Trabajando con mac access-list cisco

El IOS de Cisco tiene varias particularidades y una de las mas utilizadas en Capa 3 son las access-list, tanto para filtros como para marcar paquetes (match).

¿Sería posible hacer algo parecido a lo que uno hace en iptables?

El objetivo era realizar en Cisco algo equivalente a esto:

iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP

Después de documentarme un poco, he llegado a utilizar las no tan famosas mac access-list, su funcionamiento es similar a las tradicionales, pero lamentablemente al parecer solo hacen match en capa 2.

Existen 2 formas comunes de usarlas, la mas simple es muy similar al uso de las tradicionales, s e crea la mac access-list extend y luego se aplica a la interfaz física ( no se puede a interfaces VLAN).

La otra forma, es usar un mapeo y aplicar un filter vlan, esta última forma es mas elegante, se puede usar a VLAN’s especificas o inclusive a todas.

Creo hacerlo bien, pero no me funciona….

Anteriormente mencioné que trabaja sobre capa 2, por lo tanto si bloqueas una MAC, el equipo se verá impedido de construir su tabla ARPy por ende no navegará. Cuando el filtro es aplicado en forma posterior, es decir, cuando la tabla ya está construida en el sistema operativo, el filtro no funciona.

En Linux y OSX, las tablas ARP se van actualizando cada cierto tiempo, por ende al aplicar un filtro asi, estos equipos navegaran por un minuto APP y luego dejará de hacerlo, sin embargo en Windows, el caché ARP dura bastante, esta es la razón de por que al aplicar un filtro a Windows el equipo parece no verse afectado.

Si en windows limpian la tabla arp ( en CMD con el comando arp -d ), verán como ya deja de navegar.

Otro problema es que si el usuario bloqueado tiene los suficientes conocimientos, podría arpar su tabla ARP en forma manual, en ese caso, el filtro queda totalmente obsoleto.

Como verán, el uso de las mac access-list es por decirlo de alguna forma, un filtro demasiado condicionado y poco efectivo, pero de todas formas, en algunos casos podría ayudar.

Referencia:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml

Subscribe
Notify of
guest

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x