Denegar tráfico con ACL en switch Aruba

Cómo denegar tráfico entre un origen y un destino desde un switch.



Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de configuración que podemos aplicar a los switches (u otros dispositivos) para denegar cierto tipo de tráfico.

En los switches Aruba, existen dos tipos de ACL:

• Standard ACL: permiten filtrar tráfico analizando la IP de origen.
• Extended ACL: permiten aplicar filtros dependiendo del origen y el destino de los paquetes.

Los switches Aruba permiten un total de hasta 2048 ACLs combinando IPv4 e IPv6. Hay que tener en cuenta que configurar 2 ACLs resulta en tener ACL usadas aunque ninguna de ellas esté asignada a una interfaz. Del mismo modo, si se asigna una ACL que no exista a una interfaz, el total de ACL usadas son 3 porque el switch tiene ahora 3 ACL únicas en su configuración.


Crear una ACL



Ejemplo de extended ACL en la que bloqueamos (deny) el puerto 445 provinente de los rangos 192.168.192.0/24 y 192.168.150.0/24 y permitimos todo el tráfico restante:

ip access-list extended "Puerto-445" 10 deny tcp 192.168.192.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 445 log 20 deny tcp 192.168.150.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 445 log 40 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit

La sintaxis es:

orden acción protocolo dirección_origen máscara_origen dirección_destino máscara_destino

Para denegar el tráfico hacia un puerto concreto, usaremos "eq puerto" al final de la línea.

Hay que tener en cuenta también que el orden de las reglas en una ACL es importante. Una vez un paquete hace match en una de las reglas de una ACL, las subsigüientes reglas de la misma ACL no se aplicarán al paquete.


Aplicar una ACL



Recordemos que una ACL no actúa hasta que no la aplicamos a una interfaz o VLAN. Para aplicar esta ACL a una VLAN - por ejemplo, la 100 - para bloquear el tráfico que entra a las máquinas de esta VLAN por su puerto 445 usamos la directiva "ip access-group" junto con la ACL creada anteriormente:

vlan 100 name "SERVERS" untagged C6,C8,C18 ip address 192.168.100.10 255.255.255.0 tagged C4,C24,Trk1-Trk7 ip access-group "Puerto-445" out exit


A partir de este momento, todo el tráfico con origen en los rangos 192.168.192.0/24 y 192.168.150.0/24 con destino cualquier IP de la VLAN 100 tendrá el tráfico de entrada por el puerto 445 denegado.


Fuentes:

http://h22208.www2.hpe.com/eginfolib/networking/docs/switches/RA/15-18/5998-8151_ra_2620_asg...
http://h22208.www2.hpe.com/eginfolib/networking/docs/switches/RA/15-18/5998-8151_ra_2620_asg...
http://h22208.www2.hpe.com/eginfolib/networking/docs/switches/RA/15-18/5998-8151_ra_2620_asg...
http://h22208.www2.hpe.com/eginfolib/networking/docs/switches/RA/15-18/5998-8151_ra_2620_asg...

Post a Comment

Mới hơn Cũ hơn