06 Cisco Access Control List: Configuracion de ACL "Extended" Parte 1/3

Edson Hernandez

12 May 202017:00

Summary

TLDREn este tutorial, se explica cómo configurar Listas de Control de Acceso (ACL) extendidas para filtrar tráfico de red de manera eficiente. A diferencia de las ACL estándar, las extendidas permiten especificar tanto direcciones IP de origen y destino como puertos, brindando un control más preciso. Se muestra un caso práctico en el que se restringe el acceso de Windows 10 a un servidor web solo a través del puerto TCP 80, bloqueando otros tipos de tráfico, como pings. Se detallan los pasos de configuración y prueba, demostrando cómo aplicar la ACL en el router más cercano al origen para asegurar la correcta filtración del tráfico.

Takeaways

😀 Las listas de control de acceso (ACL) extendidas permiten controlar el tráfico de red filtrando tanto la dirección IP de origen como la de destino, y también los números de puerto de la capa 4.
😀 A diferencia de las ACL estándar, que solo filtran por la dirección de origen, las ACL extendidas permiten una mayor granularidad de control sobre el tráfico, incluyendo protocolos y puertos.
😀 Las ACL extendidas numéricas usan un rango de números entre 100 y 199, y el rango extendido va del 2000 al 2699.
😀 Para crear una ACL extendida, se especifica el protocolo (como TCP o ICMP), el origen y destino en términos de direcciones IP, y opcionalmente los puertos asociados con estos protocolos.
😀 Una ACL extendida se puede aplicar lo más cerca posible del origen del tráfico para evitar que el tráfico no deseado viaje por toda la red.
😀 Un ejemplo práctico es permitir que una máquina con IP 172.16.200.200 (Windows 10) acceda a un servidor web en 192.168.30.10 solo a través del puerto 80, mientras se bloquean otros accesos.
😀 Cuando se configura una ACL, se debe especificar si el tráfico debe ser permitido o negado, y esto se establece en las reglas de la ACL utilizando 'permitir' o 'negar'.
😀 Se debe tener en cuenta el uso de puertos dinámicos cuando se configura una ACL para clientes, ya que los puertos de origen de los clientes no son estáticos.
😀 En el caso de que una ACL solo permita ciertos servicios (como el puerto 80 para HTTP), el resto de los accesos serán bloqueados, como en el caso de los pings o otros servicios.
😀 Es importante probar las ACL después de su configuración, por ejemplo, asegurándose de que el acceso HTTP funcione correctamente mientras otros accesos como pings estén bloqueados, garantizando que se cumplan los requisitos de seguridad.
😀 Al aplicar ACLs, es esencial usar el comando 'ip access group' para asignar las listas de control de acceso a la interfaz de red correspondiente (por ejemplo, en una subinterfaz de un router).

Q & A

¿Qué son las listas de control de acceso extendidas?
-Las listas de control de acceso extendidas (ACL extendidas) son herramientas utilizadas en redes para filtrar el tráfico de datos. A diferencia de las listas estándar, las extendidas permiten controlar tanto el origen como el destino de los paquetes, además de permitir la especificación de puertos y protocolos de capa 4.
¿Cómo se diferencia una ACL estándar de una extendida?
-Una ACL estándar solo puede filtrar el tráfico basándose en la dirección IP de origen, mientras que una ACL extendida permite filtrar tanto por dirección IP de origen como de destino, así como por número de puerto y protocolo, lo que proporciona un control más detallado sobre el tráfico.
¿Cuál es el rango de números utilizado para las ACL extendidas numeradas?
-El rango de números utilizado para las ACL extendidas numeradas es de 100 a 199, y también se puede utilizar un segundo rango de 2000 a 2699.
¿Qué información se puede especificar en una ACL extendida?
-En una ACL extendida, se puede especificar el protocolo (como TCP, UDP, ICMP), la dirección IP de origen y destino, los números de puerto de origen y destino, lo que permite un control preciso sobre qué tráfico es permitido o denegado.
¿Por qué se recomienda aplicar las ACL extendidas lo más cerca posible del origen del tráfico?
-Aplicar las ACL extendidas lo más cerca posible del origen ayuda a prevenir que el tráfico no deseado recorra toda la red, evitando que llegue a los destinos y asegurando que se filtren los datos de forma más eficiente.
En el ejemplo del script, ¿qué tráfico se permite y qué tráfico se bloquea?
-En el ejemplo del script, se permite el tráfico HTTP (puerto 80) desde la máquina Windows 10 (IP 172.16.200.200) hacia el servidor web Windows XP (IP 192.168.30.10), mientras que todo otro tráfico, incluido el ping, se bloquea mediante la ACL.
¿Cómo se configura una ACL extendida numerada en un router?
-Para configurar una ACL extendida numerada, se utiliza el comando `access-list [número] [permitir/denegar] [protocolo] [IP origen] [máscara comodín] [IP destino] [máscara comodín] [eq puerto]`. Luego, esta lista se aplica en la interfaz del router usando el comando `ip access-group [número] in` para filtrar el tráfico entrante.
¿Qué sucede si se deja la ACL con solo dos reglas, una de permitir y una de denegar?
-Si solo se dejan dos reglas en la ACL, una de permitir y una de denegar, se negará todo el tráfico que no coincida con las reglas especificadas. Esto incluye el tráfico ICMP, como los pings, que no tienen un puerto específico. Por lo tanto, se bloqueará todo tráfico que no sea HTTP en este caso.
¿Qué problema podría surgir si no se agrega una regla para permitir otro tráfico después de bloquear la mayoría?
-Si no se agrega una regla que permita el resto del tráfico después de las reglas específicas, el tráfico no HTTP o cualquier otro servicio será bloqueado debido a la regla implícita de denegar todo al final de la ACL. Para evitarlo, se debe añadir una regla explícita como `permitir cualquier tráfico`.
En el script, ¿cómo se prueba la efectividad de la ACL aplicada?
-La efectividad de la ACL se prueba al intentar acceder a la página web alojada en el servidor web XP desde Windows 10. La página web debería cargarse correctamente si el puerto 80 está permitido, pero el intento de hacer un ping debería fallar, ya que el tráfico ICMP está bloqueado por la ACL.