Las ACL (listas de Control de acceso) son una protección
basadas en lista de permisos y negaciones de acceso y salida de la red, son una
de las formas más básicas de protección sobre la red, puede asociarse con un
firewall, pero es una protección que en muchos casos queda corta con las
necesidades de un cliente, ya que solo se pueden aplicar sobre segmentos de red
o sobre los servicios de la misma, hoy en día los servicios más robustos de
firewall se aplican sobre el contenido, de manera que niegan la entrada de todo
tipo de contenido y al mismo tiempo puede escanear el tráfico en busca de
malware.
Para este ejercicio tomaremos la
red configurada en pakect tracer, puede observarla a continuación.
Para la configuración de una ACL
standard vamos a tomar como base este ejemplo de red
creado en packet tracer, para este ejercicio se configuraron los servicios de
DNS, MAIL, HTTP y TFTP los cuales serán permitidos y denegados en diferentes
partes de la red, para poder limitar la red a los servicios que deseamos
permitir o denegar utilizaremos las ALCs standard y extendida.
CONFIGURACIÓN DE ACL STANDARD
ACL estándar
Las ACL estándar en un router
Cisco siempre se crean primero y luego se asignan a una interfaz y lo más
recomendable es crearla lo más cerca posible del destino.
Debemos tener en cuenta que una ACL
standard trabaja basándose en enrutamiento………….
Tienen la configuración
siguiente:
Router(config)# access-list
numACL permit/deny origen [mascara invertida]
El comando de configuración
global access-list define una ACL estándar con un número entre 1 y 99.
Se aplican a los interfaces con:
Router (config-if)# ip access-group numACL
in|out
Crear ACL Numero 1 permitiendo el
acceso desde 192.168.10.13
Comando utilizado en modo
configuración.
Access-list 1 permit
192.168.10.13 0.0.0.255
Ahora con el mismo comando
creamos una nueva regla que permita el acceso al DNS.
Comando a utilizar.
Access-list 1 permit
192.168.10.13 0.0.0.255
Por defecto al crear una ACL,
esta tiene implícita una orden de denegación de todo el tráfico al que no se le
haya configurado una regla que permita su trafico.
Ahora como solo queremos permitir
el tráfico de estos equipos hacia esa red, pues no la anularemos, pero en caso
de ser necesario todo el tráfico sin nombrar pues utilizaremos el comando.
Access-list permit any
Anulando con este la negación
implícita de la ACL.
Ahora que hemos creado nuestra
ACL debemos asignarla a una interface en este caso será activada sobre la
fastethernet 0/0
Interface fastethernet 0/0
Observamos el cambio de config a
config-if indicando que accedimos correctamente a la interfast y procedemos a
activar la ACL creada utilizando el comando.
Ip Access-group 1 out
Out – in puede variar según
deseemos permitir o denegar la entrada o salida de datos, en este caso se desea
que esa parte pueda salir a la red por ello está en modo out.
Comprobamos que PC0 no puede
acceder a otros sitio que no sea la granja de servidores por ejemplo el PC3 ip
address 172.16.128.10
Ahora ping al servidor ip
172.16.16.11
Ahora ya hemos creado una ACL y
asignado a una interfast, hemos probado su funcionalidad.
