Packet Tracer – Extended ACL’s

Expliquem, en aquest apunt, el funcionament de les Extended ACL’s. A diferència de les Standard, aquestes sí permeten filtrar per capa d’aplicació.

Partint del mateix escenari definit en l’apunt anterior, ara ens interessaria poder filtrar l’accés “només” al servidor FTP (i permetre, en canvi, l’accés a un servidor WWW).

El primer pas serà definir les ACL’s en concret. Les extended s’identificaran amb un número igual o superior al 100. En aquest cas, emprem el 100:

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.0.2 eq ftp
access-list 100 deny tcp 192.168.2.0 0.0.0.255 host 192.168.0.2 eq ftp

La primera línia significa que “permetrà” el tràfic des de l’origen 192.168.1.0/24 destinació al host ubicat a 192.168.0.2 sempre i quan el protocol sigui FTP.
La segona línia és similar però, en canvi, denegarà el tràfic des de l’origen ubicat a 192.168.2.0/24.

Ara, apliquem l’ACL definida a la interfície del router que connecta amb el servidor FTP:

router(config)#int f1/0
Router(config-if)#ip access-group 100 out

Fet!

Atenció amb l’aclariment següent: En el moment que s’ha aplicat una determinada ACL en una interfície, la política per defecte s’estableix a directament a deny. Per tant, en el cas que el servidor ubicat a l’adreça 192.168.0.2 també oferís un servidor web que ens agradaria que estigués disponible per ambdues xarxes, haurem de permetre-ho explícitament:

Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.0.2 eq www
Router(config)#access-list 100 permit tcp 192.168.2.0 0.0.0.255 host 192.168.0.2 eq www

Packet Tracer – Standard ACL’s

Expliquem en aquest post com funcionen les llistes de control d’accés en dispositius Cisco emprant el programari Packet Tracer.

Imaginem que disposem de l’escenari següent ja en funcionament:

standardaclscisco
El servidor ubicat a l’adreça de xarxa 192.168.0.2 està executant un servidor de FTP però no voldríem que fos accessible per la xarxa 192.168.2.0/24. Per tal de permetre l’accés al servidor des de la xarxa 192.168.1.0/24 però NO des de la xarxa 192.168.2.0/24 configurarem llistes de control d’accés (ACL: Access Control List) en l’encaminador central.

Per a fer-ho, executarem les comandes següents.

Definim primer una llista de control d’accés (identificada, en aquest cas, pel número 5) que indica que permetrà el pas a la xarxa 192.168.1.0 (atenció amb les màscares) i, en canvi, denegarà el pas a la xarxa 192.168.2.0.

conf t
access-list 5 permit 192.168.1.0 0.0.0.255
access-list 5 deny 192.168.2.0 0.0.0.255

A continuació, accedirem a la configuració de la interfície f1/0 (la interfície del router que es comunica amb el servidor ) i hi aplicarem la ACL definida en el pas anterior en els paquets que surtin d’aquesta interfície:

int f1/0
ip access-group 4 out

Fet!

Ara, des d’una consola del PC ubicat a 192.168.2.2, si executem un ping 192.168.0.2 apareixerà quelcom similar al següent:

Pinging 192.168.0.2 with 32 bytes of data:

Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Ping statistics for 192.168.0.2:    
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

En canvi, des de 192.168.1.3:

ping 192.168.0.2

Pinging 192.168.0.2 with 32 bytes of data:

Reply from 192.168.0.2: bytes=32 time=11ms TTL=127
Reply from 192.168.0.2: bytes=32 time=11ms TTL=127
Reply from 192.168.0.2: bytes=32 time=16ms TTL=127
Reply from 192.168.0.2: bytes=32 time=11ms TTL=127

Ping statistics for 192.168.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 16ms, Average = 12ms

 

Les estàndard ACL son una eina senzilla de configurar però no permeten treballar en capa de transport, sinó solament en capa de xarxa ip. Per tal de poder discernir entre protocols serà necessari emprar les extended ACL’s (que deixaré pendent per un altre post).