1

CONFIGURAR ACLS IP A MITIGAR LOS ATAQUES

Objetivos
Verificar la conectividad entre los dispositivos antes de la configuracin del firewall.
Utilizar las ACL para garantizar el acceso remoto a los routers slo est disponible desde la
estacin de gestin de PC-C.
Configurar ACL en R1 y R3 para mitigar los ataques.
Verificar la funcionalidad ACL.

En la presente actividad debe realizar lo siguiente:
El acceso a los routers R1, R2 y R3 slo debera permitirse desde el PC-C, la estacin de
administracin. PC-C es tambin utilizado para las pruebas de conectividad a PC-A, un servidor que
proporciona DNS, SMTP, FTP y HTTPS.
El Procedimiento operativo estndar es aplicar las ACL en los routers de borde para mitigar las
amenazas comunes a partir de fuentes y/o la direccin IP de destino. En esta actividad, se crea ACL
en routers de borde R1 y R3 para lograr este objetivo.
Una vez finalizado debe comprobar la funcionalidad ACL de hosts internos y externos.
Los routers deben tener en su configuracin lo siguiente:
2

Enable password: ciscoenpa55
Password for console: ciscoconpa55
Username for VTY lines: SSHadmin
Password for VTY lines: ciscosshpa55
Configuraciones bsicas.
Verificar la conectividad de red bsica:
Desde el smbolo del sistema del PC-C, haga ping al servidor de PC-A.
Desde el PC-C smbolo del sistema, SSH a la interfaz del router R2 Lo0. Salga de la sesin SSH.
Paso 3. Desde PC-C, abra un navegador web en el PC-A servidor (utilizando la direccin IP) para
visualizar la web pgina. Cierre el navegador en PC-C.
Paso 4. Desde el A-PC de comandos del servidor, mesa de ping PC-C.
Asegurar el acceso a Routers
Configure ACL 10 to block all remote access to the routers except from PC-C.
Utilice el comando access-list para crear una IP ACL numerada en R1, R2 y R3.
R1 (config) # access-list 10 permit 192.168.3.3 0.0.0.0
R2 (config) # access-list 10 permit 192.168.3.3 0.0.0.0
R3 (config) # access-list 10 permit 192.168.3.3 0.0.0.0

Aplicar ACL 10 para el trfico de entrada en las lneas VTY
Utilice el comando access-class, para aplicar la lista de acceso para el trfico entrante en las lneas
VTY.
R1 (config-line) # access-class 10 in
R2 (config-line) # access-class 10 in
R3 (config-line) # access-class 10 in

Verifique acceso exclusivo desde la estacin de gestin de PC-C.
SSH to 192.168.2.1 from PC-C (should be successful). SSH to 192.168.2.1 from PC-A (should fail).
PC> ssh l SSHadmin 192.168.2.1
Crear una IP ACL numerada 100
En R3, bloquear todos los paquetes que contienen la direccin IP de origen del siguiente conjunto
de direcciones: 127.0.0.0 / 8, las direcciones privadas RFC 1918, y cualquier direccin IP multicast.

3

Configurar ACL 100 para bloquear todo el trfico especfico de la red exterior.
Tambin debe bloquear el trfico procedente de su propio espacio de direcciones interno si no es
una direccin RFC 1918 (en esta actividad, su espacio de direcciones interna forma parte del
espacio de direcciones privadas se especifica en el RFC 1918).
Utilice el comando access-list para crear una IP ACL numerada.
R3 (config) # access-list 100 niega IP 10.0.0.0 0.255.255.255 cualquier
R3 (config) # access-list 100 niega IP 172.16.0.0 0.15.255.255 cualquier
R3 (config) # access-list 100 niega IP 192.168.0.0 0.0.255.255 cualquier
R3 (config) # access-list 100 niega IP 127.0.0.0 0.255.255.255 cualquier
R3 (config) # access-list 100 niega IP 224.0.0.0 15.255.255.255 cualquier
R3 (config) # access-list 100 permit any cualquier ip

Aplicar la ACL a la interfaz Serial 0/0/1.
Utilice el comando ip access-group para aplicar la lista de acceso para el trfico entrante en la
interfaz Serial 0/0/1.
R3 (config) # interface S0/0/1
R3 (config-if) # ip access-group 100 in

Confirme que el trfico que entra en la interfaz Serial 0/0/1 especfica se cae.

Desde el smbolo del sistema PC-C, haga ping al servidor de PC-A. Las respuestas de eco ICMP se bloquean
por la ACL desde que provienen del espacio de direccin 192.168.0.0/16.

Retire la ACL de la interfaz Serial 0/0/1.

Retire la ACL. De lo contrario, todo el trfico de la red externa (siendo tratado con direcciones IP de origen
privado), ser negado por el resto de la actividad de PT.

Utilice el comando access-group no ip para eliminar la lista de acceso de la interfaz Serial 0/0/1.

R3 (config) # interface S0/0/1
R3 (config-if) # no ip access-group 100 in

R3 (config) # interface S0/0/1
R3 (config-if) # ip access-group 100 in

Crear un IP ACL numerada 110

Denegar todos los paquetes de salida con direccin de origen fuera del rango de direcciones IP
internas.

Configurar ACL 110 para permitir slo el trfico de la red interior.

Utilice el comando access-list para crear una IP ACL numerada.
4


R3 (config) # access-list 110 permit ip 192.168.3.0 0.0.0.255 cualquier

Aplicar la ACL a la interfaz F0 / 1.

Utilice el comando ip access-group para aplicar la lista de acceso para el trfico entrante en la
interfaz F0 / 1.

R3 (config) # interface Fa0 / 1
-Grupo de acceso R3 (config-if) # ip 110 in


Crear un IP ACL numerada 120

Se permite cualquier host externo para acceder a DNS, SMTP y FTP en el servidor PC -A, negar
cualquier host externo acceder a los servicios de HTTPS en el PC -A, y permitir PC - C para acceder
a R1 a travs de SSH .

Asegrese de que PC- C puede acceder a la PC -A travs de HTTPS utilizando el navegador
web.
Asegrese de deshabilitar HTTP y HTTPS en el servidor PC -A.

Configurar ACL 120 para permitir y denegar expresamente el trfico especificado.

Utilice el comando access-list para crear una IP ACL numerada.

R1 ( config) # access -list 120 udp permiso de cualquier anfitrin 192.168.1.3 dominio eq
R1 ( config) # access -list 120 tcp cualquier permiso de host 192.168.1.3 eq smtp
R1 ( config) # access -list 120 tcp cualquier permiso de host 192.168.1.3 eq ftp
R1 ( config) # access -list 120 tcp negar cualquier host 192.168.1.3 eq 443
R1 ( config) # access -list 120 tcp del permiso de host 192.168.3.3 anfitrin 10.1.1.1 eq

Aplicar la ACL a la interfaz S0/0/0 .
Utilice el comando ip access-group para aplicar la lista de acceso para el trfico entrante en la
interfaz S0/0/0 .

R1 ( config) # interface s0/0/0
R1 ( config -if) # ip access-group 120 in

Asegurar que el PC- C no puede acceder a PC -A travs de HTTPS utilizando el navegador web.

modificar una ACL existente

Permitir respuestas de eco ICMP y mensajes de destino inalcanzable de la red exterior (en relacin
con R1) ; negar el resto de los paquetes ICMP entrantes.

Verifique que la PC- A no puede hacer ping correctamente la interfaz loopback en R2.
5

Haga los cambios necesarios en ACL 120 para permitir y denegar el trfico especificado.

Utilice el comando access-list para crear una IP ACL numerada.

R1 ( config) # access -list 120 icmp cualquier permiso de cualquier eco -reply
R1 ( config) # access -list 120 icmp cualquier permiso de cualquier inalcanzable
R1 ( config) # access -list 120 icmp negar cualquier cualquier
R1 ( config) # access -list 120 permit any ip cualquier

Verifique que el PC- A puede hacer ping correctamente a la interfaz loopback en R2.