PRACT!CA +. CONF!GURAC!

ON DE ROUTERS: Listas de Control de Acceso (ACLs)

3
1. Objetivo
El objetivo de esta practica es que el alumno adquiera los conocimientos practicos sobre
las Listas de Control de Accesos (ACLs) en la conIiguracion de routers. El objetivo
Iinal de esta practica es observar el Iuncionamiento y la conIiguracion de las mismas,
observando sus ventajas en lo reIerente al Iiltrado de traIico que atraviesa un router.
Este objetivo se puede desglosar en los siguientes objetivos parciales:
1. ConIiguracion de una ACL IP Estandar
- Desarrollar una ACL estandar para permitir o denegar traIico especiIico
- Aplicar una ACL IP estandar a una interIaz de router
- Probar la ACL para determinar si se lograron los resultados deseados
- Eliminar una ACL de una interIaz de router
- Eliminar una ACL de un router
2. ConIiguracion de una ACL IP Extendida
- Desarrollar una ACL IP extendida para permitir o denegar traIico especiIico
- Aplicar una ACL IP extendida a una interIaz de router.
- Probar la ACL para determinar si se lograron los resultados deseados.
3. Disear y planiIicar una ACL, segun requisitos de seguridad especiIicos.
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
4
2. Qu es una ACL?
Una ACL es una coleccion secuencial de sentencias de permiso o rechazo que se aplican
a direcciones o protocolos de capa superior. Los routers proporcionan capacidades de
Iiltrado de traIico a traves de las listas de control de acceso (ACL). En esta practica,
conocera las ACL estandar y extendidas como medio de controlar el traIico de red y de
que manera se usan las ACL como parte de una solucion de seguridad (cortaIuegos).
Las ACL son listas de instrucciones que
se aplican a una interIaz del router. Estas
listas indican al router que tipos de
paquetes se deben aceptar y que tipos de
paquetes se deben denegar. La
aceptacion y rechazo se pueden basar en
ciertas especiIicaciones, como direccion
origen, direccion destino y numero de
puerto. Cualquier traIico que pasa por la
interIaz debe cumplir ciertas condiciones
que Iorman parte de la ACL. Las ACL
se pueden crear para todos los
protocolos enrutados de red, como IP e IPX, para Iiltrar los paquetes a medida que
pasan por un router. Es necesario deIinir una ACL para cada protocolo habilitado en una
interIaz si desea controlar el Ilujo de traIico para esa interIaz. Por ejemplo, si su interIaz
de router estuviera conIigurada para IP, AppleTalk e IPX, seria necesario deIinir por lo
menos tres ACL. Cada ACLs sobre cada interIaz, actua en un sentido, distinguiendo
tanto sentido de entrada como de salida. Se puede deIinir diIerentes ACLs y luego
instalarlas sobre los interIaces del router segun convenga al administrador de la red.
Razones para el uso de ACLs
Hay muchas razones para crear ACLs. Por ejemplo, las ACL se pueden usar para:
Limitar el traIico de red y mejorar el rendimiento de la red. Por ejemplo, las
ACL pueden designar ciertos paquetes para que un router los procese antes de
procesar otro tipo de traIico, segun el protocolo. Esto se denomina colocacion en
cola, que asegura que los routers no procesaran paquetes que no son necesarios.
Como resultado, la colocacion en cola limita el traIico de red y reduce la
congestion.
Brindar control de Ilujo de traIico. Por ejemplo, las ACL pueden restringir o
reducir el contenido de las actualizaciones de enrutamiento. Estas restricciones
se usan para limitar la propagacion de la inIormacion acerca de redes especiIicas
por toda la red.
Proporcionar un nivel basico de seguridad para el acceso a la red. Por ejemplo,
las ACL pueden permitir que un host acceda a una parte de la red y evitar que
otro acceda a la misma area. Al Host A se le permite el acceso a la red de
Recursos Humanos, y al Host B se le deniega el acceso a dicha red. Si no se
conIiguran ACL en su router, todos los paquetes que pasan a traves del router
supuestamente tendrian acceso permitido a todas las partes de la red.
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
5
Se debe decidir que tipos de traIico se envian o bloquean en las interIaces del
router. Por ejemplo, se puede permitir que se enrute el traIico de correo
electronico, pero bloquear al mismo tiempo todo el traIico de telnet.
3. Funcionamiento de las ACLs
Una ACL es un grupo de sentencias que deIine como los paquetes:
Entran a las interIaces de entrada
Se reenvian a traves del router
Salen de las interIaces de salida del router
El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o
no. Cuando un paquete entra en una interIaz, el router veriIica si un paquete es enrutable
o puenteable. Ahora, el router veriIica si la interIaz de entrada tiene una ACL. Si existe,
ahora se veriIica si el paquete cumple o no las condiciones de la lista. Si el paquete es
permitido, entonces se compara con las entradas de la tabla de enrutamiento para
determinar la interIaz destino. A continuacion, el router veriIica si la interIaz destino
tiene una ACL. Si no la tiene, el paquete puede ser enviado directamente a la interIaz
destino.
Las sentencias de la ACL operan
en orden secuencial logico. Si se
cumple una condicion, el paquete
se permite o deniega, y el resto de
las sentencias de la ACL no se
veriIican. Si las sentencias de la
ACL no se veriIican, se impone
una sentencia implicita de
"denegar cualquiera". Esto
signiIica que, aunque la sentencia
"denegar cualquiera" no se vea
explicitamente en la ultima linea
de una ACL, esta alli.
4. Configuracin de las ACLs
Requieren dos pasos basicos. El primer paso es crear una deIinicion de ACL, y el
segundo es aplicar la ACL a una interIaz. Las ACL se asignan a una o mas interIaces y
pueden Iiltrar el traIico entrante o saliente, segun la conIiguracion. Solo se permite una
ACL por interIaz. Las ACL salientes son generalmente mas eIicientes que las entrantes,
y por lo tanto siempre se preIieren. Un router con una ACL entrante debe veriIicar cada
paquete para ver si cumple con la condicion de la ACL antes de conmutar el paquete a
una interIaz saliente.
PASO 1: DeIinir las sentencias que Iormaran la ACL. Cada una de ellas se deIine con
la siguiente sentencia
R Ro ou ut te er r ( (c co on nf fi ig g) )= = a access-list numero-lista-acceso permit [ deny] condiciones}
PASO 2: Aplicar dicha ACL sobre los interIaces en el sentido deseado con
R Ro ou ut te er r ( (c co on nf fi ig g- -i if f) )= = p pr ro ot to oc co ol l] ] a access- group numero-lista-acceso in/out]
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
6
Las ACL se crean utilizando el modo de conIiguracion global.
Al conIigurar las ACL en un router, se debe identiIicar cada ACL de Iorma
exclusiva, asignando un numero a la ACL del protocolo. Cuando se usa un
numero para identiIicar una ACL, el numero debe estar dentro del intervalo
especiIico de numeros que es valido para el protocolo.
Se deben seleccionar y ordenar logicamente las sentencias que Iorman la ACL
de Iorma muy cuidadosa. Cada una de estas sentencias debe hacer reIerencia al
mismo nombre o numero identiIicatorio, para relacionar las sentencias a la
misma ACL. Se puede establecer cualquier cantidad de sentencias de condicion,
pero cuanto mas sentencias se establezcan, mayor sera la diIicultad para
comprender y administrarla ACL.
Despues de crear una ACL numerada, debe asignarla a una interIaz para poderla
usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas,
necesita eliminar todas las sentencias en la ACL numerada mediante el comando
no access-list numero-lista-acceso.
5. Mascara de Wildcard
Una mascara wildcard es una cantidad de 32 bits que se divide en cuatro octetos, en la
que cada octeto contiene 8 bits. Un bit de mascara wildcard de 0 signiIica "verificar el
valor de bit correspondiente" y un bit 1 de una mascara wildcard signiIica "no
verificar (ignorar) el valor de bit correspondiente". Una mascara wildcard se
compara con una direccion IP. Los numeros uno y cero se usan para identiIicar como
tratar los bits de la direccion IP correspondientes. Las ACL usan mascaras wildcard para
identiIicar una sola o multiples direcciones para las pruebas de aprobar o rechazar.
Aunque ambas son cantidades de 32 bits, las mascaras wildcard y las mascaras de
subred IP operan de manera diIerente.
Digamos que desea veriIicar una direccion IP para veriIicar la existencia de subredes
que se pueden permitir o denegar. Supongamos que la direccion IP es una direccion
Clase B (es decir, que los primeros dos octetos son el numero de red) con 8 bits de
division en subredes (el tercer octeto es para las subredes). Es necesario usar bits de
mascara wildcard IP para permitir todos los paquetes desde cualquier host en las
subredes 172.30.16.0 a 172.30.31.0. La Iigura muestra un ejemplo de como usar la
mascara wildcard para hacer esto. Para empezar, la mascara wildcard veriIica los
primeros dos octetos (172.30), utilizando los bits de cero correspondientes en la mascara
wildcard. Como no interesan las direcciones de host individuales (un identiIicador de
host no tiene .00 al Iinal de la direccion), la mascara wildcard ignora el octeto Iinal,
utilizando los bits unos correspondientes en la mascara wildcard.
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
7
En el tercer octeto, la mascara wildcard es 15 (00001111), y la direccion IP es 16
(00010000). Los primeros cuatro ceros en la mascara wildcard indican al router que
debe comparar los primeros cuatro bits de la direccion IP (0001). Como los ultimos
cuatro bits se ignoran, todos los numeros dentro del intervalo de 16 (00010000) a 31
(00011111) coinciden porque comienzan con el patron 0001. Para los cuatro bits Iinales
(menos signiIicativos) en este octeto, la mascara wildcard ignora el valor porque en
estas posiciones, el valor de la direccion puede ser cero o uno binarios, y los bits
wildcard correspondientes son unos. En este ejemplo, la direccion 172.30.16.0 con la
mascara wildcard 0.0.15.255 coincide con las subredes 172.30.16.0 a 172.30.31.0. La
mascara wildcard no coincide con ninguna otra subred.
Trabajar con representaciones decimales de bits wildcard binarios puede ser una tarea
muy tediosa. Para los usos mas comunes de las mascaras wildcard, se pueden usar
abreviaturas. Estas abreviaturas reducen la cantidad de cosas que hay que escribir
cuando se conIiguran condiciones de prueba de direcciones. Si especiIicamos que
cualquiera cumple la sentencia pondriamos como direccion IP 0.0.0.0 y de mascara todo
1`s para que se ignore (255.255.255.255), por tanto la palabra any sustituye a 0.0.0.0
255.255.255.255. Por ejemplo, en lugar de usar esto:
Router(conIig)# access-list 1 permit 0.0.0.0 255.255.255.255
se puede usar esto:
Router(conIig)# access-list 1 permit any
Si especiIicamos una direccion IP determinada, daremos la direccion y luego la mascara
de todo 0`s, que se simpliIica con la palabra host. Por ejemplo, en lugar de usar esto:
Router(conIig)# access-list 1 permit 172.30.16.29 0.0.0.0
se puede usar esto:
Router(conIig)# access-list 1 permit host 172.30.16.29
6. ACL Estndar
Las ACL estandar veriIican solo la direccin origen de los paquetes que se deben
enrutar. Se deben usar las ACL estandar cuando se desea bloquear todo el traIico de una
red, permitir todo el traIico desde una red especiIica o denegar conjuntos de protocolo.
El resultado permite o deniega el resultado para todo un conjunto de protocolos, segun
las direcciones de red, subred y host. Las ACL estandar, aunque son mas Iaciles de
crear, proporcionan menor control sobre el traIico de red.
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
8
Como hemos aprendido, se usa la version estandar del comando de conIiguracion global
access-list para deIinir una ACL estandar con un numero. La sintaxis completa del
comando es
Router(conIig)# access-list access- list-number deny , permit} source |source-wildcard | |log|
Se usa la Iorma no de este comando para eliminar una ACL estandar. Esta es la sintaxis:
Router(conIig)# no access-list access-list-number
donde log permite registrar los incidentes (msg: n ACL, si el paquete ha sido permitido
o denegado, direccion origen y el numero de paquetes)
E1EMPLO 1: la ACL solo permite que se envie el traIico desde la red origen 172.16.0.0. El
traIico que no es de 172.16.0.0 se bloquea. Tambien se muestra en el ejemplo como el
comando ip access-group 1 out agrupa la ACL y la aplica a una interIaz saliente.
Router(conIig)# access-list 1 permit 172.16.0.0 0.0.255.255
( access-list 1 denv anv esta implicito)
Router(conIig)# interIace I 0/0
Router(conIig-iI)# ip access-group 1 out
Router(conIig-iI)# interIace I 0/1
Router(conIig-iI)# ip access-group 1 out
E1EMPLO 2: ACL para bloquear el traIico proveniente de una direccion especiIica,
172.16.4.13, y para permitir que todo el traIico restante sea enviado en la interIaz Ethernet 0.
El primer comando access-list usa el parametro deny para denegar el traIico del host
identiIicado. La mascara de direccion 0.0.0.0 en esta linea requiere que en la prueba
coincidan todos los bits. Esta condicion tambien se puede escribir empleando la palabra
clave host. En el segundo comando access-list la combinacion de mascara wildcard /
direccion IP 0.0.0.0 255.255.255.255 identiIica el traIico de cualquier origen. Esta
combinacion tambien se puede escribir utilizando la palabra clave any. Cualquier paquete
que no coincida con la primera linea de la ACL coincidira con la segunda y se enviara.
Router(conIig)# access-list 1 deny 172.16.4.13 0.0.0.0
(o bien, access-list 1 deny host 172.16.4.13)
Router(conIig)# access-list 1 permit 0.0.0.0 255.255.255.255
(o bien, access-list 1 permit any)
(access-list 1 denv anv esta implicito)
Router(conIig)# interIace I 0/0
Router(conIig-iI)# ip access-group 1 out
E1EMPLO 3: ACL esta diseada para bloquear el traIico desde una subred especiIica,
172.16.4.0, y para permitir que el resto del traIico sea enviado
Router(conIig)# access-list 1 deny 172.16.4.0 0.0.0.255
Router(conIig)# access-list 1 permit any
(access-list 1 denv anv esta implicito)
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
9
Router(conIig)# interIace I 0/0
Router(conIig-iI)# ip access-group 1 out
En esta practica de laboratorio se trabaja con listas de control de acceso estandar (ACL)
para regular el traIico que se permite pasar a traves de un router segun el origen, ya sea
un host especiIico (normalmente una estacion de trabajo o servidor) o una red completa
(cualquier host o servidor en esa red). Una ACL estandar es una herramienta simple y
eIectiva para controlar que paquetes pueden pasar a traves de un router desde una red a
otra. Las ACL estandar son una Iorma basica de control con capacidades limitadas.
Pueden Iiltrar (permitir o denegar) paquetes que salen de o entran a una interIaz de
router utilizando solo la direccion IP de la red o host origen. Por lo tanto, se deben
aplicar cerca de la direccin destino, ya que dicha direccion no se puede especiIicar.
Otros protocolos enrutados (o enrutables) como IPX o AppleTalk tambien pueden tener
ACL o Iiltros pero esta practica de laboratorio se concentra en las ACL IP. Cuando se
aplica una ACL IP estandar, esta Iiltra (permite o deniega) todo el conjunto de protocolo
IP (IP, TCP, SMTP, HTTP, Telnet etc.). Cuando se crean las ACL IP estandar se
numeran del 1 al 99.
Estos son los pasos necesarios para usar las ACL de forma efectiva:
Determinar los requisitos de la ACL (segun las necesidades de seguridad, etc.)
Desarrollar la ACL
VeriIicar las sentencias en la ACL
Aplicar la ACL a una interIaz de router
VeriIicar que la ACL se aplique correctamente a la interIaz que se desea
VeriIicar que la ACL Iuncione correctamente
En esta practica de laboratorio se desarrolla, aplica y prueba una ACL IP estandar. Se
realizan dos ejercicios. En el Ejercicio A se deben bloquear paquetes desde un host o
red especiIico/a, impidiendo que accedan a cualquier host u otra red. En el Ejercicio B
se bloquea el traIico desde todos los hosts en una red especiIica, impidiendo que
accedan a cualquier host en una red completa. Realice primero el ejercicio A, una vez
acabado elimine la ACL del ejercicio A y realice el ejercicio B.
Ejercicio A: La ACL 1 impide que el traIico IP desde un host especiIico (estacion de
trabajo con direccion IP 172.20.xxx.3, donde xxx es 40,48,56,64, etc, segun sea tu red)
conectada al switch Fast-Ethernet de la interIaz I0/0 de tu router, alcance tu red vecina
hacia la derecha (p. ej., desde 172.20.40.3 no se debe poder alcanzar la subred
172.20.48.0 que cuelga de Barcelona, pero si el resto de redes).
Ejercicio B: La ACL 2 impide que el traIico IP desde todos los hosts de tu red alcance
tu red vecina hacia la derecha.
Tarea 1. Configuracin de una ACL IP Estndar
Paso 0. Borrar las ACLs existentes. Ejecuta el comando show access- list para
comprobar si existe alguna ACL deIinida. En ese caso, borralas con el comando no
access-list <n>. Comprueba tambien si algun interIaz tiene aplicada ninguna ACL con
el comando show ip interface. En ese caso, desactivalas empleando el comando no ip
access-group <n> in/out, desde el modo de conIiguracion del interIaz.
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
10
Paso 1. Determinar los requisitos de la ACL. Cual es traIico (paquetes) que se
bloquea (deniega) o se permite, y de que hosts o redes proviene? Como se usa una ACL
IP estandar, solo se puede Iiltrar segun la direccion origen. Con el ejercicio A, se desea
bloquear el traIico desde la direccion de host 172.20.xxx.3, donde xxx es 40,48,56,64,
etc, segun sea tu red. Con el Ejercicio B, se desea bloquear el traIico desde todos los
hosts de tu red.
Paso 2. Determinar el lugar (router+interfaz) de aplicacin de las ACLs. Como las
ACL estandar solo pueden especiIicar o veriIicar direcciones origen, se debe aplicar el
Iiltro lo mas cerca posible del destino. A que router y a que interIaz se puede aplicar la
ACL para cada uno de los ejercicios de ejemplo, A o B? Consulte el diagrama de
laboratorio estandar y llene la tabla siguiente con la direccion (o direcciones) IP que se
deben bloquear, la red a la cual no deben acceder, el router donde se debe aplicar la
ACL, la interIaz a la que se aplicara y si se bloquea la entrada o la salida (IN o OUT)
Ejercicio
Host IP o red que se
debe denegar
(bloquear)
Red a la que no
deben acceder
los paquetes
Router donde se
debe aplicar la
ACL
InterIaz donde
se debe aplicar
la ACL (S0, S1,
E0, etc)
IN o OUT
A (ACL 1)
B (ACL 2)
Nota: Recuerde que debe colocar las ACL estandar cerca del destino
Paso 3. Desarrollar la ACL. DeIinir las sentencias ACL en modo Router(conIig)#, en
el router adecuado segun la tabla anterior. Las sentencias ACL son aditivas. Cada
sentencia se agrega a la ACL. Si hay mas de una sentencia en la ACL (lo que es tipico)
y se desea cambiar una sentencia anterior, se debe borrar la ACL y comenzar de nuevo.
En estos ejemplos se bloquean paquetes desde solo una direccion de host IP o una red.
Como las ACL siempre terminan con un "deny any" implicito, si se utilizan una de las
sentencias anteriores esto haria que esta lista denegara una sola direccion origen, pero
tambien denegaria implicitamente cualquier otra direccion origen. Nuestro objetivo es
solo denegar el acceso desde un unico host, de manera que es necesario agregar una
segunda sentencia para permitir todo el traIico restante.
Paso 4. Verificar las sentencias en la ACL. Utilice el siguiente comando show access-
list numero-lista para controlar sus sentencias y veriIicar que todo se haya escrito
correctamente. Si desea corregir un error o hacer un cambio en una sentencia existente
se debe eliminar la ACL y comenzar de nuevo. Cuantas sentencias hay en la ACL?
Paso 5. Aplicar la ACL a un interfaz del router. Utilice para ello el comando ip
access-group n acl~ in/out, dentro del modo de conIiguracion del interIaz adecuado.
Paso 6. Verificar si la ACL se aplica a la interfaz correcta. El comando show ip
interface muestra inIormacion de interIaz IP e indica si se ha establecido alguna ACL.
Cuales Iueron los resultados que demuestran que la ACL se ha aplicado
correctamente?
Paso 7. Verificar que la ACL funcione correctamente. Pruebe la ACL intentando
enviar paquetes desde el host/red origen que se debe permitir o denegar. Emita varios
comandos ping para probar estas ACL segun sea el ejercicio.
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
11
7. ACL Extendida
Las ACL extendidas veriIican las direcciones origen y destino de los paquetes. Tambien
pueden veriIicar protocolos, numeros de puerto y otros parametros especiIicos. Esto
oIrece mayor Ilexibilidad para describir las veriIicaciones que debe realizar la ACL. Las
ACL extendidas se usan con mayor Irecuencia para veriIicar condiciones porque
oIrecen una mayor cantidad de opciones de control que las ACL estandar. Se puede usar
una ACL extendida cuando se desea permitir el traIico de la Web pero denegar el
Protocolo de transIerencia de archivos
(FTP) o Telnet desde las redes que no
pertenecen a la empresa. Como las ACL
extendidas pueden bloquear el traIico
segun la direccion destino, se pueden
ubicar cerca del origen, lo que ayuda a
reducir el traIico de red. Algunos de los
numeros de puerto mas comunes
aparecen en la tabla. La Iorma completa
del comando access-list de una ACL
extendida es:
Router(conIig)# access-list access-list-number permit , deny } protocol source
|source-mask destination destination-mask operator operand| |established|
Log: para registrar los incidentes (msg: n ACL, si el paquete ha sido permitido o
denegado, direccion origen y el numero de paquetes)
proto: ip, tcp, udp, icmp, gre, igrp
operation: lt(less than), gt(greater than), eq (equal), neq (non equal) y
operand: un numero de puerto
established: Permite que pase traIico TCP si el paquete utiliza una conexion establecida
(bit ACK activado)
E1EMPLO 1: ACL extendida que bloquea el traIico de FTP (el servicio FTP emplea el
puerto TCP 21).
Router(conIig)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Router(conIig)# access-list 101 permit ip 172.16.4.0 0.0.0.255 0.0.0.0 255.255.255.255
( access-list 1 denv anv esta implicito)
Router(conIig)# interIace I 0/0
Router(conIig-iI)# ip access-group 101 out
E1EMPLO 2: ACL que no permite que el traIico de Telnet (el servicio Telnet emplea el
puerto TCP 23) desde 172.16.4.0 se envie desde la interIaz E0. Se permite todo el traIico
desde cualquier otro origen a cualquier otro destino
Router(conIig)# access- list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
Router(conIig)# access- list 101 permit ip any any
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
12
( access-list 1 denv anv esta implicito)
Router(conIig)# interIace I 0/0
Router(conIig-iI)# ip access-group 101 out
En esta practica de laboratorio se trabaja con las ACL extendidas para regular el traIico
que se permite que pase a traves del router, segun el origen y el tipo de traIico. Las ACL
son una herramienta importante para controlar que paquetes, y que tipo de paquetes
pueden pasar a traves de un router desde una red a otra. En esta practica de laboratorio
se desarrollara, aplicara y probara una ACL IP extendida. Realice el Ejercicio A y el
Ejercicio B que se describen a continuacion.
Ejercicio A: Evitar que el traIico del servicio de ECHO (puerto TCP 7) desde un host
especiIico (estacion de trabajo con direccion IP 172.20.xxx.3, donde xxx es
40,48,56,64, etc, segun sea tu red) conectada al switch Fast-Ethernet de la interIaz I0/0
de tu router, alcance tu red vecina hacia la derecha (p. ej., desde 172.20.40.3 no se debe
poder ejecutar el servicio de ECHO Irente a un servidor situado en la subred
172.20.48.0 que cuelga de Barcelona, pero si se debe poder ejecutar Irente a un servidor
situado en cualquier otra red; ademas, cualquier otro servicio debe de poder Iuncionar
normalmente).
Ejercicio B: Evitar que el traIico del servicio DAYTIME (puerto TCP 13) desde un
host especiIico (estacion de trabajo con direccion IP 172.20.xxx.3, donde xxx es
40,48,56,64, etc, segun sea tu red) conectada al switch Fast-Ethernet de la interIaz I0/0
de tu router, alcance tu red vecina hacia la derecha.
Tarea 2. Configuracin de una ACL IP Extendida
Paso 1. Determinar los requisitos de la ACL. En particular, decidir en que router y a
que interIaz debe ser aplicada la ACL. Como ahora se utilizan ACL extendidas y se
pueden Iiltrar la direccion origen y destino, se puede aplicar el Iiltro lo mas cerca
posible del origen, lo que ahorra ancho de banda. A que router y a que interIaz se
puede aplicar la ACL para cada uno de los ejercicios de ejemplo, A o B?
Paso 2. Desarrollar la ACL. DeIinir las sentencias ACL en modo Router(conIig)#.
Recordad que las sentencias de una misma ACL son aditivas. Cada sentencia se agrega
a la ACL. Si hay mas de una sentencia en la ACL (lo que es tipico) y se desea cambiar
una sentencia anterior, se debe borrar la ACL y comenzar de nuevo. En estos ejemplos
se bloquean paquetes desde solo una direccion de host IP o una red. Como las ACL
siempre terminan con un "deny any" implicito, si se utilizan una de las sentencias
anteriores esto haria que esta lista denegara una sola direccion origen, pero tambien
denegaria implicitamente cualquier otra direccion origen. Nuestro objetivo es solo
denegar el acceso desde un solo host, de manera que es necesario agregar una segunda
sentencia para permitir todo el traIico restante.
Paso 3. Verificar las sentencias en la ACL. Utilice el siguiente comando show access-
list numero-lista para controlar sus sentencias y veriIicar que todo se haya escrito
correctamente. Si desea corregir un error o hacer un cambio en una sentencia existente
se debe eliminar la ACL y comenzar de nuevo. Cuantas sentencias hay en la ACL?
Paso 4 - Aplicar la ACL a una interfaz de router. Se debe recordar que se puede
decidir aplicar la ACL a los paquetes entrantes o salientes. A menos que se especiIique
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
13
IN (entrante), la ACL se aplica solo a los paquetes OUT (salientes) (IN y OUT siempre
se consideran desde Iuera del router).
Paso 5. Verificar si la ACL se aplica a la interfaz correcta. El comando show ip
interface muestra inIormacion de interIaz IP e indica si se ha establecido alguna ACL.
Cuales Iueron los resultados que demuestran que la ACL se ha aplicado
correctamente?.
Paso 6. Verificar que la ACL funcione correctamente. Pruebe la ACL intentando
hacer ECHO o DAYTIME desde el host origen que se debe denegar.
8. ACL Nombradas
Las ACL nombradas permiten que las ACL IP estandar y extendidas se identiIiquen con
una cadena alIanumerica (nombre) en lugar de la representacion numerica actual (1 a
199). Las ACL nombradas se pueden usar para eliminar entradas individuales de una
ACL especiIica. Esto permite modiIicar sus ACL sin eliminarlas y luego
reconIigurarlas. Se usan las ACL nombradas cuando:
Se desea identiIicar intuitivamente las ACL utilizando un nombre alIanumerico.
Existen mas de 99 ACL simples y 100 extendidas que se deben conIigurar en un
router para un protocolo determinado.
Tenga en cuenta lo siguiente antes de implementar las ACL nombradas:
Las ACL nombradas no son compatibles con las versiones de Cisco IOS
anteriores a la version 11.2.
No se puede usar el mismo nombre para multiples ACL. Ademas, las ACL de
diIerentes tipos no pueden tener el mismo nombre. Por ejemplo, no es valido
especiIicar una ACL estandar llamada Jorge y una ACL extendida con el mismo
nombre.
Para nombrar la ACL, se utiliza el siguiente comando:
Router(conIig)# ip access-list standard , extended} nombre
En el modo de conIiguracion de ACL, se especiIica una o mas condiciones de permitir o
denegar. Esto determina si el paquete debe pasar o debe descartarse:
Router(conIig std- , ext-}nacl)# deny [ permit source |source-wildcard| , any}
Se usa la Iorma no de este comando para eliminar una condicion de una ACL.
El ejemplo siguiente es una ACL nombrada estandar denominada Internetfilter:
ip access-list standard Internetfilter
denv 192.5.34.0 0.0.0.255
permit 128.88.0.0 0.0.255.255
permit 36.0.0.0 0.255.255.255
(Nota: cualquier otro acceso esta implicitamente denegado)
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
14
Tarea 3. Diseo y planificacin de un plan de seguridad
Esta practica de laboratorio es un ejercicio que simula una situacion de la realidad. Se
trabaja con multiples listas de control de acceso extendidas (ACL) para simular la
regulacion del traIico al que se permite pasar a traves de multiples routers a varios
servidores e Internet. Este es un ejercicio para practicar el analisis de los requisitos de
seguridad y disear un plan de ACL. Se pueden conIigurar la mayoria de las ACL en los
routers indicados, pero no se pueden probar en realidad algunas de las capacidades de
Iiltrado de las ACL en algunos casos. Por ello, debes desarrollar este plan de seguridad
por escrito indicando claramente la conIiguracion de cada ACL, y donde debe aplicarse
(router, interIaz, sentido in o out). Entregaselo al proIesor de practicas en el plazo que te
indique.
En esta practica de laboratorio se disea un plan de seguridad que utiliza multiples
ACL extendidas y determinara donde se deben aplicar sobre la base de la siguiente
conIiguracion de laboratorio estandar. Puede haber mas de una respuesta correcta.
Paso 1 - Definir los requisitos de la ACL.
A continuacion se suministran los requisitos y algunos supuestos para esta practica de
laboratorio. En general es mejor intentar usar la menor cantidad posible de listas de
acceso y tener en cuenta el potencial de crecimiento de la red. En este ejercicio se usan
ACL extendidas.
Supongamos que sus servidores empresariales se ubican en la red 172.20.56.0
(desde Valencia).
1. Se debe permitir acceso a traves de la Web (protocolo http) a su servidor web
172.20.56.80 para cualquier persona
2. Se debe permitir el acceso a traves de DNS a su servidor DNS 172.20.56.53
3. Se debe permitir que el personal docente tenga pleno acceso desde la red
172.20.72.0 a cualquiera de estos servidores.
4. No se debe permitir otro acceso a ningun servidor en la red 172.20.56.0
Suponga que todos los estudiantes se encuentran en la red 172.20.48.0, y se desea
controlar el acceso hacia o desde esa red. Supongamos que el router Madrid le
pertenece a su ISP y no tiene control sobre l.
1. NO se debe permitir que los estudiantes usen FTP a Internet (posibles
problemas de virus!)
2. Se debe permitir que los estudiantes tengan cualquier otro tipo de acceso a
Internet
3. Se debe permitir que los estudiantes tengan acceso a la red del cuerpo docente
172.20.72.0 para pasar mensajes de correo electronico (SMTP)
4. Se debe denegar a los estudiantes cualquier otro tipo de acceso a la red del
cuerpo docente 172.20.72.0
PRACT!CA +. CONF!GURAC!ON DE ROUTERS: Listas de Control de Acceso (ACLs)
15
Paso 2. Desarrollar una o ms ACL. Agrupe las sentencias segun sus caracteristicas
comunes y la ubicacion donde usted considera que se debe aplicar la ACL. Intente crear
la menor cantidad posible de ACL y mantener la Ilexibilidad.
Paso 3. Aplicar y verificar las ACL con los routers del laboratorio (si estn
disponibles). Puede que no sea posible probar todas las capacidades de Iiltrado de las
ACL, ya que no dispondra de un servidor HTTP o DNS o acceso a Internet, pero se
puede probar la mayor parte del Iiltrado. Recuerde que solo se puede aplicar una ACL
por protocolo (como IP) por direccion (entrante o saliente (IN or OUT)).