Redes de Computadores

Redes de computadores 3
Listas de control de acceso (ACL’s) estándar. Numeradas y nombradas
Listas de control de acceso.
Los administradores de red siempre están buscando la manera de impedir el acceso no autorizado a la red, así como la
forma de permitir el acceso autorizado a la misma. Entre las herramientas de seguridad con las que puede contar un
administrador para lograr este propósito se tienen las ACL's (Listas de Control de Acceso).
Una ACL es una colección secuencial de sentencias de permiso o rechazo que se programan en un enrutador para
proporcionan capacidades básicas de filtrado de tráfico así como de como bloqueo del tráfico.
Las ACL filtran el tráfico de red controlando si los paquetes enrutados se envían o se bloquean en las interfaces del
enrutador. El enrutador examina cada paquete para determinar si se debe enviar o descartar, según las condiciones
especificadas en la ACL. Entre las condiciones de las ACL se pueden incluir la dirección origen o destino del tráfico, el
protocolo de capa superior, u otra información.
Básicamente existen de dos tipos de ACL's: estándar y extendidas.
ACL estándar.
Una ACL estándar es una herramienta simple y efectiva de regular el tráfico que puede pasar a través de un enrutador,
teniendo en cuenta el origen, ya sea un host específico (normalmente una estación de trabajo o servidor) o una red
completa (cualquier host o servidor en esa red).
Las ACL estándar son una forma básica de control, donde solo se permiten o deniegan (todo o nada) paquetes que salen
de o entran a una interfaz de un enrutador, utilizando sólo la dirección IP de la red o host origen. Por lo tanto, se deben
aplicar cerca de la dirección destino, ya que dicha dirección no se puede especificar.
Para asignar una ACL a un enrutador podemos utilizar el siguiente procedimiento:
1. En el modo de configuración global del enrutador Router(config)# se procede a asignar una sentencia siguiendo
la siguiente sintaxis:
2. Asociar la ACL creada en el numeral anterior a una interfaz o a un servicio. A continuación, se ilustra la sintaxis
para vincular una ACL a una interfaz del enrutador. Recuerde que la instrucción debe ejecutarse en el modo de
configuración de la interfaz.
Redes de computadores 3
Para responder a las preguntas de éste laboratorio, primero proceda como se le sugiere a continuación:
Configure adecuadamente la red ilustrada en la figura, utilizando enrutamiento estático o dinámico, de modo que se
garantice conectividad entre Master y Slave. Además verifique que los enrutadores tengan debidamente configurado el
servicio telnet y puedan ser accesados por las estaciones Master y Slave. Recuerde que Master debe tener previamente
instalado un servidor Web y uno FTP para la ejecución del laboratorio.
Tenga en cuenta:
 Los enrutadores y la conexión entre ellos se realiza en forma real, con material del laboratorio.
 Slave será un equipo real que se conectara el enrutador Bogota.
 Master será un equipo virtual que se conectara al enrutador Medellin usando GNS3.
 Después de tener implementada la red, preguntar al profesor como implementar el servidor Web y el servidor
FTP en la máquina virtual DSL.
Notas:
 Después de tener conectividad y solo en este instante del laboratorio ejecute el comando Router#write para
guardar la configuración de los enrutadores en el archivo [startup-config]. Más adelante se le solicitará reiniciar
los enrutadores, y si no tiene guardada la configuración básica tendrá que volver a configurarlos.
 No olvide verificar que el registro de configuración de su enrutador sea 0x2102.
Redes de computadores 3
Preguntas:
a) Ejecute ahora en el enrutador Medellín el comando:
Medellin(config)# access-list 5 permit host 192.168.10.2
Y verifique las condiciones solicitadas en la siguiente tabla:
b) Ejecute en el enrutador Medellín los siguientes comandos:
Medellin(config)# line vty 0 4
Medellin(config-line)# access-class 5 in
Y verifique las condiciones solicitadas en la siguiente tabla:
Redes de computadores 3
¿Existen diferencias entre los resultados obtenidos en el ítem anterior con el actual?
¿De ser así a qué se deben estas diferencias?
¿Considera usted esta medida paranoica, sabiendo que para ingresar al enrutador vía Telnet es necesario conocer
dos contraseñas?
c) Crear en el enrutador Bogotá una ACL con el siguiente comando:
Bogota(config)# access-list 10 permit 192.168.20.2 0.0.0.0
Asigne dicha ACL al servicio HTTP del enrutador mediante el comando:
Bogota(config)# ip http access-class 10
Y verifique las condiciones solicitadas en la siguiente tabla:
d) Ahora en Medellín, ejecutar lo siguiente:
Medellin(config)#access-list 15 deny 192.168.20.0 0.0.0.15
Medellin(config)#access-list 15 permit any
Y verifique nuevamente las condiciones solicitadas en la siguiente tabla:
Redes de computadores 3
¿El resultado es el esperado? ¿Por qué?
e) Asigne la ACL creada en el ítem anterior a la interfaz FastEthernet:
Medellin(config)# interface FastEthernet 0/0
Medellin(config-if)# ip access-group 15 out
Y verifique nuevamente las condiciones solicitadas en la siguiente tabla:
¿Qué pasó ahora?
f)
¿Qué ocurre si la ACL ya creada en la interfaz FastEthernet en dirección de salida, se vincula a la misma interfaz
en dirección de entrada?
Redes de computadores 3
Ejecute las siguientes instrucciones para verificar dicho comportamiento:
Medellin(config)#interface FastEthernet 0/0
Medellin(config-if)#no ip accessgroup 15 out
Medellin(config-if)#ip access-group 15 in
Justifique su respuesta.
Cuando es creada una lista de control de acceso y se asigna a una interfaz (ya sea para el tráfico que entra o el que sale
de la interfaz), el enrutador realizara una comprobación secuencial de cada una de las sentencias configuradas en la lista
de control de acceso. Además, todas las listas de control de acceso tienen por defecto como última sentencia un:
access-list número de acl deny any
Es decir, todo el tráfico que no coincide con las sentencias configuradas será denegado. Por lo tanto, si la idea es que el
tráfico que no coincide con las sentencias configuradas en la ACL sea permitido, se debe agregar al final de la lista la
instrucción para permitir todo.
access-list número de acl permit any
Aunque lo anterior, soluciona de alguna forma que el tráfico que no queremos filtrar sea permitido, se recomiendo que la
ACL, sea asignada a una interfaz LAN que esté conectada solamente a dispositivos finales. De esta forma, nos evitamos el
problema de que dejen comunicaciones entre dispositivos intermedios.
Por ejemplo, si asignáramos la ACL 15 a la interfaz serial 0/0 del enrutador Medellín, no solo se negaría el tráfico que tiene
como origen 192.168.20.0 0.0.0.15, sino que también por defecto estaríamos negando las comunicaciones del
protocolo de enrutamiento usado, a menos de que cambiemos la sentencia final, que en muchos casos y por motivos de
seguridad no es lo deseado.
Teniendo en cuenta lo anterior:
Redes de computadores 3
g) ¿Cuál sería la sintaxis de las instrucciones que nos permitirían lograr que Slave no tenga conectividad con Master
asociando la ACL 15 a la interfaz Serial 0/0, pero sin evitar la trasmisión de información de enrutamiento?
h) A partir de la WildCard utilizada para la ACL 15, es decir 0.0.0.15, y sin cambiar la configuración anterior de la ACL
 ¿Qué tendría que configurarse en Slave para poder lograr conectividad con Master?
 ¿Qué tendría que configurarse en Medellín, para que Slave y Master puedan comunicarse?
Nota: Ahora ejecute el comando Router#reload para dejar el enrutador en las condiciones iníciales de operación.
i)
Finalmente ejecute en el enrutador Medellín las siguientes instrucciones:
Medellin(config)# access-list 25 permit any
Medellin(config)# accesslist 25 deny 192.168.20.0 0.0.0.255
Asigne la ACL a la interfaz FastEthernet:
Medellin(config)# interface FastEthernet 0/0
Medellin(config-if)# ip access-group 25 out
Y verifique nuevamente las condiciones solicitadas en la siguiente tabla:
¿Qué puede concluir de los resultados obtenidos en la tabla de evaluación a partir de la ACL previamente indicada?
Nota: Ahora ejecute el comando Router#reload para dejar el enrutador en las condiciones iníciales de operación.
Todo lo que se ha realizado, ha sido para ACL´s estándar numeradas. Pero, también existen ACL’s estándar
nombradas, que se configuran de forma simular a las numeradas, pero ya no serán identificadas por un número
sino por un nombre que asigna quien crea la ACL mediante el comando:
Router(config)#ip access-list [standard | extended] nombre
Router(config-[std |ext]-nacl)# (en este modo de configuración se asignan las instrucciones a la ACL)
Redes de computadores 3
j)
Crear y asignar una ACL nombrada que desempeñe la misma función de la ACL 5 utilizada en los ítems a y b.
Mostrar y explicar al profesor durante el laboratorio.
k) Crear y asignar una ACL nombrada que desempeñe la misma función de la ACL 15 utilizada en los ítems d y f.
Mostrar y explicar al profesor durante el laboratorio.