Page 367 - Untitled
P. 367
CAPÍTULO 7: SEGURIDAD EN CAPA 3
Configuración de ACL extendida numerada
En este caso, se deberán llevar a cabo las siguientes acciones:
Paso 1: Planificar en qué router, interfaz y dirección será aplicada. Las ACL
extendidas, a diferencia de las estándar, deben ser ubicadas lo más cercano posible
al origen, gracias a lo cual se evita que circulen por la red paquetes que
posteriormente serán descartados.
Paso 2: Crear la ACL desde el modo de configuración global haciendo uso de los
comandos recién analizados.
Paso 3: Aplicarla en la interfaz seleccionada con el comando ip access-group [número
ACL] [in | out], desde el modo de configuración de la propia interfaz y donde in | out
hace referencia a la dirección deseada.
Supuesto práctico 1: Conforme a la topología definida en la Fig. 7-2, definir una ACL
que afecte a todos los hosts de la red 172.20.0.0 /16, cumpliendo los siguientes
requisitos:
- Bloquear la comunicación TCP con la red de destino 192.168.1.0.
- Permitir paquetes UDP a través de los puertos 67 y 68 para el host de destino
192.168.10.10.
- Bloquear todo el tráfico UDP hacia cualquier destino.
- Permitir cualquier otro tipo de comunicación.
Paso 1: Planificar en qué router será configurada.
Las ACL extendidas deben ser ubicadas lo más cercano posible al origen , que en
este caso es la red 172.20.0.0/16, conectada a R1 a través de la interfaz Fa0/0. Por lo
tanto, será configurada en dichos router e interfaz. Los paquetes son recibidos a
través de la misma, por lo que la dirección debe ser de entrada.
¿En qué orden serán aplicadas las sentencias? Como ya se ha mencionado, estas
son ejecutadas secuencialmente en el mismo orden en que han sido configuradas. Se
debe permitir la comunicación a través de dos puertos UDP, sin embargo, también se
solicita bloquear todo el tráfico del mismo protocolo. Por lo tanto, resulta importante
establecer como primer filtro aquel que permita los puertos solicitados, de lo
contrario serán bloqueados. Otro detalle a tener en cuenta consiste en ubicar la
sentencia que permite todo el tráfico en la última posición del listado, ya que el
propósito de esta es no ejecutar el deny implícito presente en toda ACL.
Conforme a dicha teoría, el orden a aplicar es el siguiente:
351