REC0 Guia7 PDF

Preview

Summary

Guia Packet Tracer...

Description

Facultad de Ingeniería y Sistemas Redes de Computadoras REC0 Ciclo 02-2018

Guía práctica #7

“Listas de Control de Acceso - ACL” Nombre

Carnet

Objetivos de la práctica: que los estudiantes desarrollen competencias para la configuración de Spanning Tree Protocol. Instrucciones: después de leer la introducción teórica y recibir instrucciones del docente descargue sus resultados de la práctica anterior y realice la configuración solicitada utilizando el software Cisco Packet Tracer en la versión proporcionada. Entregables: Al finalizar la práctica cada estudiante deberá subir a la UVirtual lo siguiente: 1. Esta guía resuelta en formato PDF 2. Un archivo. pkt generado por Packet Tracer.

Introducción teórica Una Lista de Control de Acceso o ACL, es un mecanismo que permite filtrar tráfico en forma de reglas para permitir o denegar ciertos tipos de tráfico. 

Una ACL Estándar permite crear reglas para direcciones IP, denegando o permitiendo el acceso a una red desde un origen determinado. Las listas de acceso estándar se identifican por los números 1 a 99 y se aplican en la interfaz más cercana al destino.



Una ACL Extendida se identifica por los números 100 a 199 y se aplican en la interfaz más cercana a la fuente o la red origen. Se utilizan para denegar o permitir el tráfico desde una dirección IP de origen, o hacia una dirección IP destino, y además permiten establecer reglas para puertos y servicios.

Procedimiento La siguiente topología, está creada para tener conectividad entre todas las redes. Siguiendo los pasos siguientes se crearán listas de control de acceso.

Primeramente configura desde la línea de comando (CLI) las rutas estáticas en cada router de manera que todas puedan conectarse entre sí. En Router 0: Router> Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip route 192.168.3.0 255.255.255.0 192.168.5.2 Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.5.2

En Router 1: Router> Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip route 192.168.1.0 255.255.255.0 192.168.5.1 Router(config)#ip route 192.168.2.0 255.255.255.0 192.168.5.1

Inserte una captura de pantalla con sus resultados. No olvides configurar los demás dispositivos con las IP, máscaras de subred y Gateway predeterminado dadas en las topologías. El valor del Servidor se configurará más adelante. Una vez termines, realiza un ping entre los dispositivos de las redes para comprobar conectividad. 1. Configurar un “Servidor Web” en Packet Tracer Abrir la configuración del Web Server (192.168.1.75) y en la Pestaña “Services” hacer clic en HTTP. Luego hacer clic en la opción (edit) que se encuentra a la derecha de index.html Pegar el siguiente código:



Networing Server REC0-2018 *** Usuarios autorizados ***

Usuario: Contraseña:

Quick Links: A small page Copyrights Image page Image

Guardar los cambios haciendo clic en el botón “Save”, se nos pedirá confirmar y hacemos clic en “Yes”. Hacer clic nuevamente en la opción HTTP y verificar que el servicio se encuentra activado (en la opción ON). Ahora vaya a cualquier computadora e ingrese a la opción Web Browser de la pestaña Desktop. Inserte la siguiente dirección en la URL: http://192.168.1.75/ y haga clic en el botón “Go” Inserte una captura de pantalla con sus resultados. 2. Configurar un Servidor de DNS en Packet Tracer Dado que resulta poco amigable al usuario tener que acceder a sus sitios web favoritos por medio de direcciones IP, se diseñó el servicio de resolución de nombres que sirve como un traductor entre nombres de sitios web y direcciones IP de sus hosts o servidores. En el Servidor DNS (192.168.1.98) abra la configuración de la pestaña “Services” y luego DNS. Verifique que está activa (ON). Realice la siguiente configuración del registro: Name: www.rec0.edu Address: 192.168.1.75 Hacer clic en el botón “Add”. Ahora deberá configurar en todas las computadoras de la topología para que apunten al DNS Server (192.168.1.98). Ingrese a la opción Web Browser de la pestaña Desktop. Inserte la siguiente dirección en la URL: http://www.rec0.edu y haga clic en el botón “Go” Inserte una captura de pantalla con sus resultados.

3. Configurar una Lista de Control de Acceso Estándar Para el siguiente paso deseamos evitar que el host con la dirección IP 192.168.3.102 tenga acceso a la Red 192.168.1.0/24. Una Lista de Acceso nos permitirá limitar el acceso de determinado tráfico en un Router, básicamente podría compararse al trabajo que realiza un Firewall impidiendo la comunicación no deseada. La ACL estándar nos permitirá crear una regla basados en la dirección IP de la fuente. Las listas de acceso estándar se aplican a la interfaz más cercana al destino y están numeradas del 1 al 99. 1. Crearemos la lista de acceso en el Router0: Router> Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.3.102 0.0.0.0 Router(config)#access-list 1 permit any Router(config)#end

Ejecute el comando para verificar que la lista de acceso se ha creado e inserte una captura de pantalla con sus resultados. 2. Aplicaremos la lista de acceso en la interfaz FastEthernet 0/0 del Router0 ya que es la más cercana al destino y la aplicaremos al outbound Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int fa0/0 Router(config-if)#ip access-group 1 out Router(config-if)# Router(config)#end

Ejecute el comando para verificar que la lista de acceso se ha asignado a la interfaz Fast Ethernet 0/0 e inserte una captura de pantalla con sus resultados. 3. Verificar la aplicación de la Lista de Acceso, usaremos el Command Promt y el Web Browser:  Desde la PC-B (192.168.3.101) realice un ping a la IP 192.168.1.75.  Desde la PC-C (192.168.3.102) realice un ping a la IP 192.168.1.75. Inserte una captura de pantalla con sus resultados.  Verifique que ambas computadoras están apuntando al Servidor DNS y luego desde el Web Browser ingrese a la URL http://www.rec0.edu

Inserte una captura de pantalla con sus resultados. 4. Modificar una Lista de Control de Acceso Estándar Sí ejecutamos los siguientes comandos en el Router0 con el objetivo de también bloquear el tráfico de la PC-B:

Router>en Router#config t Router(config)#access-list 1 deny 192.168.3.101 0.0.0.0 Router(config)#end

Veremos que la ACL queda de la siguiente forma: access-list 1 deny host 192.168.3.102 access-list 1 permit any access-list 1 deny host 192.168.3.101

Además del deny any que está implícito al final de la ACL. Vendría siendo algo así: access-list access-list access-list access-list

1 1 1 1

deny host 192.168.3.102 permit any deny host 192.168.3.101 deny any

Pero bien, recordemos que al configurar ACL, se debe seguir cierto orden para que estas puedan ser procesadas de forma correcta. El problema es que de esta forma la regla general de permitir todo, se aplica antes que la última regla especifica de bloquear el tráfico de la PC-B. Y por lo tanto la PCB seguirá teniendo comunicación con la Red 192.168.1.0/24. (Puede probar esto haciendo ping apuntando al Server). En el caso de las Listas de Control de Acceso Estándar el procedimiento para modificar la lista es el siguiente: 1. Des-asignar la ACL a la interfaz, pues, aunque hiciéramos cambios o borráramos la ACL, esta aplicación seguiría vigente en la interfaz: Router#config t Router(config)#int fa0/0 Router(config-if)#no ip access-group 1 out Router(config-if)#exit

2. Borrar la ACL y crearla desde cero: Router(config)#no access-list 1

3. Configurar nuevamente las ACL. (En este caso podemos asignar nuevamente el número 1 al crear la ACL, pero usaremos el número 3 para recordar que es una ACL nueva). Router(config)#access-list 3 deny host 192.168.3.101 Router(config)#access-list 3 deny host 192.168.3.102 Router(config)#access-list 3 permit any Router(config)#int fa0/0 Router(config-if)#ip access-group 3 out Router(config-if)#end

Inserte una captura de pantalla con la nueva configuración de la ACL y la configuración de la interfaz 5. Configurar una Lista de Control de Acceso Extendida Las Listas de Control de Acceso Extendidas se aplican en la interfaz más cercana a la fuente o el origen.

En este caso configuraremos una Lista de Control de Acceso Extendida que incluya una regla para que los equipos en la red 192.168.4.0/24 puedan acceder al contenido HTTP del Servidor Web (192.168.1.75) pero no pueda hacer PING a las computadoras en dicha red. En el Router1 realizaremos la siguiente configuración: Router>en Router#config t Router(config)#access-list 192.168.1.75 eq 80 Router(config)#access-list 192.168.1.98 Router(config)#access-list 0.0.0.255 Router(config)#access-list 0.0.0.255

101 permit tcp 192.168.4.0 0.0.0.255 host 101 permit ip 192.168.4.0 0.0.0.255 host 101 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 101 permit ip 192.168.4.0 0.0.0.255 192.168.3.0

Finalmente, se pasa a asignar a la interfaz correspondiente la ACL que se configuró. Note que debe quedar como una ACL de entrada: Router(config)#int fa0/1 Router(config-if)#ip access-group 101 in Router(config-if)#end

Inserte una captura de pantalla con la nueva configuración de la ACL y la configuración de la interfaz Ahora valide que puede ingresar desde el Web Browser PC-E y PC-F a la URL: http://www.rec0.edu  Confirme que PC-E y PC-F pueden hacer ping a la IP del DNS pero no al Web Server  Verifique que ambas computadoras tienen conexión al resto de computadoras de la topología



6. Configurar una Lista de Control de Acceso por Nombre En este caso se realizará la configuración que permita que la PC-A tenga acceso únicamente al servidor web en formato IP (Sin el DNS) y no debe poder comunicarse con las otras redes. Únicamente poder ingresar al portal web por medio de la dirección IP. Se realizará la siguiente configuración en el Router0: Router>en Router#conf t Router(config)#ip access-list extended WEBACCESS Router(config-ext-nacl)#permit tcp 192.168.2.0 0.0.0.255 host 192.168.1.75 eq 80 Router(config-ext-nacl)#end Router#config t Router(config)#int fa0/1 Router(config-if)#ip access-group WEBACCESS in Router(config-if)#end

Inserte una captura de pantalla con la nueva configuración de la ACL y la configuración de la interfaz. Desde la PC-A ingrese a la opción Web Browser de la pestaña Desktop. Inserte la siguiente dirección en la URL: http://192.168.1.75/ y haga clic en el botón “Go”

Inserte una captura de pantalla Ahora valide si es posible o no la conectividad mediante PING o mediante Simple PDU del modo de simulación en tiempo real en Packet Tracer



Conclusión Responde a las siguientes preguntas: ¿Por qué las Listas de Acceso Estándar se deben aplicar en la interfaz más cercana al destino? ¿Qué ocurriría si la ACL 3 que creamos en el paso 4 la hubiéramos definido en la interfaz fa0/1del Router1? Investigue: ¿Cuál es la relación entre las Listas de Control de Acceso y los Firewall? ¿Cuál es la importancia del deny all o deny any implícito al final de cada ACL? Guarde este documento en formato PDF, y súbalo a la U-virtual junto al archivo de Packet Tracer que utilizó. Criterios de evaluación Elemento

Puntaj e

Ralización de cada parte de la guía (1 – 6)

6

Todas las capturas de pantalla fueron incluidas

1

Conclusiones

2

La guía se entregó a tiempo en formato PDF

1

Total

10...