Ing. John Anderson Castrillón García Gestión de Redes de Datos 24/07/14

Gestin de Redes de Datos
Ing. John Anderson Castrilln Garca

24/07/14
Las ACLs estndar permiten o deniegan el trfico basndose en la direccin de origen.
Esta es la sintaxis del comando para configurar una ACL IP estndar numerada:

Router(config)# access-list {1-99} {permit | deny} dir-origen [wildcard-origen]

Las ACLs extendidas filtran los paquetes basndose en la informacin de origen y destino
de las capas 3 y 4. La informacin de capa 4 puede incluir informacin de puertos TCP y UDP.

Router(config)# access-list {100-199} {permit | deny} protocolo dir-origen [wildcard-origen]
[operador operando] dir-destino [wildcard-destino] [operador operando] [established]

Todas las ACLs asumen un deny implcito, lo cual significa que si un paquete no coincide con
ninguna de las condiciones especificadas en la ACL, el paquete ser denegado. Una vez que la
ACL ha sido creada, debe incluirse al menos una sentencia permit o todo el trfico de la
interfaz a la que se aplique ser descartado.

Una vez que se ha creado la ACL IP numerada, sea estndar o extendida, el administrador
debe aplicarla a la interfaz apropiada.

Este es el comando que se usa para aplicar la ACL a una interfaz:

Router(config-if)# ip access-group nmero-acl {in | out}

Este es el comando que se usa para aplicar la ACL a una lnea vty:

Router(config-line)# access-class nmero-acl {in | out}
Router(config)# ip access-list [standard | extended] nombre_ACL

Una ACL estndar nombrada puede usar sentencias deny y permit statements.

Router(config-std-nacl)# deny {origen [wildcard-origen] | any}

Router(config-std-nacl)# permit {origen [wildcard-origen] | any}

La ACL extendida nombrada ofrece parmetros adicionales.

Router(config-ext-nacl)# {permit | deny} protocolo dir-origen [wildcard-origen]
Una vez que las sentencias han sido generadas en la ACL, el administrador debe activar la
ACL en una interfaz con el comando ip access-group, especificando el nombre de la ACL.

Router(config-if)# ip access-group nombre-ACL {in | out}

Debe denegarse acceso de todo el trfico de una sola subred, 172.16.4.0, a otra subred, pero todo el
trfico restante debe permitirse:

En este caso, puede aplicarse una ACL estndar de salida en la interfaz Fa0/0:

R1(config)# access-list 1 deny 172.16.4.0 0.0.0.255
R1(config)# access-list 1 permit any
R1(config)# interface FastEthernet 0/0
R1(config-if)# ip access-group 1 out

any = 0.0.0.0 255.255.255.255
(desde cualquier origen)

El trfico FTP que proviene de la subred 172.16.4.0 debe ser denegado slo hacia la subred
172.16.3.0:

En este caso, se requiere una ACL extendida, ya que se filtra un tipo especfico de trfico (FTP).

R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
R1(config)# access-list 101 permit ip any any
R1(config)# interface fastethernet 0/1
R1(config-if)# ip access-group 101 in
La palabra clave established fuerza al router a revisar si los flags de control TCP ACK o
RST estn activados. Si el flag ACK est activado, se permite el trfico TCP. Si no lo est,
se asume que el trfico est asociado con una nueva conexin iniciada fuera de la red.

Router(config)# access-list {100-199} {permit | deny} protocolo dir-origen [wildcard-origen]

El uso de la palabra clave established para permitir el trfico de retorno abre una brecha
de seguridad en el router. Un hacker puede aprovecharse de esta brecha usando un
generador de paquetes o escner, como Nmap, para pasar paquetes TCP adentro de la red
disfrazndolos como trfico de retorno. Los hackers logran esto usando el generador de
paquetes para que establezca el bit o los bits apropiados en el campo de control TCP.

La opcin established no se aplica al trfico UDP o ICMP, ya que el trfico UDP e ICMP no
utiliza flags de control como lo hace el trfico TCP.
R1(config)# access-list 100 permit tcp any 192.168.1.0 0.0.0.255 eq 443 established

R1(config)# access-list 100 permit tcp any 192.168.1.3 0.0.0.0 eq 22

R1(config)# access-list 100 deny ip any any

R1(config)# interface s0/0/0

R1(config-if)# ip access-group 100 in

Si la palabra clave established se omitiera, todo el trfico TCP que proviniera del puerto
443 se permitira. Con la palabra clave, slo el trfico del puerto 443 que tenga el flag de
control TCP ACK se permitir.

Ing. John Anderson Castrillón García Gestión de Redes de Datos 24/07/14

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ing. John Anderson Castrillón García Gestión de Redes de Datos 24/07/14

Transféré par

Droits d'auteur :

Formats disponibles

Gestin de Redes de Datos

Ing. John Anderson Castrilln Garca

Vous aimerez peut-être aussi