Este blog tiene como finalidad de compartir conocimientos y aportar un granito más de arena a este mundo lleno de información. Comparto mis apuntes e información que he encontrado por Internet, en la parte inferior coloco la url de los sitios ... espero que les sea de utilidad.
Capítulo 7: Listas de control de acceso
Una de las habilidades más importantes que necesita un administrador de redes es el dominio de las listas de control de acceso (ACL). Las ACL proporcionan seguridad a una red.
Los diseñadores de red utilizan firewalls para proteger las redes del uso no autorizado. Los firewalls son soluciones de hardware o de software que aplican las políticas de seguridad de la red. Imagine una cerradura en la puerta de una habitación dentro de un edificio. La cerradura permite que solo los usuarios autorizados que poseen una llave o una tarjeta de acceso puedan entrar. De igual forma, un firewall filtra los paquetes no autorizados o potencialmente peligrosos e impide que ingresen a la red.
En un router Cisco, puede configurar un firewall simple que proporcione capacidades básicas de filtrado de tráfico mediante ACL. Los administradores utilizan las ACL para detener el tráfico o para permitir solamente tráfico específico en sus redes.
¿Qué es una ACL?
Una ACL es una serie de comandos del IOS que controlan si un router reenvía o descarta paquetes según la información que se encuentra en el encabezado del paquete. Las ACL son una de las características del software IOS de Cisco más utilizadas.
Cuando se las configura, las ACL realizan las siguientes tareas:
- Limitan el tráfico de la red para aumentar su rendimiento. Por ejemplo, si la política corporativa no permite el tráfico de video en la red, se pueden configurar y aplicar ACL que bloqueen el tráfico de video. Esto reduciría considerablemente la carga de la red y aumentaría su rendimiento.
- Proporcionan control del flujo de tráfico. Las ACL pueden restringir la entrega de actualizaciones de routing para asegurar que las actualizaciones provienen de un origen conocido.
- Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro host acceda a la misma área. Por ejemplo, se puede restringir el acceso a la red de Recursos Humanos a los usuarios autorizados.
- Filtran el tráfico según el tipo de tráfico. Por ejemplo, una ACL puede permitir el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.
- Filtran a los hosts para permitirles o denegarles el acceso a los servicios de red. Las ACL pueden permitirles o denegarles a los usuarios el acceso a determinados tipos de archivos, como FTP o HTTP.
Los routers no tienen ACL configuradas de manera predeterminada, por lo que no filtran el tráfico de manera predeterminada. El tráfico que ingresa al router se enruta solamente en función de la información de la tabla de routing. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza la tarea adicional de evaluar todos los paquetes de red a medida que pasan a través de la interfaz para determinar si el paquete se puede reenviar.
Además de permitir o denegar tráfico, las ACL se pueden utilizar para seleccionar tipos de tráfico para analizar, reenviar o procesar de otras formas. Por ejemplo, se pueden utilizar ACL para clasificar el tráfico a fin de permitir el procesamiento por prioridad. Esta capacidad es similar a tener un pase vip para un concierto o un evento deportivo. El pase vip brinda a ciertos invitados privilegios que no se ofrecen a los asistentes que poseen entradas de admisión general, como prioridad de entrada o el ingreso a un área restringida.
Filtrado de paquetes
Una ACL es una lista secuencial de instrucciones permit (permitir) o deny (denegar), conocidas como “entradas de control de acceso” (ACE). Las ACE también se denominan comúnmente “instrucciones de ACL”. Cuando el tráfico de la red atraviesa una interfaz configurada con una ACL, el router compara la información dentro del paquete con cada ACE, en orden secuencial, para determinar si el paquete coincide con una de las ACE. Este proceso se denomina filtrado de paquetes
El filtrado de paquetes controla el acceso a una red mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según criterios determinados. El filtrado de paquetes puede producirse en la capa 3 o capa 4, como se muestra en la ilustración. Las ACL estándar filtran sólo en la Capa 3. Las ACL extendidas filtran en las capas 3 y 4.
El criterio de filtrado establecido en cada ACE de una ACL de IPv4 estándar es la dirección IPv4 de origen. Un router configurado con una ACL de IPv4 estándar recupera la dirección IPv4 de origen del encabezado del paquete. El router comienza en la parte superior de la ACL y compara la dirección con cada ACE de manera secuencial. Cuando encuentra una coincidencia, el router realiza la instrucción, que puede ser permitir o denegar el paquete. Una vez que se halla una coincidencia, las ACE restantes de la ACL, si las hubiera, no se analizan. Si la dirección IPv4 de origen no coincide con ninguna ACE en la ACL, se descarta el paquete.
La última instrucción de una ACL es siempre una denegación implícita. Esta sentencia se inserta automáticamente al final de cada ACL, aunque no esté presente físicamente. La denegación implícita bloquea todo el tráfico. Debido a esta denegación implícita, una ACL que no tiene, por lo menos, una instrucción permit bloqueará todo el tráfico.
Funcionamiento de las ACL
Las ACL definen el conjunto de reglas que proporcionan un control adicional para los paquetes que ingresan por las interfaces de entrada, para los que retransmiten a través del router y para los que salen por las interfaces de salida del router. Las ACL no operan sobre paquetes que se originan en el router mismo.
Las ACL se configuran para aplicarse al tráfico entrante o al tráfico saliente.
- ACL de entrada: los paquetes entrantes se procesan antes de enrutarse a la interfaz de salida. Las ACL de entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Si las ACL permiten el paquete, este se procesa para el routing. Las ACL de entrada son ideales para filtrar los paquetes cuando la red conectada a una interfaz de entrada es el único origen de los paquetes que se deben examinar.
- ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y después se procesan mediante la ACL de salida. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que provienen de varias interfaces de entrada antes de salir por la misma interfaz de salida.
Introducción a las máscaras wildcard en ACL
Máscara wildcard
Las ACE de IPv4 incluyen el uso de máscaras wildcard. Una máscara wildcard es una cadena de 32 dígitos binarios que el router utiliza para determinar qué bits de la dirección debe examinar para obtener una coincidencia.
Como ocurre con las máscaras de subred, los números 1 y 0 en la máscara wildcard identifican lo que hay que hacer con los bits de dirección IPv4 correspondientes. Sin embargo, en una máscara wildcard, estos bits se utilizan para fines diferentes y siguen diferentes reglas.
Las máscaras de subred utilizan unos y ceros binarios para identificar la red, la subred y la porción de host de una dirección IPv4. Las máscaras wildcard utilizan unos y ceros binarios para filtrar direcciones IPv4 individuales o grupos de direcciones IPv4 para permitir o denegar el acceso a los recursos.
Las máscaras wildcard y las máscaras de subred se diferencian en la forma en que establecen la coincidencia entre los unos y ceros binarios. Las máscaras wildcard utilizan las siguientes reglas para establecer la coincidencia entre los unos y ceros binarios:
- Bit 0 de máscara wildcard: se establece la coincidencia con el valor del bit correspondiente en la dirección.
- Bit 1 de máscara wildcard: se omite el valor del bit correspondiente en la dirección.
A las máscaras wildcard a menudo se las denomina “máscaras inversas”. La razón es que, a diferencia de una máscara de subred en la que el 1 binario equivale a una coincidencia y el 0 binario no es una coincidencia, en las máscaras wildcard es al revés.
Uso de una máscara wildcard
Nota: a diferencia de las ACL de IPv4, las ACL de IPv6 no utilizan máscaras wildcard. En cambio, se utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6 de origen o destino debe coincidir. Las ACL IPv6 exceden el ámbito de este curso.
Cálculo de la máscara wildcard
El cálculo de máscaras wildcard puede ser difícil. Un método abreviado es restar la máscara de subred a 255.255.255.255.
Cálculo de máscara wildcard: ejemplo 1
Suponga que desea permitir el acceso a todos los usuarios en la red 192.168.3.0. Dado que la máscara de subred es 255.255.255.0, podría tomar 255.255.255.255 y restarle la máscara de subred 255.255.255.0. El resultado genera la máscara wildcard 0.0.0.255.
Cálculo de máscara wildcard: ejemplo 2
En el segundo ejemplo, suponga que desea permitir el acceso a la red a los 14 usuarios en la subred 192.168.3.32/28. La máscara de subred para la subred IPv4 es 255.255.255.240; por lo tanto, tome 255.255.255.255 y réstele la máscara de subred 255.255.255.240. Esta vez, el resultado genera la máscara wildcard 0.0.0.15.
Cálculo de máscara wildcard: ejemplo 3
En el tercer ejemplo, suponga que solo quiere establecer la coincidencia con las redes 192.168.10.0 y 192.168.11.0. Una vez más, tome 255.255.255.255 y reste la máscara de subred regular que, en este caso, es 255.255.254.0. El resultado es 0.0.1.255.
Puede lograr el mismo resultado con instrucciones como las dos que se muestran a continuación:
R1(config)#
access-list 10 permit 192.168.10.0
R1(config)#
access-list 10 permit 192.168.11.0
Resulta mucho más eficaz configurar la máscara wildcard de la siguiente manera:
R1(config)#
access-list 10 permit 192.168.10.0 0.0.1.255
Considere un ejemplo en el cual se deben hacer coincidir las redes en el rango de 192.168.16.0/24 a 192.168.31.0/24. Estas redes resumirán en 192.168.16.0/20. En este caso, 0.0.15.255 es la máscara wildcard correcta para configurar una declaración eficaz de ACL, como se muestra a continuación:
R1(config)#
access-list 10 permit 192.168.16.0 0.0.15.255
Palabras clave de las máscaras wildcard
Trabajar con representaciones decimales de los bits binarios de máscaras wildcard puede ser tedioso. Para simplificar esta tarea, las palabras clave host y any ayudan a identificar los usos más comunes de las máscaras wildcard. Estas palabras clave eliminan la necesidad de introducir máscaras wildcard para identificar un host específico o toda una red. También facilitan la lectura de una ACL, ya que proporcionan pistas visuales en cuanto al origen o el destino de los criterios.
La palabra clave host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los bits de direcciones IPv4 deben coincidir para filtrar solo una dirección de host.
La opción any sustituye la dirección IP y la máscara 255.255.255.255. Esta máscara establece que se omita la dirección IPv4 completa o que se acepte cualquier dirección.
Ejemplo 1: proceso de máscara wildcard con una única dirección IPv4
En el ejemplo 1, en vez de introducir 192.168.10.10 0.0.0.0, puede utilizar host 192.168.10.10.
Ejemplo 2: proceso de máscara wildcard con coincidencia con cualquier dirección IPv4
En el ejemplo 2 , en vez de introducir 0.0.0.0 255.255.255.255, puede utilizar la palabra clave any (cualquier) sola.
Pautas generales para la creación de ACL
La composición de ACL puede ser una tarea compleja. Para cada interfaz, puede haber varias políticas necesarias para administrar el tipo de tráfico que tiene permitido ingresar a la interfaz o salir de ella. El router en la ilustración tiene dos interfaces configuradas para IPv4 e IPv6. Si necesitáramos ACL para ambos protocolos, en ambas interfaces y en ambos sentidos, esto requeriría ocho ACL diferentes. Cada interfaz tendría cuatro ACL: dos ACL para IPv4 y dos ACL para IPv6. Para cada protocolo, una ACL es para el tráfico entrante y otra para el tráfico saliente.
Las siguientes son algunas pautas para el uso de ACL:
- Utilice las ACL en los routers de firewall ubicados entre su red interna y una red externa, como Internet.
- Utilice las ACL en un router ubicado entre dos partes de la red para controlar el tráfico que entra a una parte específica de su red interna o que sale de esta.
- Configure las ACL en los routers de frontera, es decir, los routers ubicados en los límites de las redes. Esto proporciona una separación muy básica de la red externa o entre un área menos controlada y un área más importante de su propia red.
- Configure las ACL para cada protocolo de red configurado en las interfaces del router de frontera.
Reglas para aplicar las ACL
Se puede configurar una ACL por protocolo, por sentido y por interfaz:
- Una ACL por protocolo: para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz.
- Una ACL por sentido: las ACL controlan el tráfico en una interfaz de a un sentido por vez. Se deben crear dos ACL diferentes para controlar el tráfico entrante y saliente.
- Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo, GigabitEthernet 0/0.
Optimizaciones de las ACL
El uso de las ACL requiere prestar atención a los detalles y un extremo cuidado. Los errores pueden ser costosos en términos de tiempo de inactividad, esfuerzos de resolución de problemas y servicio de red deficiente. Antes de configurar una ACL, se requiere una planificación básica.
Dónde ubicar las ACL
La correcta colocación de las ACL puede contribuir a que la red funcione de forma más eficaz. Se puede colocar una ACL para reducir el tráfico innecesario. Por ejemplo, el tráfico que se denegará en un destino remoto no se debe reenviar mediante recursos de red por la ruta hacia ese destino.
Cada ACL se debe colocar donde tenga más impacto en la eficiencia, las reglas básicas son las siguientes:
- ACL extendidas: coloque las ACL extendidas lo más cerca posible del origen del tráfico que se filtrará. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red.
- ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino, colóquelas tan cerca del destino como sea posible. Si coloca una ACL estándar en el origen del tráfico, evitará de forma eficaz que ese tráfico llegue a cualquier otra red a través de la interfaz a la que se aplica la ACL.
La colocación de la ACL y, por lo tanto, el tipo de ACL que se utiliza también puede depender de lo siguiente:
- Alcance del control del administrador de la red: la colocación de la ACL puede depender de si el administrador de red controla tanto la red de origen como la de destino o no.
- Ancho de banda de las redes involucradas: el filtrado del tráfico no deseado en el origen impide la transmisión de ese tráfico antes de que consuma ancho de banda en la ruta hacia un destino. Esto es de especial importancia en redes con un ancho de banda bajo.
- Facilidad de configuración: si un administrador de red desea denegar el tráfico proveniente de varias redes, una opción es utilizar una única ACL estándar en el router más cercano al destino. La desventaja es que el tráfico de dichas redes utilizará ancho de banda de manera innecesaria. Se puede utilizar una ACL extendida en cada router donde se origina tráfico. Esto ahorra ancho de banda, ya que el tráfico se filtra en el origen, pero requiere la creación de ACL extendidas en varios routers.
Sintaxis de ACL estándar numerada IPv4
Para utilizar ACL estándar numeradas en un router Cisco, primero debe crear la ACL estándar y, a continuación, activarla en una interfaz.
El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99. La versión 12.0.1 del software IOS de Cisco amplió ese intervalo y permite que se utilicen los números que van de 1300 a 1999 para las ACL estándar. Esto permite que se genere un máximo de 798 ACL estándar posibles. A estos números adicionales se los denomina ACL de IPv4 extendidas.
La sintaxis completa del comando de ACL estándar es la siguiente:
Router(config)#
access-list
access-list-number
{
deny
|
permit
|
remark
}
source
[
source-wildcard
][
log
]
Las ACE pueden permitir o denegar un solo host o un rango de direcciones host. Para crear una instrucción de host en la ACL numerada 10 que permita un host específico con la dirección IPv4 192.168.10.10, debe introducir lo siguiente:
R1(config)#
access-list 10 permit host 192.168.10.10
Para crear una instrucción que permita un rango de direcciones IPv4 en una ACL numerada 10 que permite todas las direcciones IPv4 en la red 192.168.10.0/24, debe introducir lo siguiente:
R1(config)#
access-list 10 permit 192.168.10.0 0.0.0.255
Para eliminar la ACL, se utiliza el comando de configuración global no access-list. La ejecución del comando show access-list confirma que se eliminó la lista de acceso 10.
Por lo general, cuando un administrador crea una ACL, conoce y entiende el objetivo de cada instrucción. Sin embargo, para asegurar que el administrador y otras personas recuerden el propósito de las instrucciones, se deben incluir comentarios (remarks). La palabra clave remark se utiliza en los documentos y hace que sea mucho más fácil comprender las listas de acceso. El texto de cada comentario tiene un límite de 100 caracteres. La ACL, que es bastante simple, se utiliza a modo de ejemplo. Cuando se revisa la ACL en la configuración mediante el comando show running-config, también se muestra el comentario.
Aplicación de ACL estándar IPv4 a las interfaces
Después de que se configura una ACL estándar IPv4, se vincula a una interfaz mediante el comando ip access-group en el modo de configuración de interfaz:
Router(config-if)#
ip access-group
{
access-list-number
|
access-list-name
} {
in
|
out
}
Para eliminar una ACL de una interfaz, primero introduzca el comando no ip access-group en la interfaz y, a continuación, introduzca el comando global no access-list para eliminar la ACL completa.
Esta ACL solo permite que se reenvíe mediante la interfaz S0/0/0 el tráfico de la red de origen 192.168.10.0. El tráfico proveniente de redes distintas de la red 192.168.10.0 se bloquea.
En la primera línea, se identifica la ACL como lista de acceso 1. Esta lista permite el tráfico que coincide con los parámetros seleccionados. En este caso, la dirección IPv4 y la máscara wildcard que identifican a la red de origen son 192.168.10.0 0.0.0.255. Recuerde que existe una denegación implícita de todas las instrucciones que equivalen a agregar la línea access-list 1 deny 0.0.0.0 255.255.255.255 o access-list deny any al final de la ACL.
El comando de configuración de interfaz ip access-group 1 out vincula la ACL 1 a la interfaz Serial 0/0/0 como filtro de salida.
Sintaxis de ACL con nombre estándar IPv4
La asignación de nombres a las ACL hace más fácil comprender su función. Cuando se identifica la ACL con un nombre en lugar de un número, el modo de configuración y la sintaxis de los comandos son sutilmente diferentes.
Paso 1: En el modo de configuración global, utilice el comando ip access-list para crear una ACL con nombre. Los nombres de las ACL son alfanuméricos, distinguen mayúsculas de minúsculas y deben ser únicos. El comando de nombre ip access-list standard se usa para crear una con nombre estándar. Después de introducir el comando, el router se encuentra en el modo de configuración estándar (std) ACL con nombre (nacl).
Nota: las ACL numeradas utilizan el comando de configuración global access-list, mientras que las ACL de IPv4 con nombre utilizan el comando ip access-list.
Paso 2: En el modo de configuración de ACL con nombre, utilice las instrucciones permit o deny a fin de especificar una o más condiciones para determinar si un paquete se reenvía o se descarta. Puede utilizar remark para agregar un comentario a la ACL.
Paso 3: Aplique la ACL a una interfaz con el comando ip access-group. nombre . Especifique si la ACL se debe aplicar a los paquetes cuando ingresan por la interfaz (in) o cuando salen de la interfaz (out).
No es necesario que los nombres de las ACL comiencen con mayúscula, pero esto los hace destacarse cuando se observa el resultado de show running-config. También hace que sea menos probable que cree accidentalmente dos ACL diferentes con el mismo nombre pero con distinto uso de mayúsculas.
Método 1: usar un editor de texto
Después de familiarizarse con el proceso de creación y edición de ACL, puede ser más fácil generar la ACL mediante un editor de texto como el Bloc de notas de Microsoft. Esto permite crear o editar la ACL y luego pegarla en la interfaz del router. Para una ACL existente, puede utilizar el comando show running-config para mostrar la ACL, copiarla y pegarla en el editor de texto, realizar los cambios necesarios y pegarla nuevamente en la interfaz del router.
Paso 1: Muestre la ACL mediante el comando show running-config, se utiliza la palabra clave include para mostrar solamente las ACE.
Paso 2: Seleccione la ACL, cópiela y, luego, péguela en el Bloc de notas de Microsoft. Edite la lista según sea necesario. Una vez que la ACL se muestre correctamente en el Bloc de notas de Microsoft, selecciónela y cópiela.
Paso 3: En el modo de configuración global, elimine la lista de acceso con el comando no access-list 1. De lo contrario, las nuevas instrucciones se agregarán a la ACL existente. A continuación, pegue la nueva ACL en la configuración del router.
Paso 4: Verifique los cambios mediante el comando show running-config.
Es necesario recordar que, al utilizar el comando no access-list, las distintas versiones del software IOS actúan de forma diferente. Si la ACL que se eliminó sigue estando aplicada a una interfaz, algunas versiones del IOS actúan como si no hubiera ninguna ACL que proteja la red, mientras que otras deniegan todo el tráfico. Por esta razón, es aconsejable eliminar la referencia a la lista de acceso de la interfaz antes de modificar la lista. Si hay un error en la nueva lista, debe deshabilitarla y solucionar el problema. En ese caso, la red no tiene ninguna ACL durante el proceso de corrección.
Método 2: usar números de secuencia
Paso 1: Muestre la ACL actual mediante el comando show access-lists 1. El resultado de este comando se analizará en mayor detalle más adelante en esta sección. El número de secuencia se muestra al principio de cada instrucción. El número de secuencia se asignó automáticamente cuando se introdujo la instrucción de la lista de acceso.
Paso 2: Introduzca el comando ip access-lists standard que se utiliza para configurar las ACL con nombre. El número de la ACL, 1, se utiliza como nombre.
Nota: las instrucciones no se pueden sobrescribir con el mismo número de secuencia que el de una instrucción existente. Primero se debe eliminar la instrucción actual y, luego, se puede agregar la nueva.
Paso 3: Verifique los cambios mediante el comando show access-lists.
Como se mencionó anteriormente, el IOS de Cisco implementa una lógica interna en las listas de acceso estándar. Es posible que el orden en que se introducen las ACE estándar no sea el orden en que se almacenen, se muestren o se procesen en el router. El comando show access-lists muestra las ACE con sus números de secuencia.
Verificar las ACL
El comando show ip interface se utiliza para verificar la ACL en la interfaz. El resultado de este comando incluye el número o el nombre de la lista de acceso y el sentido en el que se aplicó la ACL.
Estadísticas de ACL
Una vez que la ACL se aplicó a una interfaz y se realizaron algunas pruebas, el comando show access-lists muestra las estadísticas para cada instrucción que tiene coincidencias.Cuando se genera tráfico que debe coincidir con una instrucción de ACL, las coincidencias que se muestran en el resultado del comando show access-lists deberían aumentar.
Tanto las instrucciones permit como las deny realizan un seguimiento de las estadísticas de coincidencias; sin embargo, recuerde que cada ACL tiene una instrucción deny any implícita como última instrucción. Esta instrucción no aparece en el comando show access-lists, por lo que no se muestran estadísticas para esa instrucción. Para ver las estadísticas de la instrucción deny any implícita, la instrucción se puede configurar manualmente y aparecerá en el resultado.
Durante la prueba de una ACL, se pueden borrar los contadores mediante el comando clear access-list counters. Este comando se puede utilizar solo o con el número o el nombre de una ACL específica, este comando borra los contadores de estadísticas para una ACL.
El comando access-class
Puede mejorar la seguridad de las líneas administrativas mediante la restricción del acceso a VTY. La restricción del acceso a VTY es una técnica que permite definir las direcciones IP a las que se les permite acceder remotamente al proceso de EXEC del router. Puede controlar qué direcciones IP pueden acceder remotamente as router mediante la configuración de una ACL y una instrucción access-class en las líneas VTY. Utilice esta técnica con SSH para mejorar aún más la seguridad de acceso administrativo.
El comando access-class configurado en el modo de configuración de línea restringe las conexiones de entrada y salida entre una VTY determinada (en un dispositivo de Cisco) y las direcciones en una lista de acceso.
La sintaxis del comando access-class es la siguiente:
Router (config)#
access-class
número-de-acl
{
in
[
vrf-also
]
|
out
}
El parámetro in limita las conexiones de entrada entre las direcciones en la lista de acceso y el dispositivo de Cisco, mientras que el parámetro out limita las conexiones de salida entre un dispositivo de Cisco en particular y las direcciones en la lista de acceso.
Para configurar listas de acceso en los VTY, se debe tener en cuenta lo siguiente:
- Se pueden aplicar listas de acceso numeradas y nombradas a los VTY.
- Se deben establecer restricciones idénticas en todos los VTY, porque un usuario puede intentar conectarse a cualquiera de ellos.
Nota: Las listas de acceso se aplican a los paquetes que se transportan a través de un router, no están diseñadas para bloquear los paquetes que se originan en el router. De manera predeterminada, las ACL de salida no evita las conexiones de acceso remoto que se inician desde el router.
Verificación de la seguridad del puerto VTY
Después de configurar la ACL para restringir el acceso a las líneas VTY, es importante verificar que funcione correctamente.
Deny any implícita
Una ACL de entrada única con solo una entrada de denegación tiene el efecto de denegar todo el tráfico. Se debe configurar al menos una ACE permit en una ACL. En caso contario, se bloquea todo el tráfico.
El orden de las ACE en una ACL
El IOS de Cisco aplica una lógica interna al aceptar y procesar las ACE estándar. Como se mencionó anteriormente, las ACE se procesan de forma secuencial; por lo tanto, el orden en que se introducen las ACE es importante.
El IOS reordena las ACL estándar
Es posible que el orden en que se introducen las ACE estándar no sea el orden en que se almacenen, se muestren o se procesen en el router.
Las instrucciones de rango que deniegan tres redes se configuran primero, y después se configuran cinco instrucciones de host. Las instrucciones de host son todas instrucciones válidas, porque sus direcciones IPv4 host no forman parte de las instrucciones de rango introducidas previamente.
El comando show running-config se utiliza para verificar la configuración de la ACL. Observe que las instrucciones se enumeran en un orden distinto al orden en que se introdujeron. Utilizaremos el comando show access-lists para comprender la lógica detrás de esto.
El comando show access-lists muestra las ACE junto con sus números de secuencia. Sería de esperar que el orden de las instrucciones en el resultado reflejara el orden en que se introdujeron. Sin embargo, el resultado de show access-lists muestra que este no es el caso.
El orden en que se enumeran las ACE estándar es la secuencia utilizada por el IOS para procesar la lista. Observe que las instrucciones se agrupan en dos secciones: las instrucciones de host seguidas por las instrucciones de rango. El número de secuencia indica el orden en que se introdujo la instrucción, no el orden en que se procesará.
Las instrucciones de host se enumeran primero, pero no necesariamente en el orden en que se introdujeron. El IOS ordena las instrucciones de host mediante una función de hash especial. El orden resultante optimiza la búsqueda de una entrada de ACL de host. Las instrucciones de rango se muestran después de las instrucciones de host. Estas instrucciones se enumeran en el orden en que se introdujeron.
Nota: la función de hash se aplica solamente a las instrucciones de host en listas de acceso de IPv4 estándar. Los detalles de la función de hash exceden el ámbito de este curso.
Recuerde que las ACL estándar y numeradas se pueden editar con números de secuencia. Cuando se introduce una nueva instrucción de ACL, el número de secuencia solo afecta a la ubicación de una instrucción de rango en la lista. Las instrucciones de host siempre se ordenan con la función de hash.
Siguiendo con el ejemplo, una vez que se guarda la configuración en ejecución, el router se vuelve a cargar. Como se muestra en la figura 2, el comando show access-lists muestra la ACL en el mismo orden, sin embargo, las instrucciones se volvieron a numerar. Los números de secuencia ahora están en orden numérico.
Procesos de enrutamiento y ACL
La lógica de los procesos de routing y ACL. Cuando un paquete llega a una interfaz del router, el proceso del router es el mismo, ya sea si se utilizan ACL o no. Cuando una trama ingresa a una interfaz, el router revisa si la dirección de capa 2 de destino coincide con la dirección de capa 2 de la interfaz, o si dicha trama es una trama de difusión.
Si se acepta la dirección de la trama, se desmonta la información de la trama y el router revisa si hay una ACL en la interfaz de entrada. Si existe una ACL, el paquete se prueba en relación con las instrucciones de la lista.
Si el paquete coincide con una instrucción, se permite o se deniega. Si se acepta el paquete, se compara con las entradas en la tabla de routing para determinar la interfaz de destino. Si existe una entrada para el destino en la tabla de routing, el paquete se conmuta a la interfaz de salida. De lo contrario, se descarta.
Si no hay una ACL o si se permite el paquete, este se encapsula en el nuevo protocolo de capa 2 y se reenvía por la interfaz al siguiente dispositivo.
Solución de problemas de ACL IPv4 estándar. Ejemplo 1
Mediante los comandos show descritos anteriormente, se revela la mayoría de los errores más comunes de ACL. Los errores más comunes incluyen introducir las ACE en el orden incorrecto y no especificar reglas de ACL adecuadas. Otros errores comunes incluyen la aplicación de la ACL mediante la dirección incorrecta, la interfaz incorrecta, o direcciones de origen incorrectas.
Política de seguridad: PC2 no debe poder acceder al servidor de archivos.
En la figura 1, aunque la PC2 no puede acceder al servidor de archivos, tampoco puede PC1. Al observar el resultado del comando show access-list, solo la PC2 está explícitamente denegada. Sin embargo, no hay instrucción de permiso para ningún otro acceso.
Solución: Todo acceso desde la interfaz G0/0 a la LAN 192.168.30.0/24 se deniega de forma implícita actualmente. Agregue una instrucción a la ACL 10 para permitir el resto del tráfico, como se muestra en la Figura 2. La PC1 ahora debe poder acceder al servidor de archivos. El resultado del comando show access-list verifica que el ping de la PC1 al servidor de archivos coincida con la instrucción permit any.
Solución de problemas de ACL IPv4 estándar. Ejemplo 2
Política de seguridad: la red 192.168.11.0/24 no debe poder acceder a la red 192.168.10.0/24.
En la figura 1, la PC2 no puede acceder a la PC1. Tampoco puede acceder a Internet con R2. Al observar el resultado del comando show access-list, puede ver que PC2 coincide con la instrucción deny. La ACL 20 parece estar correctamente configurada. Sospecha que está incorrectamente aplicada y revisa las configuraciones de interfaz de R1
En la figura 2, el comando show run filtrado para ver las configuraciones de interfaz revela que la ACL 20 se aplicó a la interfaz equivocada en la dirección incorrecta. Se deniega todo el tráfico entrante de 192.168.11.0/24 a través de la interfaz G0/1.
Solución: Para corregir este error, elimine la ACL 20 de la interfaz G0/1 y aplíquela en la interfaz G0/0 saliente, como se muestra en la Figura 3. La PC2 no puede acceder a la PC1, pero ahora puede acceder a Internet.
Solución de problemas de ACL IPv4 estándar. Ejemplo 3
Política de seguridad: Solo a la PC1 se le permite el acceso remoto de SSH a R1.
En la figura 1, la PC1 no puede tener acceso remoto a R1 mediante una conexión SSH. Al ver la sección de configuración en ejecución para las líneas VTY se revela que una ACL con el nombre PC1-SSH está correctamente aplicada a las conexiones entrantes. Las líneas VTY están configuradas correctamente para permitir solo conexiones SSH. En el resultado del comando show access-list, advierte que la dirección IPv4 es la interfaz G0/0 del R1, no la dirección IPv4 de la PC1. Además, observa que el administrador configuró una instrucción deny any explícita en la ACL. Esto es útil porque, en esta situación, verá coincidencias para que los intentos fallidos de acceso remoto a R1.
Solución: La Figura 2 muestra el proceso para corregir el error. Debido a que la instrucción que se debe editar es la primera, utilizamos el número de secuencia 10 para eliminarla ingresando no 10. Luego configuramos la dirección correcta IPv4 de la PC1. El comando clear access-list counters restablece el resultado para mostrar sólo las nuevas coincidencias. El intento de PC2 para acceeder remotamente a R1 es e, como se muestra en el resultado del comando show access-list.
Denegación de FTP
Denegación de FTP
Situación
Hace poco se informó que hay cada vez más virus en la red de su pequeña o mediana empresa. El administrador de red realizó un seguimiento del rendimiento de la red y determinó que cierto host descarga archivos de un servidor FTP remoto constantemente. Este host puede ser el origen de los virus que se expanden por la red.
Utilice Packet Tracer para completar esta actividad. Componga una ACL con nombre para denegar el acceso del host al servidor FTP. Aplique la ACL a la interfaz más eficaz en el router.
Para completar la topología física, debe utilizar lo siguiente:
- Una estación de equipo host
- Dos switches
- Un router de servicios integrados Cisco de la serie 1941
- Un servidor
Mediante la herramienta de texto de Packet Tracer, registre la ACL que preparó. Para confirmar que la ACL deniega el acceso al servidor FTP, intente acceder a la dirección del servidor FTP. Observe qué sucede en el modo de simulación.
Guarde el archivo y esté preparado para compartirlo con otro estudiante o con toda la clase.