Esta respuesta será sobre la teoría de configurar ese control de acceso en un enrutador Cisco en lugar de un tutorial. El método real que utilice dependerá del modelo de enrutador / conmutador / dispositivo de seguridad, la versión de IOS que esté ejecutando en el enrutador y cualquier conjunto de características adicionales que haya pagado en el enrutador o la suscripción a IOS SmartNET .
Suposiciones antes de comenzar
- El enrutador ya proporciona acceso a Internet a los usuarios finales.
- Está ejecutando algún tipo de subred interna con dirección privada donde los usuarios finales inician sus conexiones (red de oficina / campus)
- Desea / necesita permitir el acceso del usuario final fuera de la red local a Internet para navegar por Internet y otras actividades de Internet
- Desea evitar que los usuarios finales utilicen VPN para enmascarar su tráfico de Internet y evitar que usen las VPN para evitar la política de la compañía sobre el uso aceptable para la red de la oficina / campus
Administrar el acceso a través de un enrutador Cisco
- Supongamos que tengo un enrutador y se deben conectar 10 dispositivos. ¿A cuál de ellos se le asignará un NetID y a cuál se le asignará un HostID?
- ¿Por qué el equipo de red de consumo está diseñado sin ventiladores?
- ¿Cuál es la diferencia entre CISCO 887-K9 y CISCO 887 M-K9?
- Una computadora en LAN realiza una solicitud a un sitio web. La solicitud pasa por un enrutador que realiza una entrada (ip: port-ip: port) en una tabla de reenvío NAT. ¿Cómo podemos consultar desde qué puerto del enrutador se envió la solicitud al servidor final?
- ¿Los enrutadores de red se degradan a medida que envejecen?
Probablemente lo que necesitará configurar en el enrutador ya esté allí, pero deberá agregarle reglas para abordar la VPN u otros problemas.
La configuración del enrutador que necesitará usar es una Lista de control de acceso. Hay una serie de configuraciones ACL comunes para permitir o denegar el tráfico IP en esta página en Cisco. Las ACL requieren una buena cantidad de pensamiento y consideración y es más fácil pensar en ellas como un script que analiza rápidamente el tráfico y le permite pasar o niega / descarta el tráfico. Debería mirar el enlace de cisco arriba para ver la estructura de cada entrada en la lista.
Tendrá que decidir qué tipo de tráfico VPN necesita bloquear, y es posible que desee ver otros protocolos o fuentes que necesita controlar en función de los requisitos de su red. Dependiendo de lo astutos que sean sus usuarios, el uso de números de puerto estándar puede o no funcionar, pero es el mejor lugar para comenzar. Este enlace es para una página de IANA con los registros de puertos de protocolo comunes. Puede buscar en esta lista varios protocolos VPN (ejemplo: PPTP – 1723) y simplemente bloquear el protocolo por el puerto. También puede bloquear el protocolo por nombre (IPsec) en el enrutador, dependiendo del conjunto de características de IOS que tenga.
También puede bloquear el tráfico por dirección IP si tiene una lista de las redes a las que los usuarios de VPN intentan conectarse. Como nota al margen, cuando tuvimos un brote de malware usamos este método para evitar que el malware cargue datos en sus servidores maestros hasta que podamos limpiar la red. Esto permitió operaciones normales hasta que el equipo se puso al día con los sistemas infectados, por lo que es un método útil para saber.
El último pensamiento sobre cómo controlar el acceso es construir una ACL que solo permita ciertos protocolos y niegue el resto del tráfico. Esto es draconiano, pero en las redes empresariales no es tan raro. Las ACL están estructuradas como un simple script. El tráfico que fluye a través de la interfaz se compara con la lista: si hay una coincidencia en la que la acción es “denegar”, el tráfico se descarta y se completa la comparación de ACL. Si el tráfico coincide con una instrucción ‘permitir’ sin tocar una denegación, se pasa a través de la interfaz. En este formato, puede tener algunas declaraciones de ‘denegación’ en la parte superior de la lista (puertos para Torrent, protocolos VPN), luego ‘permitir’ para HTTP y potencialmente HTTPS y finalmente una declaración de denegación de todo. Esto bloquearía los protocolos VPN y el torrent fuera de la puerta, permitiría el acceso web básico y negaría todo lo demás.
Este tipo de configuración requiere mucho estudio y práctica. Recomiendo encarecidamente pasar tiempo leyendo la documentación de configuración de Cisco. Puede ser un desafío, pero es realmente el mejor recurso.