Hoy comenzaremos a aprender sobre la lista de control de acceso ACL; este tema tomará 2 lecciones en video. Veremos la configuración de una ACL estándar y en el próximo video tutorial hablaré sobre la lista extendida.
En esta lección cubriremos 3 temas. La primera es qué es una ACL, la segunda es cuál es la diferencia entre una lista de acceso estándar y una extendida, y al final de la lección, como laboratorio, veremos cómo configurar una ACL estándar y resolver posibles problemas.
Entonces, ¿qué es una ACL? Si estudió el curso desde la primera lección en video, entonces recordará cómo organizamos la comunicación entre varios dispositivos de red.
También estudiamos enrutamiento estático sobre varios protocolos para adquirir habilidades en la organización de comunicaciones entre dispositivos y redes. Ahora hemos llegado a la etapa de aprendizaje en la que deberíamos preocuparnos por garantizar el control del tráfico, es decir, evitar que "malos" o usuarios no autorizados se infiltren en la red. Por ejemplo, esto puede afectar a personas del departamento de ventas VENTAS, que se muestra en este diagrama. Aquí también mostramos el departamento financiero CUENTAS, el departamento de gestión GESTIÓN y la sala de servidores SERVER ROOM.
Por lo tanto, el departamento de ventas puede tener cien empleados y no queremos que ninguno de ellos pueda acceder a la sala de servidores a través de la red. Se hace una excepción para el gerente de ventas que trabaja en una computadora Laptop2: puede tener acceso a la sala de servidores. Un nuevo empleado que trabaja en Laptop3 no debería tener ese acceso, es decir, si el tráfico de su computadora llega al enrutador R2, debería descartarse.
La función de una ACL es filtrar el tráfico según los parámetros de filtrado especificados. Incluyen la dirección IP de origen, la dirección IP de destino, el protocolo, el número de puertos y otros parámetros, gracias a los cuales puedes identificar el tráfico y tomar algunas acciones con él.
Entonces, ACL es un mecanismo de filtrado de capa 3 del modelo OSI. Esto significa que este mecanismo se utiliza en los enrutadores. El criterio principal para el filtrado es la identificación del flujo de datos. Por ejemplo, si queremos impedir que el chico del ordenador Laptop3 acceda al servidor, primero debemos identificar su tráfico. Este tráfico se mueve en dirección Laptop-Switch2-R2-R1-Switch1-Server1 a través de las interfaces correspondientes de los dispositivos de red, mientras que las interfaces G0/0 de los enrutadores no tienen nada que ver con eso.
Para identificar el tráfico, debemos identificar su ruta. Una vez hecho esto, podemos decidir dónde exactamente necesitamos instalar el filtro. No se preocupe por los filtros en sí, los discutiremos en la próxima lección, por ahora necesitamos comprender el principio de a qué interfaz se debe aplicar el filtro.
Si observa un enrutador, puede ver que cada vez que se mueve el tráfico, hay una interfaz por donde entra el flujo de datos y una interfaz por donde sale este flujo.
En realidad existen 3 interfaces: la interfaz de entrada, la interfaz de salida y la interfaz propia del router. Sólo recuerde que el filtrado sólo se puede aplicar a la interfaz de entrada o salida.
El principio de funcionamiento de ACL es similar a un pase para un evento al que solo pueden asistir aquellos invitados cuyo nombre esté en la lista de invitados. Una ACL es una lista de parámetros de calificación que se utilizan para identificar el tráfico. Por ejemplo, esta lista indica que se permite todo el tráfico desde la dirección IP 192.168.1.10 y se deniega el tráfico desde todas las demás direcciones. Como dije, esta lista se puede aplicar tanto a la interfaz de entrada como a la de salida.
Hay 2 tipos de ACL: estándar y extendida. Una ACL estándar tiene un identificador del 1 al 99 o del 1300 al 1999. Estos son simplemente nombres de listas que no tienen ninguna ventaja entre sí a medida que aumenta la numeración. Además del número, puedes asignar tu propio nombre a la ACL. Las ACL extendidas están numeradas del 100 al 199 o del 2000 al 2699 y también pueden tener un nombre.
En una ACL estándar, la clasificación se basa en la dirección IP de origen del tráfico. Por lo tanto, al utilizar dicha lista, no puede restringir el tráfico dirigido a ninguna fuente, solo puede bloquear el tráfico que se origina en un dispositivo.
Una ACL extendida clasifica el tráfico por dirección IP de origen, dirección IP de destino, protocolo utilizado y número de puerto. Por ejemplo, puede bloquear sólo el tráfico FTP o sólo el tráfico HTTP. Hoy veremos la ACL estándar y dedicaremos la siguiente lección en video a las listas extendidas.
Como dije, una ACL es una lista de condiciones. Después de aplicar esta lista a la interfaz entrante o saliente del enrutador, el enrutador compara el tráfico con esta lista y, si cumple con las condiciones establecidas en la lista, decide si permite o deniega este tráfico. A las personas a menudo les resulta difícil determinar las interfaces de entrada y salida de un enrutador, aunque aquí no hay nada complicado. Cuando hablamos de una interfaz entrante, esto significa que solo el tráfico entrante será controlado en este puerto y el enrutador no aplicará restricciones al tráfico saliente. De manera similar, si hablamos de una interfaz de salida, esto significa que todas las reglas se aplicarán solo al tráfico saliente, mientras que el tráfico entrante en este puerto se aceptará sin restricciones. Por ejemplo, si el enrutador tiene 2 puertos: f0/0 y f0/1, entonces la ACL solo se aplicará al tráfico que ingresa a la interfaz f0/0, o solo al tráfico que se origina desde la interfaz f0/1. El tráfico que entra o sale de la interfaz f0/1 no se verá afectado por la lista.
Por lo tanto, no se confunda con la dirección de entrada o salida de la interfaz, depende de la dirección del tráfico específico. Entonces, después de que el enrutador haya verificado que el tráfico coincida con las condiciones de ACL, solo puede tomar dos decisiones: permitir el tráfico o rechazarlo. Por ejemplo, puede permitir el tráfico destinado a 180.160.1.30 y rechazar el tráfico destinado a 192.168.1.10. Cada lista puede contener múltiples condiciones, pero cada una de estas condiciones debe permitir o denegar.
Digamos que tenemos una lista:
Prohibir _______
Permitir ________
Permitir ________
Prohibir _________.
Primero, el enrutador verificará el tráfico para ver si coincide con la primera condición; si no coincide, verificará la segunda condición. Si el tráfico coincide con la tercera condición, el enrutador dejará de comprobarlo y no lo comparará con el resto de las condiciones de la lista. Realizará la acción "permitir" y pasará a verificar la siguiente porción de tráfico.
En caso de que no haya establecido una regla para ningún paquete y el tráfico pase por todas las líneas de la lista sin cumplir ninguna de las condiciones, se destruye, porque cada lista ACL de forma predeterminada termina con el comando denegar cualquier comando, es decir, descartar. cualquier paquete que no esté sujeto a ninguna de las reglas. Esta condición entra en vigor si hay al menos una regla en la lista; de lo contrario, no tiene efecto. Pero si la primera línea contiene la entrada denegar 192.168.1.30 y la lista ya no contiene ninguna condición, entonces al final debería haber un comando permitir cualquiera, es decir, permitir cualquier tráfico excepto el prohibido por la regla. Debes tener esto en cuenta para evitar errores al configurar la ACL.
Quiero que recuerdes la regla básica para crear una lista de ASL: coloca el ASL estándar lo más cerca posible del destino, es decir, del destinatario del tráfico, y coloca el ASL extendido lo más cerca posible de la fuente, es decir, al remitente del tráfico. Estas son recomendaciones de Cisco, pero en la práctica hay situaciones en las que tiene más sentido colocar una ACL estándar cerca de la fuente de tráfico. Pero si durante el examen se encuentra con una pregunta sobre las reglas de colocación de ACL, siga las recomendaciones de Cisco y responda sin ambigüedades: estándar está más cerca del destino, extendido está más cerca de la fuente.
Ahora veamos la sintaxis de una ACL estándar. Hay dos tipos de sintaxis de comandos en el modo de configuración global del enrutador: sintaxis clásica y sintaxis moderna.
El tipo de comando clásico es lista de acceso <número de ACL> <denegar/permitir> <criterios>. Si configura <número de ACL> de 1 a 99, el dispositivo entenderá automáticamente que se trata de una ACL estándar, y si es de 100 a 199, entonces es una extendida. Como en la lección de hoy estamos viendo una lista estándar, podemos usar cualquier número del 1 al 99. Luego indicamos la acción que se debe aplicar si los parámetros coinciden con el siguiente criterio: permitir o denegar tráfico. Consideraremos el criterio más adelante, ya que también se utiliza en la sintaxis moderna.
El tipo de comando moderno también se usa en el modo de configuración global Rx(config) y tiene este aspecto: ip access-list standard <número/nombre de ACL>. Aquí puede utilizar un número del 1 al 99 o el nombre de la lista ACL, por ejemplo, ACL_Networking. Este comando coloca inmediatamente el sistema en el modo de subcomando del modo estándar Rx (config-std-nacl), donde debe ingresar <deny/enable> <criteria>. El tipo de equipo moderno tiene más ventajas que el clásico.
En una lista clásica, si escribe lista de acceso 10 denegar ______, luego escribe el siguiente comando del mismo tipo para otro criterio y termina con 100 de esos comandos, entonces, para cambiar cualquiera de los comandos ingresados, deberá elimine toda la lista de acceso 10 con el comando no access-list 10. Esto eliminará los 100 comandos porque no hay forma de editar ningún comando individual en esta lista.
En la sintaxis moderna, el comando se divide en dos líneas, la primera de las cuales contiene el número de la lista. Supongamos que si tiene una lista de lista de acceso estándar 10 denegar ________, lista de acceso estándar 20 denegar ________ y así sucesivamente, entonces tiene la oportunidad de insertar listas intermedias con otros criterios entre ellas, por ejemplo, lista de acceso estándar 15 denegar ________ .
Alternativamente, puede simplemente eliminar las 20 líneas estándar de la lista de acceso y volver a escribirlas con diferentes parámetros entre las líneas estándar de la lista de acceso 10 y las líneas estándar de la lista de acceso 30. Por lo tanto, hay varias formas de editar la sintaxis ACL moderna.
Debe tener mucho cuidado al crear ACL. Como sabes, las listas se leen de arriba a abajo. Si coloca una línea en la parte superior que permite el tráfico desde un host específico, debajo puede colocar una línea que prohíbe el tráfico de toda la red de la que forma parte este host, y se verificarán ambas condiciones: el tráfico a un host específico se permitirá el paso y se bloqueará el tráfico de todos los demás hosts de esta red. Por lo tanto, coloque siempre las entradas específicas al principio de la lista y las generales al final.
Entonces, después de haber creado una ACL clásica o moderna, debes aplicarla. Para hacer esto, debe ir a la configuración de una interfaz específica, por ejemplo, f0/0 usando el comando interfaz <tipo y ranura>, ir al modo de subcomando de la interfaz e ingresar el comando ip access-group <número de ACL/ nombre> . Tenga en cuenta la diferencia: cuando se compila una lista, se usa una lista de acceso y cuando se aplica, se usa un grupo de acceso. Debe determinar a qué interfaz se aplicará esta lista: la interfaz entrante o la interfaz saliente. Si la lista tiene un nombre, por ejemplo Redes, el mismo nombre se repite en el comando para aplicar la lista en esta interfaz.
Ahora tomemos un problema específico e intentemos resolverlo usando el ejemplo de nuestro diagrama de red usando Packet Tracer. Así, disponemos de 4 redes: departamento comercial, departamento de contabilidad, gestión y sala de servidores.
Tarea nº 1: se debe bloquear todo el tráfico dirigido desde los departamentos comercial y financiero al departamento de gestión y a la sala de servidores. La ubicación de bloqueo es la interfaz S0/1/0 del enrutador R2. Primero debemos crear una lista que contenga las siguientes entradas:
Llamemos a la lista "ACL de administración y seguridad del servidor", abreviada como ACL Secure_Ma_And_Se. A esto le sigue prohibir el tráfico desde la red del departamento financiero 192.168.1.128/26, prohibir el tráfico desde la red del departamento de ventas 192.168.1.0/25 y permitir cualquier otro tráfico. Al final de la lista se indica que se utiliza para la interfaz de salida S0/1/0 del router R2. Si no tenemos una entrada Permitir cualquier al final de la lista, entonces todo el resto del tráfico se bloqueará porque la ACL predeterminada siempre está configurada en una entrada Denegar cualquier al final de la lista.
¿Puedo aplicar esta ACL a la interfaz G0/0? Por supuesto que puedo, pero en este caso solo se bloqueará el tráfico del departamento de contabilidad y el tráfico del departamento de ventas no estará limitado de ninguna manera. De la misma manera, puede aplicar una ACL a la interfaz G0/1, pero en este caso no se bloqueará el tráfico del departamento de finanzas. Por supuesto, podemos crear dos listas de bloqueo separadas para estas interfaces, pero es mucho más eficiente combinarlas en una lista y aplicarla a la interfaz de salida del enrutador R2 o a la interfaz de entrada S0/1/0 del enrutador R1.
Aunque las reglas de Cisco establecen que una ACL estándar debe colocarse lo más cerca posible del destino, la colocaré más cerca de la fuente del tráfico porque quiero bloquear todo el tráfico saliente y tiene más sentido hacerlo más cerca de la fuente. fuente para que este tráfico no desperdicie la red entre dos enrutadores.
Olvidé contarles sobre los criterios, así que volvamos rápidamente. Puede especificar cualquiera como criterio; en este caso, se denegará o permitirá cualquier tráfico desde cualquier dispositivo y cualquier red. También puede especificar un host con su identificador; en este caso, la entrada será la dirección IP de un dispositivo específico. Finalmente, puede especificar una red completa, por ejemplo, 192.168.1.10/24. En este caso, /24 significará la presencia de una máscara de subred 255.255.255.0, pero es imposible especificar la dirección IP de la máscara de subred en la ACL. Para este caso, ACL tiene un concepto llamado Wildcart Mask, o “máscara inversa”. Por lo tanto debe especificar la dirección IP y la máscara de retorno. La máscara inversa se ve así: debes restar la máscara de subred directa de la máscara de subred general, es decir, el número correspondiente al valor del octeto en la máscara directa se resta de 255.
Por lo tanto, debe utilizar el parámetro 192.168.1.10 0.0.0.255 como criterio en la ACL.
¿Cómo funciona? Si hay un 0 en el octeto de la máscara de retorno, se considera que el criterio coincide con el octeto correspondiente de la dirección IP de subred. Si hay un número en el octeto de máscara de fondo, no se comprueba la coincidencia. Así, para una red de 192.168.1.0 y una máscara de retorno de 0.0.0.255, todo el tráfico procedente de direcciones cuyos primeros tres octetos sean iguales a 192.168.1., independientemente del valor del cuarto octeto, será bloqueado o permitido dependiendo de la acción especificada.
Usar una máscara inversa es fácil y volveremos a la máscara Wildcart en el siguiente video para poder explicar cómo trabajar con ella.
28:50 min
Gracias por estar con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más contenido interesante? Apóyanos haciendo un pedido o recomendándonos a amigos, 30% de descuento para usuarios de Habr en un análogo único de servidores de nivel de entrada, que fue inventado por nosotros para usted: (disponible con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).
Dell R730xd 2 veces más barato? Solo aqui ¡en los Paises Bajos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ¡desde $99! Leer acerca de
Fuente: habr.com