro destino, según lo indica la palabra clave any. La interfaz E0 está configurada con el comando access-group 101 out; es decir, ACL 101 se encuentra enlazada a la interfaz saliente E0.
Denegar sólo Telnet desde E0, y permitir todo el tráfico restante
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
access-list 101 permit ip any any
(deny any implícito)
(access-list 101 deny ip 0.0.0.0 255.255.255.255
0.0.0.0 255.255.255.255)
interface ethernet 0
ip access-group 101 out
ACL nombradas
Configuración de las ACL nombradas
Las ACL nombradas permiten que las ACL IP estándar y extendidas se identifiquen con una cadena alfanumérica (nombre) en lugar de la representación numérica actual (1 a 199). Las ACL nombradas se pueden usar para eliminar entradas individuales de una ACL específica. Esto permite modificar sus ACL sin eliminarlas y luego reconfigurarlas. Se usan las ACL nombradas cuando:
Se desea identificar intuitivamente las ACL utilizando un nombre alfanumérico.
Existen más de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado.
Tenga en cuenta lo siguiente antes de implementar las ACL nombradas:
Las ACL nombradas no son compatibles con las versiones de Cisco IOS anteriores a la versión 11.2.
No se puede usar el mismo nombre para múltiples ACL. Además, las ACL de diferentes tipos no pueden tener el mismo nombre. Por ejemplo, no es válido especificar una ACL estándar llamada Jorge y una ACL extendida con el mismo nombre.
Para nombrar la ACL, se utiliza el siguiente comando:
Router(config)# ip access-list {standard | extended} name
En el modo de configuración de ACL, se especifica una o más condiciones de permitir o denegar. Esto determina si el paquete debe pasar o debe descartarse:
Router(config {std- | ext-}nacl)# deny {source
| any}
o
Router(config {std- | ext-}nacl)# permit {source
| any}.
La configuración que aparece en la figura crea una ACL estándar denominada Internetfilter y una ACL extendida denominada marketing_group.
Comando deny
Se utiliza el comando de configuración de ACL deny para establecer condiciones para una ACL nombrada. La sintaxis completa del comando es:
deny {source
| any}
Se usa la forma no de este comando para eliminar una condición de denegar, utilizando la siguiente sintaxis:
no deny {source
| any}
El ejemplo que aparece en la figura establece una condición de denegar para una ACL estándar denominada Internetfilter:
6.5.3 Comando permit
Se utiliza el comando de configuración de lista de acceso permit para establecer condiciones para una ACL nombrada estándar. La sintaxis completa del comando es:
permit {source
| any}[log]
Se usa la forma no de este comando para eliminar una condición de una ACL, utilizando la siguiente sintaxis:
no permit {source
| any}
Se usa este comando en el modo de configuración de lista de acceso, después del comando ip access-list, para definir las condiciones bajo las cuales un paquete pasa por la ACL.
El ejemplo siguiente es una ACL nombrada estándar denominada Internetfilter:
ip access-list standard Internetfilter
deny 192.5.34.0 0.0.0.255
permit 128.88.0.0 0.0.255.255
permit 36.0.0.0 0.255.255.255
!(Nota: cualquier otro acceso está implícitamente denegado)
En este ejemplo, las sentencias de permitir y denegar no tienen número, y no se elimina la prueba específica de la ACL nombrada:
Router(config {std- | ext-}nacl)# {permit | deny} {ip ACL test conditions}
{permit | deny} {ip ACL test conditions}
no {permit | deny} {ip ACL text conditions}
Este ejemplo activa la ACL nombrada IP en una interfaz:
Router(config-if)# ip access-group {name | 1-199 {in | out}}
En la figura se muestra un ejemplo de resultado de configuración.
Uso de las ACL con protocolos
Protocolos para los cuales se pueden crear las ACL
Las ACL pueden controlar la mayoría de los protocolos en un router Cisco. Se introduce un número en el intervalo de números de protocolo como el primer argumento de la sentencia ACL global. El router identifica cuál es el software de ACL que se debe usar según esta entrada numerada. Muchas ACL son posibles para un protocolo. Se selecciona un número diferente del intervalo de números de protocolo para cada nueva ACL; sin embargo, se puede especificar sólo una ACL por protocolo por interfaz. Para algunos protocolos, se pueden agrupar hasta dos ACL a una interfaz: una ACL entrante y una saliente. Con otros protocolos, se agrupa sólo una ACL, que verifica los paquetes entrantes y salientes. Si la ACL es entrante, cuando el router recibe un paquete, el software Cisco IOS verifica las sentencias de condiciones de la ACL para buscar coincidencias. Si el paquete se permite, el software sigue procesando el paquete. Si el paquete se deniega, el software lo descarta colocándolo en la papelera de bits. Si la ACL es saliente, después de recibir y enrutar un paquete a la interfaz saliente, el software verifica las sentencias de condiciones de la ACL para buscar coincidencias. Si el paquete se permite, el software lo transmite. Si el paquete se deniega, el software lo descarta enviándolo a la papelera de bits.
Diario de ingeniería
Nombrar o numerar un protocolo IP
Ubicación de las ACL
Regla: «Se colocan las ACL extendidas lo más cerca posible del origen del tráfico denegado»
Como vimos anteriormente, las ACL se utilizan para controlar el tráfico filtrando paquetes y eliminando el tráfico no deseado en un destino. Según el lugar donde se ubique una sentencia de ACL, se puede reducir el tráfico innecesario. El tráfico que será denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino.
Supongamos que la política de una empresa busca denegar el tráfico de telnet o FTP en el Router A a la LAN Ethernet conmutada en el puerto E1 del Router D. Al mismo tiempo, se debe permitir todo el tráfico restante. Hay varias maneras de cumplir con esta política. El método recomendado usa una ACL extendida. Especifica las direcciones origen y destino. Se coloca esta ACL extendida en el Router A. Entonces los paquetes no atraviesan la Ethernet del Router A, no atraviesan las interfaces seriales de los Routers B y C, y no entran al Router D. El tráfico con direcciones diferentes origen y destino todavía puede permitirse.
La regla es colocar las ACL extendidas lo más cerca posible del origen del tráfico denegado. Las ACL estándar no especifican direcciones destino, de manera que se debe colocar la ACL estándar lo más cerca posible del destino. Por ejemplo, se debe colocar una ACL estándar o extendida en E0 del Router D para evitar el tráfico desde el Router A.
Uso de las ACL en routers firewall
Se deben utilizar ACL en routers firewall, que a menudo se sitúan entre la red interna y una red externa, como Internet. El router firewall proporciona un punto de aislamiento, de manera que el resto de la estructura interna de la red no se vea afectada. También se pueden usar las ACL en un router situado entre dos partes de la red a fin de controlar el tráfico que entra o sale de una parte específica de la red interna.
Para aprovechar las ventajas de seguridad de las ACL, como mínimo se deben configurar las ACL en los routers fronterizos, que son routers situados en las fronteras de la red. Esto proporciona protección básica con respecto a la red externa, u otra parte menos controlada de la red, para un área más privada de la red. En estos routers fronterizos, se pueden crear ACL para cada protocolo de red configurado en las interfaces del router. Se pueden configurar las ACL para que el tráfico entrante, el tráfico saliente, o ambos, sean filtrados en una interfaz.
Estudio guiado de caso
Proyecto Washington: Implementación de un firewall
La conectividad de Internet que se debe implementar en el Distrito Escolar Washington requiere una doble implementación de firewall, en la que todas las aplicaciones expuestas a Internet deben residir en una red de backbone pública. Es necesario asegurarse de que todas las conexiones iniciadas desde Internet a la red privada de cada escuela sean rechazadas.
Arquitectura de firewall para protección contra los intrusos
Una arquitectura de firewall es una estructura que existe entre usted y el mundo exterior para protegerlo de los intrusos. En la mayoría de los casos, los intrusos vienen de la Internet mundial y de los miles de redes remotas que interconecta. Normalmente, un firewall de red se compone de varias máquinas diferentes.
En esta arquitectura, el router conectado a Internet (es decir, el router exterior) obliga todo el tráfico entrante a pasar por el gateway de la aplicación. El router conectado a la red interna (es decir, el router interior) acepta los paquetes sólo del gateway de aplicación. En efecto, el gateway controla la entrega de servicios basados en red que entran y salen de la red interna. Por ejemplo, sólo ciertos usuarios pueden estar autorizados a comunicarse con Internet, o sólo a ciertas aplicaciones se les puede permitir establecer conexiones entre un host interior y exterior. Si la única aplicación que se permite es el correo electrónico, entonces sólo se permiten paquetes de correo electrónico a través del router. Esto protege el gateway de aplicación y evita que se supere su capacidad con paquetes que de otra manera se descartarían.
Diario de ingeniería
Uso de un router firewall
Verificación de las ACL
Verificación de las ACL e interpretación del resultado
El comando show ip interface muestra información de interfaz IP e indica si se ha establecido alguna ACL. El comando show access-lists muestra el contenido de todas las ACL. Cuando se introduce el nombre o número de una ACL como una opción para este comando, aparece una lista específica.
Verificación de las ACL
Actividad de laboratorio
En esta práctica de laboratorio se trabaja con las ACL extendidas para regular el tráfico que se permite que pase a través del router, según el origen y el tipo de tráfico. Las ACL son una herramienta importante para controlar qué paquetes, y qué tipo de paquetes pueden pasar a través de un router desde una red a otra.
Actividad de laboratorio
Esta práctica de laboratorio es un ejercicio de práctica que simula una situación de la realidad. Se trabaja con múltiples Listas de control de acceso extendidas (ACL) para simular la regulación del tráfico al que se permite pasar a través de múltiples routers a varios servidores e Internet.
Resumen
Ahora que ha completado este capítulo, debe tener un conocimiento sólido sobre los siguientes temas:
Las ACL desempeñan varias funciones en un router Cisco, entre ellas la implementación de procedimientos de seguridad/acceso.
Las ACL se utilizan para controlar y administrar el tráfico.
Para algunos protocolos, se pueden aplicar hasta dos ACL a una interfaz: una ACL entrante y una saliente.
Mediante el uso de las ACL, una vez que un paquete haya sido asociado con una sentencia ACL, se le puede denegar o permitir el uso de la interfaz asociada.
Los bits de máscara wildcard usan el número uno y el número cero para identificar la manera de tratar los bits de dirección IP correspondientes.
Los dos tipos principales de ACL son las ACL estándar y las ACL extendidas.
Las ACL se pueden configurar para todos los protocolos enrutados de red para filtrar estos paquetes de protocolos a medida que los paquetes pasan a través de un router.
Las ACL se utilizan normalmente en los routers firewall, que a menudo se colocan entre la red interna y una red externa, como Internet.
Estudio guiado de caso
Tarea del proyecto del Distrito Escolar Washington: Uso de las ACL
En este capítulo, se han aprendido conceptos y procesos de configuración que lo ayudarán a implementar las ACL. En los capítulos anteriores aprendimos los conceptos referentes a la manera en que el tráfico fluye a través de una LAN; en este capítulo se estudiarán los métodos para controlar el flujo de estos paquetes de tráfico basándose en el direccionamiento de las Capas 2 y 3 y en los servicios de la Capa 4. La Descripción general del TCS establece que cada escuela debe tener dos redes: una para el currículum y la otra para la administración. Cada segmento de LAN único se conecta a un puerto Ethernet separado en el router. Se debe desarrollar una ACL para el router que deniegue el acceso desde la LAN del currículum al segmento de la LAN administrativa, pero que le otorgue a la LAN administrativa acceso completo al segmento de la LAN del currículum. Una excepción a esta ACL es que el router debe entregar cualquier paquete de DNS o de correo electrónico al servidor DNS/correo electrónico, que se ubica en el segmento de la LAN de administración. En respuesta a los requisitos de diseño de red y de seguridad, se necesitan realizar las siguientes tareas:
Se debe documentar por qué se necesitan las ACL y crear un diagrama lógico que describa el efecto general de las ACL en toda la red de distrito.
Se debe documentar qué tipo de ACL se colocará en el potente router (o routers) central(es) de distrito, dónde se colocarán y el motivo de dicha ubicación.
Se debe documentar la secuencia de comandos del router que se requiere para implementar cada ACL en cada una de las interfaces del router de acceso de la escuela local y documentar los cambios que se producen como resultado en la configuración del router.
Se debe documentar el efecto de cada ACL y su relación con el flujo de tráfico a través de las LAN escolares individuales y la red del distrito en general.
Se continúa con las tareas de diseño de las LAN: Diseños de cableado de sitio, diseños de LAN lógica, diseños típicos de MDF e IDF y tablas electrónicas, y una lista de elementos electrónicos de LAN específicos para el sitio
Aplicar los objetivos de aprendizaje del Examen de certificación CCNA a su diseño específico. Esto requiere un párrafo sobre cómo los objetivos de aprendizaje se relacionan con el diseño. Los objetivos de aprendizaje se pueden agrupar con fines de explicación. De esta manera, se estudia para el Examen de certificación CCNA y se trabaja con el estudio de caso al mismo tiempo.
Objetivos de aprendizaje del Examen de certificación CCNA (*** son objetivos explícitos del Examen CCNA; los que no tienen marcas son conocimientos que el examen da por sentados):
Generalidades
Describir qué es una lista de control de acceso.
Describir la función de las listas de control de acceso en los routers.
Describir las razones por las cuales se usan las listas de control de acceso.
Describir cómo se relacionan la segmentación con routers y las listas de control de acceso.
Configurar listas de acceso estándar y extendidas para filtrar el tráfico IP.***
Controlar y verificar las operaciones de la lista de acceso seleccionadas en el router.***
Modelo OSI
Definir en qué capas del modelo OSI funcionan las listas de control de acceso estándar y con qué campos en el encabezado de paquete de datos se relacionan.
Definir en qué capas del modelo OSI funcionan las listas de control de acceso extendidas y con qué campos en el encabezado de paquete de datos se relacionan.