You are on page 1of 57

Las listas son secuencias de sentencia de permiso (permit) o denegación (deny) que se aplican a los paquetes que atraviesan dicha interfaz, en el sentido indicado (in/out), con riguroso orden según hayan sido declaradas . Cualquier tráfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL. Se pueden configurar las ACL para todos los protocolos de red enrutados.

Un router actúa como filtro de paquetes cuando reenvía o deniega paquetes según las reglas de filtrado. Cuando un paquete llega al router de filtrado de paquetes, éste extrae determinada información del encabezado del paquete y toma decisiones según las reglas de filtrado, ya sea autorizar el ingreso del paquete o descartarlo. El filtrado de paquetes actúa en la capa de red (3) del modelo (OSI)

Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para determinar la autorización o denegación del tráfico según: 
 

Las direcciones IP de origen y de destino, Los puertos TCP/UDP de origen y destino. El protocolo del paquete. Estas reglas se definen mediante las listas de control de acceso o ACL.

Al igual que el protocolo IP. Los mensajes pueden duplicarse o llegar desordenados al destino. protocolo de datagrama de usuario). UDP es: No orientado a conexión. Los mensajes UDP se pueden perder o llegar dañados. No fiable. No se establece una conexión previa con el otro extremo para tx un mensaje UDP. .  El protocolo UDP (User Datagram Protocol.

.

A través de esta conexión los datos llegarán siempre a la aplicación destino de forma ordenada y sin duplicados. es necesario cerrar la conexión. protocolo de control de transmisión) basado en IP que es no fiable y no orientado a conexión. . La información que envía el emisor llega de forma correcta al destino. Fiable. Finalmente.€ € El protocolo TCP (Transmission Control Protocol. Es necesario establecer una conexión previa entre las dos máquinas antes de poder transmitir ningún dato. y sin embargo es: Orientado a conexión.

€ . Es decir.€ Cómo es posible enviar información fiable basándose en un protocolo no fiable (IP). Si no le llega esta confirmación pasado un cierto tiempo. cómo pueden llegar los datos de las aplicaciones de forma correcta al destino. el emisor reenvía el mensaje. cada vez que llega un mensaje se devuelve una confirmación (ack) para que el emisor sepa que ha llegado correctamente. si los datagramas que transportan los segmentos TCP se pueden perder.

.

.

.

Un puerto es un número de 16 bits.Un PC puede estar conectado con distintos servidores a la vez. . con un servidor ftp y un servidor de correo. por lo que existen 65536 puertos en cada PC. por ejemplo. Para distinguir las distintas conexiones dentro de un mismo PC se utilizan los puertos. Las aplicaciones utilizan estos puertos para recibir y transmitir mensajes.

.

Cuando una aplicación cliente quiere comunicarse con un servidor.son asignados dinámicamente y generalmente son superiores al 1024. busca un número de puerto libre y lo utiliza. .

.Utilizan unos números de puerto prefijados: son los llamados puertos wellknown (bien conocidos). Estos puertos están definidos en la RFC 1700.

puerto destino se la denomina "socket" y se dice que identifica de forma unívoca una conexión de red . puerto origen.A la combinación de IP origen. IP destino.

PUERTOS TCP .

.

puertos. son comandos que sirven para filtrar el tráfico permitiendo o denegando las conexiones basándose en diferentes criterios como direcciones IP.€ Las Listas de Control de Acceso ("Access Control List ´ ACL). protocolos .

subred o host origen verifican sólo la dirección de origen en la cabecera del paquete (Capa 3). según las direcciones de red.€ Listas de acceso estándar: Las listas de acceso IP estándar comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. . Permiten o rechazan el acceso a todo un conjunto de protocolos.

No importan el destino del paquete ni los puertos involucrados.168. Las ACL estándar se crean en el modo de configuración global. El ejemplo permite todo el tráfico desde la red 192. .30.0/24. todo el otro tráfico se bloquea con esta ACL. Debido a la sentencia implícita "deny any" (denegar todo) al final.Las ACL estándar le permiten autorizar o denegar el tráfico desde las direcciones IP de origen.

protocolos específicos. ‡ Números de puerto TCP y UDP. incluidas opciones de la cabecera del segmento (Capa 4).Listas de acceso extendidas: Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete. . ‡ Direcciones IP de origen y destino. como los números de puerto. números de puerto y otros parámetros. ‡ pueden verificar otros muchos elementos. También pueden verificar protocolos especificados.

168. Las ACL extendidas se crean en el modo de configuración global. .La ACL del ejemplo .0/24 hacia cualquier puerto 80 de host de destino (HTTP).103 permite el tráfico que se origina desde cualquier dirección en la red 192.30.

.Las listas de acceso no actúan sobre paquetes originados en el propio router. como las actualizaciones de enrutamiento o las sesiones Telnet salientes.

ACL saliente: Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión. una ACL debe asociarse a una interfaz de la siguiente manera: ACL entrante: Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida. será procesado para su enrutamiento (evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado). si el paquete pasa las pruebas de filtrado.€ Una vez creada. € € .

.

se omite el resto de las sentencias de la lista y el paquete tiene permitido pasar o no. . Este proceso de coincidencia continúa hasta el final de la lista. el paquete se prueba según la siguiente sentencia de la lista. según la sentencia coincidente. Si el encabezado del paquete no coincide con una sentencia de ACL.ACL de entrada: Si coinciden un encabezado de paquete y una sentencia de ACL.

sentencia implícita final: cubre todos los paquetes para los cuales las condiciones no resultan verdaderas. una sentencia de permiso. de lo contrario. Debido a esta sentencia. la ACL bloquea todo el tráfico. una ACL debe contar con. Esta última prueba coincide con todos los demás paquetes y produce una "denegación" del paquete. En lugar de salir o entrar a una interfaz. el router descarta todos los paquetes restantes. . La última sentencia generalmente se denomina "implicit deny any statement" (denegar implícitamente una sentencia) o "deny all traffic" (denegar todo el tráfico). al menos.

.

A continuación. el paquete puede enviarse al búfer de salida. el router verifica si la interfaz de salida se agrupa a una ACL. Si no lo es. el router verifica la tabla de enrutamiento para ver si el paquete es enrutable. . Si la interfaz de salida no se agrupa a una ACL.ACL DE SALIDA: Antes de reenviar un paquete a una interfaz de salida. se descarta.

. mientras que deny significa descartar el paquete. Para las listas entrantes un permit significa continuar el procesamiento del paquete tras su recepción en una interfaz. Cuando se descarta un paquete IP.Para las listas salientes un permit significa enviar al búfer de salida. mientras que deny se traduce en descartar el paquete. ICMP devuelve un paquete especial notificando al remitente que el destino ha sido inalcanzable.

Utilizar ACL numeradas es un método eficaz para determinar el tipo de ACL en redes más pequeñas con más tráfico definido de manera homogénea. . Sin embargo. un número no le informa el propósito de la ACL. puede utilizar un nombre para identificar una ACL de Cisco. Por ello. si se parte del IOS de Cisco Versión 11.2.

.

El borrado de entradas individuales permite modificar las listas de acceso sin tener que eliminarlas y volver a configurarlas desde el principio. para modificar una lista tendría que borrar primero la lista de acceso numerada y volver a introducirla de nuevo con las correcciones necesarias. . En una lista de acceso numerada no es posible borrar instrucciones individuales. Las listas de acceso IP con nombre permiten eliminar entradas individuales de una lista específica.Con listas de acceso IP numeradas.

 . el tráfico no deseado se filtra sin atravesar la infraestructura de red. colóquelas lo más cerca del destino posible.Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. De esta manera. Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. Las reglas básicas son:  Como las ACL estándar no especifican las direcciones de destino.

0/24.168. La solución es colocar una ACL estándar en la interfaz de entrada de R3 para detener todo el tráfico desde la dirección de origen 192.30.10.0/24 no debe ingresar a la red 192.168. Una ACL estándar cumple con los requerimientos porque sólo se centra en las direcciones IP de origen.168.0/24. .10.El tráfico que se Origina en la red 192. Una ACL en la interfaz de salida de R1 deniega a R1 la posibilidad de enviar tráfico a otros lugares.

. Al mismo tiempo.11.10.0/24 y 192.168.168.El administrador de las redes 192.0/24 desea denegar el tráfico Telnet y FTP desde Once a la red treinta. se debe permitir todo el tráfico restante desde Diez.

. Esto garantiza que los paquetes desde once no ingresen a R1 y que luego no puedan atravesar hacia diez ni incluso ingresar a R2 o R3. Aún se permite el tráfico con otras direcciones y puertos de destino hacia R1.La mejor solución es acercarse al origen y colocar una ACL extendida en la interfaz de entrada Fa0/2 de R1.

RECUERDE QUE .

.

.

.

0.Para los casos más frecuentes de enmascaramiento wildcard se pueden utilizar abreviaturas.0. utilizada para un host especifico  Any = 0.0.255.  Host = mascara comodín 0.0. red o subred . utilizado para definir a cualquier host.255.255.0.0 255.

. Cualquier dirección de host será leída como dirección de red o subred.En el caso de permitir o denegar redes o subredes enteras se deben ignorar todos los host pertenecientes a dicha dirección de red o subred.

.

.

.

.

.

.Los procedimientos para configurar las ACL extendidas son los mismos que para las ACL estándar: primero crea la ACL extendida y luego la activa en una interfaz. Sin embargo. la sintaxis y los parámetros del comando tienen más complejidades para admitir las funciones adicionales de las ACL extendidas.