© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1

Filtrado de tráfico mediante listas de control de acceso

Introducción al enrutamiento y la conmutación en la empresa Capítulo 8

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 2

Objetivos

Describir el filtrado de tráfico y explicar cómo las listas de control de acceso (ACL) pueden filtrar el tráfico en las interfaces del router.

Analizar el uso de las máscaras wildcard.

Configurar y aplicar las ACL.

Crear y aplicar las ACL para controlar los tipos de tráfico específico.

Registrar la actividad de la ACL e integrar las mejores prácticas de la ACL.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 3

Descripción del filtrado de tráfico

Analizar el contenido de un paquete

Permitir o bloquear el paquete

Según la IP de origen, IP de destino, dirección MAC, protocolo y tipo de aplicación

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 4

Descripción del filtrado de tráfico

Dispositivos que proporcionan filtrado de tráfico:

Firewalls incluidos en los routers integrados

Aplicaciones de seguridad dedicadas (firewalls dedicados)

Servidores

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 5

Descripción del filtrado de tráficoUsos para las ACL:

Especificar hosts internos para NAT

Clasificar el tráfico para el QoS

Restringir las actualizaciones de enrutamiento, limitar los resultados de la depuración, controlar el acceso a terminal virtual de los enrutadores

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 6

Descripción del filtrado de tráfico

Posibles problemas con las ACL:

Mayor carga en el router

Posible interrupción de la red por ACLs mal diseñadas

Consecuencias no esperadas a causa de una incorrecta ubicación,como dejar pasar tráfico prohibido o bloquear tráfico permitido

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 7

Descripción del filtrado de tráfico Las ACL estándar filtran según la dirección IP de

origen (Número identificación: [1 - 99] y [1300 a 1999] Las ACL extendidas filtran en el origen y el destino así

como también en el número de puerto y protocolo(Número identificación: [100 a 199] y [2000 a 2699])

Las ACL nombradas pueden ser estándar o extendidas

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 8

Descripción del filtrado de tráfico

Las ACL están compuestas de sentencias. Al menos una sentencia debe ser una sentencia de

permiso, sino todo el tráfico será denegado. La sentencia final es una denegación implícita. La ACL debe aplicarse a una interfaz para que funcione

.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 9

Descripción del filtrado de tráfico

La ACL se aplica en forma entrante (inbound) o saliente (outbound).

La dirección se obtiene a partir de la perspectiva del router.

Cada interfaz puede tener una ACL por dirección para cada protocolo de red.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 10

Análisis del uso de las máscaras wildcard La máscara wildcard puede bloquear un rango de

direcciones o una red entera con una sentencia

Los 0 indican qué parte de una dirección IP debe coincidir con la ACL

Los 1 indican qué parte no tiene que coincidir en forma específica

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 11

Análisis del uso de las máscaras wildcard

Utilice el parámetro host en lugar de una wildcard 0.0.0.0192.168.15.99 0.0.0.0 es lo mismo que host 192.168.15.99

Usar el parámetro any en lugar de la wildcard 255.255.255.2550.0.0.0 255.255.255.255 es lo mismo que any

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 12

Análisis del uso de las máscaras wildcard

Ejemplo: 192.168.85.0/26

¿Qué subredes se obtienen?

192.168.85.0/26 192.168.85.64/26192.168.85.128/26 192.168.85.192/26

¿Qué sentencias se utilizan para denegar el tráfico de las primeras dos redes?

access-list XX deny 192.168.85.0 0.0.0.63

access-list XX deny 192.168.85.64 0.0.0.63

¿Se pueden summarizar en una sola sentencia?

Sí: access-list XX deny 192.168.85.0 0.0.0.127

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 13

Configuración e implementación de las listas de control de acceso

Pasos para determinar tipo y ubicación de las ACLs:Determinar los requisitos del filtrado de tráfico

Decidir qué tipo de ACL utilizar (estándar o extendida)

Determinar el router y la interfaz a los cuales aplicar la ACL

Determinar en qué dirección filtrar el tráfico Procurar

que tráficoa bloquearviaje lo menosposible porla red.

Estándar: cerca deldestino.

Extendida: cerca del origen.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 14

Configuración e implementación de las listas de control de acceso La configuración de las ACLs involucra 2 pasos:

Creación y Aplicación

Creación: crea la listaSe usa la siguiente sintaxis:

access-list [access-list-number] [deny|permit] [source address] [source-wildcard][log]

Para documentar la información:access-list [list number] remark [text]

Para borrar una ACL:no access-list [list number]

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 15

Configuración e implementación de las listas de control de acceso

Aplicación: asocia la lista a una interfaz

Para asociar:R2(config-if)#ip access-group access-list-number [in | out]

Para desasociar:no ip access-group interface

Si solo se usa tráfico IP, solo pueden haber 2 ACLs por interfaz: de entrada y salida de tráfico.

Usar: show ip interface, access-lists access-list-number, running-config

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 16

Configuración e implementación de las listas de control de acceso: ACL estándar numerada

Utilice el comando access-list para ingresar las sentencias

Rangos de números: 1-99, 1300-1999 Aplicar lo más cerca posible del destino

show ip interface show access-lists show running-config

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 17

Práctica de Laboratorio

Laboratorio 8.3.3.4

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 18

Configuración e implementación de las listas de control de acceso: ACL extendida numerada Utilice el comando access-list para ingresar las

sentencias Rangos de números: 100-199, 2000-2699 Especificar un protocolo para admitir o rechazar Colóquela lo más cerca posible del origen

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 19

Configuración e implementación de las listas de control de acceso: ACL extendida numerada

La sentencia básica de configuración está dada por:

R(config)#access-list [ACL-number] [permit | deny]

[protocol (eigrp, icmp, ip, ospf, tcp, udp, etc…)] [source

IP] [destination IP] [matching condition (equal, greater,

lower)] [TCP Application (http, ftp, etc…)]

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 20

Práctica de Laboratorio

Laboratorio 8.3.4.4

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 21

Configuración e implementación de las listas de control de acceso: ACL nombradas El nombre descriptivo reemplaza el número de ACL Utilice el comando ip access-list {standard |

extended} name para crear la lista Comience las sentencias subsiguientes con permiso o

rechazo Aplicar de la misma manera que la ACL estándar o

extendida

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 22

Configuración e implementación de las listas de control de acceso: ACL nombradas Show access-lists muestra las líneas de la lista, cuyas filas

se numeran como 10, 20 , 30, …

Para borrar una línea de la ACL usar:no [line number].

Para introducir una línea hacerlo iniciando la sentencia con el line number según la posición deseada.

Para colocar una sentencia en una posición intermedia usar un número intermedio.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 23

Práctica de Laboratorio

Laboratorio 8.3.5.4

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 24

Configuración e implementación de las listas de control de acceso: Acceso VTY Utilizar el comando access-class para asociar la ACL

a la línea VTY en configuración.

Utilizar una ACL numerada por seguridad.

Aplicar restricciones idénticas a todas las líneas VTY.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 25

Práctica de Laborarorio

Laboratorio 8.3.6.3

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 26

Creación y aplicación de las ACL para controlar los tipos de tráfico específico Utilizar una condición específica cuando se realice el

filtrado a los números de puerto: eq, lt, gt, range

Rechazar todos los puertos correspondientes en el caso de aplicaciones de varios puertos como el FTP

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 27

Creación y aplicación de las ACL para controlar los tipos de tráfico específico Es posible bloquear tráfico originado externamente, pero

dejar pasar tráfico externo de respuesta.

Ping: permitir respuestas de eco mientras se rechazan las solicitudes de eco desde fuera de la red. (Ver Imagen)

Esto es una forma de Inspección de paquetes con estado (SPI).

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 28

Creación y aplicación de las ACL para controlar los tipos de tráfico específico Cuando el paquete llega a la interfaz NAT el router:

Aplica la ACL IN.Traduce la dirección exterior en interior.Enruta el paquete.

Cuando el paquete sale de la interfaz NAT el ruoter:Traduce la dirección interna en externa.Aplica la ACL OUT.

Filtrar las direcciones públicas en una interfaz NAT exterior.

Filtrar las direcciones privadas en una interfaz NAT interior.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 29

Práctica de Laboratorio

Laboratorio 8.4.3.2

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 30

Creación y aplicación de las ACL para controlar los tipos de tráfico específico

Inspeccionar cada ACL una línea a la vez para evitar consecuencias no previstas

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 31

Creación y aplicación de las ACL para controlar los tipos de tráfico específico

Aplicar las ACL a las interfaces o subinterfaces VLAN al igual que con las interfases físicas

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 32

Registro de la actividad de la ACL y sus mejores prácticas El registro (logging) proporciona detalles adicionales

sobre los paquetes que se rechazan o se admiten. Agregue la opción registro al final de cada sentencia de

la ACL que se debe rastrear.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 33

Registro de la actividad de la ACL y sus mejores prácticas

Mensajes de Syslog:

Estado de las interfaces del router

Mensajes de la ACL (logging [ip_address])

Ancho de banda, protocolos en uso, eventos de configuración

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 34

Práctica de Laboratorio

Laboratorio 8.5.2.3

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 35

Registro de la actividad de la ACL y sus mejores prácticas

Compruebe siempre la conectividad básica antes de aplicar las ACL. Agregue deny ip any al final de una ACL cuando realice el registro. Utilice reload in 30 cuando pruebe las ACL en los routers remotos.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 36

Resumen

Las ACL habilitan la administración del tráfico y aseguran el acceso hacia la red y sus recursos y desde estos

Aplicar una ACL para filtrar el tráfico entrante o saliente

Las ACL pueden ser estándar, extendidas o nombradas

El uso de una máscara wildcard otorga flexibilidad

Existe una sentencia de rechazo implícito al final de una ACL

Fundamente NAT cuando cree y aplique las ACL

El registro proporciona detalles adicionales sobre el tráfico filtrado

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 37