domingo, 25 de septiembre de 2016

Laboratorio 5: Listas de control de acceso básicas

  7 comentarios


Configurar una lista de control de acceso estándar para filtrar los paquetes que llegan al servidor Server0 de manera que solo PC0 de la RED A tenga el acceso permitido, denegando el acceso al resto, para ello hay que aplicar la lista de acceso en la interfaz del router cercana al destino.

Desarrollo


  • Listado de Configuraciones Aplicadas
  • Al Router B se agregó un interface Eth 0/0/0
  • Ip interfaces de Routres
  • Ip en cada uno de los hosts correspondientes a su red
  • Enrutamiento con protocolo rip para comunicar toda la red 


Realizar la topología en Cisco Packet Tracer






Configuración de los Hosts


Host IPs Gateway
PC0 192.168.10.5/24 192.168.10.1
PC1 192.168.10.6/24 192.168.10.1
PC2 192.168.20.5/24 192.168.20.1
PC3 192.168.20.6/24 192.168.20.1
SERVER0 192.168.30.5/24 192.168.30.1

Configuración de Enrrutamiento con Protocolo Rip

RouterA
!--- Añadimos en las otras redes
Router>enable
Router#conf t
Router(config)#router rip
Router(config-router)#network 192.168.0.0
Router(config-router)#network 192.168.20.0
Router(config-router)#network 192.168.30.0

RouterB

!--- Añadimos en las otras redes
Router>enable
Router#conf t
Router(config)#router rip
Router(config-router)#network 192.168.0.0
Router(config-router)#network 192.168.10.0
Router(config-router)#network 192.168.20.0

Router INTERNET
!--- Añadimos en las otras redes
Router>enable
Router#conf t
Router(config)#router rip
Router(config-router)#network 192.168.0.0
Router(config-router)#network 192.168.10.0
Router(config-router)#network 192.168.20.0
Router(config-router)#network 192.168.30.0
Consultar rutas configuradas en cada router
Router#show ip protocols

 

Verificar Conectividad


Enviaremos paquetes desde cada uno de los hosts hacia el servidor comprobando la comunicación en toda la red

Configuración de las ACL


Configuración de ACL 1
Regla: Solo la PC0 puede enviar paquetes al Servidor SERVER0

RouterB
!--- Creación de la ACL 1 para el RouterB
!--- Negamos el host con ip 192.168.10.6
Router(config)#access-list 1 deny 192.168.10.6
!--- Negamos toda la red 192.168.20.0
Router(config)#access-list 1 deny 192.168.20.0 0.0.0.255
!--- Permitimos los paquetes de entrada ya que ACL por defecto al final Niega todo y no queremos que niege el Host 192.168.10.5
Router(config)#access-list 1 permit any

Aplicamos la ACL a la Interface Ethernet 0/0/0
!--- Accedemos a la interface a aplicar el acl
Router(config)#interface ethernet 0/0/0
!--- Aplicamos la ACL 1 recién creada
Router(config-if)#ip access-group 1 out
 
¿Podemos acceder al servidor desde todos los equipos?
No con la creación de la ACL 1 y estando aplicada a la interface ethernet 0/0/0 del Router B, solo la PC0 tiene conectividad al servidor.

 

Para permitir a toda la RED A y solo a la RED A, el acceso al servidor


¿Qué cambio deberíamos hacer en la ACL?
Podríamos modificar la ACL 1 quitando el deny para PC1 y agregando permit para RED A, o también podremos crear una ACL 2 con esta configuración y simplemente quitar la ACL 1 y aplicar ACL2 a la interface eth 0/0/0 del Router B

Configuracion de ACL 2
Regla: Permitir a toda la Red A y solo la Red A, acceso al servidor
!--- Creamos la ACL 2 con las configuraciones de denegar toda la Red B y Permitir las otra única red en este caso Red A
Router(config)#access-list 2 deny 192.168.20.0 0.0.0.255
Router(config)#access-list 2 permit any
!--- Entramos a la Interfaz
Router(config)#interface ethernet 0/0/0
!--- Quitamos la ACL 1 de la Interfaz 0/0/0 del Router B
Router(config-if)#no ip access-group 1 out
!--- Aplicamos la ACL 2 a la interfaz
Router(config-if)#ip access-group 2 out



Descarga el Laboratorio (.pkt)



Listas de Control de Acceso

  No hay comentarios

Resumen

Las listas de control de acceso (ACL) proporcionan un medio para filtrar los paquetes, permitiendo o denegando el tráfico de paquetes IP ne las interfaces del router especificadas basándose en los criterios que se especifiquen en dicha lista de acceso.
 Las ACL se escriben y se leen línea a línea de manera que cada línea es una regla para el router. Al final de las ACL va implícito un rechazo “deny all” o “deny any”
 Para utilizar las ACL, el administrador del sistema debe configurar primero las ACL y luego aplicarlas a interfaces correspondientes.
 Hay 3 tipos de ACL: estándar, ampliado y con nombre.

1. Listas de acceso estándar (standard)   Son las más básicas, el rango va desde 1 a 99 y de1300 a 1999. Solo se chequea la dirección fuente de todos los pa quetes IP. 
Sintaxis de configuración:   access-list access-list-number {permit | deny} source {source-mask} 
Aplicar la ACL a una interface   ip access-group access-list-number {in | out}

2. Listas de acceso extendidas (extended)  El rango va desde 100 a 199 y de 2000 a 2699.   Se chequea tanto la dirección fuente como la dirección destino, se puede especificar el protocolo (UDP, TCP, IP) y el puerto destino.

¿Dónde colocar la lista de acceso?

Las listas de acceso estándar se deben colocar cerca de destino. Las listas de acceso extendidas se deben colocar cerca de la fuente. 

¿Cuántas listas de acceso se puede utilizar?


Se puede tener una lista de acceso por protocolo, por dirección y por interfaz. No se puede tener dos listas de acceso a la dirección entrante de una interfaz. Sin embargo, se puede tener una lista de acceso de entrada y una de salida aplicada a una interfaz.