Objetivos Verificar la conectividad entre los dispositivos antes de la configuracin del firewall. Utilizar las ACL para garantizar el acceso remoto a los routers slo est disponible desde la estacin de gestin de PC-C. Configurar ACL en R1 y R3 para mitigar los ataques. Verificar la funcionalidad ACL.
En la presente actividad debe realizar lo siguiente: El acceso a los routers R1, R2 y R3 slo debera permitirse desde el PC-C, la estacin de administracin. PC-C es tambin utilizado para las pruebas de conectividad a PC-A, un servidor que proporciona DNS, SMTP, FTP y HTTPS. El Procedimiento operativo estndar es aplicar las ACL en los routers de borde para mitigar las amenazas comunes a partir de fuentes y/o la direccin IP de destino. En esta actividad, se crea ACL en routers de borde R1 y R3 para lograr este objetivo. Una vez finalizado debe comprobar la funcionalidad ACL de hosts internos y externos. Los routers deben tener en su configuracin lo siguiente: 2
Enable password: ciscoenpa55 Password for console: ciscoconpa55 Username for VTY lines: SSHadmin Password for VTY lines: ciscosshpa55 Configuraciones bsicas. Verificar la conectividad de red bsica: Desde el smbolo del sistema del PC-C, haga ping al servidor de PC-A. Desde el PC-C smbolo del sistema, SSH a la interfaz del router R2 Lo0. Salga de la sesin SSH. Paso 3. Desde PC-C, abra un navegador web en el PC-A servidor (utilizando la direccin IP) para visualizar la web pgina. Cierre el navegador en PC-C. Paso 4. Desde el A-PC de comandos del servidor, mesa de ping PC-C. Asegurar el acceso a Routers Configure ACL 10 to block all remote access to the routers except from PC-C. Utilice el comando access-list para crear una IP ACL numerada en R1, R2 y R3. R1 (config) # access-list 10 permit 192.168.3.3 0.0.0.0 R2 (config) # access-list 10 permit 192.168.3.3 0.0.0.0 R3 (config) # access-list 10 permit 192.168.3.3 0.0.0.0
Aplicar ACL 10 para el trfico de entrada en las lneas VTY Utilice el comando access-class, para aplicar la lista de acceso para el trfico entrante en las lneas VTY. R1 (config-line) # access-class 10 in R2 (config-line) # access-class 10 in R3 (config-line) # access-class 10 in
Verifique acceso exclusivo desde la estacin de gestin de PC-C. SSH to 192.168.2.1 from PC-C (should be successful). SSH to 192.168.2.1 from PC-A (should fail). PC> ssh l SSHadmin 192.168.2.1 Crear una IP ACL numerada 100 En R3, bloquear todos los paquetes que contienen la direccin IP de origen del siguiente conjunto de direcciones: 127.0.0.0 / 8, las direcciones privadas RFC 1918, y cualquier direccin IP multicast.
3
Configurar ACL 100 para bloquear todo el trfico especfico de la red exterior. Tambin debe bloquear el trfico procedente de su propio espacio de direcciones interno si no es una direccin RFC 1918 (en esta actividad, su espacio de direcciones interna forma parte del espacio de direcciones privadas se especifica en el RFC 1918). Utilice el comando access-list para crear una IP ACL numerada. R3 (config) # access-list 100 niega IP 10.0.0.0 0.255.255.255 cualquier R3 (config) # access-list 100 niega IP 172.16.0.0 0.15.255.255 cualquier R3 (config) # access-list 100 niega IP 192.168.0.0 0.0.255.255 cualquier R3 (config) # access-list 100 niega IP 127.0.0.0 0.255.255.255 cualquier R3 (config) # access-list 100 niega IP 224.0.0.0 15.255.255.255 cualquier R3 (config) # access-list 100 permit any cualquier ip
Aplicar la ACL a la interfaz Serial 0/0/1. Utilice el comando ip access-group para aplicar la lista de acceso para el trfico entrante en la interfaz Serial 0/0/1. R3 (config) # interface S0/0/1 R3 (config-if) # ip access-group 100 in
Confirme que el trfico que entra en la interfaz Serial 0/0/1 especfica se cae.
Desde el smbolo del sistema PC-C, haga ping al servidor de PC-A. Las respuestas de eco ICMP se bloquean por la ACL desde que provienen del espacio de direccin 192.168.0.0/16.
Retire la ACL de la interfaz Serial 0/0/1.
Retire la ACL. De lo contrario, todo el trfico de la red externa (siendo tratado con direcciones IP de origen privado), ser negado por el resto de la actividad de PT.
Utilice el comando access-group no ip para eliminar la lista de acceso de la interfaz Serial 0/0/1.
R3 (config) # interface S0/0/1 R3 (config-if) # no ip access-group 100 in
R3 (config) # interface S0/0/1 R3 (config-if) # ip access-group 100 in
Crear un IP ACL numerada 110
Denegar todos los paquetes de salida con direccin de origen fuera del rango de direcciones IP internas.
Configurar ACL 110 para permitir slo el trfico de la red interior.
Utilice el comando access-list para crear una IP ACL numerada. 4
R3 (config) # access-list 110 permit ip 192.168.3.0 0.0.0.255 cualquier
Aplicar la ACL a la interfaz F0 / 1.
Utilice el comando ip access-group para aplicar la lista de acceso para el trfico entrante en la interfaz F0 / 1.
R3 (config) # interface Fa0 / 1 -Grupo de acceso R3 (config-if) # ip 110 in
Crear un IP ACL numerada 120
Se permite cualquier host externo para acceder a DNS, SMTP y FTP en el servidor PC -A, negar cualquier host externo acceder a los servicios de HTTPS en el PC -A, y permitir PC - C para acceder a R1 a travs de SSH .
Asegrese de que PC- C puede acceder a la PC -A travs de HTTPS utilizando el navegador web. Asegrese de deshabilitar HTTP y HTTPS en el servidor PC -A.
Configurar ACL 120 para permitir y denegar expresamente el trfico especificado.
Utilice el comando access-list para crear una IP ACL numerada.
Aplicar la ACL a la interfaz S0/0/0 . Utilice el comando ip access-group para aplicar la lista de acceso para el trfico entrante en la interfaz S0/0/0 .
R1 ( config) # interface s0/0/0 R1 ( config -if) # ip access-group 120 in
Asegurar que el PC- C no puede acceder a PC -A travs de HTTPS utilizando el navegador web.
modificar una ACL existente
Permitir respuestas de eco ICMP y mensajes de destino inalcanzable de la red exterior (en relacin con R1) ; negar el resto de los paquetes ICMP entrantes.
Verifique que la PC- A no puede hacer ping correctamente la interfaz loopback en R2. 5
Haga los cambios necesarios en ACL 120 para permitir y denegar el trfico especificado.
Utilice el comando access-list para crear una IP ACL numerada.