1. PROTOCOLOS ACL Y ARP
PEDRO ALBERTO FRESNEDA RAMIREZ
SENA
Bogotá julio de 2012
2. ACL: ACCESS CONTROL LIST
• Listas de control de acceso o filtro a los paquetes en los routers de Cisco,
para actuar como firewall (cortafuegos).
• Pueden actuar a nivel de direcciones, protocolos y puertos: capas 3 y 4
• Se puede definir diferentes ACLs y luego instalarlas sobre los interfaces del
router según convenga al administrador de la red
Listas de control de acceso
• Cada ACL es un conjunto de sentencias que filtran a cada paquete en la
interfaz instalada
• Cada ACL sobre cada interfaz, actúa en un sentido, distinguiendo tanto
sentido de entrada como de salida
DEFINICIÓN DE ACLS
• Las listas son secuencias de sentencia de permiso (permit) o denegación
(deny) y que se aplican a los paquetes que atraviesan dicha interfaz, en el
sentido indicado (in/out), con riguroso orden según hayan sido declaradas.
• Cualquier tráfico que pasa por la interfaz debe cumplir ciertas condiciones
que forman parte de la ACL.
FUNCIÓN: FILTRAR EL TRÁFICO
• Las ACLs filtran el tráfico de red controlando si los paquetes enrutados se
envían o se bloquean en las interfaces del router. El router examina cada
paquete para determinar si se debe enviar o descartar, según las
condiciones especificadas en la ACL. Entre las condiciones de las ACLs se
pueden incluir la dirección origen o destino del tráfico, el protocolo de capa
superior, u otra información.
POSIBLES USOS DE ACL’S
• Limitar el tráfico de red y mejorar el desempeño de la red. Por ejemplo,
las ACL pueden designar ciertos paquetes para que un router los procese
antes de procesar otro tipo de tráfico, según el protocolo.
• Brindar control de flujo de tráfico. Por ejemplo, las ACL pueden restringir
o reducir el contenido de las actualizaciones de enrutamiento.
3. • Proporcionar un nivel básico de seguridad para el acceso a la red. Por
ejemplo, las ACL pueden permitir que un host acceda a una parte de la red
y evitar que otro acceda a la misma área.
• Se debe decidir qué tipos de tráfico se envían o bloquean en las
interfaces del router. Por ejemplo, se puede permitir que se enrute el
tráfico de correo electrónico, pero bloquear al mismo tiempo todo el tráfico
de telnet.
DECLARACIÓN DE ACLS
• Al conjunto de sentencias que forman la ACL se le llama grupo
• Los pasos a seguir para crear una ACL son:
– definimos la lista que formará un grupo
• access-list número.....sentencia...
• access-list número.....sentencia...
• La última sentencia implícitamente es negar
– luego aplicamos dicha ACL sobre los interfaces en el sentido
deseado con
ip access-group número (in/out)
Tareas clave para la creación de ACL
• Las ACLs se crean utilizando el modo de configuración global.
• Al especificar un número de ACL del 1 al 99 se instruye al router que debe
aceptar las sentencias de las ACLs estándar. Al especificar un número de
ACL del 100 al 199 se instruye al router para aceptar las sentencias de las
ACLs extendidas.
• Se deben seleccionar y ordenar lógicamente las ACLs de forma muy
cuidadosa. Los protocolos IP permitidos se deben especificar; todos los
demás protocolos se deben denegar.
• Se deben seleccionar los protocolos IP que se deben verificar; todos los
demás protocolos no se verifican. Más adelante en el procedimiento,
también se puede especificar un puerto destino opcional para mayor
precisión.
4. TIPOS DE ACLS
Las ACLs se clasifican según el número utilizado en access-list
número.....y que están definidos
1. Estándar IP 1-99
2. Extended IP 100-199
3. AppleTalk 600-699
4. IPX 800-899
5. Extended IPX 900-999
6. IPX Service Advertising Protocol 1000-1099
ACLs: IP estándar y extended
Se definen en modo global de configuración Router (config)#
– Las ACLs estándar su formato es
Access-list acl-number {deny | permit} source [source-wildcard]
[log]
– Las ACLs extended su formato es
Access-list acl_number {deny | permit} proto source [source-
wildcard] destination [destination-wildcard] [operand port] [established]
[log]
A NIVEL DE INTERFAZ:
Router (config-if) #ip access-group access-list-number {in | out}
Log: para registrar los incidentes (msg: nº ACL, si el paquete ha sido
permitido o denegado, dirección origen y el número de paquetes)
Protocolo: IP, TCP, UDP, ICMP, GRE, IGRP
Operation operand: LT (LESS THAN), GT(GREATER THAN), EQ
(EQUAL), NEQ (NON EQUAL) y un número de puerto
Established: si la conexión TCP está establecida con acks
5. UBICACIÓN DE LAS ACLS
• La regla es colocar las ACLs sextendidas lo más cerca posible del origen
del tráfico denegado.
• Las ACLs estándar no especifican direcciones destino, de manera que se
debe colocar la ACL estándar lo más cerca posible del destino.
• Dentro de las interfaces se colocan en el sentido de salida, para no
procesar tanto paquete
COMANDOS DENY / PERMIT
• Se utiliza el comando de configuración de ACL deny para establecer
condiciones para una ACL nombrada. La sintaxis completa del comando es:
deny {source [source-wildcard] | any}
• Se usa la forma no de este comando para eliminar una condición de
denegar, utilizando la siguiente sintaxis:
• no deny {source [source-wildcard] | any}
• Se utiliza el comando de configuración de lista de acceso permit para
establecer condiciones para una ACL nombrada estándar. La sintaxis
completa del comando es:
• permit {source [source-wildcard] | any}[log]
• Se usa la forma no de este comando para eliminar una condición de una
ACL, utilizando la siguiente sintaxis:
• no permit {source [source-wildcard]| any}
Comandos del router
• show ip interface indicada si cualquier ACL está establecida
• show access-lists muestra los contenidos de todas las ACLs
6. El objetivo del protocolo ARP
El protocolo ARP tiene un papel clave entre los protocolos de capa de Internet
relacionados con el protocolo TCP/IP, ya que permite que se conozca la dirección
física de una tarjeta de interfaz de red correspondiente a una dirección IP. Por eso
se llama Protocolo de Resolución de Dirección (en inglés ARP significa Address
Resolution Protocol).
Cada equipo conectado a la red tiene un número de identificación de 48 bits. Éste
es un número único establecido en la fábrica en el momento de fabricación de la
tarjeta. Sin embargo, la comunicación en Internet no utiliza directamente este
número (ya que las direcciones de los equipos deberían cambiarse cada vez que
se cambia la tarjeta de interfaz de red), sino que utiliza una dirección lógica
asignada por un organismo: la dirección IP.
Para que las direcciones físicas se puedan conectar con las direcciones lógicas, el
protocolo ARP interroga a los equipos de la red para averiguar sus direcciones
físicas y luego crea una tabla de búsqueda entre las direcciones lógicas y físicas
en una memoria caché.
Cuando un equipo debe comunicarse con otro, consulta la tabla de búsqueda. Si
la dirección requerida no se encuentra en la tabla, el protocolo ARP envía una
solicitud a la red. Todos los equipos en la red comparan esta dirección lógica con
la suya. Si alguno de ellos se identifica con esta dirección, el equipo responderá al
ARP, que almacenará el par de direcciones en la tabla de búsqueda, y, a
continuación, podrá establecerse la comunicación.
El protocolo RARP
El protocolo RARP (Protocolo de Resolución de Dirección Inversa) es mucho
menos utilizado. Es un tipo de directorio inverso de direcciones lógicas y físicas.
En realidad, el protocolo RARP se usa esencialmente para las estaciones de
trabajo sin discos duros que desean conocer su dirección física.
7. El protocolo RARP le permite a la estación de trabajo averiguar su dirección IP
desde una tabla de búsqueda entre las direcciones MAC (direcciones físicas) y las
direcciones IP alojadas por una pasarela ubicada en la misma red de área local
(LAN).
Para poder hacerlo, el administrador debe definir los parámetros de la pasarela
(router) con la tabla de búsqueda para las direcciones MAC/IP. A diferencia del
ARP, este protocolo es estático. Por lo que la tabla de búsqueda debe estar
siempre actualizada para permitir la conexión de nuevas tarjetas de interfaz de
red.
El protocolo RARP tiene varias limitaciones. Se necesita mucho tiempo de
administración para mantener las tablas importantes en los servidores. Esto se ve
reflejado aun más en las grandes redes. Lo que plantea problemas de recursos
humanos, necesarios para el mantenimiento de las tablas de búsqueda y de
capacidad por parte del hardware que aloja la parte del servidor del protocolo
RARP. Efectivamente, el protocolo RARP permite que varios servidores
respondan a solicitudes, pero no prevé mecanismos que garanticen que todos los
servidores puedan responder, ni que respondan en forma idéntica. Por lo que, en
este tipo de arquitectura, no podemos confiar en que un servidor RARP sepa si
una dirección MAC se puede conectar con una dirección IP, porque otros
servidores ARP pueden tener una respuesta diferente. Otra limitación del
protocolo RARP es que un servidor sólo puede servir a una LAN.
Para solucionar los dos primeros problemas de administración, el protocolo RARP
se puede remplazar por el protocolo DRARP, que es su versión dinámica. Otro
enfoque consiste en la utilización de un servidor DHCP (Protocolo de
configuración de host dinámico), que permite una resolución dinámica de las
direcciones. Además, el protocolo DHCP es compatible con el protocolo BOOTP
(Protocolo de secuencia de arranque) y, al igual que este protocolo, es enrutable,
lo que le permite servir varias LAN. Sólo interactúa con el protocolo IP.