2. Las ACLs extendidas filtran los paquetes
basándose en la información de origen y destino de
las capas 3 y 4.
La información de capa 4 puede incluir información
de puertos TCP y UDP.
Las ACLs extendidas otorgan mayor flexibilidad y
control sobre el acceso a la red que las ACLs
estándar.
4. ROUTER(CONFIG)# ACCESS-LIST {100-199} {PERMIT | DENY}
PROTOCOLO DIR-ORIGEN [WILDCARDORIGEN]
[OPERADOR OPERANDO] DIR-DESTINO [WILDCARD-DESTINO]
[OPERADOR OPERANDO]
[ESTABLISHED]
De manera similar a las ACLs estándar, el primer valor especifica el número de la
ACL. Las ACLs numeradas entre 100-199 o 2000-2699 son ACLs extendidas.
El siguiente valor especifica si lo que debe hacer es permitir o denegar de acuerdo
al criterio que sigue.
El tercer valor indica el tipo de protocolo. El administrador debe especificar IP,
TCP, UDP u otros sub-protocolos de IP específicos.
La dirección IP y la máscara wildcard de origen determinan dónde se origina el
tráfico.
La dirección IP y la máscara wildcard de destino son usadas para indicar el
destino final del tráfico de red.
Aunque el parámetro de puerto se define como opcional, cuando se configuran la
dirección IP y máscara de destino, el administrador debe especificar el número de
puerto que corresponda, ya sea por número o por nombre de puerto bien
conocido. Si no es así, todo el tráfico con ese destino será descartado.
5. Todas las ACLs asumen un deny implícito, lo cual
significa que si un paquete no coincide con ninguna
de las condiciones especificadas en la ACL, el
paquete será denegado.
Una vez que la ACL ha sido creada, debe incluirse
al menos una sentencia permit o todo el tráfico de
la interfaz a la que se aplique será descartado.
Tanto las ACLs estándar como las extendidas
pueden ser usadas para describir paquetes que
entran o salen de una interfaz.
La lista se recorre secuencialmente.
La primera sentencia que coincida detiene la
búsqueda en la lista y define la acción que se
tomará.
6. Una vez que se ha creado la ACL IP numerada,
sea estándar o extendida, el administrador debe
aplicarla a la interfaz apropiada.
Este es el comando que se usa para aplicar la ACL
a una interfaz:
Router(config-if)# ip access-group número-acl
{in | out}
Este es el comando que se usa para aplicar la ACL
a una línea vty:
Router(config-line)# access-class número-acl
{in | out}
7.
8. Es posible crear una ACL nombrada en lugar de
una ACL numerada.
Las ACLs nombradas deben especificarse como
estándar o extendidas.
Router(config)# ip access-list [standard |
extended] nombre_ACL
La ejecución de este comando ubica al usuario en
el modo de subconfiguración en el que deberá
ingresar los comandos permit y deny.
Los comandos permit y deny tienen la misma
sintaxis básica que los comandos de la ACL IP
numerada.
9. Una ACL estándar nombrada puede usar
sentencias deny y permit statements.
Router(config-std-nacl)# deny {origen [wildcard-
origen] | any}
Router(config-std-nacl)# permit {origen [wildcard-
origen] | any}
11. Las ventajas del uso de ACLs nombradas incluyen
que el administrador puede borrar una entrada
específica en una ACL nombrada yendo al modo
de subconfiguración y prefijando el comando con el
parámetro no.
El uso del parámetro no en una entrada de una
ACL numerada resultaría en la eliminación de toda
la ACL.
El administrador también puede agregar entradas
en el medio de una ACL nombrada.
Con una ACL numerada, los comandos sólo
pueden agregarse al final de la ACL.
12. Una vez que las sentencias han sido generadas en la
ACL, el administrador debe activar la ACL en una
interfaz con el comando ip access-group, especificando
el nombre de la ACL.
Router(config-if)# ip access-group nombre-ACL {in | out}
También puede usarse una ACL para permitir o denegar
a direcciones IP específicas el acceso virtual.
Las ACLs estándar permiten la aplicación de
restricciones en la dirección IP o el rango IP de origen.
Las ACLs extendidas también tienen esta función pero
además aplican el protocolo de acceso, como el puerto
23 (Telnet) o el puerto 22 (SSH).
La ACL extendida access-class sólo soporta la palabra
clave any como destino.
La lista de acceso debe ser aplicada en el puerto vty.
15. Al final de una sentencia ACL, el administrador
tiene la opción de configurar el parámetro log.
R1(config)# access-list 101 permit tcp 192.168.1.0
0.0.0.255 192.168.2.0 0.0.0.255 eq 22 log
Si este parámetro se configura, el software IOS de
Cisco compara los paquetes en búsqueda de una
coincidencia con la sentencia.
El router registra en una función de registro
habilitada, como la consola, el buffer interno del
router o un servidor syslog.
Se registran muchos datos:
16. Acción - permit o deny
Protocolo - TCP, UDP o ICMP
Direcciones de origen y destino
Para TCP y UDP - números de puerto de origen y
destino
Para ICMP - tipo de mensaje
17. Los mensajes de registro se generan en la primera
coincidencia de paquete y luego envintervalos de
cinco minutos.
La habilitación del parámetro log en un router Cisco
afecta seriamente al rendimientovdel dispositivo.
Cuando se habilita el registro, los paquetes son
transmitidos por conmutación de proceso o por
conmutación rápida.
El parámetro log debe ser usado solamente si la
red está bajo ataque y el administrador está
intentando determinar quién es el atacante.
En este punto, el administrador debe habilitar el
registro por el tiempo que sea necesario para reunir
la información suficiente y luego deshabilitarlo.
18. ADVERTENCIAS AL TRABAJAR CON ACLS:
deny all implícito –
Todas las ACLs de Cisco terminan con una
sentencia "deny all« implícita.
Incluso si esta sentencia no está a la vista en la
ACL, está allí.
Filtrado de paquetes de ACL estándar –
Las ACLs estándar se limitan a filtrar los paquetes
sólo por dirección de origen.
Puede necesitar crear una ACL extendida para
implementar su política de seguridad plenamente.
19. Orden de las sentencias - Las ACLs tienen una
política de primera coincidencia.
Cuando hay una coincidencia con una sentencia, el
proceso de verificación de la lista se detiene.
Ciertas sentencias ACLs son más específicas que
otras y, por lo tanto, deben ocupar un lugar anterior
en la ACL.
Por ejemplo, el bloqueo de todo el tráfico UDP al
principio de la lista niega la sentencia que permite
los paquetes SNMP que usan UDP, que está más
abajo en la lista.
El administrador debe asegurarse de que las
sentencias que están arriba en la ACL no nieguen
sentencias posteriores.
20. Filtrado direccional –
Las ACLs de Cisco tienen un filtro direccional que
determina si los paquetes de entrada (hacia la
interfaz) o los paquetes de salida (desde la interfaz)
serán examinados.
El administrador siempre debe revisar dos veces la
dirección de los datos que la ACL filtra.
21. Modificación de ACLs –
Cuando un router compara un paquete con una ACL,
las entradas de la ACL son examinadas desde arriba
hacia abajo.
Cuando el router encuentra una sentencia que coincide,
el procesamiento de la ACL se detiene y se permite o
deniega el paquete según la entrada en la ACL.
Cuando se agregan nuevas entradas a una ACL,
siempre se agregan al final. Esto puede volverlas
inútiles si una entrada anterior es menos específica.
Por ejemplo, si una ACL tiene una entrada que deniega
a la red 172.16.1.0/24 acceso a un servidor en una
línea, pero en la siguiente línea se lo permite a un solo
host de esa red, el host 172.16.1.5, el acceso le será
denegado.
Esto ocurre porque el router encuentra una coincidencia
en los paquetes de 172.16.1.5 con la red 172.16.1.0/24
y deniega el tráfico sin leer la siguiente línea
22. Cuando una nueva sentencia vuelve inusable la
ACL, debe crearse una nueva ACL con el orden de
las sentencias correcto.
La ACL vieja debe eliminarse, y la nueva ACL debe
ser asignada a la interfaz del router
correspondiente.
Si se usa una versión 12.3 o posterior del IOS de
Cisco, se pueden usar números de secuencia para
garantizar que la nueva sentencia se agregue a la
ACL en el orden correcto.
La ACL se procesa de arriba hacia abajo
basándose en los números de secuencia de las
sentencias (del más bajo al más alto).
23. Paquetes especiales - Los paquetes generados
por el router, como las actualizaciones de la tabla
de enrutamiento, no están sujetos a las sentencias
ACL de salida en el router de origen.
Si la política de seguridad solicita un filtrado de
este tipo de paquetes, deberá realizarlo una ACL
de entrada en un router adyacente o un
mecanismo diferente de filtrado en routers que
usen ACLs.