Filtrado de tráfico mediante listas de control de acceso Introducción al enrutamiento y la conmutación en la empresa Capítulo 8 1
Objetivos Describir el filtrado de tráfico y explicar cómo las listas de control de acceso (ACL) pueden filtrar el tráfico en las interfaces del router. Analizar el uso de las máscaras wildcard. Configurar y aplicar las ACL. Crear y aplicar las ACL para controlar los tipos de tráfico específico. Registrar la actividad de la ACL e integrar las mejores prácticas de la ACL. 2
Descripción del filtrado de tráfico Analizar el contenido de un paquete Permitir o bloquear el paquete Según la IP de origen, IP de destino, dirección MAC, protocolo y tipo de aplicación 3
Descripción del filtrado de tráfico Dispositivos que proporcionan filtrado de tráfico: Firewalls incluidos en los routers integrados Aplicaciones de seguridad dedicadas Servidores 4
Descripción del filtrado de tráfico Usos para las ACL: Especificar hosts internos para NAT Clasificar el tráfico para el QoS Restringir las actualizaciones de enrutamiento, limitar los resultados de la depuración, controlar el acceso a terminal virtual 5
Descripción del filtrado de tráfico Posibles problemas con las ACL: Mayor carga en el router Posible interrupción de la red Consecuencias no esperadas a causa de una incorrecta ubicación 6
Descripción del filtrado de tráfico Las ACL estándar filtran según la dirección IP de origen Las ACL extendidas filtran en el origen y el destino así como también en el número de puerto y protocolo Las ACL nombradas pueden ser estándar o extendidas 7
Descripción del filtrado de tráfico Las ACL están compuestas de sentencias Al menos una sentencia debe ser una sentencia de permiso La sentencia final es una denegación implícita La ACL debe aplicarse a una interfaz para que funcione 8
Descripción del filtrado de tráfico La ACL se aplica en forma entrante o saliente La dirección se obtiene a partir de la perspectiva del router Cada interfaz puede tener una ACL por dirección para cada protocolo de red 9
Análisis del uso de las máscaras wildcard La máscara wildcard puede bloquear un rango de direcciones o una red entera con una sentencia Los 0 indican qué parte de una dirección IP debe coincidir con la ACL Los 1 indican qué parte no tiene que coincidir en forma específica 10
Análisis del uso de las máscaras wildcard Utilice el parámetro host en lugar de una wildcard 0.0.0.0 Utilice el parámetro any en lugar de una wildcard 255.255.255.255 11
Configuración e implementación de las listas de control de acceso Determinar los requisitos del filtrado de tráfico Decidir qué tipo de ACL utilizar Determinar el router y la interfaz a los cuales aplicar la ACL Determinar en qué dirección filtrar el tráfico 12
Configuración e implementación de las listas de control de acceso: ACL estándar numerada Utilice el comando access-list para ingresar las sentencias Utilizar la misma cantidad de sentencias Rangos de números: 1-99, 1300-1999 Aplicar lo más cerca posible del destino 13
Configuración e implementación de las listas de control de acceso: ACL extendida numerada Utilice el comando access-list para ingresar las sentencias Utilizar la misma cantidad de sentencias Rangos de números: 100-199, 2000-2699 Especificar un protocolo para admitir o rechazar Colóquela lo más cerca posible del origen 14
Configuración e implementación de las listas de control de acceso: ACL nombradas El nombre descriptivo reemplaza el rango del número Utilice el comando ip access-list para ingresar la sentencia inicial Comience las sentencias subsiguientes con permiso o rechazo Aplicar de la misma manera que la ACL estándar o extendida 15
Configuración e implementación de las listas de control de acceso: Acceso VTY Crear la ACL en el modo de configuración de línea Utilizar el comando access-class para iniciar la ACL Utilizar una ACL numerada Aplicar restricciones idénticas a todas las líneas VTY 16
Creación y aplicación de las ACL para controlar los tipos de tráfico específico Utilizar una condición específica cuando se realice el filtrado a los números de puerto: eq, lt, gt Rechazar todos los puertos correspondientes en el caso de aplicaciones de varios puertos como el FTP Utilizar el operador de rango para filtrar un grupo de puertos 17
Creación y aplicación de las ACL para controlar los tipos de tráfico específico Bloquear el tráfico externo perjudicial mientras se permite el libre acceso a los usuarios internos Ping: permitir respuestas de eco mientras se rechazan las solicitudes de eco desde fuera de la red Inspección de paquetes con estado 18
Creación y aplicación de las ACL para controlar los tipos de tráfico específico Tener en cuenta la NAT cuando se creen y se apliquen las ACL a una interfaz NAT Filtrar las direcciones públicas en una interfaz NAT exterior Filtrar las direcciones privadas en una interfaz NAT interior 19
Creación y aplicación de las ACL para controlar los tipos de tráfico específico Inspeccionar cada ACL una línea a la vez para evitar consecuencias no previstas 20
Creación y aplicación de las ACL para controlar los tipos de tráfico específico Aplicar las ACL a las interfaces o subinterfaces VLAN al igual que con las interfases físicas 21
Registro de la actividad de la ACL y sus mejores prácticas El registro proporciona detalles adicionales sobre los paquetes que se rechazan o se admiten Agregue la opción registro al final de cada sentencia de la ACL que se debe rastrear 22
Registro de la actividad de la ACL y sus mejores prácticas Mensajes de Syslog: Estado de las interfaces del router Mensajes de la ACL Ancho de banda, protocolos en uso, eventos de configuración 23
Registro de la actividad de la ACL y sus mejores prácticas Compruebe siempre la conectividad básica antes de aplicar las ACL Agregue deny ip any al final de una ACL cuando realice el registro Utilice reload in 30 cuando pruebe las ACL en los routers remotos 24
Resumen Las ACL habilitan la administración del tráfico y aseguran el acceso hacia la red y sus recursos y desde estos Aplicar una ACL para filtrar el tráfico entrante o saliente Las ACL pueden ser estándar, extendidas o nombradas El uso de una máscara wildcard otorga flexibilidad Existe una sentencia de rechazo implícito al final de una ACL Fundamente NAT cuando cree y aplique las ACL El registro proporciona detalles adicionales sobre el tráfico filtrado 25
26