Académique Documents
Professionnel Documents
Culture Documents
Como son los routers los que nos dan acceso al exterior o a otras redes, empezaremos por ver cmo poder darle un mnimo de proteccin a los ataques de seguridad
INTE NET
AZC
AZC
AC4 para la proteccin de redes <uede ser tan simple como permitir o denegar los $osts o direcciones de red" <ero, tam%i6n pueden con'igurarse para controlar el tr0'ico de red seg3n el puerto TC< que se utiliza" <ara comprender cmo 'unciona una AC4 con TC<, o%servaremos el di0logo durante una conversacin TC<"
AZC
AZC
AC4/ 'iltrado de paquetes ,n router para 'iltrar los paquetes utili-a reglas para determinar la autorizacin o denegacin del tr0'ico seg3n/
las direcciones I< de origen & de destino, el puerto origen & el puerto destino, & el protocolo del paquete"
Estas son las reglas que $a& que de'inir mediante las listas de control de acceso o AC4"
AZC @
En %ase a qu6 AC4 'iltra los paquetesB AC4 es una lista de sentencias de permiso o denegacin que se aplican a direcciones I< o protocolos" 4a AC4 puede sacar in'ormacin del enca%ezado del paquete, pro%arla en %ase a reglas de'inidas & decidir si CpermitirC o CdenegarC la entrada seg3n los siguientes criterios/
#ireccin I< de origen #ireccin I< de destino Tipo de mensa2e ICD< (por e2emplo, ping es un mensa2e del tipo ICD<)
AZC
18
Tipos de AC4Js
"stndar: permiten autorizar o denegar el tr0'ico desde las direcciones I< de
origen" No importan el destino del paquete ni los puertos involucrados"
Este e2emplo permite todo el tr0'ico desde la red 1@!"19=".A"AE!5" +e crean en el modo de con'iguracin glo%al"
"7tendida/ 'iltran los paquetes I< en 'uncin de varias cosas, por e2emplo/ tipo de protocolo, direcciones I< de origen, direcciones I< de destino, puertos TC< o ,#< de origen, puertos TC< o ,#< de destino"
En este e2emplo, la AC4 1A. permite el tr0'ico que se crea desde cualquier direccin en la red 1@!"19=".A"AE!5 $acia cualquier puerto =A de $ost de destino (-TT<)" +e crean en el modo de con'iguracin glo%al"
AZC
19
K<or qu6 nos saltamos los n3meros del !AA al 1!@@B, porque esos n3meros son usados por otros protocolos" Aqu solo vamos a ver las AC4 con el protocolo I<" F por e2emplo, los n3meros del 9AA al 9@@ son utilizados por AppleTalH & los n3meros del =AA al =@@ por I<I"
AZC 1;
-a& que tener en cuenta que el router va procesando las +#, a medida :ue las va le&endo seg%n el orden de las l'neas en las que las $a&amos metido" <or ello, de%emos colocar la AC4 m0s utilizada al principio de la lista" +i no se encuentran coincidencias cuando el router llega al 'inal de la lista, el tr0'ico es denegado porque las AC4 tienen una sentencia de denegacin impl'cita para todo el tr0'ico que no cumple con los criterios de'inidos" -a& que tener cuidado, &a que una +#, de una %nica entrada con slo una entrada de denegacin llega a denegar todo el trfico" #e%emos tener al menos una sentencia de permiso en una +#, o se !lo:uear todo el trfico"
AZC 1=
AZC
1@
El comando de con'iguracin glo%al access-list de'ine la AC4 est0ndar con un n3mero, normalmente entre 1 & @@" +e aplican a los inter'aces con/
outer (con'igMi')L ip access-group numACL in|out
in/ tr0'ico a 'iltrar que ENT A por la inter'az del router out / tr0'ico a 'iltrar que +A4E por la inter'az del router" *ild;mas4/ indica con A el %it a evaluar & con 1 indica que el %it correspondiente se ignora" <or e2emplo, si queremos indicar un 3nico $ost 1@!"19="1"1 especi'ico/ 1@!"19="1"1 con :ildMmasH A"A"A"A & si queremos especi'icar toda la red clase C correspondiente lo $acemos con 1@!"19="1"A & :ildMmasH A"A"A"!88"
,n e2emplo/ E2emplo 1
+upongamos que queremos crear en un outerA una AC4 con el n3mero 1 (numAC4) que deniegue el host <=2)<>?)<)2
outerA(con'ig)L access-list 1 deny 192.16 .1.2 !.!.!.!
+i queremos eliminar todas las AC4/ outerA(con'ig)L no accessMlist <ara mostrar las AC4/ outerAL s"ow access-list Standard IP access list 1 deny host 19 .1!".1. permit any
A$ora $a& que utilizar el comando de con'iguracin de inter'az para seleccionar una inter'az a la que aplicarle la AC4/
outerA(con'ig)L inter#ace $ast%t"ernet !&!
<or 3ltimo utilizamos el comando de con'iguracin de inter'az ip accessgroup para activar la AC4 actual en la inter'az como 'iltro de salida/
outerA(con'igMi')L ip access-group 1 out
AZC !1
,n e2emplo/ E2emplo !
,na AC4 est0ndar que permita el tra'ico de salida de la red 1@!"19="1"AE!5" 4a primera cuestin es Kdnde instalar la AC4B Ken qu6 inter'azB" En este caso no $a%ra pro%lema porque solo tenemos un router, el outerA" <ero la regla siempre es instalar la +#, lo ms cerca posi!le del destino"
outerA(con'ig)Laccess-list 1 permit 192.16 .1.! !.!.!.2'' outerA(con'ig)Linter#ace (!&!&! outerA(con'igMi')Lip access-group 1 out
Gorramos la AC4 anterior & de'inimos una AC4 que deniegue un $ost concreto"
outerA(con'ig)Lno access-list 1 outerA(con'ig)Laccess-list 1 deny 192.16 .1.1! !.!.!.! outerA(con'ig)Laccess-list 1 permit 192.16 .1.! !.!.!.2'' outerA(con'ig)Linter#ace (!&!&! outerA(con'igMi')Lip access-group 1 out
AZC !!
4as direcciones de las 4AN pertenecen a, asign0ndolas en orden de izquierda a derec$a, 1;!"19"A"AE!5, 1;!"1;"A"AE!5, 1;!"1="A"AE!5 (<C5) & 1;!"1@"A"AE!5 (<C8)" El servidor tiene la direccin 1A"1"1"1 con m0scara E!5& los enlaces entre routers son 1A"1."15"AE!5, 1A"1."18"5E!5, 1A"1."19"AE!5, 1A"1."1;"AE!5" El enrutamiento se lleva a ca%o con I<(v!)"
AZC !.
AZC
!5
AZC
!8
,na vez que se con'gura esta acl, los paquetes originados en cualquier pc de la red del <C1 no llegar0n al servidor pero s a cualquier otro pc de la red" 4a conectividad con el resto de las redes de la topologa sigue intacta" Esto en lo que concierne a AC4 est0ndar"
AZC !9
!;