lunes, 9 de enero de 2012

Reflexive access list


Las ACL reflexivas son un concepto de ACL que permiten que todo tráfico de vuelta a un tráfico que fué originado en el interior sea permitido. No se trata del caso de established, que busca simplemente un bit ACK en los paquetes, las ACL reflexivas mantienen en memoria una tabla con las conexiones originadas desde el interior, y cuando entra al router tráfico de vuelta se compara con esa tabla, si concuerda se permite el tráfico, y si no concuerda se deniega el tráfico. Una cosa importante a tener en cuenta sobre las ACL reflexivas es el hecho de que no hace falta que sea tráfico TCP, son capaces de mantener en memoria “sesiones” de tráfico UDP, ICMP...

Estas ACL siempre deben ser configuradas como ACL extendidas con nombre.

Para configurarlas hay que configurar dos ACL, pero en realidad es como si se creasen tres:

  • Una ACL de salida, en la que permitirás todo lo que quieres que salga, y lo reflectamos contra la ACL que va a mantener en memoria la sesión pemitida, en este caso vamos a nuestra ACL de salida la vamos a llamar SALIDA, vamos a permitir todo el tráfico desde un host hacia fuera, y lo vamos a reflectar contra una ACL llamada ESPEJO.
ip access-list extended SALIDA
    permit ip host 192.168.1.2 any reflect ESPEJO

  • Una ACL de entrada, en la cual a parte de lo que se quiera permitir específicamente como en una ACL normal, se añadirá una cláusula evaluate, con el nombre de la ACL donde se reflectaban las peticiones de salida, y si el tráfico es de vuelta a una conexión originada desde el interior, el tráfico se permitirá. En nuestro ejemplo simplemente pondremos evaluate ESPEJO.
ip access-list extended ENTRADA
   evaluate ESPEJO 

  • La ACL ESPEJO es generada dinámicamente, y se puede consultar haciendo un show ip access-list ESPEJO, donde se nos mostraría lo que esta permitido en estos momentos.
show ip access-list ESPEJO

Aquí podemos ver un ejemplo de la propia página de cisco, para el tema de reflexive ACL;

This is an example of the permit of ICMP outbound and inbound traffic, while only permitting TCP traffic that has initiated from inside, other traffic is denied.
ip reflexive-list timeout 120 
    
interface Ethernet0/1
 ip address 172.16.1.2 255.255.255.0
 ip access-group inboundfilters in
 ip access-group outboundfilters out 

ip access-list extended inboundfilters
permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
evaluate tcptraffic !--- This ties the reflexive ACL part of the outboundfilters ACL,
!--- called tcptraffic, to the inboundfilters ACL.ip access-list extended outboundfilters
permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 
permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic
Link a la guia de configuración de ACL de cisco.





No hay comentarios:

Publicar un comentario