Configuración de ACL Extendidas IPv4
Resumen
Aprende a configurar ACL extendidas para IPv4 para filtrar el tráfico según los requisitos de red. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
Tabla de Contenido
1. ACL Extendidas
En los temas anteriores, aprendiste cómo configurar y modificar las ACL estándar y cómo proteger los puertos VTY con una ACL estándar para IPv4 . Las ACL estándar solo se filtran en la dirección de origen. Cuando se requiere un control de filtrado de tráfico más preciso, se pueden crear ACL extendidas de IPv4 .
Las ACL extendidas se utilizan con más frecuencia que las ACL estándar, porque proporcionan un mayor grado de control. Pueden filtrar por dirección de origen, dirección de destino, protocolo (es decir, IP, TCP, UDP, ICMP) y número de puerto. Esto proporciona una gama de criterios más amplia sobre la cual basar la ACL. Por ejemplo, una ACL extendida puede permitir el tráfico de correo electrónico de una red a un destino específico y, simultáneamente, denegar la transferencia de archivos y la navegación web.
Al igual que las ACL estándar, las ACL extendidas se pueden crear como:
- ACL Extendida Numerada – Creado con el comando de configuración global access-list access-list-number
- ACL Extendida Nombrada – Creado con el comando ip access-list extended access-list-name.
2. Sintaxis de ACL Extendida Numerada IPv4
Los pasos de procedimiento para configurar las ACL extendidos son los mismos que para las ACL estándar. Primero se configura la ACL extendida y luego se activa en una interfaz. Sin embargo, la sintaxis y los parámetros del comando son más complejos para soportar las características adicionales que proporcionan las ACLs extendidas.
Para crear una ACL extendida numerada, utiliza el siguiente comando de configuración global:
Router(config)# access-list access-list-number {deny | permit | remark text} protocol source source-wildcard [operator {port}] destination destination-wildcard [operator {port}] [established] [log]
Utiliza el comando de configuración global no access-list
para eliminar un ACL extendido.
Aunque hay muchas palabras clave y parámetros para las ACLs extendidas, no es necesario usarlos todos cuando se configura una ACL extendida. La tabla proporciona una explicación detallada de la sintaxis para una ACL extendida.
Parámetro | Descripción |
---|---|
access-list-number |
|
deny |
Esto deniega el acceso si la condición coincide. |
permit |
Esto permite el acceso si la condición coincide. |
remark text |
|
protocol |
|
source |
|
source-wildcard |
(Opcional) Máscara wildcard de 32 bits para aplicar al origen. |
destination |
|
destination-wildcard |
(Opcional) Máscara wildcard de 32 bits para aplicar al destino. |
operator |
|
port |
(Opcional) El nombre o número decimal de un puerto TCP o UDP. |
established |
|
log |
|
El comando para aplicar una ACL extendida de IPv4 a una interfaz es el mismo que el comando utilizado para las ACL estándar de IPv4 .
Router(config-if)# ip access-group {access-list-number | access-list-name} {in | out}
Para eliminar una ACL de una interfaz, primero introduce el comando de configuración de interfaz no ip access-group . Para eliminar la ACL del router, usa el comando de configuración global no access-list.
3. Protocolos y Puertos
4. Ejemplos Configuración de Protocolos y Números de Puerto
Las ACLs extendidas pueden filtrar en diferentes opciones de número de puerto y nombre de puerto. Este ejemplo configura una ACL extendida 100 para filtrar el tráfico HTTP. El primer ACE utiliza el nombre de puerto www. El segundo ACE usa el número de puerto 80. Ambos ACEs logran exactamente el mismo resultado.
R1(config)# access-list 100 permit tcp any any eq www !or... R1(config)# access-list 100 permit tcp any any eq 80
La configuración del número de puerto es necesaria cuando no hay un nombre de protocolo específico listado como SSH (número de puerto 22) o un HTTPS (número de puerto 443), como se muestra en el siguiente ejemplo.
R1(config)# access-list 100 permit tcp any any eq 22 R1(config)# access-list 100 permit tcp any any eq 443 R1(config)#
5. Aplicar una ACL Extendida Numerada IPv4
La topología de la figura se utilizará para demostrar la configuración y aplicación de ACLs IPv4 extendidas numeradas y nombradas a una interfaz. Este primer ejemplo muestra una implementación de ACLs extendidas numeradas IPv4.
En este ejemplo, la ACL permite que el tráfico HTTP y HTTPS de la red 192.168.10.0 vaya a cualquier destino.
Las ACL extendidas se pueden aplicar en varias ubicaciones. Sin embargo, normalmente se aplican cerca del origen. Por lo tanto, ACL 110 se aplicó entrante en la interfaz R1 G0/0/0.
R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq www R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443 R1(config)# interface g0/0/0 R1(config-if)# ip access-group 110 in R1(config-if)# exit R1(config)#
6. TCP established en ACL Extendida
TCP también puede realizar servicios básicos de firewall con estado usando la palabra clave TCP established. La palabra clave permite que el tráfico interno salga de la red privada interna y permite que el tráfico de respuesta devuelta entre en la red privada interna, como se muestra en la figura.
Sin embargo, el tráfico TCP generado por un host externo e intentando comunicarse con un host interno es denegado.
La palabra clave established puede utilizarse para permitir únicamente el tráfico HTTP de retorno de los sitios web solicitados, mientras que se niega todo el resto del tráfico.
En la topología, el diseño de este ejemplo muestra que el ACL 110, que fue configurado previamente, filtrará el tráfico de la red privada interna. El ACL 120, utilizando la palabra clave established, filtrará el tráfico que entre en la red privada interna desde la red pública externa.
En el ejemplo, el ACL 120 está configurado para permitir sólo el retorno del tráfico web a los hosts internos. El nuevo ACL se aplica entonces a la salida en la interfaz R1 G0/0/0. El comando “show access-lists” muestra ambas ACLs. Nota en las estadísticas de coincidencias/matches que dentro de los hosts han estado accediendo a los recursos web seguros desde Internet.
R1(config)# access-list 120 permit tcp any 192.168.10.0 0.0.0.255 established R1(config)# interface g0/0/0 R1(config-if)# ip access-group 120 out R1(config-if)# end R1# show access-lists Extended IP access list 110 10 permit tcp 192.168.10.0 0.0.0.255 any eq www 20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (657 matches) Extended IP access list 120 10 permit tcp any 192.168.10.0 0.0.0.255 established (1166 matches) R1#
Observe que los contadores HTTPS seguros (es decir, eq 443) del permiso en ACL 110 y los contadores de retorno establecidos en ACL 120 han aumentado.
El parámetro established permite que sólo las respuestas al tráfico que se origina en la red 192.168.10.0/24 vuelvan a esa red. Específicamente, se produce una coincidencia si el segmento TCP de retorno tiene establecidos los bits de bandera ACK o de reinicio/reset (RST). Esto indica que el paquete pertenece a una conexión existente. Sin el parámetro establecido en la declaración ACL, los clientes podrían enviar tráfico a un servidor web, y recibir el tráfico que regresa del servidor web. Todo el tráfico estaría permitido.
7. Sintaxis de ACL Extendida Nombrada IPv4
Nombrar una ACL facilita la comprensión de su función. Para crear una ACL extendida con nombre, usa el siguiente comando de configuración global:
Router(config)# ip access-list extendedaccess-list-name
Este comando ingresa al modo de configuración extendida con nombre. Recuerda que los nombres de ACL son alfanuméricos, distinguen entre mayúsculas y minúsculas y deben ser únicos.
En el ejemplo, se crea una ACL extendida con nombre llamada NO-FTP-ACCESS y el indicador cambia a modo de configuración ACL extendida con nombre. Las instrucciones ACE se introducen en el modo de subconfiguración de ACL extendido con nombre.
R1(config)# ip access-list extended NO-FTP-ACCESS R1(config-ext-nacl)#
8. Ejemplo de ACL Extendida Nombrada IPv4
Las ACL extendidas nombradas se crean esencialmente de la misma manera que los ACL estándar nombrados.
La topología de la figura se utiliza para demostrar la configuración y aplicación de dos ACLs IPv4 extendidas con nombre a una interfaz:
- SURFING – Esto permitirá que el tráfico interno de HTTP y HTTPS salga a Internet.
- BROWSING – Esto sólo permitirá devolver el tráfico web a los hosts internos mientras que el resto del tráfico que sale de la interfaz R1 G0/0/0 es negado implícitamente.
El ejemplo muestra la configuración de la ACL de SURFING entrante y la ACL de BROWSING saliente.
La ACL de SURFING permite que el tráfico HTTP y HTTPS de los usuarios internos salga de la interfaz G0/0/1 conectada a Internet. La ACL de BROWSING permite que el tráfico web que regrese de Internet vuelva a la red privada interna.
La ACL de SURFING se aplica de entrada y la ACL de BROWSING se aplica de salida en la interfaz G0/0/0 en R1, como se muestra en el ejemplo.
Los hosts internos han estado accediendo a los recursos web seguros desde Internet. El comando show access-lists se utiliza para verificar las estadísticas de ACL. Observa que los contadores HTTPS seguros de permiso (es decir, eq 443) en la ACL de SURFING y los contadores de retorno establecidos en la ACL de BROWSING han aumentado.
R1(config)# ip access-list extended SURFING R1(config-ext-nacl)# Remark Permits inside HTTP and HTTPS traffic R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 80 R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443 R1(config-ext-nacl)# exit R1(config)# R1(config)# ip access-list extended BROWSING R1(config-ext-nacl)# Remark Only permit returning HTTP and HTTPS traffic R1(config-ext-nacl)# permit tcp any 192.168.10.0 0.0.0.255 established R1(config-ext-nacl)# exit R1(config)# interface g0/0/0 R1(config-if)# ip access-group SURFING in R1(config-if)# ip access-group BROWSING out R1(config-if)# end R1# show access-lists Extended IP access list SURFING 10 permit tcp 192.168.10.0 0.0.0.255 any eq www 20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (124 matches) Extended IP access list BROWSING 10 permit tcp any 192.168.10.0 0.0.0.255 established (369 matches) R1#
9. Editar ACL Extendidas
Al igual que las ACL estándar, una ACL extendida se puede editar utilizando un editor de texto cuando se requieren muchos cambios. De lo contrario, si la edición se aplica a una o dos ACE, se pueden utilizar números de secuencia.
Por ejemplo, supongamos que acabas de introducir las ACL SURFING y BROWSING y deseas verificar tu configuración mediante el comando show access-lists.
R1# show access-lists Extended IP access list BROWSING 10 permit tcp any 192.168.10.0 0.0.0.255 established Extended IP access list SURFING 10 permit tcp 19.168.10.0 0.0.0.255 any eq www 20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 R1#
Observa que el número de secuencia ACE 10 en la ACL de SURFING tiene una dirección de red IP de origen incorrecta.
Para corregir este error utilizando números de secuencia, la instrucción original se elimina con el comando no sequence #
y la sentencia corregida se agrega reemplazando la sentencia original.
R1# configure terminal R1(config)# ip access-list extended SURFING R1(config-ext-nacl)# no 10 R1(config-ext-nacl)# 10 permit tcp 192.168.10.0 0.0.0.255 any eq www R1(config-ext-nacl)# end
El ejemplo verifica el cambio de configuración mediante el comando show access-lists.
R1# show access-lists Extended IP access list BROWSING 10 permit tcp any 192.168.10.0 0.0.0.255 established Extended IP access list SURFING 10 permit tcp 192.168.10.0 0.0.0.255 any eq www 20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 R1#
10. Otro Ejemplo de ACL Extendida Nombrada IPv4
La figura muestra otro escenario para implementar una ACL IPv4 extendida con nombre. Supongamos que PC1 en la red privada interna está permitido tráfico FTP, SSH, Telnet, DNS, HTTP y HTTPS. Sin embargo, se debe denegar el acceso a todos los demás usuarios de la red privada interna.
Se crearán dos ACL extendidas con nombre:
- PERMIT-PC1 – Esto sólo permitirá el acceso TCP PC1 a Internet y denegará todos los demás hosts de la red privada.
- REPLY-PC1 – Esto sólo permitirá que el tráfico TCP de retorno especificado a PC1 niegue implícitamente todo el resto del tráfico.
El ejemplo muestra la configuración de la ACL PERMIT-PC1 entrante y la REPLY-PC1 saliente.
La ACL PERMIT-PC1 permite el acceso TCP PC1 (es decir, 192.168.10.10) al tráfico FTP (es decir, puertos 20 y 21), SSH (22), Telnet (23), DNS (53), HTTP (80) y HTTPS (443).
La ACL REPLY-PC1 permitirá el tráfico de retorno a PC1.
Hay muchos factores a tener en cuenta al aplicar una ACL, entre los que se incluyen:
- El dispositivo para aplicarlo
- La interfaz para aplicarlo
- La dirección para aplicarlo
Se debe tener en cuenta cuidadosamente para evitar resultados de filtrado no deseados. La ACL PERMIT-PC1 se aplica entrante y la ACL REPLY-PC1 se aplica saliente en la interfaz R1 G0/0/0.
R1(config)# ip access-list extended PERMIT-PC1 R1(config-ext-nacl)# Remark Permit PC1 TCP access to internet R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 20 R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 21 R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 22 R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 23 R1(config-ext-nacl)# permit udp host 192.168.10.10 any eq 53 R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 53 R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 80 R1(config-ext-nacl)# permit tcp host 192.168.10.10 any eq 443 R1(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 any R1(config-ext-nacl)# exit R1(config)# R1(config)# ip access-list extended REPLY-PC1 R1(config-ext-nacl)# Remark Only permit returning traffic to PC1 R1(config-ext-nacl)# permit tcp any host 192.168.10.10 established R1(config-ext-nacl)# exit R1(config)# interface g0/0/0 R1(config-if)# ip access-group PERMIT-PC1 in R1(config-if)# ip access-group REPLY-PC1 out R1(config-if)# end R1#
11. Verificar ACL extendidas
Después de configurar y aplicar una ACL a una interfaz, usa los comandos show del IOS de Cisco para verificar la configuración.
12. Packet Tracer – Configurar ACL extendidas IPv4 – Escenario 1
En esta actividad de Packet Tracer, completarás los siguientes objetivos:
- Parte 1: Configurar, aplicar y verificar una ACL extendida numerada IPv4
- Parte 2: Configurar, aplicar y verificar una ACL extendida nombrada IPv4
13. Packet Tracer – Configurar ACL extendidas IPv4 – Escenario 2
En esta actividad de Packet Tracer, completarás los siguientes objetivos:
- Parte 1: Configurar una ACL extendidas de IPv4 con nombre
- Parte 2: Aplicar y verificar la ACL extendida de IPv4
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.