VERIFICACIÓN DE LA SEGURIDAD DEL PUERTO VTY

Después de configurar la ACL para restringir el acceso a las líneas VTY, es importante verificar que funcione correctamente. En la ilustración, se muestran dos dispositivos que intentan conectarse al R1 mediante SSH. Se configuró la lista de acceso 21 en las líneas VTY en el R1. La PC1 logra conectarse, mientras que la PC2 no puede establecer una conexión SSH. Este es el comportamiento que se espera, ya que la lista de acceso configurada permite el acceso a VTY desde la red 192.168.10.0/24 y deniega al resto de los dispositivos.

El resultado del R1 muestra lo que se produce al emitir el comando show access-lists después de que la PC1 y la PC2 intentan conectarse mediante SSH. La coincidencia en la línea permit del resultado es producto de una conexión SSH correcta de la PC1. La coincidencia en la instrucción deny se debe al intento fallido de la PC2, un dispositivo en la red 192.168.11.0/24, de establecer una conexión SSH.

1.PNG

EL COMANDO ACCESS-CLASS

Puede mejorar la seguridad de las líneas administrativas mediante la restricción del acceso a VTY. La restricción del acceso a VTY es una técnica que permite definir las direcciones IP a las que se les permite acceder remotamente al proceso de EXEC del router. Puede controlar qué direcciones IP pueden acceder remotamente as router mediante la configuración de una ACL y una instrucción access-class en las líneas VTY. Utilice esta técnica con SSH para mejorar aún más la seguridad de acceso administrativo.

El comando access-class configurado en el modo de configuración de línea restringe las conexiones de entrada y salida entre una VTY determinada (en un dispositivo de Cisco) y las direcciones en una lista de acceso.

La sintaxis del comando access-class es la siguiente:

Router (config)# access-class número-de-acl { in [ vrf-also ] | out }

El parámetro in limita las conexiones de entrada entre las direcciones en la lista de acceso y el dispositivo de Cisco, mientras que el parámetro out limita las conexiones de salida entre un dispositivo de Cisco en particular y las direcciones en la lista de acceso.

En la figura 1, se muestra un ejemplo en el que se permite que un rango de direcciones acceda a las líneas VTY de 0 a 4. La ACL de la ilustración se configuró para permitir que la red 192.168.10.0 acceda a las líneas VTY de 0 a 4, pero para denegar las demás redes.

Para configurar listas de acceso en los VTY, se debe tener en cuenta lo siguiente:

  • Se pueden aplicar listas de acceso numeradas y nombradas a los VTY.
  • Se deben establecer restricciones idénticas en todos los VTY, porque un usuario puede intentar conectarse a cualquiera de ellos.

Nota: Las listas de acceso se aplican a los paquetes que se transportan a través de un router, no están diseñadas para bloquear los paquetes que se originan en el router. De manera predeterminada, las ACL de salida no evita las conexiones de acceso remoto que se inician desde el router.

En la figura uno se muestra un router con un segmento de red local en cada una de las dos interfaces Ethernet Gigabit. Cada segmento consiste en un switch y una computadora. El router tiene los puertos de V.T.Y cero a cuatro configurados para el acceso. La figura muestra los comandos necesarios para crear una A.C.L para restrinja las conexiones de V.T.Y. La figura comienza en el modo de configuración global y luego se mueve a las líneas de v.t.y con el comando line v.t.y. cero espacio cuatro. El siguiente comando configura el router para utilizar una base de datos local para acceder con el comando login local. La siguiente línea fija el tipo de conexión a permitir. El comando es transport input s.s.h. Luego se aplica una A.C.L en las líneas con el comando access guión class 21 in. La ilustración va desde el modo de configuración de línea al modo de configuración global con el comando exit. El A.C.L se crea con el comando access guión list 21 permit 192 punto 168 punto 10 punto cero cero punto cero punto cero punto 255, y el comando access guión list 21 deny any. La figura dos es un elemento de medios interactivos que permite que el estudiante configure las líneas de v.t.y para aceptar s.s.h en un router.

1.PNG

DÓNDE UBICAR LAS ACL

La correcta colocación de las ACL puede contribuir a que la red funcione de forma más eficaz. Se puede colocar una ACL para reducir el tráfico innecesario. Por ejemplo, el tráfico que se denegará en un destino remoto no se debe reenviar mediante recursos de red por la ruta hacia ese destino.

Cada ACL se debe colocar donde tenga más impacto en la eficiencia. Como se muestra en la ilustración, las reglas básicas son las siguientes:

ACL extendidas: coloque las ACL extendidas lo más cerca posible del origen del tráfico que se filtrará. De esta manera, el tráfico no deseado se deniega cerca de la red de origen, sin que cruce la infraestructura de red.

ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino, colóquelas tan cerca del destino como sea posible. Si coloca una ACL estándar en el origen del tráfico, evitará de forma eficaz que ese tráfico llegue a cualquier otra red a través de la interfaz a la que se aplica la ACL.

La colocación de la ACL y, por lo tanto, el tipo de ACL que se utiliza también puede depender de lo siguiente:

  • Alcance del control del administrador de la red: la colocación de la ACL puede depender de si el administrador de red controla tanto la red de origen como la de destino o no.
  • Ancho de banda de las redes involucradas: el filtrado del tráfico no deseado en el origen impide la transmisión de ese tráfico antes de que consuma ancho de banda en la ruta hacia un destino. Esto es de especial importancia en redes con un ancho de banda bajo.
  • Facilidad de configuración: si un administrador de red desea denegar el tráfico proveniente de varias redes, una opción es utilizar una única ACL estándar en el router más cercano al destino. La desventaja es que el tráfico de dichas redes utilizará ancho de banda de manera innecesaria. Se puede utilizar una ACL extendida en cada router donde se origina tráfico. Esto ahorra ancho de banda, ya que el tráfico se filtra en el origen, pero requiere la creación de ACL extendidas en varios routers.

1.PNG

OPTIMIZACIONES DE LAS ACL

El uso de las ACL requiere prestar atención a los detalles y un extremo cuidado. Los errores pueden ser costosos en términos de tiempo de inactividad, esfuerzos de resolución de problemas y servicio de red deficiente. Antes de configurar una ACL, se requiere una planificación básica. En la ilustración, se presentan pautas que constituyen la base de una lista de prácticas recomendadas para ACL.

1.PNG

PAUTAS GENERALES PARA LA CREACIÓN DE ACL

La composición de ACL puede ser una tarea compleja. Para cada interfaz, puede haber varias políticas necesarias para administrar el tipo de tráfico que tiene permitido ingresar a la interfaz o salir de ella. El router en la ilustración tiene dos interfaces configuradas para IPv4 e IPv6. Si necesitáramos ACL para ambos protocolos, en ambas interfaces y en ambos sentidos, esto requeriría ocho ACL diferentes. Cada interfaz tendría cuatro ACL: dos ACL para IPv4 y dos ACL para IPv6. Para cada protocolo, una ACL es para el tráfico entrante y otra para el tráfico saliente.

1.PNG

Nota: las ACL no deben configurarse en ambos sentidos. La cantidad de ACL y el sentido aplicado a la interfaz dependen de los requisitos que se implementen.

Las siguientes son algunas pautas para el uso de ACL:

  • Utilice las ACL en los routers de firewall ubicados entre su red interna y una red externa, como Internet.
  • Utilice las ACL en un router ubicado entre dos partes de la red para controlar el tráfico que entra a una parte específica de su red interna o que sale de esta.
  • Configure las ACL en los routers de frontera, es decir, los routers ubicados en los límites de las redes. Esto proporciona una separación muy básica de la red externa o entre un área menos controlada y un área más importante de su propia red.
  • Configure las ACL para cada protocolo de red configurado en las interfaces del router de frontera.

Reglas para aplicar las ACL

Se puede configurar una ACL por protocolo, por sentido y por interfaz:

  • Una ACL por protocolo: para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz.
  • Una ACL por sentido: las ACL controlan el tráfico en una interfaz de a un sentido por vez. Se deben crear dos ACL diferentes para controlar el tráfico entrante y saliente.
  • Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo, GigabitEthernet 0/0.

INTRODUCCIÓN A LAS MÁSCARAS WILDCARD EN ACL

Máscara wildcard

Las ACE de IPv4 incluyen el uso de máscaras wildcard. Una máscara wildcard es una cadena de 32 dígitos binarios que el router utiliza para determinar qué bits de la dirección debe examinar para obtener una coincidencia.

Como ocurre con las máscaras de subred, los números 1 y 0 en la máscara wildcard identifican lo que hay que hacer con los bits de dirección IPv4 correspondientes. Sin embargo, en una máscara wildcard, estos bits se utilizan para fines diferentes y siguen diferentes reglas.

Las máscaras de subred utilizan unos y ceros binarios para identificar la red, la subred y la porción de host de una dirección IPv4. Las máscaras wildcard utilizan unos y ceros binarios para filtrar direcciones IPv4 individuales o grupos de direcciones IPv4 para permitir o denegar el acceso a los recursos.

Las máscaras wildcard y las máscaras de subred se diferencian en la forma en que establecen la coincidencia entre los unos y ceros binarios. Las máscaras wildcard utilizan las siguientes reglas para establecer la coincidencia entre los unos y ceros binarios:

Bit 0 de máscara wildcard: se establece la coincidencia con el valor del bit correspondiente en la dirección.

Bit 1 de máscara wildcard: se omite el valor del bit correspondiente en la dirección.

En la figura 1 se muestra cómo las diferentes máscaras wildcard filtran las direcciones IPv4. Recuerde que, en el ejemplo, el valor binario 0 indica un bit que debe coincidir y el valor binario 1 indica un bit que se puede ignorar.

1.PNG

A las máscaras wildcard a menudo se las denomina “máscaras inversas”. La razón es que, a diferencia de una máscara de subred en la que el 1 binario equivale a una coincidencia y el 0 binario no es una coincidencia, en las máscaras wildcard es al revés.

Uso de una máscara wildcard

En la tabla de la figura 2, se muestran los resultados de la aplicación de una máscara wildcard 0.0.255.255 a una dirección IPv4 de 32 bits. Recuerde que un 0 binario indica un valor con coincidencia.

2.PNG

Nota: a diferencia de las ACL de IPv4, las ACL de IPv6 no utilizan máscaras wildcard. En cambio, se utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6 de origen o destino debe coincidir. Las ACL IPv6 exceden el ámbito de este curso.

FUNCIONAMIENTO DE LAS ACL

Las ACL definen el conjunto de reglas que proporcionan un control adicional para los paquetes que ingresan por las interfaces de entrada, para los que retransmiten a través del router y para los que salen por las interfaces de salida del router. Las ACL no operan sobre paquetes que se originan en el router mismo.

Las ACL se configuran para aplicarse al tráfico entrante o al tráfico saliente, como se muestra en la ilustración.

1

ACL de entrada: los paquetes entrantes se procesan antes de enrutarse a la interfaz de salida. Las ACL de entrada son eficaces, porque ahorran la sobrecarga de enrutar búsquedas si el paquete se descarta. Si las ACL permiten el paquete, este se procesa para el routing. Las ACL de entrada son ideales para filtrar los paquetes cuando la red conectada a una interfaz de entrada es el único origen de los paquetes que se deben examinar.

ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y después se procesan mediante la ACL de salida. Las ACL de salida son ideales cuando se aplica el mismo filtro a los paquetes que provienen de varias interfaces de entrada antes de salir por la misma interfaz de salida.