Gestin de Redes de Datos 24/07/14 Gestin de Redes de Datos Gestin de Redes de Datos Las ACLs estndar permiten o deniegan el trfico basndose en la direccin de origen. Esta es la sintaxis del comando para configurar una ACL IP estndar numerada:
Las ACLs extendidas filtran los paquetes basndose en la informacin de origen y destino de las capas 3 y 4. La informacin de capa 4 puede incluir informacin de puertos TCP y UDP.
Todas las ACLs asumen un deny implcito, lo cual significa que si un paquete no coincide con ninguna de las condiciones especificadas en la ACL, el paquete ser denegado. Una vez que la ACL ha sido creada, debe incluirse al menos una sentencia permit o todo el trfico de la interfaz a la que se aplique ser descartado.
Gestin de Redes de Datos Una vez que se ha creado la ACL IP numerada, sea estndar o extendida, el administrador debe aplicarla a la interfaz apropiada.
Este es el comando que se usa para aplicar la ACL a una interfaz:
Router(config-if)# ip access-group nmero-acl {in | out}
Este es el comando que se usa para aplicar la ACL a una lnea vty:
Router(config-line)# access-class nmero-acl {in | out} Gestin de Redes de Datos Router(config)# ip access-list [standard | extended] nombre_ACL
Una ACL estndar nombrada puede usar sentencias deny y permit statements.
La ACL extendida nombrada ofrece parmetros adicionales.
Router(config-ext-nacl)# {permit | deny} protocolo dir-origen [wildcard-origen] [operador operando] dir-destino [wildcard-destino] [operador operando] [established] Gestin de Redes de Datos Una vez que las sentencias han sido generadas en la ACL, el administrador debe activar la ACL en una interfaz con el comando ip access-group, especificando el nombre de la ACL.
Router(config-if)# ip access-group nombre-ACL {in | out}
Gestin de Redes de Datos Gestin de Redes de Datos Gestin de Redes de Datos Debe denegarse acceso de todo el trfico de una sola subred, 172.16.4.0, a otra subred, pero todo el trfico restante debe permitirse:
En este caso, puede aplicarse una ACL estndar de salida en la interfaz Fa0/0:
R1(config)# access-list 1 deny 172.16.4.0 0.0.0.255 R1(config)# access-list 1 permit any R1(config)# interface FastEthernet 0/0 R1(config-if)# ip access-group 1 out
any = 0.0.0.0 255.255.255.255 (desde cualquier origen)
Gestin de Redes de Datos El trfico FTP que proviene de la subred 172.16.4.0 debe ser denegado slo hacia la subred 172.16.3.0:
En este caso, se requiere una ACL extendida, ya que se filtra un tipo especfico de trfico (FTP).
R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 R1(config)# access-list 101 permit ip any any R1(config)# interface fastethernet 0/1 R1(config-if)# ip access-group 101 in Gestin de Redes de Datos Gestin de Redes de Datos Gestin de Redes de Datos La palabra clave established fuerza al router a revisar si los flags de control TCP ACK o RST estn activados. Si el flag ACK est activado, se permite el trfico TCP. Si no lo est, se asume que el trfico est asociado con una nueva conexin iniciada fuera de la red.
El uso de la palabra clave established para permitir el trfico de retorno abre una brecha de seguridad en el router. Un hacker puede aprovecharse de esta brecha usando un generador de paquetes o escner, como Nmap, para pasar paquetes TCP adentro de la red disfrazndolos como trfico de retorno. Los hackers logran esto usando el generador de paquetes para que establezca el bit o los bits apropiados en el campo de control TCP.
La opcin established no se aplica al trfico UDP o ICMP, ya que el trfico UDP e ICMP no utiliza flags de control como lo hace el trfico TCP. Gestin de Redes de Datos R1(config)# access-list 100 permit tcp any 192.168.1.0 0.0.0.255 eq 443 established
R1(config)# access-list 100 permit tcp any 192.168.1.3 0.0.0.0 eq 22
R1(config)# access-list 100 deny ip any any
R1(config)# interface s0/0/0
R1(config-if)# ip access-group 100 in
Si la palabra clave established se omitiera, todo el trfico TCP que proviniera del puerto 443 se permitira. Con la palabra clave, slo el trfico del puerto 443 que tenga el flag de control TCP ACK se permitir. Gestin de Redes de Datos