FUNDAMENTOS DE LAS LISTAS DE CONTROL DE ACCESO Principales razones para crear las ACL Se tienen varias razones, entre

las principales: Brindar control de flujo de trfico. Limitar el trfico no deseado en red y mejorar el rendimiento de la red. Proporcionar un nivel bsico de seguridad para el acceso a la red. Se puede decidir qu tipos de trfico se envan o bloquean en las interfaces del router. Mediante un ACL se puede por ejemplo: Permitir al Host A el acceso a la red de Recursos Humanos y al Host B se le niega el acceso a dicha red. Permitir que se enrute el trfico de correo electrnico, pero bloquear todo el trfico de telnet. Cmo trabajan las ACLs? Cada uno de los paquetes al ingresar al router es analizado para que en base a los valores de ciertos campos poder filtrarlos a travs de las instrucciones del ACL[2]. Figura 2: Las ACL del IOS de Cisco verifican el encabezado de cada paquete. La Figura 3 muestra el flujo del paquete mientras es analizado por cada una de las instrucciones del ACL: Figura 3: Diagrama de flujo del anlisis que realiza el ACL sobre los paquetes.

Si se cumple una condicin, el paquete se permite (permit) o se rechaza (deny), y el resto de las declaraciones ACL no se verifican. Si ninguna de las declaraciones ACL tiene coincidencia, se coloca una declaracin implcita que indica deny any (rechazar cualquiera) en el extremo de la lista por defecto, que rechazar todos los paquetes que no coincidan con la ACL.

Lo que se debe conocer de las ACL El dispositivo al analizar lnea por lnea el paquete, habr que listar los comandos desde los casos ms especficos, hasta los ms generales. Las excepciones tienen que estar antes de la regla general! Cualquier lnea agregada a una ACL se agrega al final. Para cualquier otro tipo de modificacin, se tiene que borrar toda la lista y escribirla de nuevo. Se recomienda copiar al Bloc de Notas y editar all. Una ACL es una lista que consta de una o ms instrucciones. Se asigna una lista a una o ms interfaces. Cada instruccin permite o rechaza trfico, usando uno o ms de los siguientes criterios: 1. el origen del trfico, 2. el destino del trfico, 3. el protocolo usado.

El router analiza cada paquete, comparndolo con la ACL correspondiente.

ACL Estndar y Extendidas Existen dos tipos de ACL[3]:

Las ACL ESTNDAR (1-99) slo permiten controlar en base a la direccin de ORIGEN.

Las ACL EXTENDIDAS (100-199) permiten controlar el trfico en base a la direccin de ORIGEN, la direccin de DESTINO y el PROTOCOLO utilizado.

MSCARA DE WILDCARDS Wildcard significa comodn, una mscara de wildcard es lo contrario de una mscara de red[4] as se tiene que en una mscara de red: 1 significa que la IP no cambia, 0 significa que la IP puede cambiar. Mientras que en una mscara de wildcard: 1 significa que la IP puede cambiar, 0 significa que la IP no cambia, es decir se queda pinchado el valor. Tanto en la direccin de origen, como en la direccin de destino, de una ACL se especifican las direcciones como dos grupos de nmeros: un nmero IP y una mscara wildcard. Sin embargo, las mscaras wildcard tambin permiten ms; por ejemplo, se pueden denegar todas las mquinas con nmeros IP impares, pares, seleccionar un rango determinado (IPs de la 1 a la 31), la mitad inferior o superior de un segmento de red. Ejemplos: Ejemplo 1: Dada la red: 192.168.10.0/24, es decir, con mscara de red: 255.255.255.0, la mscara wildcard es: 0.0.0.255 Explicacin: Se toma el cuarto octeto de la direccin de red y de la mscara wildcard Red Wildcard 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1

Direcciones Disponibles Direccin 1 Direccin 2 Direccin 3 Ejemplo 2: Dada la red: 10.2.4.0/24, es decir, con mscara de red: 255.255.255.0, la mscara wildcard para IPs pares es: 0.0.0.254 Explicacin: Se toma el cuarto octeto de la direccin de red y de la mscara wildcard Red Wildcard 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0

Direcciones Disponibles Direccin 1 Direccin 2 Direccin 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0 0

Direccin 4 ..

0 0 0 0

0 1 1 0 No cambia

Ejemplo 3: Dada la red: 10.2.4.0/24, es decir, con mscara de red: 255.255.255.0, la mscara wildcard para IPs impares es la misma 0.0.0.254, con la variacin de que las IPs comienzan en 10.2.4.1 Ejemplo 4: Dada la red: 10.10.10.0/24, es decir, con mscara de red: 255.255.255.0, la mscara wildcard para las mitad inferior de todas las IPs, rango [0-127] es: 0.0.0.127 Ejemplo 5: Dada la red: 10.10.10.0/24, es decir, con mscara de red: 255.255.255.0, la mscara wildcard para las mitad superior de todas las IPs, rango [128-255] es: 0.0.0.127, con la variacin de que las IPs comienzan en 10.10.10.128 Ejemplo 6: Segmentar la red 194.152.25.0/24 en 8 subredes y seleccionar la mscara wildcard del 3/4 de IPs de la 6ta. subred: La 6ta. Subred es: 194.152.25.160/27, es decir, con mscara de red: 255.255.255.224, dentro de esta subred se quiere el rango de IPs [176-183] correspondiente al 3/4 de IPs de la 6ta. subred, entonces la wildcard sera:0.0.0.7 Especificacin de direcciones con Wildcard

Permitir o denegar una IP especfica: 172.16.0.1 0.0.0.0, equivale a host 172.16.0.1 Permitir o denegar una subred: 172.16.0.0 255.255.255.0, equivale a 172.16.0.0 0.0.0.255 Permitir o denegar a todas las IPs: 0.0.0.0 255.255.255.255 equivale a any

UBICACIN DE LAS ACL

Las ACL estndar (1-99) se colocan cerca del destino del trfico. Esto se debe a sus limitaciones: no se puede distinguir el destino. Las ACL extendidas (100-199) se colocan cerca del origen del trfico por eficiencia, es decir, para evitar trfico innecesario en el resto de la red.

Las ACL estndar (1-99) se colocan cerca del destino del trfico. Ejemplo: Figura 4: Ubicacin de un ACL estndar

El administrador desea que el trfico que se origina en la red 192.168.10.0/24 no ingrese a la red 192.168.30.0/24. Una ACL en la interfaz de salida de R1 deniega a R1 la posibilidad de enviar trfico a otros lugares. La solucin es colocar una ACL estndar en la interfaz de entrada de R3 para detener todo el trfico desde la direccin de origen 192.168.10.0/24.

Las ACL extendidas (100-199) se colocan cerca del origen del trfico. Ejemplo: Figura 5: Ubicacin de un ACL extendida

El administrador de las redes 192.168.10.0/24 y 192.168.11.0/24 desea denegar el trfico Telnet y FTP desde la red once a la red 192.168.30.0/24. Una ACL extendida en R3 que bloquea el trfico Telnet y FTP desde once podra realizar la tarea, pero el administrador no controla R3. Esa solucin sigue permitiendo, adems, que el trfico no deseado atraviese toda la red, slo para bloquearlo en el destino. Esto afecta la eficacia general de la red. La mejor solucin es acercarse al origen y colocar una ACL extendida en la interfaz de entrada Fa0/2 de R1. Esto garantiza que los paquetes desde diez no ingresen a R1 y que luego no puedan atravesar hacia once ni incluso ingresar a R2 o R3

DIRECCIN DEL TRFICO (in out) Hay que sealar que los ACL se los puede colocar en la interfaz de entrada del dispositivo de networking o en la interfaz de salida, el efecto es similar pero su funcionamiento se diferencia. [4] Figura 6: Ubicacin de un ACL estndar Las ACL al colocar en una interfaz se debe especificar si es en la entrada (in) o salida de la interfaz (out)[3]. En la topologa de la Figura 6: A, B, C son routers; X y Y son hosts o redes), se puede controlar el trfico desde X hacia Y en las interfaces de entrada o salida de los routes A o B o C. Si el trfico va de X hacia Y, en router A se puede controlar el trfico entrante (in) en la interfaz que est a su izquierda F0/1 o el trfico saliente (out) en la interfaz que est a su derecha S0/0. De la misma manera se puede controlar el trfico en el router B: trfico entrante en la interfaz de la izquierda, interfaz S0/0 o el trfico saliente en la interfaz de la derecha, interfaz S0/1; o de igual manera en el router C. Cantidad de ACL en un router La cantidad de ACL que puede tener un router, se calcula en base al nmero de protocolos que maneja el router (IP,IPX o Apple Talk), al nmero de Interfaces y por 2 dependiendo la direccin (in o out)[5]. CMO SE ESCRIBEN LAS ACL? Sintaxis de una ACL estndar access-list (nmero) (deny | permit) (ip origen) (wildcard origen) Ejemplo 1: ACL estndar Bloquear toda la subred 172.17.3.0/24, excepto la mquina 172.17.3.10 en la red 172.16.0.0/24 Figura 7: Topologa base para ejemplos Configuracin en la entrada de R3: access-list 1 permit host 172.17.3.10 access-list 1 deny 172.17.3.0 0.0.0.255 access-list 1 permit any interface Serial 0/0/1 ip address 172.17.5.2 255.255.255.252 ip access-group 1 in Sintaxis de una ACL extendidas Sintaxis para un rengln (se escribe en el modo de configuracin global):

access-list (nmero) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino) [(operador) (operando)] Donde: El protocolo puede ser (entre otros) IP (todo trfico de tipo TCP/IP), TCP,UDP, ICMP.

El operador puede ser: eq (igual), neq (desigual), gt (mayor a), lt (menor a) El operando puede ser un nmero de puerto o servicio TCP/IP ( TCP: 21 ftp, 23 telnet, 25 smtp, www 80, pop3 110) ( UDP: 53 dns, 69 tftp,161 snmp, bootpc cliente 68, bootpc server 67), otros (irc 194, https 443, rip 520, VoIP 2000)

Ejemplo 2: ACL extendida Ampliar el filtrado del ejemplo 1: Bloquear toda la subred 172.17.3.0/24, excepto la mquina 172.17.3.10 que debe permitir el trfico solo al servidor 172.16.0.10 Configuracin en la entrada de R1 access-list 102 permit ip host 172.17.3.10 host 172.16.0.10 access-list 102 deny ip 172.17.3.0.0.0.0.255 host 172.16.0.10 access-list 102 deny ip any any interface FastEthernet0/0 ip address 172.17.3.1 255.255.255.0 ip access-group 102 in Impacto en el cambio de una palabra del ACL Del ejemplo anterior, configuracin correcta: Configuracin en la entrada R1 access-list 102 permit ip host 172.17.3.10 host 172.16.0.10 access-list 102 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.10 access-list 102 deny ip any any interface FastEthernet 0/0 ip address 172.17.3.1 255.255.255.0 ip access-group 102 in Configuracin incorrecta: access-list 102 permit ip host 172.17.3.10 host 172.16.0.10 access-list 102 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.10 access-list 102 permit ip any any interface FastEthernet 0/0 ip address 172.17.3.1 255.255.255.0 ip access-group 102 in Esta versin de ACL permite, algo no deseado, entre otras cosas: Ejemplo 3: ACL extendida Permitir trfico HTTP y ping (ICMP) al servidor 172.16.0.10, para todos. Denegar todo lo dems. Configuracin en la entrada de R1 access-list 101 permit icmp any host 72.16.0.10 access-list 101 permit tcp any host 172.16.0.10 eq www interface FastEthernet0/0 ip address 172.17.3.1 255.255.255.0 ip access-group 101 in Se encuentra por defecto la siguiente lnea al final: access-list 101 deny ip any any

Creacin de ACL Utilizamos la herramienta de simulacin Packet Tracer y una topologa de red muy sencilla, formada por un router, dos switch y 2PCs, cada uno de ellos en una subred. Trabajaremos desde el modo de configuracin global: (config)# Hay dos tipos de ACL y utilizan una numeracin para identificarse: ACL estndar: del 1 al 99 ACL extendida: del 100 al 199 ACLs estndar: sintaxis Las ACL estndar en un router Cisco siempre se crean primero y luego se asignan a una interfaz. Tienen la configuracin siguiente: Router(config)# access-list numACL permit|deny origen [wild-mask] El comando de configuracin global access-list define una ACL estndar con un nmero entre 1 y 99. Se aplican a los interfaces con: Router (config-if)# ip access-group numACL in|out In: trfico a filtrar que ENTRA por la interfaz del router out : trfico a filtrar que SALE por la interfaz del router. wild-mask: indica con 0 el bit a evaluar y con 1 indica que el bit correspondiente se ignora. Por ejemplo, si queremos indicar un nico host 192.168.1.1 especifico: 192.168.1.1 con wild-mask 0.0.0.0 y si queremos especificar toda la red clase C correspondiente lo hacemos con 192.168.1.0 y wild-mask 0.0.0.255. Para la creacin de ACL estndar en importante: Seleccionar y ordenar lgicamente las ACL. Seleccionar los protocolos IP que se deben verificar. Aplicar ACL a interfaces para el trfico entrante y saliente. Asignar un nmero exclusivo para cada ACL. Ejemplo 1 Supongamos que queremos crear en un Router0 una ACL con el nmero 1 (numACL) que deniegue el host 192.168.1.2. Desde configuracin global: Router0(config)# access-list 1 deny 192.168.1.2 0.0.0.0 Si queremos eliminar una ACL: Router0(config)# no access-list Para mostrar las ACL: Router0# show access-list Standard IP access list 1 deny host 192.168.1.2 permit any Recordar que para salir del modo de configuracin global (config) hay que escribir 'exit'.

Ahora hay que utilizar el comando de configuracin de interfaz para seleccionar una interfaz a la que aplicarle la ACL: Router0(config)# interface FastEthernet 0/0 Por ltimo utilizamos el comando de configuracin de interfaz ip access-group para activar la ACL actual en la interfaz como filtro de salida: Router0(config-if)# ip access-group 1 out Ejemplo 2 Tenemos la siguiente topologa de red.

Vamos a definir una ACL estndar que permita el trafico de salida de la red 192.168.1.0/24. La primera cuestin que se plantea es dnde instalar la ACL? en qu router? en qu interfaz de ese router?. En este caso no habra problema porque solo tenemos un router, el Router0. Pero la regla siempre es instalar la ACL lo ms cerca posible del destino. Router0#configure terminal Router0(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Router0(config)#interface S0/0/0 Router0(config-if)#ip access-group 1 out Ahora borramos la ACL anterior y vamos a definir una ACL estndar que deniegue un host concreto. Router0(config)#no access-list 1 Router0(config)#access-list 1 deny 192.168.1.10 0.0.0.0 Router0(config) #access-list 1 permit 192.168.1.0 0.0.0.255 Router0(config)#interface S0/0/0 Router0(config-if)#ip access-group 1 out ACLs extendidas Las ACL extendidas filtran paquetes IP segn: Direcciones IP de origen y destino Puertos TCP y UDP de origen y destino Tipo de protocolo (IP, ICMP, UDP, TCP o nmero de puerto de protocolo). Las ACLs extendidas usan un nmero dentro del intervalo del 100 al 199. Al final de la sentencia de la ACL extendida se puede especificar, opcionalmente, el nmero de puerto de protocolo TCP o UDP para el que se aplica la sentencia: 20 y 21: datos y programa FTP 23: Telnet 25: SMTP 53: DNS 69: TFTP

Definir ACL extendida, sintaxis: Router(config)# access-list numACL {permit|deny} protocolo fuente [mascara-fuente destino mascara-destino operador operando] [established] numACL: Identifica nmero de lista de acceso utilizando un nmero dentro del intervalo 100-199 protocolo: IP, TCP, UDP, ICMP, GRE, IGRP fuente | destino: Identificadores de direcciones origen y destino mascara-fuente | mascara-destino: Mscaras de wildcard operador: lt, gt, eq, neq operando: nmero de puerto established: permite que pase el trfico TCP si el paquete utiliza una conexin establecida. o Respecto a los protocolos: o Slo se puede especificar una ACL por protocolo y por interfaz. o Si ACL es entrante, se comprueba al recibir el paquete. o Si ACL es saliente, se comprueba despus de recibir y enrutar el paquete a la interfaz saliente. o Se puede nombrar o numerar un protocolo IP. Asociar ACL a interfaz, sintaxis: Router(config-if)# ip access-group num_ACL {in | out} Ejemplo 1 En el esquema anterior, denegar FTP entre las subredes y permitir todo lo dems. Router0(config)# access-list 101 deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 21 Router0(config)# access-list 101 deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 20 Router(config)# access-list 101 permit ip any any Router(config)# interface F0/1 Router0(config-if)#ip access-group 101 in Ejemplo 2 En el esquema anterior, denegar solo telnet a la subred 192.168.1.0. Router0(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 23 Router(config)# access-list 101 permit ip any any Router(config)# interface F0/0 Router0(config-if)#ip access-group 101 out Ubicacin de las ACLs Es muy importante el lugar donde se ubique una ACL ya que influye en la reduccin del trfico innecesario. El trfico que ser denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino. La regla es colocar las: ACL estndar lo ms cerca posible del destino (no especifican direcciones destino). ACL extendidas lo ms cerca posible del origen del trfico denegado. As el trfico no deseado se filtra sin atravesar la infraestrucra de red

El proceso de creacin de una ACL se lleva a cabo creando la lista y posteriormente asocindola a una interfaz entrante o saliente. Configuracin de ACL estndar Router(config)#access-list[1-99][permit|deny][direccin de origen][mascara comodn] Donde: 1-99 Identifica el rango y la lista. Permit|deny indica si esta entrada permitir o bloquear el trfico a partir de la direccin especificada. Direccin de origen identifica la direccin IP de origen. Mascara comodn o wildcard identifica los bits del campo de la direccin que sern comprobados. La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits). Asociacin de la lista a una interfaz Router(config-if)#ip access-group[n de lista de acceso][in|out] Donde: Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz. In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida. Ejemplo de una ACL estndar denegando una red: Router#configure terminal Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0 Router(config)#access-list 10 permit any Router(config)#interface serial 0 Router(config-if)#ip access-group 10 in Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen, Posteriormente se asocio la ACL a la interfaz Serial 0. Configuracin de ACL extendida El proceso de configuracin de una ACL IP extendida es el siguiente: Router(config)#access-list[100-199][permit|deny][protocol][direccin de origen] [mascara comodn][direccin de destino][mascara de destino][puerto] [establisehed][log] 100-199 identifica el rango y nmero de lista Permit|deny: indica si la entrada permitir o bloqueara la direccin especificada. Protocolo: como por ejemplo IP, TCP, UDP, ICMP Direccin origen y destino: identifican direcciones IP de origen y destino. Mascara wildcard origen y mascara destino : Son las mascaras comodn. Las 0 indican las posiciones que deben coincidir, y los 1 las que no importan. Puerto opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq (distinto que) y un nmero de puerto de protocolo correspondiente.

Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que l rafico TCP pase si el paquete utiliza una conexin ya establecida (por ejemplo posee un conjunto de bits ACK) Log: (opcional) Enva un mensaje de registro a la consola a un servidor syslog determinado. Algunos de los nmeros de puertos ms conocidos: 20 Datos del protocolo FTP 21 FTP 23 Telnet 25 SMTP 69 TFTP 53 DNS Asociacin de la lista a una interfaz Router(config-if)#ip access-group[n de lista de acceso][in|out] Donde: Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz. In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida. Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red: Router(config)#access-list 120 deny tcp host 204.204.10.1 any eq 80 Router(config)#access-list 120 permit ip any any Router(config)#interface serial 1 Router(config-if)#ip access-group 120 in Se ha denegado al host 204.204.10.1, (identificndolo con la abreviatura host) hacia el puerto 80 de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP. Esta ACL se asocio a la interfaz Serial 1 como entrante. Aplicacin de una ACL a la linea de telnet Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una lista de acceso estndar y asociarla a la Line VTY. El proceso de creacin se lleva a cabo como una ACL estndar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la Lnea de telnet es el siguiente: router(config)#line vty 0 4 router(config-line)#access-class[N de lista de acceso][in|out] Como eliminar las listas de acceso Desde el modo interfaz donde se aplico la lista: Router(config-if)#no ip access-group[N de lista de acceso] Desde el modo global elimine la ACL router(config)#no access-list[N de lista de acceso]

Cmo configurar ACLs?: problema/ejercicio completo con ACLs extendidas En sta entrada, contino con el ejemplo de uso de ACLs en un ejercicio completo con visos de realismo, la vez pasada configuramos una red con ciertas polticas de seguridad usando slo ACLs estndar, ahora vamos a hacer el mismo ejercicio usando listas extendidas. Disfrtenlo. Para retomar el ejercicio, recordemos la topologa de ejemplo. Tenemos una topologa en la cual los hosts pertenecen a subredes dentro del espacio 172.16.0.0/12, losenlaces dentro del espacio 10.1.1.0/24 y un servidor de Intranet en la ip 10.0.0.5. En el servidor funcionan los servicios usuales: www, dns y tftp . Hay que configurar el dns para que resuelva las peticiones a example.com a la direccin 172.18.0.1 que provengan de cualquier host de la red (incluso de los invitados). Existen dos redes LAN que son las redes de los extremos, una red de invitados que es la segunda red de izquierda a derecha del diagrama, una red de servidores (slo uno) y finalmente simulamos el acceso a internet con la red del extremo derecho superior. Hay pequeos cambios respecto a la topologa anterior: agregu un switch y un pc a la red del router2, cambi el PC que simula internet por un servidor y agregu a la configuracin unas entradas de DNS, una para resolver example.com a la ip 172.18.0.1, www.example.com a la 172.18.0.2 e intranet.com a la direccin del servidor mismo. Para hacer ste ejercicio use la topologa sugerida en esta entrada. Si algo de lo mencionado no est claro, por favor consulte entradas anteriores que he escrito sobre subredes, enrutamiento y la serie sobre ACLs.

Poltica de seguridad de ejemplo La poltica que vamos a usar es la misma del ejercicio anterior, impuesta por un superior administrativo. 1. El servidor es de la intranet , es decir que de las redes del Router4 y Router2 deben poder acceder a la web interna.

2. Los PCs de la red del enrutador Router1 son invitados, por lo tanto slo pueden acceder a Internet, no al servidor ni a las redes internas (las de Router4, Router2 ni a los enrutadores mismos). 3. De los PCs de las redes internas, slo quienes tengan direcciones IP impar pueden acceder a Internet, el resto no. 4. Los PCs internos (excepto los invitados) pueden acceder mutuamente a sus recursos y a los enrutadores. 5. El PC 5 no puede acceder a ningn enrutador por ningn medio. 6. Cualquier trfico no contemplado debe ser bloqueado. Ahora vamos a intentar poner sta poltica en trminos de ACLs extendidas, recuerden que ste es un ejercicio y la ACL final va a tener defectos que uds. deben detectar y corregir. De la entrada anterior deducimos que hay ciertos objetivos que no se pueden lograr con ACLs estndar, por ejemplo, no se puede permitir slo el trfico de DNS la red de invitados hacia el servidor, lo cual es un requerimiento implcito: el servidor tambin es responsable por DNS, por lo tanto para poder hacer operaciones con dominios (como ping example.com), antes de hacer ping entre la estacin yexample.com se debe resolver el dominio a una direccin IP y eso es un trfico intermedio de DNS desde la estacin al servidor (quien resuelve la peticin con la direccin 172.18.0.1). Ya con la experiencia de la entrada anterior, sabemos que hay otros requerimientos implcitos que hay que considerar antes de implementar, por ejemplo, como las listas de acceso terminan por defecto con un deny any, es probable que trfico necesario, como las actualizaciones de enrutamiento entre los enrutadores, sea bloqueado por defecto y, como nuestro foco de atencin son las polticas de seguridad, nos resulte difcil deducir ese resultado inesperado o peor an, que verifiquemos que se haya bloqueado el trfico que queramos bloquear y quedemos convencidos de que s se logr el objetivo (por no verificar el trfico permitido), pero la razn del bloqueo es que el enrutamiento se cay totalmente, por lo tanto el trfico que queramos bloquear ya no pasa pero tampoco pasar ningn otro. Eso hay que verlo haciendo el ejercicio de la entrada anterior. No sobra repetirlo: asegrese que tiene copia de seguridad de la configuracin inicial para evitar que si se cae todo y los nervios nos limitan la capacidad de respuesta, se pueda restaurar el estado de operacin inicial de la red con slo restaurar la configuracin y reiniciar algn equipo. As podemos resolver sin presiones el problema o, mejor an, simularlo. Configuracin con listas extendidas Una ventaja de las listas extendidas es que, aparte de permitir ms granularidad a la hora de definir los criterios de seleccin de trfico, son mucho ms flexibles para su implementacin, por ejemplo, usualmente podemos configurar con listas extendidas todo en un slo enrutador, mientras que con listas estndar esa opcin no suele estar disponible. De todos modos, configurar todo en un solo enrutador no es eficiente por varias razones, una es que la carga de procesamiento queda en un solo dispositivo y otra razn es que una distribucin eficiente de las listas de acceso ayuda a evitar trfico innecesario. Recuerde que las listas de acceso extendidas se instalan de entrada en el enrutador ms cercano al origen del trfico, eso evita que el enrutador haga bsquedas en la tabla de enrutamiento para los paquetes bloqueados y evita que el trfico no permitido cruce la red innecesariamente, recuerde tambin que sto ltimo no se puede hacer con listas estndar porque ellas se tienen que instalar lo ms cerca al destino, es decir, despus de que ocuparon ancho de banda en la red y procesamiento en los enrutadores y dispositivos intermedios. La lista inicial quedara as: Router2 access-list 101 permit ip 172.19.0.1 0.0.255.254 any access-list 101 deny tcp host 172.19.0.3 any eq 23 access-list 101 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 101 permit tcp 172.19.0.0 0.0.255.255 host 10.0.0.5 eq www access-list 102 deny host 172.19.0.3 any Router4

access-list 101 permit ip 172.16.0.1 0.0.255.254 any access-list 101 permit ip 172.16.0.0 0.0.255.255 172.19.0.0 0.0.255.255 access-list 101 permit tcp 172.16.0.0 0.0.255.255 host 10.0.0.5 eq www Router1 access-list 101 deny ip 172.17.0.0 0.0.255.255 172.16.0.0 0.0.255.255 access-list 101 deny ip 172.17.0.0 0.0.255.255 172.19.0.0 0.0.255.255 access-list 101 deny ip 172.17.0.0 0.0.255.255 10.1.1.0 0.0.0.255 access-list 101 permit udp 172.17.0.0 0.0.255.255 10.1.1.0 0.0.0.255 eq 53 access-list 101 permit ip 172.17.0.0 0.0.255.255 any Router0 No hay ACLs porque las polticas se cumplen en cada enrutador. La lista estndar que se ve en router2, es una lista especial que usaremos para bloquear el acceso por telnet a este enrutador y en ste mismo bloqueamos el acceso por telnet a los otros. Para que las listas de acceso extendidas sean eficientes, se deben instalar de entrada lo ms cerca posible del origen del trfico a bloquear, por lo tanto, la lista de router2 la instalara en la interfaz fa0/0 de entrada, de tal manera que el trfico bloqueado ni siquiera implique enrutar esos paquetes en ese enrutador. De esta instalacin se deduce que todas las listas estarn en las interfaces de lan de los enrutadores correspondientes en la direccin de entrada. Finalmente, la lista estndar se instala en la vty (acceso por telnet/ssh) del enrutador correspondiente con el comando access-class <N> in, diferente del comando access-group <N> in de las interfaces ordinarias. Tambin hay que tener en cuenta que el orden de la lista tiene un efecto importantsimo en el filtrado de trfico, si una regla corresponde con cierto trfico que se incluye en otra regla, la ms especfica debera ir primero, por ejemplo la regla access-list 101 permit udp 172.17.0.0 0.0.255.255 10.1.1.0 0.0.0.255 eq 53 Que se instala en el router1 corresponde con el trfico proveniente de la red 172.17.0.0 que va hacia el servidor por UDP en el puerto 53, el permit deja pasar ese trfico, en otras palabras, el trfico de DNS proveniente de la red de invitados entra al servidor. Si yo incluyo una regla para denegar el resto del trfico proveniente de la red de invitados hacia el servidor de esta manera: access-list 101 deny ip 172.17.0.0 0.0.255.255 10.1.1.0 0.0.0.255 Esta regla incluye el trfico permitido con la regla anterior, la primera regla es ms especfica que la segunda, por lo tanto debe ir antes en el listado. Ponerlas en el orden inverso implicara que siempre se denegara el trfico de la red 172.17.0.0 incluso el trfico de DNS, porque despus de ejecutar la regla general de denegacin (puesta antes de la especfica) terminara la ejecucin de la lista de acceso (cuando se encuentra una correspondencia se aplica la accin y se deja de ejecutar la lista, no se examinan ms clusulas). Hacer el ejercicio Obviamente el ejercicio ya est resuelto, el archivo que dejo a disposicin es un archivo de Packet Tracer con la topologa propuesta y est configurada con conectividad total entre todas las estaciones, una vez que se instalen las listas de acceso en las interfaces correctas, la poltica de seguridad estar en uso. Instalando la ACL del router2 vemos el primer problema: el trfico de telnet desde la IP 172.19.0.3 que pensamos que ibamos a bloquear pasa por la primera regla (permitir IP impar concualquier destino), si se di cuenta del problema pas la primera prueba. Si hacemos ping example.com desde cualquiera de los PCs de la red de router2 hacia cualquier destino el ping es exitoso, lo cual comprueba el resto de la ACL, cierto? Pues no, la lista no permite dns y por lo tanto nunca se sabr la IP de example.com pero para observar los detalles que nos pueden engaar, si probamos la lista en el PC 172.19.0.3 s pasar, porque una regla permite cualquier trfico desde ese PC hacia cualquier destino. As que tambin falta una regla que permita el trfico de DNS en sta lista. Bueno, ya creo que queda claro lo que hay que hacer: comprobar exhaustivamente qu trfico qued permitido y qu trfico bloqueado . La tarea que les sugiero es que intenten instalando la lista actual y encontrar los defectos (tiene muchos) luego usen la lista de acceso resuelta que tambin dejar adjunta a la entrada. Un buen ejemplo de lista de

acceso bien aplicada es la que se aplica en el router2: slo permite lo que debe permitir y bloquea cualquier otra cosa, sin embargo habra que agregarle una regla que permita el acceso por telnet al enrutador. Recuerde: las listas extendidas se deben instalar (excepto cuando definitivamente no es posible) de entrada en las interfaces ms cercanas al origen del trfico con el comando de modo de interfaz ip access-group <N> in, para bloquear el trfico de una vty se usa el comando access-class <N> in. Conclusiones Las ACLs son complicadas porque no estamos acostumbrados a pensar en trminos de clasificacin de trfico y a veces la comprobacin debe ser muy minuciosa para poder determinar que todos los objetivos quedaron incluidos. Lo anterior es una de las razones por las que el currculo de Cisco insiste en la documentacin: hay que planificar concienzudamente lo que se desea y verificar exhaustivamente su cumplimiento . Los dejo con los archivos prometidos y les ruego paciencia ya que no he podido volver a escribir regularmente con ste nivel de detalle (y creo que cada vez va a ser ms difcil).