Diario de ingeniería 6.7.3:  Uso de un router firewall

Esta sección aplica a la situación ilustrada en la Figura 6-13 para describir el uso de las ACL para limitar el tráfico hacia y desde un router firewall. Es bueno tener un router designado para actuar como firewall, porque identifica claramente el propósito del router como gateway externo y evita sobrecargar otros routers con esta tarea. Si la red interna necesita aislarse, el router firewall proporciona el punto de aislamiento, de manera que el resto de la estructura interna de la red no se ve afectada.

En la configuración de router firewall que aparece a continuación, la subred 13 de la red Clase B es el firewall
y la subred 14 proporciona la conexión a Internet mundial a través de un proveedor de servicios:

interface ethernet 0
ip address B.B.13.1 255.255.255.0
interface serial 0
ip address B.B.14.1 255.255.255.0
router igrp
network B.B.0.0

Esta configuración simple no brinda seguridad y permite que todo el tráfico del mundo exterior pase a todas las partes de la red. Para proporcionar seguridad en el router firewall, es necesario usar ACL y grupos de acceso.

Una ACL define el tráfico real que se permitirá o denegará, y un grupo de acceso aplica una definición de ACL a una interfaz. Las ACL se pueden usar para denegar conexiones que, según se sabe, representan riesgos de seguridad, permitiendo por otro lado todas las demás conexiones, o para permitir conexiones consideradas aceptables y denegar todas las demás. Para la implementación de un firewall, la segunda opción representa el método más seguro.

El mejor lugar para definir una ACL es en un host, mediante un editor de texto. Se puede crear un archivo que contenga los comandos access-list y luego cargar el archivo al router. Antes de cargar la definición de control de acceso, cualquier definición anterior de esta ACL se elimina, utilizando el siguiente comando:

no access-list 101

El comando access-list ahora se puede usar para permitir cualquier paquete que vuelva a las máquinas desde conexiones ya establecidas. Con la palabra clave established , se produce coincidencia si el datagrama TCP tiene establecidos los bits de acuse de recibo (ACK) o de restablecimiento (RST):

access-list 101 permit tcp 0.0.0.0 255.255.255.255
    0.0.0.0 255.255.255.255 established

Después de que se carga la ACL en el router y se almacena en la memoria de acceso aleatorio no volátil (NVRAM), se asigna a la interfaz apropiada. En este ejemplo, el tráfico que proviene del mundo exterior a través del serial 0 se filtra antes de colocarse en la subred 13 (ethernet 0). Por lo tanto, el comando access-group , que asigna una ACL para filtrar las conexiones entrantes, se debe asignar a ethernet 0 de la manera siguiente:

interface ethernet 0
ip access-group 101

Para controlar el acceso saliente a Internet desde la red, se define una ACL y se aplica a los paquetes salientes en serial 0 del router firewall. Para hacer esto se debe permitir que los paquetes que vuelven desde hosts que utilizan Telnet o FTP accedan a la subred firewall B.B.13.0.

Si hay varias redes internas conectadas al router firewall y el router utiliza filtros de salida, el tráfico entre las redes internas sufrirá una reducción en el rendimiento, generada por los filtros de la ACL. Si se usan filtros de entrada sólo en la interfaz que sale desde el router al mundo exterior, no se verá reducido el rendimiento de la redes internas.