Page 363 - Untitled
P. 363
CAPÍTULO 7: SEGURIDAD EN CAPA 3
- Ambas incorporan un deny implícito al final de la lista. Cualquier paquete que no
coincida con ninguno de los filtros configurados manualmente será descartado.
Mientras que las ACL estándar tan solo basan su filtrado en la dirección de origen,
las extendidas permiten identificar tanto origen como destino, así como el protocolo
o puerto utilizado durante la comunicación. Todo ello será objeto de estudio a lo
largo de los siguientes párrafos, prestando especial atención a las opciones
disponibles y sus variantes de configuración.
Filtrado basado en protocolo y direcciones de origen y
destino
Una de las características principales de las ACL extendidas consiste en la
posibilidad de definir el filtrado con relación al protocolo utilizado durante la
comunicación, siendo los más comunes tcp, udp o icmp, entre otros. Ello, junto a las
direcciones de origen y destino, permiten identificar con exactitud el tipo de tráfico
sobre el cual se desea ejecutar una determinada acción. Su configuración se lleva a
cabo mediante la sintaxis access-list [número] [permit | deny] [protocolo] [ip/red
origen] [ip/red destino], desde el modo de configuración global, donde:
- [número]: Hace referencia al ID de ACL a la cual se agregará la sentencia en
cuestión. Al ser extendida debe estar comprendido entre los rangos 100-199 o 2000-
2699.
- [permit | deny]: La acción a ejecutar con aquellos paquetes que coincidan con todos
los parámetros definidos.
- [protocolo]: El protocolo sobre el cual se desea aplicar el filtro.
- [ip/red origen]: La IP de origen o conjunto de hosts que serán examinados.
- [ip/red destino]: La IP, o conjunto de hosts identificados como destino de la
comunicación.
Resulta importante recalcar que la acción de permitir o denegar tan solo se llevará
a cabo cuando todos los campos definidos (protocolo, origen y destino) coincidan con
aquellos analizados en el paquete.
Algunos ejemplos podrían ser:
347
