Filtrado de trfico: es el proceso de analizar los contenidos de un paquete para determinar si debe ser permitido o bloqueado. El filtrado de paquetes puede ser simple o complejo, denegando o permitiendo el trfico basado en: Direccin IP de origen Direccin IP de destino Direcciones MAC Protocolos Tipo de aplicacin Uno de los mtodos ms comunes de filtrado de trfico es el uso de listas de control de acceso (ACL). Las ACL pueden utilizarse para administrar y filtrar el trfico que ingresa a una red, as como tambin el trfico que sale de ella. El tamao de una ACL vara desde una sentencia que permite o deniega el trfico de un origen, hasta cientos de sentencias que permiten o deniegan paquetes de varios orgenes. El uso principal de las ACL es identificar los tipos de paquetes que se deben aceptar o denegar. Las ACL identifican el trfico para varios usos, por ejemplo: Especificar hosts internos para NAT Identificar o clasificar el trfico para funciones avanzadas tales como QoS y colas Restringir el contenido de las actualizaciones de enrutamiento Limitar el resultado de la depuracin Controlar el acceso de terminales virtuales a los routers El uso de las ACL puede provocar los siguientes problemas potenciales: La carga adicional sobre el router para verificar todos los paquetes se traduce en menos tiempo para el reenvo de paquetes. Las ACL con diseos defectuosos colocan una carga an mayor sobre el router y podran interrumpir el uso de la red. Las ACL colocadas de forma incorrecta bloquean el trfico que debe ser permitido y permiten el trfico que debe ser bloqueado. Las listas de control de acceso consisten de una o ms sentencias. En cada sentencia puede haber permiso o denegacin de trfico segn parmetros especficos. El trfico se compara con cada sentencia de la ACL en forma secuencial hasta encontrar una coincidencia o hasta que no haya ms sentencias. 2
La ltima sentencia de una ACL es siempre una denegacin implcita. Esta sentencia se inserta automticamente al final de cada ACL, aunque no est presente fsicamente. La denegacin implcita bloquea todo el trfico. Esta funcin impide la entrada accidental de trfico no deseado. El administrador aplica una ACL entrante o saliente a una interfaz de router. La direccin se considera entrante o saliente desde la perspectiva del router. El trfico que ingresa a un interfaz ser entrante y el trfico que sale de ella ser saliente. Cuando un paquete llega a una interfaz, el router controla los siguientes parmetros: o Hay una ACL asociada con la interfaz? o La ACL es entrante o saliente? o El trfico coincide con los criterios para permitir o para denegar? Mscara Wildcard de ACL Para bloquear varias direcciones o rangos de direcciones se deben utilizar varias sentencias o una mscara wildcard. El uso de una direccin de red IP con una mscara wildcard proporciona una flexibilidad mucho mayor. Una mscara wildcard puede bloquear un intervalo de direcciones o una red entera con una sentencia. Las mscaras wildcard utilizan ceros para indicar la parte de una direccin IP que debe coincidir exactamente y unos para indicar la parte de una direccin IP que no debe coincidir con un nmero especfico. La mscara wildcard 0.0.0.0 requiere una coincidencia exacta con los 32 bits de la direccin IP. Esta mscara equivale al uso del parmetro host. Ejemplos
3
La mscara wildcard especifica un host o un intervalo de direcciones que se deben permitir o denegar. Al crear una sentencia ACL, la direccin IP y la mscara wildcard se convierten en los campos de comparacin. Todos los paquetes que entran o salen de una interfaz se comparan con cada una de las sentencias de la ACL para determinar si hay coincidencia. La mscara wildcard determina cuntos bits de la direccin IP entrante coinciden con la direccin de comparacin. A modo de ejemplo, la siguiente sentencia permite todos los hosts de la red 192.168.1.0 y bloquea todos los dems: access-list 1 permit 192.168.1.0 0.0.0.255 La mscara wildcard especifica que slo los primeros tres octetos deben coincidir. Por lo tanto, si los primeros 24 bits del paquete entrante coinciden con los primeros 24 bits del campo de comparacin, se permite el paquete. Cualquier paquete con una direccin IP de origen comprendida dentro del intervalo de 192.168.1.1 a 192.168.1.255 coincide con la combinacin de direccin y mscara de comparacin del ejemplo. Todos los dems paquetes son denegados por la sentencia ACL deny any implcita. Ejemplo
4
Calculo mascara wildcard En una red empresarial con un esquema de direccionamiento IP jerrquico, con frecuencia es necesario filtrar el trfico de la subred. Si se usan 3 bits para dividir en subredes la red 192.168.77.0, la mscara de subred es 255.255.255.224. Si se resta la mscara de subred de la mscara compuesta por todos los 255, el resultado es la mscara wildcard 0.0.0.31. Para permitir los hosts de la subred 192.168.77.32, la sentencia ACL es: access-list 44 permit 192.168.77.32 0.0.0.31 Los primeros 27 bits de cada paquete coinciden con los primeros 27 bits de la direccin de comparacin. El intervalo general de direcciones permitidas por esta sentencia va de 192.168.77.33 a 192.168.77.63, que es el intervalo de todas las direcciones de la subred 192.168.77.32. La creacin de mscaras wildcard precisas para sentencias ACL proporciona el control necesario para ajustar detalladamente el flujo de trfico. La red 192.168.77.0, con la mscara de subred 255.255.255.192 o /26, crea las siguientes cuatro subredes: 192.168.77.0/26 192.168.77.64/26 192.168.77.128/26 192.168.77.192/26 Para crear una ACL para filtrar cualquiera de estas cuatro subredes, reste la mscara de subred 255.255.255.192 de la mscara compuesta por todos los 255, que da como resultado la mscara wildcard 0.0.0.63. Para permitir el trfico proveniente de las dos primeras subredes, use dos sentencias ACL: access-list 55 permit 192.168.77.0 0.0.0.63 access-list 55 permit 192.168.77.64 0.0.0.63 Las dos primeras redes tambin se sumarizan en 192.168.77.0/25. La resta de la mscara de subred sumarizada de 255.255.255.128 de la mscara con todos los 255 da como resultado una mscara wildcard de 0.0.0.127. Al usar esta mscara se agrupan estas dos subredes en una sentencia ACL en lugar de hacerlo en dos sentencias. access-list 5 permit 192.168.77.0 0.0.0.127 5
Al crear una ACL, hay dos parmetros especiales que se pueden utilizar en lugar de una mscara wildcard: host y any. Parmetro host Para filtrar un nico host especfico, use la mscara wildcard 0.0.0.0 despus de la direccin IP o el parmetro host antes de la direccin IP. R1(config)#access-list 9 deny 192.168.15.99 0.0.0.0 es igual a: R1(config)#access-list 9 deny host 192.168.15.99 Parmetro any Para filtrar todos los hosts, use parmetros formados por unos (1) configurando la mscara wildcard 255.255.255.255. Cuando se usa la mscara wildcard 255.255.255.255, se considera que todos los bits coinciden, por lo tanto la direccin IP normalmente se representa como 0.0.0.0. Otra forma de filtrar todos los hosts es usar el parmetro any. R1(config)#access-list 9 permit 0.0.0.0 255.255.255.255 es igual a: R1(config)#access-list 9 permit any
Considere el ejemplo siguiente, donde se deniega un host especfico y se permiten todos los dems: R1(config)#access-list 9 deny host 192.168.15.99 R1(config)#access-list 9 permit any El comando permit any permite todo el trfico que no est especficamente denegado en la ACL. Cuando se utiliza esta configuracin, ningn paquete llega al parmetro deny any implcito al final de la ACL.
6
Tipos de ACL ACL estndar La ACL estndar es la ms simple de las tres clases. Al crear una ACL IP estndar, las ACL filtran segn la direccin IP de origen de un paquete. Las ACL estndar permiten o deniegan el acceso de acuerdo con la totalidad del protocolo, como IP. De esta manera, si un dispositivo host es denegado por una ACL estndar, se deniegan todos los servicios provenientes de ese host. Este tipo de ACL sirve para permitir el acceso de todos los servicios de un usuario especfico, o LAN, a travs de un router y, a la vez, denegar el acceso de otras direcciones IP. Las ACL estndar estn identificadas por el nmero que se les ha asignado. Para las listas de acceso que permiten o deniegan el trfico IP, el nmero de identificacin puede variar entre 1 y 99 y entre 1300 y 1999. ACL extendidas Las ACL extendidas filtran no slo segn la direccin IP de origen, sino tambin segn la direccin IP de destino, el protocolo y los nmeros de puertos. Las ACL extendidas se utilizan ms que las ACL estndar porque son ms especficas y ofrecen un mayor control. El rango de nmeros de las ACL extendidas va de 100 a 199 y de 2000 a 2699. ACL nombradas Las ACL nombradas (NACL, Named ACL) son ACL estndar o extendidas a las que se hace referencia mediante un nombre descriptivo en lugar de un nmero. Cuando se configuran ACL nombradas, el IOS del router utiliza un modo de subcomando de NACL.
7
Colocacin de las ACL Las ACL estndar son fciles de crear e implementar. Sin embargo, las ACL estndar slo filtran segn la direccin de origen y filtrarn todo el trfico independientemente del tipo o destino del mismo. Con rutas hacia varias redes, es posible que una ACL estndar colocada demasiado cerca del origen bloquee involuntariamente el trfico que se debe permitir. Por lo tanto, es importante colocar las ACL estndar tan cerca del destino como sea posible. Coloque una ACL extendida cerca de la direccin origen. Al observar la direccin origen y destino, la ACL bloquea los paquetes destinados para una red de destino especfica antes de que abandonen el router de origen. Los paquetes se filtran antes de cruzar la red, lo que ayuda a conservar el ancho de banda. Cuando determine la direccin en la cual se debe aplicar una ACL, visualice el flujo de trfico desde la perspectiva del router. El trfico entrante es trfico que ingresa a una interfaz del router desde afuera. El router compara el paquete entrante con la ACL antes de buscar la red destino en la tabla de enrutamiento. Cuando determine la direccin en la cual se debe aplicar una ACL, visualice el flujo de trfico desde la perspectiva del router. El trfico saliente est dentro del router y lo abandona a travs de una interfaz. Configuracin de las ACL La configuracin de una lista de control de acceso exige la realizacin de dos pasos: creacin y aplicacin. 1. Creacin de ACL estndar Ingrese el modo de configuracin global. Con el comando access-list, introduzca las sentencias de la lista de control de acceso. Introduzca todas las sentencias con el mismo nmero de ACL hasta que la lista de control de acceso est completa. La sintaxis de la sentencia de la ACL estndar es:
Dado que cada paquete se compara con cada una de las sentencias de ACL hasta encontrar una coincidencia, el orden en el que se colocan las sentencias dentro de la ACL puede afectar la latencia introducida. Por lo tanto, ordene las sentencias de manera que las condiciones ms comunes aparezcan en la ACL antes que las menos comunes. Por ejemplo: las sentencias que encuentran una coincidencia para la mayor cantidad de trfico deben ser colocadas al principio de la ACL. 8
No obstante, debe tener en cuenta que una vez que se encuentra una coincidencia, el paquete ya no se compara con ninguna de las otras sentencias dentro de la ACL. Esto significa que si una lnea permite un paquete, pero una lnea que se encuentra ms abajo en la ACL lo deniega, el paquete ser permitido. Por ello, planifique la ACL de modo que los requisitos ms especficos aparezcan antes que los ms generales. En otras palabras: rechace un host especfico de una red antes de permitir el resto de toda la red.
Documente la funcin de cada seccin o sentencia de la ACL mediante el comando remark: access-list [list number] remark [text] Para eliminar una ACL, use el comando: no access-list [list number]
Ejemplo
9
2. Aplicacin Asigne una ACL a una o ms interfaces y especifique el trfico entrante o saliente. Aplique una ACL estndar tan cerca del destino como sea posible. R2(config-if)#ip access-group [access list number] [in | out] Los siguientes comandos colocan access-list 5 en la interfaz R2 Fa0/0 que filtra trfico entrante: R2(config)#interface fastethernet 0/0 R2(config-if)#ip access-group 5 in La direccin predeterminada de una ACL aplicada a una interfaz es out. Aunque out es el comando predeterminado, es muy importante especificar la direccin para evitar confusiones y garantizar que el trfico se filtre en la direccin correcta. Para eliminar una ACL de una interfaz y que la ACL quede intacta, use el comando no ip access-group interface. Hay varios comandos de ACL que evalan la sintaxis correcta, el orden de las sentencias y su colocacin en las interfaces. show ip interface : Muestra informacin de la interfaz IP e indica las ACL asignadas. show access-lists [access list number]: Muestra los contenidos de todas las ACL del router. Tambin muestra la cantidad de coincidencias para cada sentencia de permiso o denegacin desde la aplicacin de la ACL. Para ver una lista especfica, agregue el nombre o nmero de la ACL como opcin a este comando. show running-config: Muestra todas las ACL configuradas en un router, incluso si no estn aplicadas a una interfaz.
10
Creacin de ACL Extendidas Una diferencia clave en la sintaxis de las ACL extendidas es el requisito de especificar un protocolo despus de la condicin de permitir o denegar. Este protocolo puede ser IP, e indicar todo el trfico IP, o puede indicar el filtrado en un protocolo IP especfico, como TCP, UDP, ICMP y OSPF. Estructura
Por lo general, hay muchas maneras diferentes de cumplir un conjunto de requisitos. Por ejemplo: una empresa tiene un servidor con la direccin: 192.168.3.75. Tiene los siguientes requisitos: Permitir el acceso a los hosts de la LAN 192.168.2.0. Permitir el acceso al host 192.168.1.66. Denegar el acceso a los hosts de la LAN 192.168.4.0. Permitir el acceso a todas las personas de la empresa. Hay al menos dos soluciones posibles que cumplen con estos requisitos. Al planificar la ACL, intente minimizar las sentencias siempre que sea posible. Condicin: permit/deny Protocolo: IP/TCP/UDP Direccin IP de Origen Direccin IP Destino Condicin de coincidencia: eq/gt/it Aplicacin: nombre/puerto 11
Algunas formas de minimizar sentencias y reducir la carga de procesamiento del router incluyen: Haga coincidir el trfico de gran volumen y deniegue el trfico bloqueado anteriormente en la ACL. Este enfoque garantiza que los paquetes no se comparen con sentencias posteriores. Consolide varias sentencias de permitir y denegar en una nica sentencia mediante intervalos. Considere la posibilidad de denegar un grupo particular en lugar de permitir un grupo opuesto y ms grande.
12
Algunos de los protocolos disponibles para el filtrado incluyen IP, TCP, UDP e ICMP. Las ACL extendidas tambin filtran en nmeros de puertos destino. Estos nmeros de puerto describen la aplicacin o el servicio exigido por el paquete. Cada aplicacin tiene asignado un nmero de puerto registrado. El router debe investigar la trama Ethernet para extraer todas las direcciones IP y la informacin necesaria acerca de los nmeros de puerto, para su comparacin con las ACL. El filtrado basado en una aplicacin particular exige el conocimiento del nmero de puerto para esa aplicacin. Las aplicaciones estn asociadas con un nmero de puerto y un nombre. Una ACL puede hacer referencia al puerto 80 o HTTP.
Adems de introducir los nmeros de puerto, se debe especificar una condicin antes de comparar una sentencia. Las abreviaturas ms utilizadas son: eq: equivale a gt: mayor que lt: menor que
13
Cuando se evala una ACL extendida, es importante tener en cuenta los siguientes puntos clave: La palabra clave tcp permite o deniega protocolos como FTP, HTTP, Telnet y otros. La frase clave permit ip se usa para permitir todos los protocolos IP, incluidos TCP, UDP e ICMP.
Configuracin del acceso a la VTY Para iniciar sesin en el router remoto utilizan un programa como Telnet o un cliente Secure Shell (SSH). Telnet transmite el nombre de usuario y la contrasea en texto sin formato y por lo tanto no es muy seguro. SSH transmite la informacin de nombre de usuario y contrasea en formato encriptado. Cuando un administrador de red se conecta a un router remoto mediante Telnet, el router inicia una sesin entrante. Telnet y SSH son herramientas de administracin de redes dentro de banda y requieren el protocolo IP y una conexin de red para el router. El objeto de la restriccin del acceso a la terminal virtual de teletipo (VTY) es aumentar la seguridad de la red. Si una ACL se aplica al puerto vty del router que permite slo direcciones IP especficas, se denegar el acceso a todas las personas que intenten hacer telnet hacia el router desde una direccin IP no permitida en la ACL. El proceso que se utiliza para crear la lista de control de acceso VTY es igual al de una interfaz. No obstante, para aplicar la ACL a una lnea VTY se utiliza un comando diferente. En lugar de usar el comando ip access-group, utilice el comando access-class.