HL-008 Listas de Control de Acceso y Traduccin de Direccin

ISSUE 5.0

Huawei-3Com Training Center

Copyright by Huawei-3Com Technologies Co., Ltd. May not be used or transmitted without prior consent

Objetivos

Para completar este curso, usted podr:

Conocer los principios bsicos de ACL (Access Control List) o LCA.

Perfeccionar la configuracin de
LCA con IP bsica y avanzada.

Perfeccionar los principios bsicos

y la configuracin de la Traduccin
de las Direcciones de Red (TDR) o Network Address Translation (NAT)

Contenidos del Curso

Lista de Control de Acceso (LCA)

Traduccin de las Direcciones de Red (TDR)

Ejemplos de LCA y TDR

Introduccin a la filtracin de paquetes IP

Para cualquier paquete un ruteador necesita transferir, primero obtener la informacin del encabezado o header y luego

compararla con una serie de reglas.

De esta manera podr

transferir o descartar el paquete, dependiendo de los resultados a comparar. La clave tecnolgica para implementar el filtrado de paquetes son las LCA (ACL).
Red Interna

Internet
Sucursales

Compaa
4

Usuario no autorizado

Funciones de las Listas de Control de Acceso

Las LCA pueden ser utilizadas como firewall. Las LCA pueden ser utilizadas como QoS (Quality of Service), para controlar el flujo de datos.

En el DCC (Dial Control Center), las LCA pueden ser utilizadas para definir las condiciones para accionar un enlace dial-up.

Las LCA pueden ser utilizadas en la traduccin de

direcciones.

Cuando la poltica de ruteo es configurada, las LCA pueden ser utilizadas para filtrar la informacin de ruteo.

Qu son las Listas de Control de Acceso?

Un paquete IP es mostrado como sigue (el protocolo de la

capa superior u upper-layer que soporta IP en la figura, es TCP):

Encabezado IP

Encabezado TCP

Informacin

Nmero de protocolo Direccin principal

Puerto Principal Puerto Destino

Direccin destino

La Lista de Control de Acceso utiliza las reglas definidas por estos elementos.

Cmo identificar las LCA?

Identificar las LCA por nmeros seriales Clasificar las LCA en nmeros.
Rango para identificar un rango de nmeros

4 tipos por decir un rango de

Tipos de listado

ACL Bsico
ACL Avanzado ACL Interfaz-base

2000 a 2999
3000 a 3999 1000 a 1999

MAC-basado en LCA

4000 a 4999

Listas de Control de Acceso Bsicas

Las Listas de Control de Acceso Bsicas utiliza solamente la descripcin de la direccin principal para mostrar cundo habilitar o deshabilitar el paso de los paquetes.
Los paquetes de 202.110.10.0/24 pueden pasar!

Los paquetes de 192.110.10.0/24 NO pueden pasar!

Router

Configuracin de las LCA Bsicas

El comando formato o format para configurar una LCA Bsica es como sigue:

acl number acl-number [ match-order { config | auto } ] rule [ rule-id ] { permit | deny } [ source sour-addr sourwildcard | any ] [ time-range time-name ] [ logging ]

[ fragment ] [ vpn-instance vpn-instanc-name ]

Cmo utilizar la direccin IP y la wildcard-mask para determinar un segmento de red?

Cmo utilizar la Wildcard

Una wildcard (o llamada wildcard mask) es similar a una

mscara de subred, pero la forma escrita es diferente:

0 significa que la comparacin es necesaria 1 significa que la comparacin es ignorada

La Wildcard, cuando se utiliza en combinacin con la direccin IP, puede describir un rango de direcciones.

255

Solo los primeros 24 bits para ser comparados Solo los primeros 22 bits para ser comparados Solo los primeros 8 bits para ser comparados
10

0
0

0
255

3
255

255
255

Listas de Control de Acceso Avanzadas

Una LCA avanzada utiliza mayor informacin adicional para describir el paquete, indicando "permit (permitido) o "deny (denegado).

Los paquetes de 202.110.10.0/24 a 179.100.17.10 que utilizan protocolos TCP y ganan acceso via HTTP pueden pasar!

Router

11

Configuracin de LCA Avanzadas

Configuracin de LCA avanzadas:

rule [ rule-id ] { permit | deny } protocol [ source sour-addr sour-wildcard | any ] [ destination dest-addr dest-mask | any ] [ soucre-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type { icmp-message |icmp-type icmp-code} ] [ precedence precedence ] [ tos tos ] [ time-range time-name ] [ logging ] [ fragment ] [ vpn-instance vpninstanc-name ]

12

Operador de LCA Avanzadas

Carcter de Operacin y gramtica eq portnumber gt portnumber lt portnumber neq portnumber range portnumber1 portnumber2

Significado Igual al nmero de puerto Mayor al nmero de puerto Menor al nmero de puerto Desigual al nmero de puerto Entre el puerto nmero 1 y el puerto nmero 2

13

Ejemplos de LCA Avanzadas

rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type

host-redirect Paquetes de usuario ICMP redireccionados

10.1.0.0/16 10.1.0.0/16

rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www logging Paquetes TCP 129.9.0.0/16 Puertos WWW 202.38.160.0/24

Pregunta: Cul es el significado del siguiente ACL?

rule deny udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 destination-port gt 128

14

Pasos para configurar la LCA para un Firewall

Habilitar el firewall

Internet
Compaa
Rules of ACL

Aplicar la interfaz de LCA

Pasos comunes para la configuracin de una LCA para un firewall:

Habilitar un firewall Definir una LCA Aplicar la LCA para interfaz

15

Comandos para Configurar los Atributos del Firewall

Habilitar/deshabilitar firewall

firewall { enable | disable }

Fijar el modo de filtrado por defecto de un firewall

firewall default { permit | deny }

Desplegar la informacin de estadsticas de un firewall

display firewall-statistics { all | interface interface-name | fragments-inspect }

Depurando informacin

debugging firewall { all | icmp | tcp | udp | others }

[ interface interface-name ]
16

Aplicacin de las LCA en la Interfase

Aplicar LCA en la interfaz. Designar cuando sea la direccin de OUT o IN en la interfaz.

Comando de configuracin en la vista de interfase

firewall packet-filter acl-number

{ inbound | outbound }

[ match-fragments { normally | exactly } ]

La LCA 3000 aplica a la interfaz Ethernet0/0 y es efectiva en la direccin OUT

La LCA 2000 aplica a la interfaz Serial0/0 y es efectiva en la direccin IN

Ethernet 0/0

Serial 0/0

17

Filtrado de Paquetes basado en el rango de tiempo

Reglas especiales, para el rango de tiempo especial"

Internet

Rules of ACL

Durante la hora de trabajo (8:00 17:00), slo sites especiales pueden ser accesados. Otros sitios pueden ser accesados en el resto del tiempo.
18

Comandos para Configurar el Rango del Tiempo

Comando de lnea para rango de tiempo

time-range time-name [ start-time [ from time1 date1 ] [ to time2 date2 ]

to end-time ] [ days ]

Comando para desplegar el rango de tiempo

display time-range { all | time-name }

19

Combinacin de las reglas de LCA

Una LCA puede estar compuesta por mltiples reglas. Existen dos tipos de secuencias a coincidir para estas reglas:

auto y config.

En caso de conflictos en cuanto a reglas, si la secuencia es auto (depth priority), las reglas que describen los rangos de las direcciones pequeas se considerarn primero.

En caso de conflictos en cuanto a reglas, si la secuencia es config, la regla que se configura primero, ser considerada primero.

20

Contenidos del Curso

Lista de Control de Acceso (LCA)

Traduccin de las Direcciones de Red (TDR)

Ejemplos de LCA y TDR

21

Antecedentes de la Traduccin de Direcciones

Debido al incremento insuficiente de los recursos de direcciones IP.

Usuarios mltiples en una LAN para acceder a Internet por una direccin de IP pblica, la traduccin de direcciones puede ser utilizada.

Proteccin de seguridad de red: la Tecnologa de Traduccin de Direcciones puede esconder efectivamente a los usuarios

de la red local interna LAN.

Mientras tanto, la traduccin de direcciones puede proveer tales servicios como el FTP, WWW y Telnet de la red interna a la red externa, de acuerdo a los requerimientos del usuario.
22

Direcciones Privadas y Direcciones Pblicas

192.168.0.2 192.168.0.1

LAN1

Internet

LAN2

192.168.0.3

El rango de direcciones privadas: 10. 0. 0. 0 - 10.255.255.255 172. 16. 0. 0 - 172. 31.255.255 192.168. 0. 0 - 192.168.255.255

LAN3

23

Principio de la traduccin de direcciones

Paquete IP
PC1
IP:192.168.0.1 Port:3000 IP:202.0.0.1 Port:4000

Internet

IP:202.0.0.1 Port:4001

PC2

LAN

IP:192.168.0.2 Port:3010

24

Control de la Traduccin de direcciones en trminos de LCA

PC1

Internet

PC2

LAN

Fijando las LCA, PC1 puede acceder a Internet a travs de la traduccin de direcciones, mientras PC2 no puede.

Las LCA pueden ser utilizadas para determinar qu usuarios pueden acceder a Internet y que usuarios no.
25

Lista de Configuracin de tareas de la Traduccin de Direcciones

Definir una LCA para especificar qu tipo de usuario puede acceder a Internet.

Adoptar EASY IP o conjunto de direcciones (Address Pool) para proveer direcciones pblicas.

De acuerdo al modo seleccionado ( EASY IP o Address Pool), la traduccin de direcciones es permitida en la interfaz conectada a Internet.

Definir el servidor interno apto a las necesidades de los

requerimientos de la red local o LAN.

26

Propiedad Easy IP

Easy IP: Durante la traduccin de direcciones, la direccin IPA de la interfaz puede ser utilizada directamente como la

direccin fuente despus de la traduccin. Para Configurar la

vista de interfaz:
nat outbound acl-number

PC1

S0/0:202.0.0.1

Internet

PC2

LAN
27

PC1 y PC2 pueden directamente utilizar la direccin IP del Serial0/0 como direccin pblica.

Ejecutando la Traduccin de Direccin por Conjunto de Direcciones

PC1
202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4

Conjunto de Direcciones

Internet

PC2

LAN Address Pool o Conjunto de Direcciones es la coleccin de algunas direcciones IP continuas, identificadas por un

caracter string que abarca 32 bytes.

El conjunto de direcciones habilita mayor nmero de usuarios LAN para acceder a Internet simultneamente.
28

Configuracin de la TDR Utilizando Conjuntos de Direcciones

Para definir los conjuntos de direcciones en la vista del sistema

nat address-group group-number start-addr end-addr

Para aplicar las LCA y los conjuntos de direcciones en la vista del

sistema

nat outbound acl-number address-group group-number [ no-pat ]

29

Aplicacin del Servidor Interno

Servidor Interno
private address:10.0.1.1 port:80 E0/0

Serial 0/0

Internet

map on router: address: 10.0.1.1202.38.160.1 port: 8080

public address:202.38.160.1 port:80

IP:202.39.2.3 Acceso al servidor Referrente al mapa

30

extranet user

Configuracin del Servidor Interno

Comando de configuracin del servidor interno

nat server [ vpn-instance vpn-instance-name ] protocol protype global global-addr [ global-port ] inside host-addr [ hostport ]

nat server [ vpn-instance vpn-instance-name ] protocol protype global global-addr global-port 1 global-port2 inside hostaddr1 host-addr2 host-port

Ejemplo

nat server protocol tcp global 202.38.160.1 80 inside 10.0.1.1 80

31

Monitoreo y Mantenimiento de la TDR

Para desplegar la configuracin de la traduccin de direcciones

display nat { address-group | aging-time | all | outbound | server | statistics | session [ vpn-instance vpn-instance-name ] [ slot slot-number ] [ destination ip-addr ] [source global globaladdr | source inside inside-addr ] }

Para fijar un tiempo vlido para la conexin de la traduccin de direcciones

nat aging-time { default | { dns | ftp-ctrl | ftp-data | icmp | pptp | tcp | tcp-fin | tcp-syn | udp } seconds }

Para borrar la conexin de la traduccin de direcciones

reset nat{ log-entry | session slot slot-number }

Debugging o depuramiento

debugging nat { alg | event | packet [ interface interface-type interface-number ] }

32

Desventajas de la Traduccin de Direcciones

Es difcil para la traduccin de direcciones procesar paquetes que contengan informacin de direcciones til.

La traduccin de direcciones no puede ser ejecutada en caso de que el encabezado de la IP se encuentre encriptado.

Debido a que la direccin del usuario interno es escondido, a veces la depuracin de la red se vuelve muy compleja.

33

Contenidos del Curso

Lista de Control de Acceso (LCA)

Traduccin de las Direcciones de Red (TDR)

Ejemplos de LCA y TDR

34

Ejemplos de Listas de Control de Acceso y Traduccin de Direcciones

servidor FTP 129.38.1.1 servidor Telnet servidor WWW 129.38.1.2 129.38.1.3

129.38.1.4

Ethernet interno de la compaa

129.38.1.5

202.38.160.1

Internet
Usuario externo especfico

35

Procedimiento de la Configuracin del Ejemplo

Existen los siguientes pasos de acuerdo a la situacin actual:

Habilitar el firewall. Definir Listas de Control de Acceso avanzadas Aplicar LCA a la interfaz. Definir la traduccin de direcciones en trminos de LCA en la interfaz.

Configurar la relacin de mapeo de la direccin del servidor interno.

36

Configuracin

[Quidway]firewall enable

[Quidway]firewall default permit

[Quidway]acl number 3000 match-order auto [Quidway-acl-adv-3000]rule deny ip source any destination any [Quidway-acl-adv-3000]rule permit ip source 129.38.1.1 0 destination any [Quidway-acl-adv-3000]rule permit ip source 129.38.1.2 0 destination any [Quidway-acl-adv-3000]rule permit ip source 129.38.1.3 0 destination any [Quidway-acl-adv-3000]rule permit ip source 129.38.1.4 0 destination any

[Quidway]acl number 3001 match-order auto

[Quidway-acl-adv-3001]rule deny ip source any destination any [Quidway-acl-adv-3001]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
37

Configuracin (continuacin)

[Quidway-acl-adv-3001]rule

permit

tcp

source

any

destination

202.38.160.1 0 destination-port gt 1024

[Quidway-Ethernet0/0]firewall packet-filter 3000 inbound [Quidway-Serial0/0]firewall packet-filter 3001 inbound

[Quidway-Serial0/0]nat outbound 3000

[Quidway-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.1 ftp

[Quidway-Serial0/0]nat server protocol tcp global 202.38.160.1 inside

129.38.1.2 telnet

[Quidway-Serial0/0]nat server protocol tcp global 202.38.160.1 inside 129.38.1.3 www

38

Resumen

Principios de filtrado de paquetes. Configuracin de los principios de listas de acceso bsico y listas de acceso avanzadas.

LCA para funciones de firewall. Conceptos bsicos y principios de TDR. Configuracin de NAT.

39

Gracias !
Huawei-3Com Technology Co., Ltd.
www.huawei-3com.com