© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1
Filtrado de tráfico mediante listas de control de acceso
Introducción al enrutamiento y la conmutación en la empresa Capítulo 8
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 2
Objetivos
Describir el filtrado de tráfico y explicar cómo las listas de control de acceso (ACL) pueden filtrar el tráfico en las interfaces del router.
Analizar el uso de las máscaras wildcard.
Configurar y aplicar las ACL.
Crear y aplicar las ACL para controlar los tipos de tráfico específico.
Registrar la actividad de la ACL e integrar las mejores prácticas de la ACL.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 3
Descripción del filtrado de tráfico
Analizar el contenido de un paquete
Permitir o bloquear el paquete
Según la IP de origen, IP de destino, dirección MAC, protocolo y tipo de aplicación
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 4
Descripción del filtrado de tráfico
Dispositivos que proporcionan filtrado de tráfico:
Firewalls incluidos en los routers integrados
Aplicaciones de seguridad dedicadas
Servidores
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 5
Descripción del filtrado de tráfico
Usos para las ACL:
Especificar hosts internos para NAT
Clasificar el tráfico para el QoS
Restringir las actualizaciones de enrutamiento, limitar los resultados de la depuración, controlar el acceso a terminal virtual
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 6
Descripción del filtrado de tráfico
Posibles problemas con las ACL:
Mayor carga en el router
Posible interrupción de la red
Consecuencias no esperadas a causa de una incorrecta ubicación
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 7
Descripción del filtrado de tráfico
Las ACL estándar filtran según la dirección IP de origen
Las ACL extendidas filtran en el origen y el destino así como también en el número de puerto y protocolo
Las ACL nombradas pueden ser estándar o extendidas
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 8
Descripción del filtrado de tráfico
Las ACL están compuestas de sentencias
Al menos una sentencia debe ser una sentencia de permiso
La sentencia final es una denegación implícita
La ACL debe aplicarse a una interfaz para que funcione
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 9
Descripción del filtrado de tráfico
La ACL se aplica en forma entrante o saliente
La dirección se obtiene a partir de la perspectiva del router
Cada interfaz puede tener una ACL por dirección para cada protocolo de red
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 10
Análisis del uso de las máscaras wildcard
La máscara wildcard puede bloquear un rango de direcciones o una red entera con una sentencia
Los 0 indican qué parte de una dirección IP debe coincidir con la ACL
Los 1 indican qué parte no tiene que coincidir en forma específica
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 11
Análisis del uso de las máscaras wildcard
Utilice el parámetro host en lugar de una wildcard 0.0.0.0
Utilice el parámetro any en lugar de una wildcard 255.255.255.255
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 12
Configuración e implementación de las listas de control de acceso Determinar los requisitos del filtrado de tráfico
Decidir qué tipo de ACL utilizar
Determinar el router y la interfaz a los cuales aplicar la ACL
Determinar en qué dirección filtrar el tráfico
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 13
Configuración e implementación de las listas de control de acceso: ACL estándar numerada Utilice el comando access-list para ingresar las
sentencias Utilizar la misma cantidad de sentencias Rangos de números: 1-99, 1300-1999 Aplicar lo más cerca posible del destino
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 14
Configuración e implementación de las listas de control de acceso: ACL extendida numerada Utilice el comando access-list para ingresar las
sentencias Utilizar la misma cantidad de sentencias Rangos de números: 100-199, 2000-2699 Especificar un protocolo para admitir o rechazar Colóquela lo más cerca posible del origen
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 15
Configuración e implementación de las listas de control de acceso: ACL nombradas El nombre descriptivo reemplaza el rango del número Utilice el comando ip access-list para ingresar la
sentencia inicial Comience las sentencias subsiguientes con permiso o
rechazo Aplicar de la misma manera que la ACL estándar o
extendida
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 16
Configuración e implementación de las listas de control de acceso: Acceso VTY Crear la ACL en el modo de configuración de línea
Utilizar el comando access-class para iniciar la ACL
Utilizar una ACL numerada
Aplicar restricciones idénticas a todas las líneas VTY
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 17
Creación y aplicación de las ACL para controlar los tipos de tráfico específico Utilizar una condición específica cuando se realice el
filtrado a los números de puerto: eq, lt, gt
Rechazar todos los puertos correspondientes en el caso de aplicaciones de varios puertos como el FTP
Utilizar el operador de rango para filtrar un grupo de puertos
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 18
Creación y aplicación de las ACL para controlar los tipos de tráfico específico Bloquear el tráfico externo perjudicial mientras se
permite el libre acceso a los usuarios internos
Ping: permitir respuestas de eco mientras se rechazan las solicitudes de eco desde fuera de la red
Inspección de paquetes con estado
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 19
Creación y aplicación de las ACL para controlar los tipos de tráfico específico Tener en cuenta la NAT cuando se creen y se apliquen
las ACL a una interfaz NAT Filtrar las direcciones públicas en una interfaz NAT
exterior Filtrar las direcciones privadas en una interfaz NAT
interior
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 20
Creación y aplicación de las ACL para controlar los tipos de tráfico específico
Inspeccionar cada ACL una línea a la vez para evitar consecuencias no previstas
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 21
Creación y aplicación de las ACL para controlar los tipos de tráfico específico
Aplicar las ACL a las interfaces o subinterfaces VLAN al igual que con las interfases físicas
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 22
Registro de la actividad de la ACL y sus mejores prácticas
El registro proporciona detalles adicionales sobre los paquetes que se rechazan o se admiten
Agregue la opción registro al final de cada sentencia de la ACL que se debe rastrear
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 23
Registro de la actividad de la ACL y sus mejores prácticas
Mensajes de Syslog:
Estado de las interfaces del router
Mensajes de la ACL
Ancho de banda, protocolos en uso, eventos de configuración
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 24
Registro de la actividad de la ACL y sus mejores prácticas
Compruebe siempre la conectividad básica antes de aplicar las ACL
Agregue deny ip any al final de una ACL cuando realice el registro
Utilice reload in 30 cuando pruebe las ACL en los routers remotos
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 25
Resumen
Las ACL habilitan la administración del tráfico y aseguran el acceso hacia la red y sus recursos y desde estos
Aplicar una ACL para filtrar el tráfico entrante o saliente
Las ACL pueden ser estándar, extendidas o nombradas
El uso de una máscara wildcard otorga flexibilidad
Existe una sentencia de rechazo implícito al final de una ACL
Fundamente NAT cuando cree y aplique las ACL
El registro proporciona detalles adicionales sobre el tráfico filtrado
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 26