Desde la primera vez que se conectaron varios sistemas para formar una red, ha existido una necesidad de restringir el acceso a determinados sistemas o partes de la red por motivos de seguridad, privacidad y otros. Mediante la utilización de las funciones de filtrado de paquetes del software IOS, un administrador de red puede restringir el acceso a determinados sistemas, segmentos de red, rangos de direcciones y servicios, basándose en una serie de criterios. La capacidad de restringir el acceso cobra mayor importancia cuando la red de una empresa se conecta con otras redes externas, como otras empresas asociadas o Internet.

ADMINISTRACION BASICA DEL TRAFICO IP MEDIANTE LISTAS DE ACCESO

Los router se sirven de las listas de control de acceso (ACL) para identificar el tráfico. Esta identificación puede usarse después para filtrar el tráfico y conseguir una mejor administración del trafico global de la red.

Las listas de acceso constituyen una eficaz herramienta para el control de la red. Las listas de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router.

El filtrado de paquetes permiten controlar el movimiento de paquetes dentro de la red. Este control puede ayudar a limitar él tráfico originado por el propio router. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones IP o a
protocolos IP de capa superior. Las listas de acceso identifican tráfico que ha de ser filtrado en su tránsito por el router, pero no pueden filtrar él trafico originado por el propio router. Las listas de acceso pueden aplicarse también a los puertos de líneas de terminal virtual para permitir y denegar trafico Telnet entrante o saliente, no es posible bloquear el acceso Telnet desde dicho router.

Se pueden usar listas de acceso IP para establecer un control más fino o la hora de separar el tráfico en diferentes colas de prioridades y personalizadas. Una lista de acceso también pueden utilizarse para identificar el trafico “interesante” que sirve para activar las llamadas del
enrutamiento por llamada telefónica bajo demanda(DDR).

Las listas de acceso son mecanismos opcionales del software Cisco IOS que pueden ser configurados para filtrar o verificar paquetes con el fin de determinar si deben ser retransmitidos hacia su destino, o bien descartados.

LISTAS DE ACCESO ESTÁNDAR
Las listas de acceso IP estándar comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. El resultado es el permiso o la denegación de la salida del paquete por parte del protocolo, basándose en la dirección IP de la red-subred-host de origen.

LISTAS DE ACCESO EXTENDIDAS
Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete. También pueden verificar protocolos especificados, números de puerto y otros parámetros.

Las listas de acceso pueden aplicarse de las siguientes formas:

LISTAS DE ACCESO DE ENTRADA
Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida, si el paquete pasa las pruebas de filtrado, será procesado para su enrutamiento.(evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado).

LISTAS DE ACCESO DE SALIDA
Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión.

Las listas de acceso expresan el conjunto de reglas que proporcionan un control añadido para los paquetes que entran en interfaces de entrada, paquetes que se trasmiten por el router, y paquetes que salen de las interfaces de salida del router. Las listas de acceso no actúan sobre paquetes originados en el propio router, como las actualizaciones de enrutamiento a las sesiones Telnet salientes.

OPERATIVIDAD DE LAS LISTAS DE ACCESO

Cuando un paquete llega a una interfaz, el router comprueba si el paquete puede ser retransmitido verificando su tabla de enrutamiento. Si no existe ninguna ruta hasta la dirección de destino, el paquete es descartado. A continuación, el router comprueba si la interfaz de destino
esta agrupada en alguna lista de acceso. De no ser así, el paquete puede ser enviado al búfer de salida.

Si el paquete de salida está destinado a un puerto, que no ha sido agrupado a ninguna lista de acceso de salida, dicho paquete será enviado directamente al puerto destinado. Si el paquete de salida está destinado a un puerto ha sido agrupado en una lista de acceso outbound, antes de que el paquete pueda ser enviado al puerto destinado será verificado por una serie de instrucciones de la lista de acceso asociada con dicha interfaz. Dependiendo del resultado de estas pruebas, el paquete será admitido o denegado.

Para las listas de salida permit significa enviar al búfer de salida, mientras que deny se traduce en descartar el paquete. Para las listas de entrada permit significa continuar el procesamiento del paquete tras su recepción en una interfaz, mientras que deny significa descartar el paquete. Cuando se descarta un paquete IP, ICMP devuelve un paquete especial notificando al remitente que el destino ha sido inalcanzable.

PRUEBA DE CONDICIONES EN LISTAS DE ACCESO

Las instrucciones de una lista de acceso operan en un orden lógico secuencial. Evalúan los paquetes de principio a fin, instrucción a instrucción. Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso, el resto de las instrucciones de la lista serán omitidas, y el paquete será permitido o denegado según se especifique en la
instrucción competente. Si la cabecera de un paquete no se ajusta a una instrucción de la lista de acceso, la prueba continua con la siguiente instrucci ón de la lista.

El proceso de comparación sigue hasta llegar al final de la lista, cuando el paquete será denegado implícitamente. Una vez que se produce una coincidencia, se aplica la opción de permiso o denegación y se pone fin a las pruebas de dicho paquete. Esto significa que una condición que deniega un paquete en una instrucción no puede ser afinada en otra instrucción posterior.

La implicación de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores. Esta condición final se aplica a todos esos paquetes y se traducen en una condición de denegación del paquete.

En lugar de salir por alguna interfaz, todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartadas. Esta instrucción final se conoce como la denegación implícita de todo, al final de cada lista de acceso. Aunque esta instrucción no aparece en la configuración del router, siempre esta activa. Debido a dicha condición, es necesaria que en toda lista de acceso exista al menos una instrucción permit, en caso contrario la lista de acceso bloquearía todo el tráfico.

IMPLEMENTACIÓN DE LISTAS DE ACCESO

Una lista de acceso puede ser aplicada a múltiples interfaces.
Sin embargo, sólo puede haber una lista de acceso por protocolo, por
dirección y por interfaz.

  • Utilice sólo números de listas de acceso dentro del rengo definido por
    CISCO para el protocolo y el tipo de listas que va ha crear.
  • Sólo se permite una lista por protocolo, dirección e interfaz. Es posible tener varias listas para una interfaz, pero cada una debe pertenecer a un protocolo diferente.
  • Procesamiento de principio a fin:
    - Organice las listas de acceso de modo que las referencias m ás específicas a una red o subred aparezcan delante de las más generales. Coloque las condiciones de cumplimiento más frecuente antes de las menos habituales.
    - Las adiciones a las listas se agregan siempre al final de éstas, pero siempre delante de la condición de denegación implícita.
    - No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas, pero sí cuando se usan
    listas de acceso IP con nombre (característica de Cisco IOS v.11.2)
  • Denegación implícita de todo:
    - A menos que termine una lista de acceso con una condición de permiso
    implícito de todo, se denegará todo el trafico que no cumpla ninguna de
    las condiciones establecidas en la lista.
    - Toda lista de acceso deben incluir al menos una instrucción permit. En caso contrario, todo el trafico será denegado.
  • Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo dar á
    paso (permitirá) a todo el trafico.

Las listas de acceso permiten filtrar sólo el tráfico que pasa por el
router. No pueden hacer de filtro para el tráfico originado por el propio
router.

Espero que este artículo te haya ayudado bastante. Si tienes algún comentario puedes hacerlo a: sugerencias@aprendaredes.com

Links relacionados