Practica 4 ACL - Edgar Bello

Vista previa del material en texto

i s a i a s t e l l e z E l i z a b e t h 
 a d m i n i s t r a c I ó n d e s e r v i c i o s e n r e d 
4 c M 1 5 
I n s t I t u t to p o l I t e c n I c o n a c I o n a l 
E s c u e l a s u p e r i o r de c o m p u t o 
 
f e c h a d e E n t r e g a: 8 de mayo 2023 
G A S P A R M E D I N A F A B I A N 
M a r c o A n t o n i o T e n o r i o m a r r ó n 
B e l l o M u ñ o z E d g a r A l e j a n d r o 
Contenido 
 ........................................................................................................... 2 
........................................................................................................................... 2 
..................................................................................................... 3 
Tabla de interfaces IP........................................................................................................................ 4 
.................................................................... 4 
Curiosidades ................................................................................................................................. 5 
 ............... 7 
 .............................................................................................................................. 9 
 ............................................10 
Bloqueo de segmento de red de pc3 y pc5 a pc2 .................................................................................................10 
Bloquear el acceso desde todo el segmento de red de PC4 hacía PC2 solamente ..................................................................11 
Bloqueo de pc4 a pc3 ........................................................................................................................11 
 .....................................................................................................................12 
BELLO MUÑOZ EDGAR ALEJANDRO ................................................................................................................12 
ISAIAS TELLEZ ELIZABETH.......................................................................................................................13 
 .......................................................................................................................13 
 
 
Valor de la actividad: 10 ptos 
Fecha de entrega: 08 de mayo de 2023 
Las listas de acceso (ACLs Access Lists) son filtros que utilizan 
una numeración para identificarse: 
1-99 son ACLs estándar 
100-199 son ACLs extendidas. 
Las ACLs estándar tienen la configuración siguiente: 
Router(config)# access-list nº permit|deny origen [wild-mask] 
y se aplican a los interfaces con: 
Router (config-if)# ip access-group nº in|out 
siendo in la indicación del tráfico a filtrar que ENTRA por la 
interfaz del router y out la indicación para filtrar el tráfico 
que SALE por la interfaz del router. 
Además la wild-mask, indica con 0 el bit a evaluar y con 1 indica 
que el bit correspondiente se ignora. Por ejemplo, si quiero indicar 
un único host 192.13.13.1 especifico: 192.13.13.1 con wild-mask 
0.0.0.0 y si quiero especificar toda la red clase C correspondiente 
lo indico con 192.13.13.0 y wild-mask 0.0.0.255. 
Las ACLs estándar solo pueden filtrar el tráfico por origen nunca 
por destino. 
Las ACLs extendidas tienen la configuración siguiente, donde 
dependiendo del protocolo especificado (IP, ICMP, TCP, UDP, ...) 
tendremos opciones de configuración diferente, siempre acorde con el 
protocolo, es decir con TCP podré utiliza operación de puertos pero 
con IP no. La sintaxis de las ACLs extendidas es: 
Router (config)# access-list nº permit|deny protocolo origen [wild-
mask] [operación] [puerto origen] destino [wild-mask] [operación] 
[puerto destino] [established] 
La opción de [established] indica que sólo pasarán paquetes TCP con 
los flags ACK o RST activados, es decir, que no permite pasar ningún 
comienzo de conexión con el flag SYN=1 ACK=0, de inicio de sesión 
TCP. Podemos forzar así que el establecimiento de la conexión se 
realice en el sentido contrario donde está establecida la lista de 
acceso. 
Como operación se suele usar eq que significa igual (equal) 
Las ACLs se aplican a los interfaces con la siguiente sintaxis, 
siendo “out” la opción por defecto: 
Router (config-if)# ip access-group nº in|out 
Realiza la siguiente topología en GNS3 y configura las interfaces 
y el enrutamiento. 
 
 
En este ejemplo se usarán las direcciones IP 148.204.1.1, 148.204.2.1 
y 148.204.3.1 como puertas de enlace en cada router. Y las 
direcciones IP 148.204.1.101, 148.204.1.102, 148.204.1.103 
y 148.204.1.104 paras las PC1 a PC4, respectivamente. 
 
 
Tabla de interfaces IP 
Una vez que tengas configuradas todas las interfaces y el 
enrutamiento, prueba haciendo pings desde y hacía todas 
las PC's. 
 
Crearemos una ACL en R3 que deniegue el paso de paquetes de PC1. 
En el modo de configuración de R3 ingresa el siguiente comando: 
R3(config)# ip access-list standard 10 
Ingresarás al modo de configuración de la ACL estándar, ingresa 
los siguientes comandos: 
R3(conf-std-nacl)# ip deny host 148.204.1.101 
R3(conf-std-nacl)# permit any 
R3(conf-std-nacl)# exit 
Ya tenemos la lista que bloquea el tráfico desde PC1, vamos a 
colocarla en una de las interfaces del router. La colocación queda 
a criterio del administrador de la red, pero se tiene que tener mucho 
cuidado de que no afecte el funcionamiento de la red. 
Por ejemplo, vamos a colocarla en la interfaz que conecta con R1, en 
este caso es la GigabitEthernet 0/1. Nota también que se analizará 
el tráfico que entra a la interfaz. Ingresa los siguientes comandos 
en el modo de configuración de R3. 
R3(config)# interface GigabitEthernet 0/1 
R3(config-if)# ip access-group 10 in 
Ahora manda pings de PC1 a PC3. Si configuraste todo bien, deberás 
un mensaje similar a este: 
 
icmp_seq=1 ttl=254 time=6.014 ms (ICMP type:3, 
code:13, Communication administratively prohibited) 
 
Intenta mandar pings desde PC4 y PC2 a PC3 verás que llegarán sin 
problemas. 
 
 
 
 
Curiosidades 
Ahora, veremos algunas curiosidades sobre esta ACL. 
Intenta enviar pings de PC3 a PC1. Si obtienes un timeout es 
normal ¿por qué crees que esto ocurre? Si llega a pc1 pero no 
regresa el mensaje de confirmación 
Solución: Recuerda que el ping envía una respuesta una vez que llegó 
a su destino, pero está respuesta se bloquea por la ACL. 
 
Apaga R4. Espera unos segundos a que el protocolo de enrutamiento 
converja. Ahora Intenta enviar pings de PC1 a PC2. ¿por qué no 
llegan los pings? ¿cómo lo solucionarías? 
Solución: No llegan porque la ACL está bloqueando el tráfico en esa 
interfaz desde PC1 (no importa el destino). Una solución es poner la 
ACL en la interfaz que conecta al switch (GigabitEthernet 0/3), pero 
en este caso, deberás ponerla para tráfico saliente. 
 
Agrega otra VPC (PC5) en el Switch3 y asígnale una dirección IP en 
el mismo segmento de PC3. Intenta enviar pings de PC1 a esa 
nueva PC5. Los pings no llegan ¿Por qué? ¿Cómo se solucionaría? 
 
 
 
Solución: Nuevamente, porque la ACL está bloqueando el tráfico desde 
PC1 hacía cualquier destino. Aquí puede haber muchas soluciones, una 
de ellas es utilizar ACL extendidas. 
 
Para ver las soluciones, resalta los espacios en blanco. 
 
Ahora bloquearemos el acceso de todo el segmento de red, en donde 
se encuentra PC1, a todo el segmento de red en donde está PC3. 
Primero quitamos la lista de acceso anterior, usando el 
comando no. 
R3(config)# interface GigabitEthernet 1/0 
R3(config-if)# no ip access-group 10 in 
 
Ahora creamos una nueva lista de acceso: 
R3(config)# ip access-list standard 20 
R3(conf-std-nacl)# deny 148.204.1.0 0.0.0.255 
R3(conf-std-nacl)# permit anyR3(conf-std-nacl)# exit 
Esta vez colocaremos la ACL en la interfaz que está conectada 
al Switch3 (GigabitEthernet 0/3): 
R3(config)# interface GigabitEthernet 3/0 
R3(config-if)# ip access-group 20 out 
 
Verás que los pings desde PC1 o PC4 no llegarán (intenta cambiar 
las direcciones IP de ambas PC's por otras en el mismo segmento, 
obtendrás el mismo resultado). 
 
 
 
Sin embargo, tampoco llegarán los pings que envíes hacía PC5, para 
solucionar esto usaremos una ACL extendida. 
 
 
Primero quitamos la lista de acceso anterior, usando el comando no. 
R3(config)# interface GigabitEthernet 3/0 
R3(config-if)# no ip access-group 20 out 
Ahora creamos una nueva lista de acceso extendida: 
R3(config)# ip access-list extended 110 
R3(conf-std-nacl)# deny ip 148.204.1.0 0.0.0.255 host 
148.204.3.103 
R3(conf-std-nacl)# permit ip any any 
R3(conf-std-nacl)# exit 
De nuevo la colocaremos en la interfaz que está conectada 
al Switch3 (GigabitEthernet 0/3): 
R3(config)# interface GigabitEthernet 3/0 
R3(config-if)# ip access-group 110 out 
 
 
Manda pings desde PC1 y PC4 hacía PC3, verás que estos no llegarán. 
Manda ahora desde PC1 y PC4 a PC5. Esta vez sí llegarán. 
 
 
 
 
Bloqueo de segmento de red de pc3 y pc5 a pc2 
R2(config)# ip access-list standard 20 
R2(conf-std-nacl)# deny 148.204.3.0 0.0.0.255 
R2(conf-std-nacl)# permit any 
R2(conf-std-nacl)# exit 
R2(config)# interface GigabitEthernet 2/0 
R2(config-if)# ip access-group 20 out 
 
PC3# ping 148.204.2.102 
PC5# ping 148.204.2.102 
 
 
 
Bloquear el acceso desde todo el segmento de red de PC4 hacía PC2 solamente 
R1(config)# ip access-list extended 110 
R1(conf-std-nacl)# deny ip 148.204.2.0 0.0.0.255 host 
148.204.1.104 
R1(conf-std-nacl)# permit ip any any 
R1(conf-std-nacl)# exit 
R1(config)# interface GigabitEthernet 3/0 
R1(config-if)# ip access-group 110 out 
PC2# ping 148.204.1.101 
 PC2# ping 148.204.1.104 
 
Bloqueo de pc4 a pc3 
 
 
R3(config)# ip access-list standard 10 
R3(conf-std-nacl)# deny host 148.204.1.104 
% Access rule can't be configured at higher sequence num as it is 
part of the existing rule at sequence num 20 
R3(conf-std-nacl)# permit any 
R3(conf-std-nacl)# exit 
R3(config)# interface GigabitEthernet 3/0 
R3(config-if)# ip access-group 10 in 
 
 
 
BELLO MUÑOZ EDGAR ALEJANDRO 
Después de realizar la práctica sobre listas de acceso, queda claro 
su importancia para conseguir bloquear elementos de una topología de 
red, se puede llegar a la conclusión de que aunque la configuración 
de listas de acceso puede ser compleja, especialmente si se trata de 
listas de acceso extensas que incluyen múltiples reglas y criterios, 
es muy importante verificar cuidadosamente la sintaxis y la lógica 
de las reglas de las listas de acceso antes de aplicarlas en el 
router, para evitar errores que puedan causar problemas en la red. 
Además, una vez más resulta importante el conocimiento y el buen 
manejo de elementos que sirven al diseño de la red como lo son las 
wildcards que permiten el filtrado de direcciones. 
ISAIAS TELLEZ ELIZABETH 
Al finalizar la practica y poner en marcha los conocimientos 
adquiridos en clases previas, se puede concluir que las listas de 
control de acceso (ACL) son una colección de restricciones de permiso 
y denegación, también conocidas como reglas, que ofrecen seguridad 
al evitar que los usuarios no autorizados accedan a recursos 
particulares y otorgar acceso a los usuarios autorizados de forma 
que sirven como mecanismo de control del tráfico entrante y saliente 
en dispositivos router. Al hablar de la configuración de una ACL nos 
podemos imaginar que es algo complicado, sin embargo, solo debemos 
de conocer la sintaxis de la lista que queremos desplegar (lista 
extendida o lista estandar) y tener en mente todos los parámetros 
que lleva la lista determinada (rango, puerto de origen, wildcard, 
etc), esto a través de pocas líneas de comando dentro de la 
configuración terminal de cada router. 
ManageEngine. (n.d.). Lista de control de Acceso (ACL) en la 
red. Lista de control de acceso ACL | Definición de lista 
de control de acceso (ACL) - ManageEngine Network 
Configuration Manager. 
https://www.manageengine.com/latam/network-configuration-
manager/lista-de-control-de-acceso-cisco.html 
Mifsud, E. (n.d.). Monográfico: Listas de control de Acceso 
(ACL) - conclusión. recursostic.educacion.es. 
http://recursostic.educacion.es/observatorio/web/ca/softw
are/servidores/1065-listas-de-control-de-acceso-
acl?start=4 
Pandey, P. (2022, November 9). Access control list (ACL). 
Scaler Topics. https://www.scaler.com/topics/access-
control-list/ 
Wallarm. (2023, April 12). What is ACL? examples and types of 
access control list. RSS. 
https://www.wallarm.com/what/whats-the-access-control-
list-acl