Capa de Transporte- REDES INFORMATICAS EMPRESARIALES
Acl
1. 9. ADMINISTRACIÓN DEL TRÁFICO EN LA RED
El funcionamiento de la red suele requerir que el Administrador establezca restricciones de acceso y
prioridades en el tráfico de la red a fin de hacer más eficiente su desempeño y brindar mayor
seguridad a las recursos y la información transmitida.
El Cisco IOS proporciona funcionalidades básicas de filtrado de tráfico a partir del uso de Listas de
Control de Acceso (ACL). Una lista de control de acceso es una enumeración secuencial de
indicaciones de permiso y/o prohibición para determinadas direcciones y/o protocolos de capa
superior específicos.
Algunas razones para implementar listas de acceso:
• Limitar el tráfico de la red como una manera de mejorar su performance.
• Implementar controles para el flujo de tráfico.
• Brindar un nivel de seguridad básico.
• Especificar que determinado tipo de tráfico (aplicación o protocolo) sea reenviado o
bloqueado en la interfase de un dispositivo.
Reglas de funcionamiento de ACL
! Se puede configurar una sola lista en cada interfase por sentido del tráfico (entrante /
saliente), por protocolo de enrutamiento (IP, IPX, etc.).
! Cada lista de acceso es identificada por un ID único (un numérico o alfanumérico). En el
caso de las listas numeradas, este ID identifica el tipo de lista de acceso y las diferencia
de otras semejantes.
! Cada paquete que ingresa o sale de la interfase es comparado con cada línea de la lista
secuencialmente, en el mismo orden en que fueron ingresadas, comenzando por la
primera ingresada.
! La comparación se sigue realizando hasta tanto se encuentre una coincidencia. Una vez
que el paquete cumple la condición de una línea, se ejecuta la acción indicada y no se
sigue comparando.
! Hay un deny all implícito al final de cada lista de acceso, que no es visible. Por lo tanto,
si el paquete no coincide con ninguna de las premisas declaradas en la lista será
descartado.
! Los filtros de tráfico saliente no afectan el tráfico originado en el mismo router.
! Las listas de acceso IP al descartar un paquete envían al origen un mensaje ICMP de
“host de destino inalcanzable”.
! Tener en cuenta que al activar listas de acceso el router automáticamente conmuta de
fast switching a process switching.
o Fast Switching – Feature de los routers Cisco que utiliza un cache del router para
conmutar rápidamente los paquetes hacia el puerto de salida sin necesidad de
seleccionar la ruta para cada paquete que tiene una misma dirección de destino.
o Process Switching – Operación que realiza una evaluación completa de la ruta por
paquete. Implica la transmisión completa del paquete al CPU del router donde será
re-encapsulado para ser entregado a través de la interfase de destino. El router
realiza la selección de la ruta para cada paquete. Es la operación que requiere una
utilización más intensiva de los recursos del router.
APUNTE BÁSICO DE NETWORKING – V. 1.0 - 114
2. Tipos de listas de acceso IP e IPX
! Listas de acceso estándar - Listas IP: permiten filtrar únicamente direcciones IP de
origen. Listas IPX: filtran tanto direcciones IPX de origen como de destino.
! Listas de acceso extendidas - Listas IP: verifican direcciones de origen y destino,
protocolo de capa 3 y puerto de capa 4. Listas IPX: Permiten filtrar además de las
direcciones IPX de origen y destino, a través del valor del campo protocolo del
encabezado de capa 3 y el número de socket del encabezado de capa 4.
! Listas de acceso nombradas – Listas de acceso IP tanto estándar como extendidas
que verifican direcciones de origen y destino, procolos de capa 3 y puertos de capa 4,
identificadas con una cadena de caracteres alfanuméricos. A diferencia de las listas de
acceso numeradas, se configuran en un submodo propio y son editables.
! Filtros IPX SAP - Se utilizan para controlar el tráfico de paquetes SAP tanto a nivel LAN
como WAN. Son un mecanismo útil para controlar el acceso a los dispositivos IPX.
! Lista de acceso entrante – Controlan el tráfico que ingresa al router a través del puerto
en el que está aplicada, y antes de que sea conmutado a la interface de salida.
! Lista de acceso saliente – Controlan el tráfico saliente del router a través del puerto en
que está aplicada, una vez que ya ha sido conmutado.
Número de lista de accesso:
El tipo de lista de acceso y protocolo de capa 3 que filtra se especifica a partir de un número de lista
de acceso. El listado completo de números de listas de acceso y su significado se puede consultar en
el IOS a partir del modo configuración tipeando:
Router(config)#access-list ?
1-99 IP estándar
100-199 IP extendida
200-299 Protocol type code
300-399 DECnet
400-499 XNS estándar
500-599 XNS extendida
600-699 AppleTalk
700-799 48 bit MAC address estándar
800-899 IPX estándar
900-999 IPX extendida
1000-1099 IPX SAP
1100-1199 48 bit MAC address extendida
1200-1299 IPX summary address
APUNTE BÁSICO DE NETWORKING – V. 1.0 - 115
3. Números de puerto
En las listas de acceso IP extendidas, al especificar protocolo tcp o udp se puede también
especificar la aplicación que se desea filtrar a través del número de puerto.
FTP Data = 20 TCP
FTP = 21 TCP
Telnet = 23 TCP
SMTP = 25 TCP
Time = 37 UDP
TACACS = 49 UDP
DNS = 53 UDP
DHCP server = 67 UDP
DHCP client = 68 UDP
TFTP = 69 UDP
Gopher = 70 UDP
Finger = 79 UDP
HTTP = 80 TCP
POP3 = 110 TCP
RPC = 111 UDP
NetBIOS name = 137 UDP
NetBIOS datag = 138 UDP
NetBIO session = 139 UDP
SNMP = 161 UDP
IRC = 194
Máscara de wildcard
Las máscaras de wildcard son direcciones de 32 bits divididas en 4 octetos de 8 bits utilizadas para
generar filtros de direcciones IP. Se utilizan en combinación con una dirección IP.
En las máscaras de wildcar el dígito en 0 (cero) indica una posición que debe ser comprobada,
mientras que el dígito 1 (uno) indica una posición que carece de importancia.
La máscara se aplica a una dirección IP específica contenida en la declaración de la ACL y a la
dirección de los paquetes a evaluar. Si ambos resultados son iguales, entonces se aplica al paquete
el criterio de permiso o denegación enunciado en la línea correspondiente.
172.16.14.33 0.0.0.0
Indica que se debe seleccionar únicamente la dirección IP declarada.
172.16.14.44 0.0.0.255
Selecciona todas las direcciones IP comprendidas entre 172.16.14.0 y
172.16.14.255 (no discrimina respecto del cuarto octeto).
APUNTE BÁSICO DE NETWORKING – V. 1.0 - 116
4. 172.16.14.14 0.0.255.255
Selecciona todas las direcciones IP de la red 172.16.0.0 comprendidas
entre 172.16.0.0 y 172.16.255.255 (no discrimina respecto del número
de host –los dos últimos bits-).
Algunas reglas de cálculo
1. Cuando se desea filtrar una red completa, la máscara de wildcard es el complemento de
la máscara de subred por defecto:
Dirección de red: 172. 16. 0 . 0
Máscara de subred por defecto: 255.255. 0 . 0
Máscara de wildcard: 0 . 0 .255.255
2. Cuando se desea filtrar una subred completa, la máscara de wildcard es el complemento
de la máscara de subred que se esté aplicando:
Dirección de subred: 172. 16. 30. 0/24
Máscara de subred por defecto: 255.255.255. 0
Máscara de wildcard: 0 . 0 . 0 .255
Dirección de subred: 172. 16. 32. 0/20
Máscara de subred por defecto: 255.255.240. 0
Máscara de wildcard: 0 . 0 . 15.255
Configuración de las listas
En el proceso de configuración de las listas de acceso deben distinguirse 2 etapas:
1. creación de la lista de acceso en modo configuración global
2. asignación de esa lista a un puerto de modo entrante o saliente.
Listas de acceso IP estándar
Router(config)#access-list [1-99] [permit/demy] [IP origen]
Router(config)#interface serial 1
Router(config-if)#ip access-group [1-99] [in/out]
Listas de acceso IP extendida
Router(config)#access-list [100-199] [permit/demy] [protocolo][IP
origen] [IP destino] [tipo servicio]
Router(config)#interface serial 1
Router(config-if)#ip access-group [100-199] [in/out]
Listas de acceso IP nombradas
Router (config)#ip access-list [standard/extended] [nombre]
Para configurar una lista de acceso ip nombrada estándar:
Router (config-std-nacl)#[permit/demy] [IP origen]
APUNTE BÁSICO DE NETWORKING – V. 1.0 - 117
5. Para configurar una lista de acceso ip nombrada extendida:
Router (config-ext-nacl)#[permit/demy] [protocolo][IP origen] [IP
destino] [tipo servicio]
Listas de acceso IPX estándar
Router(config)#access-list [800-899] [permit/demy] [dirección IPX
origen] [dirección IPX destino]
Nota: el valor -1 en el campo correspondiente a las direcciones de origen
y/o destino indica cualquier origen o destino.
Router(config)#interface serial 1
Router(config-if)#ipx access-group [800-899] [in/out]
Listas de acceso IPX extendida
Router(config)#access-list [900-999] [permit/demy]
[protocolo][dirección IPX origen] [dirección IPX
destino] [socket]
Router(config)#interface serial 1
Router(config-if)#ipx access-group [900-999] [in/out]
Filtros IPX SAP
Router(config)#access-list [1000-1099] [permit/demy] [dirección IPX
origen] [servicio]
Nota: el valor 0 en el campo servicio indica “todos los servicios”.
Router(config)#interface serial 1
Router(config-if)#ipx [input/output]-sap-filter [1000-1099]
Filtros aplicados a terminales virtuales
Se pueden aplicar a las terminales virtuales (acceso por telnet) listas de acceso estándar a fin de
limitar las direcciones IP a partir de las cuales se podrá conectar al dispositivo vía telnet.
Un ejemplo:
Router(config)#access-list 10 permit host 172.16.10.3
Router(config)#line vty 0 4
Router(config-line)#access-class 10 in
Comandos especiales
En algunos casos especiales, un comando puede reemplazar una máscara de wilcard, con el mismo
efecto:
xxx.xxx.xxx.xxx 0.0.0.0 = host xxx.xxx.xxx.xxx
0.0.0.0 255.255.255.255 = any
-1 = any IPX network
remark utilizado en lugar de la opción permit/deny, permite
insertar comentarios en una lista de acceso.
Si no se especifica una máscara por defecto, el sistema operativo asume la máscara por defecto:
0.0.0.0 En consecuencia, las siguientes formas son equivalentes:
Router(config)#access-list 10 permit 172.16.10.3 0.0.0.0
APUNTE BÁSICO DE NETWORKING – V. 1.0 - 118
6. Router(config)#access-list 10 permit host 172.16.10.3
Router(config)#access-list 10 permit 172.16.10.3
Monitoreo de las listas
Router#show access-list [#] muestra las listas y el contenido de todas las ACL o
una en particular. No permite verificar a qué interfase
están aplicadas.
Router#show ip access-list muestra solamente la configuración de ACL IP.
Router#show ipx access-list muestra solamente la configuración de ACL IPX.
Router#show ip interface muestra los puertos que tienen aplicadas ACL IP.
Router#show ipx interface muestra los puertos que tienen aplicadas ACL IPX.
Router#show running-config muestra tanto las listas de acceso configuradas,
como la que se encuentran aplicadas a cada
interfase.
Para ver un detalle de la información brindada por cada comando show, vea el “Anexo 1 – Comandos
IOS para Monitoreo”.
Tips de aplicación
! Antes de comenzar a trabajar sobre una lista de acceso existente, desvincúlela de todas
las interfases a las que se encuentre asociada.
! No se puede remover una única línea de una lista de acceso numerada (no son
editables).
! Ya que las listas numeradas no son editables, es una buena práctica -para mantener un
proceso de edición más simple-, recurrir al uso de un editor de texto.
! Cada vez que agrega una línea a la lista de acceso, esta se ubicará a continuación de las
líneas existentes, al final.
! Organice su lista de acceso de modo que los criterios más específicos estén al comienzo
de la misma, y luego las premisas más generales.
! Coloque primero los permisos y luego las denegaciones.
! Toda lista debe incluir al menos un comando permit.
! Las listas no filtran el tráfico originado en el router.
! Una misma lista de acceso puede ser asignada a varias interfaces en el mismo
dispositivo, tanto en modo entrante como saliente.
! Las listas de acceso estándar deben colocarse lo más cerca posible del destino del
tráfico.
! Las listas de acceso extendidas deben colocarse lo más cerca posible del origen del
tráfico que será denegado.
APUNTE BÁSICO DE NETWORKING – V. 1.0 - 119