2006 Cisco Systems, Inc. Todos los derechos reservados.
Informacin pblica de Cisco 1
Filtrado de trfico mediante listas de control de acceso Introduccin al enrutamiento y la conmutacin en la empresa Captulo 8 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 2 Objetivos Describir el filtrado de trfico y explicar cmo las listas de control de acceso (ACL) pueden filtrar el trfico en las interfaces del router. Analizar el uso de las mscaras wildcard. Configurar y aplicar las ACL. Crear y aplicar las ACL para controlar los tipos de trfico especfico. Registrar la actividad de la ACL e integrar las mejores prcticas de la ACL.
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 3 Descripcin del filtrado de trfico Analizar el contenido de un paquete Permitir o bloquear el paquete Segn la IP de origen, IP de destino, direccin MAC, protocolo y tipo de aplicacin
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 4 Descripcin del filtrado de trfico Dispositivos que proporcionan filtrado de trfico: Firewalls incluidos en los routers integrados Aplicaciones de seguridad dedicadas (firewalls dedicados) Servidores
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 5 Descripcin del filtrado de trfico Usos para las ACL: Especificar hosts internos para NAT Clasificar el trfico para el QoS Restringir las actualizaciones de enrutamiento, limitar los resultados de la depuracin, controlar el acceso a terminal virtual de los enrutadores
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 6 Descripcin del filtrado de trfico Posibles problemas con las ACL: Mayor carga en el router Posible interrupcin de la red por ACLs mal diseadas Consecuencias no esperadas a causa de una incorrecta ubicacin, como dejar pasar trfico prohibido o bloquear trfico permitido 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 7 Descripcin del filtrado de trfico Las ACL estndar filtran segn la direccin IP de origen (Nmero identificacin: [1 - 99] y [1300 a 1999] Las ACL extendidas filtran en el origen y el destino as como tambin en el nmero de puerto y protocolo (Nmero identificacin: [100 a 199] y [2000 a 2699]) Las ACL nombradas pueden ser estndar o extendidas
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 8 Descripcin del filtrado de trfico Las ACL estn compuestas de sentencias. Al menos una sentencia debe ser una sentencia de permiso, sino todo el trfico ser denegado. La sentencia final es una denegacin implcita. La ACL debe aplicarse a una interfaz para que funcione .
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 9 Descripcin del filtrado de trfico La ACL se aplica en forma entrante (inbound) o saliente (outbound). La direccin se obtiene a partir de la perspectiva del router. Cada interfaz puede tener una ACL por direccin para cada protocolo de red. 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 10 Anlisis del uso de las mscaras wildcard La mscara wildcard puede bloquear un rango de direcciones o una red entera con una sentencia Los 0 indican qu parte de una direccin IP debe coincidir con la ACL Los 1 indican qu parte no tiene que coincidir en forma especfica
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 11 Anlisis del uso de las mscaras wildcard Utilice el parmetro host en lugar de una wildcard 0.0.0.0 192.168.15.99 0.0.0.0 es lo mismo que host 192.168.15.99 Usar el parmetro any en lugar de la wildcard 255.255.255.255 0.0.0.0 255.255.255.255 es lo mismo que any
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 12 Anlisis del uso de las mscaras wildcard Ejemplo: 192.168.85.0/26 Qu subredes se obtienen? 192.168.85.0/26 192.168.85.64/26 192.168.85.128/26 192.168.85.192/26 Qu sentencias se utilizan para denegar el trfico de las primeras dos redes? access-list XX deny 192.168.85.0 0.0.0.63 access-list XX deny 192.168.85.64 0.0.0.63 Se pueden summarizar en una sola sentencia? S: access-list XX deny 192.168.85.0 0.0.0.127 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 13 Configuracin e implementacin de las listas de control de acceso Pasos para determinar tipo y ubicacin de las ACLs: Determinar los requisitos del filtrado de trfico Decidir qu tipo de ACL utilizar (estndar o extendida) Determinar el router y la interfaz a los cuales aplicar la ACL Determinar en qu direccin filtrar el trfico Procurar que trfico a bloquear viaje lo menos posible por la red.
Estndar: cerca del destino. Extendida: cerca del origen.
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 14 Configuracin e implementacin de las listas de control de acceso La configuracin de las ACLs involucra 2 pasos: Creacin y Aplicacin Creacin: crea la lista Se usa la siguiente sintaxis:
Para documentar la informacin: access-list [list number] remark [text]
Para borrar una ACL: no access-list [list number] 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 15 Configuracin e implementacin de las listas de control de acceso Aplicacin: asocia la lista a una interfaz
Para asociar: R2(config-if)#ip access-group access-list-number [in | out]
Para desasociar: no ip access-group interface
Si solo se usa trfico IP, solo pueden haber 2 ACLs por interfaz: de entrada y salida de trfico.
Usar: show ip interface, access-lists access-list-number, running-config 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 16 Configuracin e implementacin de las listas de control de acceso: ACL estndar numerada Utilice el comando access-list para ingresar las sentencias Rangos de nmeros: 1-99, 1300-1999 Aplicar lo ms cerca posible del destino
show ip interface show access-lists show running-config 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 17 Prctica de Laboratorio Laboratorio 8.3.3.4 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 18 Configuracin e implementacin de las listas de control de acceso: ACL extendida numerada Utilice el comando access-list para ingresar las sentencias Rangos de nmeros: 100-199, 2000-2699 Especificar un protocolo para admitir o rechazar Colquela lo ms cerca posible del origen
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 19 Configuracin e implementacin de las listas de control de acceso: ACL extendida numerada La sentencia bsica de configuracin est dada por:
lower)] [TCP Application (http, ftp, etc)] 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 20 Prctica de Laboratorio Laboratorio 8.3.4.4 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 21 Configuracin e implementacin de las listas de control de acceso: ACL nombradas El nombre descriptivo reemplaza el nmero de ACL Utilice el comando ip access-list {standard | extended} name para crear la lista Comience las sentencias subsiguientes con permiso o rechazo Aplicar de la misma manera que la ACL estndar o extendida 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 22 Configuracin e implementacin de las listas de control de acceso: ACL nombradas Show access-lists muestra las lneas de la lista, cuyas filas se numeran como 10, 20 , 30, Para borrar una lnea de la ACL usar: no [line number]. Para introducir una lnea hacerlo iniciando la sentencia con el line number segn la posicin deseada. Para colocar una sentencia en una posicin intermedia usar un nmero intermedio. 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 23 Prctica de Laboratorio Laboratorio 8.3.5.4 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 24 Configuracin e implementacin de las listas de control de acceso: Acceso VTY Utilizar el comando access-class para asociar la ACL a la lnea VTY en configuracin. Utilizar una ACL numerada por seguridad. Aplicar restricciones idnticas a todas las lneas VTY. 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 25 Prctica de Laborarorio Laboratorio 8.3.6.3 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 26 Creacin y aplicacin de las ACL para controlar los tipos de trfico especfico Utilizar una condicin especfica cuando se realice el filtrado a los nmeros de puerto: eq, lt, gt, range
Rechazar todos los puertos correspondientes en el caso de aplicaciones de varios puertos como el FTP 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 27 Creacin y aplicacin de las ACL para controlar los tipos de trfico especfico Es posible bloquear trfico originado externamente, pero dejar pasar trfico externo de respuesta. Ping: permitir respuestas de eco mientras se rechazan las solicitudes de eco desde fuera de la red. (Ver Imagen) Esto es una forma de Inspeccin de paquetes con estado (SPI). 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 28 Creacin y aplicacin de las ACL para controlar los tipos de trfico especfico Cuando el paquete llega a la interfaz NAT el router: Aplica la ACL IN. Traduce la direccin exterior en interior. Enruta el paquete. Cuando el paquete sale de la interfaz NAT el ruoter: Traduce la direccin interna en externa. Aplica la ACL OUT.
Filtrar las direcciones pblicas en una interfaz NAT exterior.
Filtrar las direcciones privadas en una interfaz NAT interior. 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 29 Prctica de Laboratorio Laboratorio 8.4.3.2 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 30 Creacin y aplicacin de las ACL para controlar los tipos de trfico especfico Inspeccionar cada ACL una lnea a la vez para evitar consecuencias no previstas 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 31 Creacin y aplicacin de las ACL para controlar los tipos de trfico especfico Aplicar las ACL a las interfaces o subinterfaces VLAN al igual que con las interfases fsicas 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 32 Registro de la actividad de la ACL y sus mejores prcticas El registro (logging) proporciona detalles adicionales sobre los paquetes que se rechazan o se admiten. Agregue la opcin registro al final de cada sentencia de la ACL que se debe rastrear.
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 33 Registro de la actividad de la ACL y sus mejores prcticas Mensajes de Syslog: Estado de las interfaces del router Mensajes de la ACL (logging [ip_address]) Ancho de banda, protocolos en uso, eventos de configuracin
2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 34 Prctica de Laboratorio Laboratorio 8.5.2.3 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 35 Registro de la actividad de la ACL y sus mejores prcticas Compruebe siempre la conectividad bsica antes de aplicar las ACL. Agregue deny ip any al final de una ACL cuando realice el registro. Utilice reload in 30 cuando pruebe las ACL en los routers remotos. 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 36 Resumen Las ACL habilitan la administracin del trfico y aseguran el acceso hacia la red y sus recursos y desde estos Aplicar una ACL para filtrar el trfico entrante o saliente Las ACL pueden ser estndar, extendidas o nombradas El uso de una mscara wildcard otorga flexibilidad Existe una sentencia de rechazo implcito al final de una ACL Fundamente NAT cuando cree y aplique las ACL El registro proporciona detalles adicionales sobre el trfico filtrado 2006 Cisco Systems, Inc. Todos los derechos reservados. Informacin pblica de Cisco 37