basándose en la información de origen y destino de las capas 3 y 4. La información de capa 4 puede incluir información de puertos TCP y UDP. Las ACLs extendidas otorgan mayor flexibilidad y control sobre el acceso a la red que las ACLs estándar. ROUTER(CONFIG)# ACCESS-LIST {100-199} {PERMIT | DENY} PROTOCOLO DIR-ORIGEN [WILDCARDORIGEN] [OPERADOR OPERANDO] DIR-DESTINO [WILDCARD-DESTINO] [OPERADOR OPERANDO] [ESTABLISHED] ROUTER(CONFIG)# ACCESS-LIST {100-199} {PERMIT | DENY} PROTOCOLO DIR-ORIGEN [WILDCARDORIGEN] [OPERADOR OPERANDO] DIR-DESTINO [WILDCARD-DESTINO] [OPERADOR OPERANDO] [ESTABLISHED]
De manera similar a las ACLs estándar, el primer valor especifica el número
de la ACL. Las ACLs numeradas entre 100-199 o 2000-2699 son ACLs extendidas. El siguiente valor especifica si lo que debe hacer es permitir o denegar de acuerdo al criterio que sigue. El tercer valor indica el tipo de protocolo. El administrador debe especificar IP, TCP, UDP u otros sub-protocolos de IP específicos. La dirección IP y la máscara wildcard de origen determinan dónde se origina el tráfico. La dirección IP y la máscara wildcard de destino son usadas para indicar el destino final del tráfico de red. Aunque el parámetro de puerto se define como opcional, cuando se configuran la dirección IP y máscara de destino, el administrador debe especificar el número de puerto que corresponda, ya sea por número o por nombre de puerto bien conocido. Si no es así, todo el tráfico con ese destino será descartado. Todas las ACLs asumen un deny implícito, lo cual significa que si un paquete no coincide con ninguna de las condiciones especificadas en la ACL, el paquete será denegado. Una vez que la ACL ha sido creada, debe incluirse al menos una sentencia permit o todo el tráfico de la interfaz a la que se aplique será descartado. Tanto las ACLs estándar como las extendidas pueden ser usadas para describir paquetes que entran o salen de una interfaz. La lista se recorre secuencialmente.
La primera sentencia que coincida detiene la
búsqueda en la lista y define la acción que se tomará. Una vez que se ha creado la ACL IP numerada, sea estándar o extendida, el administrador debe aplicarla a la interfaz apropiada. Este es el comando que se usa para aplicar la ACL a una interfaz: Router(config-if)# ip access-group número- acl {in | out} Este es el comando que se usa para aplicar la ACL a una línea vty: Router(config-line)# access-class número-acl {in | out} Es posible crear una ACL nombrada en lugar de una ACL numerada. Las ACLs nombradas deben especificarse como estándar o extendidas. Router(config)# ip access-list [standard | extended] nombre_ACL La ejecución de este comando ubica al usuario en el modo de subconfiguración en el que deberá ingresar los comandos permit y deny. Los comandos permit y deny tienen la misma sintaxis básica que los comandos de la ACL IP numerada. Una ACL estándar nombrada puede usar sentencias deny y permit statements. Router(config-std-nacl)# deny {origen [wildcard- origen] | any} Router(config-std-nacl)# permit {origen [wildcard- origen] | any} La ACL extendida nombrada ofrece parámetros adicionales. Router(config-ext-nacl)# {permit | deny} protocolo dir-origen [wildcard-origen] [operador operando] dir-destino [wildcard-destino] [operador operando] [established] Las ventajas del uso de ACLs nombradas incluyen que el administrador puede borrar una entrada específica en una ACL nombrada yendo al modo de subconfiguración y prefijando el comando con el parámetro no. El uso del parámetro no en una entrada de una ACL numerada resultaría en la eliminación de toda la ACL. El administrador también puede agregar entradas en el medio de una ACL nombrada. Con una ACL numerada, los comandos sólo pueden agregarse al final de la ACL. Una vez que las sentencias han sido generadas en la ACL, el administrador debe activar la ACL en una interfaz con el comando ip access-group, especificando el nombre de la ACL. Router(config-if)# ip access-group nombre-ACL {in | out} También puede usarse una ACL para permitir o denegar a direcciones IP específicas el acceso virtual. Las ACLs estándar permiten la aplicación de restricciones en la dirección IP o el rango IP de origen. Las ACLs extendidas también tienen esta función pero además aplican el protocolo de acceso, como el puerto 23 (Telnet) o el puerto 22 (SSH). La ACL extendida access-class sólo soporta la palabra clave any como destino. La lista de acceso debe ser aplicada en el puerto vty. Router(config-line)# access-class nombre-ACL {in | out} Al final de una sentencia ACL, el administrador tiene la opción de configurar el parámetro log. R1(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 22 log Si este parámetro se configura, el software IOS de Cisco compara los paquetes en búsqueda de una coincidencia con la sentencia. El router registra en una función de registro habilitada, como la consola, el buffer interno del router o un servidor syslog. Se registran muchos datos: Acción - permit o deny Protocolo - TCP, UDP o ICMP
Direcciones de origen y destino
Para TCP y UDP - números de puerto de origen y
destino Para ICMP - tipo de mensaje Los mensajes de registro se generan en la primera coincidencia de paquete y luego envintervalos de cinco minutos. La habilitación del parámetro log en un router Cisco afecta seriamente al rendimientovdel dispositivo. Cuando se habilita el registro, los paquetes son transmitidos por conmutación de proceso o por conmutación rápida. El parámetro log debe ser usado solamente si la red está bajo ataque y el administrador está intentando determinar quién es el atacante. En este punto, el administrador debe habilitar el registro por el tiempo que sea necesario para reunir la información suficiente y luego deshabilitarlo. ADVERTENCIAS AL TRABAJAR CON ACLS: deny all implícito – Todas las ACLs de Cisco terminan con una sentencia "deny all« implícita. Incluso si esta sentencia no está a la vista en la ACL, está allí. Filtrado de paquetes de ACL estándar –
Las ACLs estándar se limitan a filtrar los
paquetes sólo por dirección de origen. Puede necesitar crear una ACL extendida para implementar su política de seguridad plenamente. Orden de las sentencias - Las ACLs tienen una política de primera coincidencia. Cuando hay una coincidencia con una sentencia, el proceso de verificación de la lista se detiene. Ciertas sentencias ACLs son más específicas que otras y, por lo tanto, deben ocupar un lugar anterior en la ACL. Por ejemplo, el bloqueo de todo el tráfico UDP al principio de la lista niega la sentencia que permite los paquetes SNMP que usan UDP, que está más abajo en la lista. El administrador debe asegurarse de que las sentencias que están arriba en la ACL no nieguen sentencias posteriores. Filtrado direccional – Las ACLs de Cisco tienen un filtro direccional que determina si los paquetes de entrada (hacia la interfaz) o los paquetes de salida (desde la interfaz) serán examinados. El administrador siempre debe revisar dos veces la dirección de los datos que la ACL filtra. Modificación de ACLs – Cuando un router compara un paquete con una ACL, las entradas de la ACL son examinadas desde arriba hacia abajo. Cuando el router encuentra una sentencia que coincide, el procesamiento de la ACL se detiene y se permite o deniega el paquete según la entrada en la ACL. Cuando se agregan nuevas entradas a una ACL, siempre se agregan al final. Esto puede volverlas inútiles si una entrada anterior es menos específica. Por ejemplo, si una ACL tiene una entrada que deniega a la red 172.16.1.0/24 acceso a un servidor en una línea, pero en la siguiente línea se lo permite a un solo host de esa red, el host 172.16.1.5, el acceso le será denegado. Esto ocurre porque el router encuentra una coincidencia en los paquetes de 172.16.1.5 con la red 172.16.1.0/24 y deniega el tráfico sin leer la siguiente línea Cuando una nueva sentencia vuelve inusable la ACL, debe crearse una nueva ACL con el orden de las sentencias correcto. La ACL vieja debe eliminarse, y la nueva ACL debe ser asignada a la interfaz del router correspondiente. Si se usa una versión 12.3 o posterior del IOS de Cisco, se pueden usar números de secuencia para garantizar que la nueva sentencia se agregue a la ACL en el orden correcto. La ACL se procesa de arriba hacia abajo basándose en los números de secuencia de las sentencias (del más bajo al más alto). Paquetes especiales - Los paquetes generados por el router, como las actualizaciones de la tabla de enrutamiento, no están sujetos a las sentencias ACL de salida en el router de origen. Si la política de seguridad solicita un filtrado de este tipo de paquetes, deberá realizarlo una ACL de entrada en un router adyacente o un mecanismo diferente de filtrado en routers que usen ACLs.