Practica 6 - ACL Listas de control de acceso PDF

Title Practica 6 - ACL Listas de control de acceso
Course Diseño De Redes Conmutadas
Institution Escuela Superior Politécnica del Litoral
Pages 11
File Size 652.7 KB
File Type PDF
Total Downloads 43
Total Views 134
Preview
CLICK TO PREVIEW PDF
Summary

ACL Listas de control de acceso...

Description

ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL

FIEC

Laboratorio de Diseño de Redes Conmutadas.

Práctica N◦6. Nombre de la Práctica: “ACL Listas de control de acceso”.

Integrantes:

Paralelo:

Grupo N◦1

Fecha de Presentación: 21 de Agosto del 2018.

INTRODUCCIÓN: Debido a que en una red, los host requieren servicios de aplicaciones, como compartir video, imágenes en la red. Se puede controlar el tráfico de la red, configurando de acuerdo al puerto TCP. Esto se realiza comprobando unas especificaciones como dirección IP de origen, de destino y el tipo de mensaje, además de información de capas superiores puerto TCP/UDP de origen y destino. Las ACL se las puede configurar por: protocolo, dirección y por interfaz. Y existen dos ACL de entrada y salida, definida como estándar y extendida. Por eficacia las ACL extendidas se usan cerca del tráfico denegado y las estándar lo más cerca del destino. Conociendo las funciones que cumplen las ACL, en la práctica procedimos a armar la red, cambiar los nombres de los router, alzar las interfaces a utilizar y el protocolo OSPF, colocar contraseñas a las líneas vty, a la interfaz y líneas de consola. Una vez verificado los enlaces seriales, se configuro las ACL estándar para que los host conectados tengan acceso a telnet. Después se configuro las ACL ampliadas en R2. La LAN 1 no puede alcanzar a LAN 3. Permitir el ingreso al tráfico OSPF, IMCP a las interfaces de R2, el ingreso del tráfico destinado al puerto TCP80 y negarse al restante. Para verificar las configuraciones, debemos probar que protocolos se intentan bloquear y el tráfico permitido probando pings, HTTP, Telnet y OSPF. Durante esta práctica se configurará 3 routers de CISCO con un protocolo de enrutamiento, y, a los mismos se les configurará las Listas de Control de Acceso. Que controlaran el tráfico de entrada y salida de la red. Es un pequeño sistema de seguridad integrado en el router, que no llega al nivel de un Firewall. Para esto se definen ciertas reglas y se decide “permitir” o “denegar” según la dirección ip de origen, la dirección ip de destino y el tipo de mensaje ICMP.

MARCO TEÓRICO: De manera predeterminada, un router no tiene ninguna ACL configurada y, por lo tanto, no filtra el tráfico. El tráfico que ingresa al router es enrutado según la tabla de enrutamiento. Si no utiliza una ACL en el router, todos los paquetes que pueden enrutarse a través del router lo atraviesan hacia el próximo segmento de la red. Puede configurar una ACL por protocolo, por dirección y por interfaz. •

• Una ACL por protocolo: para controlar el flujo de tráfico de una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz.



• Una ACL por dirección: las ACL controlan el tráfico en una dirección a la vez de una interfaz. Deben crearse dos ACL por separado para controlar el tráfico entrante y saliente.



• Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo, Fast Ethernet 0/0.

Las ACL se configuran para ser aplicadas al tráfico entrante o saliente. •

• ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz de salida. Una ACL de entrada es eficaz porque guarda la carga de búsquedas de enrutamiento si el paquete se descarta. Si el paquete está autorizado por las pruebas, luego se procesa para el enrutamiento.



• ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesados a través de la ACL de salida.

TIPOS DE ACL ACL estándar Las ACL estándar filtran paquetes IP solamente según la dirección IP de origen. Access-list 10 permit 192.168.30.0 0.0.0.255, el ejemplo permite todo el tráfico desde la red 192.168.30.0/24. Debido a la sentencia implícita "deny any" (denegar todo) al final, todo el otro tráfico se bloquea con esta ACL. Las ACL estándar se crean en el modo de configuración global. ACL extendidas Las ACL extendidas filtran los paquetes IP en función de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e información opcional de tipo de protocolo para una mejor disparidad de control. Access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80, la ACL 103 permite el tráfico que se origina desde cualquier dirección en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo de configuración global. NUMERACIÓN Y DENOMINACIÓN DE LAS ACL ACL numerada: Se asigna un número (de 1 a 99 y de 1300 a 1999 ACL IP Estándar) (de 100 a 199 y de 2000 a 2699 ACL IP Extendida). ACL denominada: Asigna un nombre, el cual puede contener caracteres alfanuméricos, no pueden contener espacios ni signos de puntuación y deben comenzar con una letra. UBICACIÓN DE ACL Todas las ACL deben ubicarse donde más repercutan sobre la eficacia. Las reglas básicas son: •

• Ubicar las ACL extendidas lo más cerca posible del origen del tráfico denegado. De esta manera, el tráfico no deseado se filtra sin atravesar la infraestructura de red.



• Como las ACL estándar no especifican las direcciones de destino, colóquelas lo más cerca del destino posible.

MASCARA WILDCARD DE LAS ACL Una máscara wildcard es una secuencia de dígitos binarios que le indican al router qué partes del número de subred observar. Aunque las máscaras wildcard no tienen una relación funcional con las máscaras de subred, sí proporcionan una función similar. La máscara determina qué parte de la dirección IP de origen y destino aplicar a la concordancia de direcciones. Los números 1 y 0 de la máscara identifican cómo considerar los bits de direcciones IP correspondientes. Las máscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros binarios. •

• Bit 0 de máscara wildcard: hacer coincidir el valor de bits correspondiente de la dirección



• Bit 1 de máscara wildcard: ignorar el valor de bits correspondiente de la dirección

Las máscaras wildcard generalmente son denominadas máscaras inversas. El motivo es que, a diferencia de una máscara de subred cuyo 1 binario representa una coincidencia y el 0 binario la falta de coincidencia, lo inverso es verdadero. Trabajar con representaciones decimales de bits wildcard binarios puede ser una tarea muy tediosa. Para simplificarla, las palabras clave host y any ayudan a identificar los usos más comunes de las máscaras wildcard. Con estas palabras clave no necesita ingresar las máscaras wildcard al identificar un host o red específicos. También facilitan la lectura de una ACL al proporcionar pistas visuales en cuanto al origen o destino del criterio. •

• La opción host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los bits de direcciones IP deben coincidir o que sólo un host coincide.



• La opción any reemplaza la dirección IP y la máscara 255.255.255.255. Esta máscara indica que debe ignorarse toda la dirección IP o que deben aceptarse todas las direcciones.

APLICAR ACL A LAS INTERFACES Luego de configurar una ACL estándar, se la vincula a una interfaz con el comando: ip access-group: Router(config-if) #ip access-group {número de lista de acceso | nombre de lista de acceso} {in | out}

Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group en la interfaz y luego el comando global no access-list para eliminar toda la ACL.

CAPTURAS Luego de haber configurado los equipos como detalla en la práctica vamos a verificar que los enlaces seriales estén activos y para verificar rápidamente lo haremos en R2.

Verificamos la conectividad desde R2 a los Host en este caso PC1 y PC3 PC1

PC3

Luego de verificar la conectividad vamos a configurar las ACL para permitir que los Hostos conectados directamente a sus subredes tengan acceso telnet. Vamos a establecer sesión telnet a: - R1 DESDE PC1

- R3 DESDE PC1

- R1 DESDE PC3

- R3 DESDE PC3

Como podemos observar solo las Pcs que estén en las mismas subredes pueden acceder a sus router.

Ahora vamos a comprobar las ACL ampliadas creadas para crear nuevas reglas de accesos ya sea para bloquear cierto tráfico desde ciertas redes, como también bloquear el acceso a internet, entre otras cosas.

Probaremos el tráfico de RA A R3 Y DE R3 A R1 haciendo ping. Ping desde PC1 a PC3

Ping desde PC3 a PC1

Como se puede observar ambos pings fallaron. Comprobaremos el acceso al puerto 80

Verificaremos las Rutas OSPF R1

R2

R3

Probaremos el ping a R2 Ping a R2 desde R1 y PC1

Ping a R2 desde R3 y PC3

Como observamos todos los pings se han realizado correctamente. Y realizaremos otras pruebas para confirmar que se haya negado el resto del tráfico.

Conclusiones •

Se pudo diferenciar la configuración entre ACL estándar de la ACL extendida, en donde la ACL estándar permiten denegar paquetes según la IP origen versus la extendida que se deben especificar atributos como tipo de protocolos IP destino/origen.



Las listas de control de acceso nos permitieron verificar que efectivamente separa privilegios o da permisos a alguna red o host.



Se pudo observar la configuración que se la da a la wildcard junto al valor de la IP, en donde se indica que un cero “0” indica que el bit ha de compararse y un uno “1” indica que se ignore.



El uso de ACLs es un pequeño peldaño para construir la seguridad de una red. No es tan potente como un Firewall, pero es bastante efectivo.

Recomendaciones •

Se recomienda verificar siempre las interfaces por medio del comando “show ip interface brief”.



Antes de hacer la configuración de los equipos, revisar el tipo de cableado si es el correcto según la red presentada en la práctica.



Al configurar el router procure eliminar todas las configuraciones realizadas con anterioridad, para evitar problemas con la práctica de los demás grupos.



Revisar las rutas que tienen los routers con el comando “show ip route”



Para usar la sesión telnet se debe configurar el line vty en todos los routers.

BIBLIOGRAFIA: ▪ Modulo 3 Cisco CCNA Exploration 3, detallada en el sitio https://sites.google.com/site/paginamodulo3vlan/3-2-enlaces-troncales, es muy usada en Ingeniería en Telecomunicaciones.

▪ IBM Knowledge Cente, utilizada en ciencias computacionales, descrita en https://www.ibm.com/support/knowledgecenter/es/SS2GNX_7.1.1/com.ibm.tivoli.tpm. scenario.doc/network/cnet_trunking.html....

Similar Free PDFs
Practica 6 - ACL Listas de control de acceso
  • 11 Pages
Capítulo 9 - Listas de control de acceso
  • 121 Pages
Resumen - Capítulo 7 “Listas de control de acceso”
  • 5 Pages
Tercer_Laboratorio_ de_CSR0 (Ruteo Estatico y Listas de Control de Acceso)
  • 16 Pages
SSR 7 - Control de Acceso
  • 18 Pages
Control de acceso en bases de datos
  • 4 Pages
TEST DE Acentuación - test practica acentuacion acceso
  • 2 Pages
40190 examenes cisco ccna 3 1 gratis listas de acceso
  • 4 Pages
Tercera Practica DE Control III
  • 24 Pages
Control de lectura 6
  • 2 Pages
Práctica 4 Listas DE Control Y Escalas DE Estimación
  • 2 Pages
Tecnologia de control de acceso - anio 3 seguridad informatica
  • 8 Pages
Desarrollo DE Practica 6
  • 3 Pages
Practica#8 Lab de Ing de control
  • 4 Pages
Listas estructura de datos
  • 7 Pages
Ejercicios de listas Python
  • 1 Pages
Popular Institutions