Page 367 - Untitled
P. 367

CAPÍTULO 7: SEGURIDAD EN CAPA 3

                    Configuración de ACL extendida numerada



                       En este caso, se deberán llevar a cabo las siguientes acciones:


                    Paso  1:  Planificar  en  qué  router,  interfaz  y  dirección  será  aplicada.  Las  ACL
                    extendidas, a diferencia de las estándar, deben ser ubicadas lo más cercano posible
                    al  origen,  gracias  a  lo  cual  se  evita  que  circulen  por  la  red  paquetes  que
                    posteriormente serán descartados.


                    Paso  2:  Crear  la  ACL  desde  el  modo  de  configuración  global  haciendo  uso  de  los
                    comandos recién analizados.


                    Paso 3: Aplicarla en la interfaz seleccionada con el comando ip access-group [número
                    ACL] [in | out], desde el modo de configuración de la propia interfaz y donde in | out
                    hace referencia a la dirección deseada.

                    Supuesto práctico 1: Conforme a la topología definida en la Fig. 7-2, definir una ACL
                    que  afecte  a  todos  los  hosts  de  la  red  172.20.0.0  /16,  cumpliendo  los  siguientes
                    requisitos:
                    - Bloquear la comunicación TCP con la red de destino 192.168.1.0.
                    -  Permitir  paquetes  UDP  a  través  de  los  puertos  67  y  68  para  el  host  de  destino
                    192.168.10.10.
                    - Bloquear todo el tráfico UDP hacia cualquier destino.
                    - Permitir cualquier otro tipo de comunicación.


                       Paso 1: Planificar en qué router será configurada.

                       Las ACL extendidas deben ser ubicadas lo más cercano posible al origen        , que en
                    este caso es la red 172.20.0.0/16, conectada a R1 a través de la interfaz Fa0/0. Por lo
                    tanto,  será  configurada  en  dichos  router  e  interfaz.  Los  paquetes son  recibidos a
                    través de la misma, por lo que la dirección debe ser de entrada.

                       ¿En qué orden serán aplicadas las sentencias? Como ya se ha mencionado, estas
                    son ejecutadas secuencialmente en el mismo orden en que han sido configuradas. Se
                    debe permitir la comunicación a través de dos puertos UDP, sin embargo, también se
                    solicita bloquear todo el tráfico del mismo protocolo. Por lo tanto, resulta importante
                    establecer  como  primer  filtro  aquel  que  permita  los  puertos  solicitados,  de  lo
                    contrario  serán  bloqueados.  Otro  detalle  a  tener  en  cuenta  consiste  en  ubicar  la
                    sentencia  que  permite  todo  el  tráfico  en  la  última  posición  del  listado,  ya  que  el
                    propósito de esta es no ejecutar el deny implícito presente en toda ACL.


                       Conforme a dicha teoría, el orden a aplicar es el siguiente:

                                                                                                          351
   362   363   364   365   366   367   368   369   370   371   372