|
Apuntes
del Editor
Que tal [FIRSTNAME],
La necesidad de
proporcionarte siempre los mejores servicios y productos han hecho que
está edición del Boletín se haya retrasado más de lo normal.
Por otro lado, quisiera
hacer llegar mis agradecimientos a todas aquellas personas que nos están
apoyando con la compra de nuestros productos, en especial a la gente de
España, Perú, Chile, Colombia.
En esta edición estamos
publicando un artículo interesante sobre las listas de acceso en los
routers Cisco - Parte I, el cual ha sido extraído del libro digital
"Interconexión de Dispositivos de Red Cisco".
Esperando que te ayude la
información aquí difundida me despido.
Saludos,
Sergio Untiveros
Editor
PD. No te olvides de
recomendar este sitio web.
Subir
Novedades en la Web
Prueba tus conocimientos
-
Copy flash tftp
a. Copia un archivo de la flash a la NVRAM
vía un servidor tftp
b. Copia un archivo del tftp a la flash
c. Copia un archivo de la flash a un servidor tftp
d. Ninguno
Indicar cual es la afirmación correcta.
- Indicar la afirmación que no guarda
relación.
a. Puerto Serial
b. Puerto Ethernet
c. Puerto BRI
d. Puerto TCP
- Indicar que tipo de cable se usa para
conectar al puerto AUX del router Cisco
a. Cable Rollover
b. Cable Crossover
c. Cable UTP
d. Cable RS232
e. Todos
Ver respuestas
Click
Aquí
Subir
Configuración de los filtros IP a través de
listas de acceso Parte-I
Desde la primera vez que se conectaron
varios sistemas para formar una red, ha existido una necesidad de
restringir el acceso a determinados sistemas o partes de la red por
motivos de seguridad, privacidad y otros. Mediante la utilización de las
funciones de filtrado de paquetes del software IOS, un administrador de
red puede restringir el acceso a determinados sistemas, segmentos de red,
rangos de direcciones y servicios, basándose en una serie de criterios. La
capacidad de restringir el acceso cobra mayor importancia cuando la red de
una empresa se conecta con otras redes externas, como otras empresas
asociadas o Internet.
ADMINISTRACION BASICA DEL TRAFICO IP MEDIANTE LISTAS DE ACCESO.
Los router se sirven de las
listas de control de acceso (ACL) para identificar el tráfico. Esta
identificación puede usarse después para filtrar el tráfico y conseguir
una mejor administración del trafico global de la red.
Las listas de acceso constituyen una eficaz herramienta para el control de
la red. Las listas de acceso añaden la flexibilidad necesaria para filtrar
el flujo de paquetes que entra y sale de las diferentes interfaces del
router.
El filtrado de paquetes permiten controlar el movimiento de paquetes
dentro de la red. Este control puede ayudar a limitar él tráfico originado
por el propio router. Una lista de acceso IP es un listado secuencial de
condiciones de permiso o prohibición que se aplican a direcciones IP o a
protocolos IP de capa superior. Las listas de acceso identifican tráfico
que ha de ser filtrado en su tránsito por el router, pero no pueden
filtrar él trafico originado por el propio router. Las listas de acceso
pueden aplicarse también a los puertos de líneas de terminal virtual para
permitir y denegar trafico Telnet entrante o saliente, no es posible
bloquear el acceso Telnet desde dicho router.
Se pueden usar listas de acceso IP para establecer un control más fino o
la hora de separar el tráfico en diferentes colas de prioridades y
personalizadas. Una lista de acceso también pueden utilizarse para
identificar el trafico “interesante” que sirve para activar las llamadas
del
enrutamiento por llamada telefónica bajo demanda(DDR).
Las listas de acceso son mecanismos opcionales del software Cisco IOS que
pueden ser configurados para filtrar o verificar paquetes con el fin de
determinar si deben ser retransmitidos hacia su destino, o bien
descartados.
LISTAS DE ACCESO ESTÁNDAR
Las listas de acceso IP estándar comprueban las direcciones de origen
de los paquetes que solicitan enrutamiento. El resultado es el permiso o
la denegación de la salida del paquete por parte del protocolo, basándose
en la dirección IP de la red-subred-host de origen.
LISTAS DE ACCESO EXTENDIDAS
Las listas de acceso comprueban tanto la dirección de origen como la de
destino de cada paquete. También pueden verificar protocolos
especificados, números de puerto y otros parámetros.
Las listas de acceso pueden aplicarse de las siguientes formas:
LISTAS DE ACCESO DE ENTRADA
Los paquetes entrantes son procesados antes de ser enrutados a una
interfaz de salida, si el paquete pasa las pruebas de filtrado, será
procesado para su enrutamiento.(evita la sobrecarga asociada a las
búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado
por las pruebas de filtrado).
LISTAS DE ACCESO DE SALIDA
Los paquetes entrantes son enrutados a la interfaz de salida y después son
procesados por medio de la lista de acceso de salida antes de su
transmisión.
Las listas de acceso expresan el conjunto de reglas que proporcionan un
control añadido para los paquetes que entran en interfaces de entrada,
paquetes que se trasmiten por el router, y paquetes que salen de las
interfaces de salida del router. Las listas de acceso no actúan sobre
paquetes originados en el propio router, como las actualizaciones de
enrutamiento a las sesiones Telnet salientes.
OPERATIVIDAD DE LAS LISTAS DE ACCESO
Cuando un paquete llega a una interfaz, el router comprueba si el paquete
puede ser retransmitido verificando su tabla de enrutamiento. Si no existe
ninguna ruta hasta la dirección de destino, el paquete es descartado. A
continuación, el router comprueba si la interfaz de destino
esta agrupada en alguna lista de acceso. De no ser así, el paquete puede
ser enviado al búfer de salida.
Si el paquete de salida está destinado a un puerto, que no ha sido
agrupado a ninguna lista de acceso de salida, dicho paquete será enviado
directamente al puerto destinado. Si el paquete de salida está destinado a
un puerto ha sido agrupado en una lista de acceso outbound, antes de que
el paquete pueda ser enviado al puerto destinado será verificado por una
serie de instrucciones de la lista de acceso asociada con dicha interfaz.
Dependiendo del resultado de estas pruebas, el paquete será admitido o
denegado.
Para las listas de salida permit significa enviar al búfer de salida,
mientras que deny se traduce en descartar el paquete. Para las listas de
entrada permit significa continuar el procesamiento del paquete tras su
recepción en una interfaz, mientras que deny significa descartar el
paquete. Cuando se descarta un paquete IP, ICMP devuelve un paquete
especial notificando al remitente que el destino ha sido inalcanzable.
PRUEBA DE CONDICIONES EN LISTAS DE ACCESO
Las instrucciones de una lista de acceso operan en un orden lógico
secuencial. Evalúan los paquetes de principio a fin, instrucción a
instrucción. Si la cabecera de un paquete se ajusta a una instrucción de
la lista de acceso, el resto de las instrucciones de la lista serán
omitidas, y el paquete será permitido o denegado según se especifique en
la
instrucción competente. Si la cabecera de un paquete no se ajusta a una
instrucción de la lista de acceso, la prueba continua con la siguiente
instrucci ón de la lista.
El proceso de comparación sigue hasta llegar al final de la lista, cuando
el paquete será denegado implícitamente. Una vez que se produce una
coincidencia, se aplica la opción de permiso o denegación y se pone fin a
las pruebas de dicho paquete. Esto significa que una condición que deniega
un paquete en una instrucción no puede ser afinada en otra instrucción
posterior.
La implicación de este modo de comportamiento es que el orden en que
figuran las instrucciones en la lista de acceso es esencial. Hay una
instrucción final que se aplica a todos los paquetes que no han pasado
ninguna de las pruebas anteriores. Esta condición final se aplica a todos
esos paquetes y se traducen en una condición de denegación del paquete.
En lugar de salir por alguna interfaz, todos los paquetes que no
satisfacen las instrucciones de la lista de acceso son descartadas. Esta
instrucción final se conoce como la denegación implícita de todo, al final
de cada lista de acceso. Aunque esta instrucción no aparece en la
configuración del router, siempre esta activa. Debido a dicha condición,
es necesaria que en toda lista de acceso exista al menos una instrucción
permit, en caso contrario la lista de acceso bloquearía todo el tráfico.
IMPLEMENTACIÓN DE LISTAS DE ACCESO
Una lista de acceso puede ser aplicada a múltiples interfaces.
Sin embargo, sólo puede haber una lista de acceso por protocolo, por
dirección y por interfaz.
. Utilice sólo números de listas de acceso dentro del rengo definido por
CISCO para el protocolo y el tipo de listas que va ha crear.
· Sólo se permite una lista por protocolo, dirección e interfaz. Es
posible tener varias listas para una interfaz, pero cada una debe
pertenecer a un protocolo diferente.
· Procesamiento de principio a fin:
- Organice las listas de acceso de modo que las referencias m ás
específicas a una red o subred aparezcan delante de las más generales.
Coloque las condiciones de cumplimiento más frecuente antes de las menos
habituales.
- Las adiciones a las listas se agregan siempre al final de éstas, pero
siempre delante de la condición de denegación implícita.
- No es posible agregar a eliminar selectivamente instrucciones de una
lista cuando se usan listas de acceso numeradas, pero sí cuando se usan
listas de acceso IP con nombre (característica de Cisco IOS v.11.2)
· Denegación implícita de todo:
- A menos que termine una lista de acceso con una condición de permiso
implícito de todo, se denegará todo el trafico que no cumpla ninguna de
las condiciones establecidas en la lista.
- Toda lista de acceso deben incluir al menos una instrucción permit. En
caso contrario, todo el trafico será denegado.
· Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz
con una lista de acceso inexistente o indefinida aplicada al mismo dar á
paso (permitirá) a todo el trafico.
Las listas de acceso permiten filtrar sólo el tráfico que pasa por el
router. No pueden hacer de filtro para el tráfico originado por el propio
router.
Subir
Glosario de Términos
Mbps. Megabits por
segundo. Medida de velocidad de transmisión. 1Mbps = 10 bps (bits por
segundo).
MegaByte. MB. Unidad
de medida de memoria que equivale a 1.024 KB.
Memoria caché.
Memoria intermedia de acceso aleatoria muy rápida entre la unidad central
de proceso y la memoria principal que almacena los datos o instrucciones
extraídos más frecuente y recientemente de la memoria principal.
Subir
Espero que
te sea útil toda esta información preparada exclusivamente para ti, si
tuvieras alguna consulta al respecto puedes hacerlo al siguiente e-mail
mailto:boletin@aprendaredes.com
Saludos;
Sergio
Untiveros
Editor |
