Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
i s a i a s t e l l e z E l i z a b e t h a d m i n i s t r a c I ó n d e s e r v i c i o s e n r e d 4 c M 1 5 I n s t I t u t to p o l I t e c n I c o n a c I o n a l E s c u e l a s u p e r i o r de c o m p u t o f e c h a d e E n t r e g a: 8 de mayo 2023 G A S P A R M E D I N A F A B I A N M a r c o A n t o n i o T e n o r i o m a r r ó n B e l l o M u ñ o z E d g a r A l e j a n d r o Contenido ........................................................................................................... 2 ........................................................................................................................... 2 ..................................................................................................... 3 Tabla de interfaces IP........................................................................................................................ 4 .................................................................... 4 Curiosidades ................................................................................................................................. 5 ............... 7 .............................................................................................................................. 9 ............................................10 Bloqueo de segmento de red de pc3 y pc5 a pc2 .................................................................................................10 Bloquear el acceso desde todo el segmento de red de PC4 hacía PC2 solamente ..................................................................11 Bloqueo de pc4 a pc3 ........................................................................................................................11 .....................................................................................................................12 BELLO MUÑOZ EDGAR ALEJANDRO ................................................................................................................12 ISAIAS TELLEZ ELIZABETH.......................................................................................................................13 .......................................................................................................................13 Valor de la actividad: 10 ptos Fecha de entrega: 08 de mayo de 2023 Las listas de acceso (ACLs Access Lists) son filtros que utilizan una numeración para identificarse: 1-99 son ACLs estándar 100-199 son ACLs extendidas. Las ACLs estándar tienen la configuración siguiente: Router(config)# access-list nº permit|deny origen [wild-mask] y se aplican a los interfaces con: Router (config-if)# ip access-group nº in|out siendo in la indicación del tráfico a filtrar que ENTRA por la interfaz del router y out la indicación para filtrar el tráfico que SALE por la interfaz del router. Además la wild-mask, indica con 0 el bit a evaluar y con 1 indica que el bit correspondiente se ignora. Por ejemplo, si quiero indicar un único host 192.13.13.1 especifico: 192.13.13.1 con wild-mask 0.0.0.0 y si quiero especificar toda la red clase C correspondiente lo indico con 192.13.13.0 y wild-mask 0.0.0.255. Las ACLs estándar solo pueden filtrar el tráfico por origen nunca por destino. Las ACLs extendidas tienen la configuración siguiente, donde dependiendo del protocolo especificado (IP, ICMP, TCP, UDP, ...) tendremos opciones de configuración diferente, siempre acorde con el protocolo, es decir con TCP podré utiliza operación de puertos pero con IP no. La sintaxis de las ACLs extendidas es: Router (config)# access-list nº permit|deny protocolo origen [wild- mask] [operación] [puerto origen] destino [wild-mask] [operación] [puerto destino] [established] La opción de [established] indica que sólo pasarán paquetes TCP con los flags ACK o RST activados, es decir, que no permite pasar ningún comienzo de conexión con el flag SYN=1 ACK=0, de inicio de sesión TCP. Podemos forzar así que el establecimiento de la conexión se realice en el sentido contrario donde está establecida la lista de acceso. Como operación se suele usar eq que significa igual (equal) Las ACLs se aplican a los interfaces con la siguiente sintaxis, siendo “out” la opción por defecto: Router (config-if)# ip access-group nº in|out Realiza la siguiente topología en GNS3 y configura las interfaces y el enrutamiento. En este ejemplo se usarán las direcciones IP 148.204.1.1, 148.204.2.1 y 148.204.3.1 como puertas de enlace en cada router. Y las direcciones IP 148.204.1.101, 148.204.1.102, 148.204.1.103 y 148.204.1.104 paras las PC1 a PC4, respectivamente. Tabla de interfaces IP Una vez que tengas configuradas todas las interfaces y el enrutamiento, prueba haciendo pings desde y hacía todas las PC's. Crearemos una ACL en R3 que deniegue el paso de paquetes de PC1. En el modo de configuración de R3 ingresa el siguiente comando: R3(config)# ip access-list standard 10 Ingresarás al modo de configuración de la ACL estándar, ingresa los siguientes comandos: R3(conf-std-nacl)# ip deny host 148.204.1.101 R3(conf-std-nacl)# permit any R3(conf-std-nacl)# exit Ya tenemos la lista que bloquea el tráfico desde PC1, vamos a colocarla en una de las interfaces del router. La colocación queda a criterio del administrador de la red, pero se tiene que tener mucho cuidado de que no afecte el funcionamiento de la red. Por ejemplo, vamos a colocarla en la interfaz que conecta con R1, en este caso es la GigabitEthernet 0/1. Nota también que se analizará el tráfico que entra a la interfaz. Ingresa los siguientes comandos en el modo de configuración de R3. R3(config)# interface GigabitEthernet 0/1 R3(config-if)# ip access-group 10 in Ahora manda pings de PC1 a PC3. Si configuraste todo bien, deberás un mensaje similar a este: icmp_seq=1 ttl=254 time=6.014 ms (ICMP type:3, code:13, Communication administratively prohibited) Intenta mandar pings desde PC4 y PC2 a PC3 verás que llegarán sin problemas. Curiosidades Ahora, veremos algunas curiosidades sobre esta ACL. Intenta enviar pings de PC3 a PC1. Si obtienes un timeout es normal ¿por qué crees que esto ocurre? Si llega a pc1 pero no regresa el mensaje de confirmación Solución: Recuerda que el ping envía una respuesta una vez que llegó a su destino, pero está respuesta se bloquea por la ACL. Apaga R4. Espera unos segundos a que el protocolo de enrutamiento converja. Ahora Intenta enviar pings de PC1 a PC2. ¿por qué no llegan los pings? ¿cómo lo solucionarías? Solución: No llegan porque la ACL está bloqueando el tráfico en esa interfaz desde PC1 (no importa el destino). Una solución es poner la ACL en la interfaz que conecta al switch (GigabitEthernet 0/3), pero en este caso, deberás ponerla para tráfico saliente. Agrega otra VPC (PC5) en el Switch3 y asígnale una dirección IP en el mismo segmento de PC3. Intenta enviar pings de PC1 a esa nueva PC5. Los pings no llegan ¿Por qué? ¿Cómo se solucionaría? Solución: Nuevamente, porque la ACL está bloqueando el tráfico desde PC1 hacía cualquier destino. Aquí puede haber muchas soluciones, una de ellas es utilizar ACL extendidas. Para ver las soluciones, resalta los espacios en blanco. Ahora bloquearemos el acceso de todo el segmento de red, en donde se encuentra PC1, a todo el segmento de red en donde está PC3. Primero quitamos la lista de acceso anterior, usando el comando no. R3(config)# interface GigabitEthernet 1/0 R3(config-if)# no ip access-group 10 in Ahora creamos una nueva lista de acceso: R3(config)# ip access-list standard 20 R3(conf-std-nacl)# deny 148.204.1.0 0.0.0.255 R3(conf-std-nacl)# permit anyR3(conf-std-nacl)# exit Esta vez colocaremos la ACL en la interfaz que está conectada al Switch3 (GigabitEthernet 0/3): R3(config)# interface GigabitEthernet 3/0 R3(config-if)# ip access-group 20 out Verás que los pings desde PC1 o PC4 no llegarán (intenta cambiar las direcciones IP de ambas PC's por otras en el mismo segmento, obtendrás el mismo resultado). Sin embargo, tampoco llegarán los pings que envíes hacía PC5, para solucionar esto usaremos una ACL extendida. Primero quitamos la lista de acceso anterior, usando el comando no. R3(config)# interface GigabitEthernet 3/0 R3(config-if)# no ip access-group 20 out Ahora creamos una nueva lista de acceso extendida: R3(config)# ip access-list extended 110 R3(conf-std-nacl)# deny ip 148.204.1.0 0.0.0.255 host 148.204.3.103 R3(conf-std-nacl)# permit ip any any R3(conf-std-nacl)# exit De nuevo la colocaremos en la interfaz que está conectada al Switch3 (GigabitEthernet 0/3): R3(config)# interface GigabitEthernet 3/0 R3(config-if)# ip access-group 110 out Manda pings desde PC1 y PC4 hacía PC3, verás que estos no llegarán. Manda ahora desde PC1 y PC4 a PC5. Esta vez sí llegarán. Bloqueo de segmento de red de pc3 y pc5 a pc2 R2(config)# ip access-list standard 20 R2(conf-std-nacl)# deny 148.204.3.0 0.0.0.255 R2(conf-std-nacl)# permit any R2(conf-std-nacl)# exit R2(config)# interface GigabitEthernet 2/0 R2(config-if)# ip access-group 20 out PC3# ping 148.204.2.102 PC5# ping 148.204.2.102 Bloquear el acceso desde todo el segmento de red de PC4 hacía PC2 solamente R1(config)# ip access-list extended 110 R1(conf-std-nacl)# deny ip 148.204.2.0 0.0.0.255 host 148.204.1.104 R1(conf-std-nacl)# permit ip any any R1(conf-std-nacl)# exit R1(config)# interface GigabitEthernet 3/0 R1(config-if)# ip access-group 110 out PC2# ping 148.204.1.101 PC2# ping 148.204.1.104 Bloqueo de pc4 a pc3 R3(config)# ip access-list standard 10 R3(conf-std-nacl)# deny host 148.204.1.104 % Access rule can't be configured at higher sequence num as it is part of the existing rule at sequence num 20 R3(conf-std-nacl)# permit any R3(conf-std-nacl)# exit R3(config)# interface GigabitEthernet 3/0 R3(config-if)# ip access-group 10 in BELLO MUÑOZ EDGAR ALEJANDRO Después de realizar la práctica sobre listas de acceso, queda claro su importancia para conseguir bloquear elementos de una topología de red, se puede llegar a la conclusión de que aunque la configuración de listas de acceso puede ser compleja, especialmente si se trata de listas de acceso extensas que incluyen múltiples reglas y criterios, es muy importante verificar cuidadosamente la sintaxis y la lógica de las reglas de las listas de acceso antes de aplicarlas en el router, para evitar errores que puedan causar problemas en la red. Además, una vez más resulta importante el conocimiento y el buen manejo de elementos que sirven al diseño de la red como lo son las wildcards que permiten el filtrado de direcciones. ISAIAS TELLEZ ELIZABETH Al finalizar la practica y poner en marcha los conocimientos adquiridos en clases previas, se puede concluir que las listas de control de acceso (ACL) son una colección de restricciones de permiso y denegación, también conocidas como reglas, que ofrecen seguridad al evitar que los usuarios no autorizados accedan a recursos particulares y otorgar acceso a los usuarios autorizados de forma que sirven como mecanismo de control del tráfico entrante y saliente en dispositivos router. Al hablar de la configuración de una ACL nos podemos imaginar que es algo complicado, sin embargo, solo debemos de conocer la sintaxis de la lista que queremos desplegar (lista extendida o lista estandar) y tener en mente todos los parámetros que lleva la lista determinada (rango, puerto de origen, wildcard, etc), esto a través de pocas líneas de comando dentro de la configuración terminal de cada router. ManageEngine. (n.d.). Lista de control de Acceso (ACL) en la red. Lista de control de acceso ACL | Definición de lista de control de acceso (ACL) - ManageEngine Network Configuration Manager. https://www.manageengine.com/latam/network-configuration- manager/lista-de-control-de-acceso-cisco.html Mifsud, E. (n.d.). Monográfico: Listas de control de Acceso (ACL) - conclusión. recursostic.educacion.es. http://recursostic.educacion.es/observatorio/web/ca/softw are/servidores/1065-listas-de-control-de-acceso- acl?start=4 Pandey, P. (2022, November 9). Access control list (ACL). Scaler Topics. https://www.scaler.com/topics/access- control-list/ Wallarm. (2023, April 12). What is ACL? examples and types of access control list. RSS. https://www.wallarm.com/what/whats-the-access-control- list-acl
Compartir