El proceso de creacin de una ACL se lleva a cabo creando la lista y posteriormente asocindola a una interfaz entrante o saliente.

Configuracin de ACL estndar Router(config)#access-list[1-99][permit|deny][direccin de origen][mascara comodn] Donde: 1-99 Identifica el rango y la lista. Permit|deny indica si esta entrada permitir o bloquear el trfico a partir de la direccin especificada. Direccin de origen identifica la direccin IP de origen. Mascara comodn o wildcard identifica los bits del campo de la direccin que sern comprobados. La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits). Asociacin de la lista a una interfaz Router(config-if)#ip access-group[n de lista de acceso][in|out] Donde: Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz. In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida. Ejemplo de una ACL estndar denegando una red: Router#configure terminal Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0 Router(config)#access-list 10 permit any Router(config)#interface serial 0 Router(config-if)#ip access-group 10 in Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen, Posteriormente se asocio la ACL a la interfaz Serial 0. Configuracin de ACL extendida El proceso de configuracin de una ACL IP extendida es el siguiente: Router(config)#access-list[100-199][permit|deny][protocol][direccin de origen][mascara comodn][direccin de destino][mascara de destino][puerto][establisehed][log] 100-199 identifica el rango y nmero de lista Permit|deny: indica si la entrada permitir o bloqueara la direccin especificada. Protocolo: como por ejemplo IP, TCP, UDP, ICMP Direccin origen y destino: identifican direcciones IP de origen y destino. Mascara wildcard origen y mascara destino: Son las mascaras comodn. Las 0 indican las posiciones que deben coincidir, y los 1 las que no importan.

Puerto

opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq

(distinto que) y un nmero de puerto de protocolo correspondiente. Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que l rafico TCP pase si el paquete utiliza una conexin ya establecida (por ejemplo posee un conjunto de bits ACK) Log: (opcional) Enva un mensaje de registro a la consola a un servidor syslog determinado. Algunos de los nmeros de puertos ms conocidos: 20 Datos del protocolo FTP 21 FTP 23 Telnet 25 SMTP 69 TFTP 53 DNS

Asociacin de la lista a una interfaz Router(config-if)#ip access-group[n de lista de acceso][in|out] Donde: Nmero de lista de acceso indica el nmero de lista de acceso que ser aplicada a esa interfaz. In|out selecciona si la lista de acceso se aplicar como filtro de entrada o de salida.

Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red: Router(config)#access-list 120 deny tcp host 204.204.10.1 any eq 80 Router(config)#access-list 120 permit ip any any Router(config)#interface serial 1 Router(config-if)#ip access-group 120 in Se ha denegado al host 204.204.10.1, (identificndolo con la abreviatura host) hacia el puerto 80 de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP. Esta ACL se asocio a la interfaz Serial 1 como entrante. Aplicacin de una ACL a la linea de telnet Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una lista de acceso estndar y asociarla a la Line VTY. El proceso de creacin se lleva a cabo como una ACL estndar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la Lnea de telnet es el siguiente:

router(config)#line vty 0 4 router(config-line)#access-class[N de lista de acceso][in|out]

Como eliminar las listas de acceso Desde el modo interfaz donde se aplico la lista: Router(config-if)#no ip access-group[N de lista de acceso] Desde el modo global elimine la ACL

ACLs extendidas A diferencia de lo que sucede con la ACL estndar, las extendidas permiten especificar hacia dnde se dirige el trfico y con sta caracterstica, yo puedo bloquear o permitir un trfico mucho ms especfico: slo trfico que proviene del host pero se dirige a una red en particular o a otro host en particular o slo el trfico de una red que se dirige a otra red en particular. El truco se logra con el hecho de permitircomparar las direcciones destino de los paquetes contra la acl, no slo las direcciones origen. Dentro de lo que hemos venido manejando, hablamos que una acl est compuesta por un conjunto de reglas todas con el mismo identificador, que cada regla era una lnea compuesta por una accin y una condicin que el paquete debe cumplir para aplicarle la accin (permitir o denegar). Las condiciones en las acl estandar estn compuestas por una direccin de referencia y una wildcard que dice qu bits de la direccin origen de los paquetes se deben comparar con la direccin de referencia, en las acls extendidas se especifica dos pares de direcciones de referencia/wildcard, un par para la direccin origen de los paquetes y otro par para la direccin destino de los mismos. Vamos a extender el ejemplo que venimos usando y usar sta idea de filtrado ms granular. El requisito dado es permitir un host de una red, el resto de la red la vamos a bloquear y cualquier otra red la vamos a permitir. Para extender el ejemplo digamos que queremos permitir el trfico del host, excepto lo que vaya a un host particular, digamos el 172.16.1.1, y que de la red completa queremos permitir lo que vaya a un servidor en especial de la empresa, digamos el 192.168.2.1. Las reglas de la acl estandar nos sirven de inicio, como de costumbre lo ms especfico lo vamos a poner de primero en la regla para evitar que las reglas ms generales incluyan a las particulares. access-list access-list access-list access-list access-list 100 100 100 100 100 deny ip 192.168.1.1 0.0.0.0 172.16.1.1 0.0.0.0 permit ip 192.168.1.1 0.0.0.0 0.0.0.0 255.255.255.255 permit ip 192.168.1.0 0.0.0.63 192.168.2.1 0.0.0.0 deny ip 192.168.1.0 0.0.0.63 0.0.0.0 255.255.255.255 permit ip any any

En sta lista observamos varias cosas nuevas: ip, las acl extendidas no slo permiten especificar las direcciones origen y destino sino discriminar por

protocolos e incluso por parmetros particulares de cada protocolo pero eso lo veremos luego, por lo pronto lo importante es que ip indica que todos los protocolos que se encapsulan dentro de ip sern afectados por sta lista de acceso. En este caso, la palabra ip para los protocolos es similar a any en las direcciones, casi todo se encapsula en ip por lo tanto especificar ip es como especificar cualquier protocolo (de capa 4 en adelante). En vez de ip se puede poner un protocolo equivalente o de capa 4, por ejemplo se puede filtrar icmp, tcp o udp, cambiando la palabra ip por stas ltimas. Otra cosa importante y nueva es un segundo par de direccin de referencia/mscara wildcard, ste segundo par compara la direccin destino de los paquetes con la direccin de la regla. Para las acls extendidas, el paquete debe coincidir tanto en la direccin origen como en la destino. Finalmente, la direccin de referencia 0.0.0.0 con mscara wildcard 255.255.255.255.Como esta mscara es todo unos, eso significa que ningn bit del paquete se compara con la direccin de referencia, es decir, no importa qu escriba en la direccin de referencia cualquier destino coincide. Esta mscara es lo mismo que any, debido a que la mscara es equivalente a cualquier direccin y puede usarse tanto para el origen como para el destino. Explicacin de la ACL La primera regla aplica deny slo si el paquete tiene como origen la direccin 192.168.1.1 y direccin destino 172.16.1.1, por lo tanto slo el trfico especfico de entre esos host se deniega, la segunda regla permite el resto del trfico del host hacia cualquier destino. La tercera regla permite el trfico de la red 192.168.1.0/26 hacia el host 192.168.2.1. La 4a regla complementa a la anterior y niega todo el trfico de la red, como sta regla general esta despus de la especfica, el trfico comparado con sta regla ya no coincidi con el trfico dirigido al servidor, que es una condicin ms especfica dentro de la misma red. Finalmente cualquier trfico que no coincida con las reglas anteriores se permite sin importar de dnde provenga y hacia dnde vaya.

En sta entrada, contino con el ejemplo de uso de ACLs en un ejercicio completo con visos de realismo, la vez pasada configuramos una red con ciertas polticas de seguridad usando slo ACLs estndar, ahora vamos a hacer el mismo ejercicio usando listas extendidas. Disfrtenlo. Para retomar el ejercicio, recordemos la topologa de ejemplo. Tenemos una topologa en la cual los hosts pertenecen a subredes dentro del espacio 172.16.0.0/12, losenlaces dentro del espacio 10.1.1.0/24 y un servidor de Intranet en la ip 10.0.0.5. En el servidor funcionan los servicios usuales: www, dns y tftp. Hay que configurar el dns para que resuelva las peticiones a example.com a la direccin 172.18.0.1 que provengan de cualquier host de la red (incluso de los invitados). Existen dos redes LAN que son las redes de los extremos, una red de invitados que es la segunda red de izquierda a derecha del diagrama, una red de servidores (slo uno) y finalmente simulamos el acceso a internet con la red del extremo derecho superior. Hay pequeos cambios respecto a

la topologa anterior: agregu un switch y un pc a la red del router2, cambi el PC que simula internet por un servidor y agregu a la configuracin unas entradas de DNS, una para resolver example.com a la ip 172.18.0.1, www.example.com a la 172.18.0.2 e intranet.com a la direccin del servidor mismo. Para hacer ste ejercicio use la topologa sugerida en esta entrada. Si algo de lo mencionado no est claro, por favor consulte entradas anteriores que he escrito sobre subredes, enrutamiento y la serie sobre ACLs.

Poltica de seguridad de ejemplo La poltica que vamos a usar es la misma del ejercicio anterior, impuesta por un superior administrativo. 1. El servidor es de la intranet, es decir que de las redes del Router4 y Router2 deben poder acceder a la web interna. 2. Los PCs de la red del enrutador Router1 son invitados, por lo tanto slo pueden acceder a Internet, no al servidor ni a las redes internas (las de Router4, Router2 ni a los enrutadores mismos). 3. De los PCs de las redes internas, slo quienes tengan direcciones IP impar pueden acceder a Internet, el resto no. 4. Los PCs internos (excepto los invitados) pueden acceder mutuamente a sus recursos y a los enrutadores. 5. El PC 5 no puede acceder a ningn enrutador por ningn medio. 6. Cualquier trfico no contemplado debe ser bloqueado. Ahora vamos a intentar poner sta poltica en trminos de ACLs extendidas, recuerden que ste es un ejercicio y la ACL final va a tener defectos que uds. deben detectar y corregir. De la entrada anterior deducimos que hay ciertos objetivos que no se pueden lograr con ACLs estndar, por ejemplo, no se puede permitir slo el trfico de DNS la red de invitados hacia el servidor, lo cual es un requerimiento implcito: el servidor tambin es responsable por DNS, por lo tanto para poder hacer operaciones con dominios (como ping example.com), antes de hacer ping entre la estacin yexample.com se debe resolver el dominio a una direccin IP y eso es un trfico intermedio de DNS desde la estacin al servidor (quien resuelve la peticin con la direccin 172.18.0.1). Ya con la experiencia de la entrada anterior, sabemos que hay otros requerimientos implcitos que hay que considerar antes de implementar, por ejemplo, como las listas de acceso terminan por defecto con un deny any, es probable que trfico necesario, como las actualizaciones de enrutamiento entre los enrutadores, sea bloqueado por defecto y, como nuestro foco de atencin son las polticas de seguridad, nos resulte difcil deducir ese resultado inesperado o peor an, que verifiquemos que se haya bloqueado el trfico que queramos bloquear y quedemos convencidos de que s se logr el objetivo (por no verificar el trfico permitido), pero la razn del bloqueo es que el enrutamiento se cay totalmente, por lo tanto el trfico que queramos bloquear ya no pasa pero tampoco pasar ningn otro. Eso hay que verlo haciendo el ejercicio de la entrada anterior.

No sobra repetirlo: asegrese que tiene copia de seguridad de la configuracin inicial para evitar que si se cae todo y los nervios nos limitan la capacidad de respuesta, se pueda restaurar el estado de operacin inicial de la red con slo restaurar la configuracin y reiniciar algn equipo. As podemos resolver sin presiones el problema o, mejor an, simularlo. Configuracin con listas extendidas Una ventaja de las listas extendidas es que, aparte de permitir ms granularidad a la hora de definir los criterios de seleccin de trfico, son mucho ms flexibles para su implementacin, por ejemplo, usualmente podemos configurar con listas extendidas todo en un slo enrutador, mientras que con listas estndar esa opcin no suele estar disponible. De todos modos, configurar todo en un solo enrutador no es eficiente por varias razones, una es que la carga de procesamiento queda en un solo dispositivo y otra razn es que una distribucin eficiente de las listas de acceso ayuda a evitar trfico innecesario. Recuerde que las listas de acceso extendidas se instalan de entrada en el enrutador ms cercano al origen del trfico, eso evita que el enrutador haga bsquedas en la tabla de enrutamiento para los paquetes bloqueados y evita que el trfico no permitido cruce la red innecesariamente, recuerde tambin que sto ltimo no se puede hacer con listas estndar porque ellas se tienen que instalar lo ms cerca al destino, es decir, despus de que ocuparon ancho de banda en la red y procesamiento en los enrutadores y dispositivos intermedios. La lista inicial quedara as: Router2 access-list access-list access-list access-list access-list 101 101 101 101 102 permit ip 172.19.0.1 0.0.255.254 any deny tcp host 172.19.0.3 any eq 23 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255 permit tcp 172.19.0.0 0.0.255.255 host 10.0.0.5 eq www deny host 172.19.0.3 any

Router4 access-list 101 permit ip 172.16.0.1 0.0.255.254 any access-list 101 permit ip 172.16.0.0 0.0.255.255 172.19.0.0 0.0.255.255 access-list 101 permit tcp 172.16.0.0 0.0.255.255 host 10.0.0.5 eq www

Router1 access-list access-list access-list access-list access-list 101 101 101 101 101 deny ip 172.17.0.0 0.0.255.255 172.16.0.0 0.0.255.255 deny ip 172.17.0.0 0.0.255.255 172.19.0.0 0.0.255.255 deny ip 172.17.0.0 0.0.255.255 10.1.1.0 0.0.0.255 permit udp 172.17.0.0 0.0.255.255 10.1.1.0 0.0.0.255 eq 53 permit ip 172.17.0.0 0.0.255.255 any

Router0 No hay ACLs porque las polticas se cumplen en cada enrutador.

La lista estndar que se ve en router2, es una lista especial que usaremos para bloquear el acceso por telnet a este enrutador y en ste mismo bloqueamos el acceso por telnet a los otros. Para que las listas de acceso extendidas sean eficientes, se deben instalar de entrada lo ms cerca posible del origen del trfico a bloquear, por lo tanto, la lista derouter2 la instalara en la interfaz fa0/0 de

entrada, de tal manera que el trfico bloqueado ni siquiera implique enrutar esos paquetes en ese enrutador. De esta instalacin se deduce que todas las listas estarn en las interfaces de lan de los enrutadores correspondientes en la direccin de entrada. Finalmente, la lista estndar se instala en la vty (acceso por telnet/ssh) del enrutador correspondiente con el comando access-class <N> in, diferente del comando access-group <N> in de las interfaces ordinarias. Tambin hay que tener en cuenta que el orden de la lista tiene un efecto importantsimo en el filtrado de trfico, si una regla corresponde con cierto trfico que se incluye en otra regla, la ms especfica debera ir primero, por ejemplo la regla access-list 101 permit udp 172.17.0.0 0.0.255.255 10.1.1.0 0.0.0.255 eq 53

Que se instala en el router1 corresponde con el trfico proveniente de la red 172.17.0.0 que va hacia el servidor por UDP en el puerto 53, el permit deja pasar ese trfico, en otras palabras, el trfico de DNS proveniente de la red de invitados entra al servidor. Si yo incluyo una regla para denegar el resto del trfico proveniente de la red de invitados hacia el servidor de esta manera: access-list 101 deny ip 172.17.0.0 0.0.255.255 10.1.1.0 0.0.0.255

Esta regla incluye el trfico permitido con la regla anterior, la primera regla es ms especfica que la segunda, por lo tanto debe ir antes en el listado. Ponerlas en el orden inverso implicara que siempre se denegara el trfico de la red 172.17.0.0 incluso el trfico de DNS, porque despus de ejecutar la regla general de denegacin (puesta antes de la especfica) terminara la ejecucin de la lista de acceso (cuando se encuentra una correspondencia se aplica la accin y se deja de ejecutar la lista, no se examinan ms clusulas).