Mejores prácticas de ACL en un router de la serie RV34x

Objetivo

El objetivo de este artículo es describir las mejores prácticas para crear

listas de control de acceso (ACL) con su enrutador de la serie RV34x.

Dispositivos aplicables | Versión de firmware

 RV340 | 1.0.03.20 (descargar la última)
 RV340W | 1.0.03.20 (descargar la última)
 RV345 | 1.0.03.20 (descargar la última)
 RV345P | 1.0.03.20 (descargar la última)

Introducción

¿Quieres más control sobre tu red? ¿Quiere tomar medidas adicionales

para mantener su red segura? Si es así, una Lista de control de acceso
(ACL) podría ser justo lo que necesita.

Una ACL consta de una o más entradas de control de acceso (ACE)

que definen colectivamente el perfil de tráfico de la red. Las
características del software de Cisco, como el filtrado de tráfico, la
prioridad o la cola personalizada, pueden hacer referencia a este
perfil. Cada ACL incluye un elemento de acción (permitir o denegar) y
un elemento de filtro basado en criterios como la dirección de origen, la
dirección de destino, el protocolo y los parámetros específicos del
protocolo.

Según los criterios que ingresó, puede controlar que cierto tráfico
ingrese y/o salga de una red. Cuando un enrutador recibe un paquete,
lo examina para determinar si reenviar o descartar el paquete según su
lista de acceso.

La implementación de este nivel de seguridad se basa en diferentes

casos de uso que consideran escenarios de red y necesidades de
seguridad particulares.
 Es importante tener en cuenta que el enrutador puede crear
automáticamente una lista de acceso según las configuraciones de su
enrutador. En este caso, es posible que vea listas de acceso que no
puede borrar a menos que cambie las configuraciones del enrutador.

Por qué usar Listas de Acceso

 En la mayoría de los casos, usamos ACL para proporcionar un nivel básico de
seguridad para acceder a nuestra red. Por ejemplo, si no configura las ACL, todos los
paquetes que pasen por el enrutador podrían acceder de forma predeterminada a todas
las partes de nuestra red.
 Las ACL pueden permitir que un host, rango de direcciones IP o redes y evitar que
otro host, rango de direcciones IP o redes accedan a la misma área (host o red).
 Mediante el uso de ACL, puede decidir qué tipos de tráfico reenvió o bloqueó en las
interfaces del enrutador. Por ejemplo, puede permitir el tráfico del Protocolo de
transferencia de archivos (SFTP) de Secure Shell (SSH) y, al mismo tiempo,
bloquear todo el tráfico del Protocolo de inicio de sesión (SIP).

Cuándo usar listas de acceso

 Debe configurar las ACL en los enrutadores que se colocan entre nuestra red interna
y una red externa como Internet.
 Puede usar ACL para controlar el tráfico que ingresa o sale de una parte específica de
nuestra red interna.
 Cuando necesite filtrar el tráfico entrante o saliente, o ambos en una interfaz.
 Debe definir las ACL por protocolo para controlar el tráfico.

Mejores prácticas para configurar la seguridad básica con listas de acceso

 Implemente ACL que permitan solo aquellos protocolos, puertos y direcciones IP que
nieguen todo lo demás.
 Bloquee los paquetes entrantes que afirman tener el mismo destino y la misma
dirección de origen (ataque terrestre en el enrutador mismo).
 Active la capacidad de registro en las ACL en un host Syslog interno (de confianza).
 Si usa el Protocolo simple de administración de redes (SNMP) en el enrutador, debe
configurar la ACL de SNMP y la cadena de comunidad SNMP compleja.
 Permita que solo las direcciones internas ingresen al enrutador desde las interfaces
internas y permita que solo el tráfico destinado a las direcciones internas ingrese al
enrutador desde el exterior (interfaces externas).
 Bloquear multidifusión si no se usa.
  Bloquee algunos tipos de mensajes del Protocolo de mensajes de control de Internet
(ICMP) (redireccionamiento, eco).
 Considere siempre el orden en que ingresa las ACL. Por ejemplo, cuando el
enrutador decide si reenviar o bloquear un paquete, prueba el paquete con cada
declaración de ACL en el orden en que se crearon las ACL.

Implementación de la lista de acceso en los enrutadores de la serie

Cisco RV34x
Topología de red de ejemplo

Escenario de ejemplo

En este escenario, replicaremos este diagrama de red, donde tenemos

un enrutador RV345P y dos interfaces VLAN diferentes. Tenemos una
PC en VLAN 1 y en VLAN2, y también tenemos un servidor en VLAN 1.
El enrutamiento entre VLAN está habilitado, por lo que los usuarios de
VLAN 1 y VLAN 2 pueden comunicarse entre sí. Ahora vamos a aplicar
la regla de acceso para restringir la comunicación entre el usuario de la
VLAN 2 hacia este servidor en la VLAN 1.

Configuración de ejemplo

Paso 1

Inicie sesión en la interfaz de usuario web (UI) del enrutador con las
credenciales que ha configurado.

Paso 2
 Para configurar la ACL, vaya a Firewall > Reglas de acceso y haga clic
en el ícono más para agregar una nueva regla.

Paso 3

Configure los parámetros de las Reglas de acceso . Aplique ACL para

restringir el acceso al servidor (IPv4: 192.168.1.10/24) de los usuarios
de VLAN2. Para este escenario, los parámetros serán los siguientes:
 Estado de la regla: Habilitar
 Acción: Negar
 Servicios: Todo el Tráfico
 Registro: Verdadero
 Interfaz de origen: VLAN2
 Dirección de origen: Cualquiera
 Interfaz de destino: VLAN1
 Dirección de destino: IP única 192.168.1.10
 Nombre del horario: en cualquier momento
Haga clic en Aplicar .

En este ejemplo, negamos el acceso desde cualquier dispositivo de la VLAN2 al servidor y

luego permitimos el acceso a los otros dispositivos en la VLAN1. Sus necesidades pueden
variar.
Etapa 4

La lista de reglas de acceso se mostrará de la siguiente manera:

Verificación
Para verificar el servicio, abra el símbolo del sistema. En las
plataformas de Windows, esto se puede lograr haciendo clic en el
botón de Windows y luego escribiendo cmd en el cuadro de búsqueda
inferior izquierdo de la computadora y seleccionando Símbolo del
sistema en el menú.

Introduzca los siguientes comandos:

 En la PC (192.168.3.173) en VLAN2, haga ping al servidor (IP:

192.168.1.10). Recibirá una notificación de Tiempo de espera de solicitud agotado, lo
que significa que no se permite la comunicación.
 En la PC (192.168.3.173) en VLAN2, haga ping a la otra PC (192.168.1.109) en
VLAN1. Obtendrás una respuesta exitosa.
Conclusión

Ha visto los pasos necesarios para configurar la regla de acceso en un

enrutador de la serie Cisco RV34x. ¡Ahora puede aplicar eso para crear
una regla de acceso en su red que se ajuste a sus necesidades!