Comunicaciones de Datos I LABORATORIO N 1

ROUTER
Listas de Acceso
CODIGO DEL CURSO: R65513

2. 3. 4.

1.

Alumno(s) Santiago Lovon Garcia

Nota

Grupo Ciclo Fecha de entrega

H IV Semana #

COMUNICACIONES DE DATOS I
Tema : Listas de Acceso Nota: Apellidos y Nombres: 5. Objetivos: Realizar una conexin LAN/WAN a travs de interfaces V.35. Implementar listas de acceso estndar en ruteadores Cisco. Implementar listas de acceso extendidas en ruteadores Cisco. Verificar las posibilidades de seguridad que nos brindan las Listas de Acceso.

Nro. DD-106 Pgina 2/10

Cdigo : Semestre: Grupo : Lab. N :

V G-H 11

6. Requerimientos: PC Compatible. Software Packet Tracert

7. Seguridad

Advertencia: No consumir alimentos ni bebidas durante el desarrollo de la sesin del laboratorio. El equipo que esta por utilizar, es susceptible a dao elctrico por mala manipulacin y/o carga electroesttica.
8. Introduccin Terica Defina Seguridad?

Defina listas de acceso estndar?

Defina listas de acceso extendidas?

Describa los siguientes servicios e indique el respectivo puerto o puertos con el que trabajan: WWW Es el Protocolo de transferencia de archivos, que usa los puertos 20 y 21 Puerto 23 TELNET El el Simple Mail Transfer Protocol, protocolo para el intercambio de correos que usa el puerto 25

FTP

SMTP

COMUNICACIONES DE DATOS II

Nro. DD-106 Pgina PAGE 15/10

ICMP

TCP

9. Procedimiento Conexin LAN/WAN:

PCX1 172.16.X0.2/24

PCX3 192.168.X0.2/24

RED A

V.35 RouterX1 HDLC RouterX2 E: 172.16.X0.1/24 56k E: 192.168.X0.1/24 S: X0.0.0.1/8 S: X0.0.0.2/8

RED B

172.16.X0.3/24 PCX2

192.168.X0.3/24 PCX4

Conexin LAN/WAN

Implemente el siguiente esquema, en el software packet tracert, realizando las siguientes actividades: Configure el hostname del ruteador 1 como <Apellido>X1 y el hostname del ruteador 2 como <Apellido>X2. Configure la direccin 172.16.X0.0/24 para los equipos de la RED A. Configure la direccin 192.168.X0.0/24 para los equipos de la RED B. Configure la direccin X0.0.0.0/8, para los equipos del enlace WAN. Configure las respectivas rutas estticas, para que la RED A y la RED b, tengan comunicacin. Verifique la conectividad del sistema utilizando el comando PING. Verifique la conectividad del sistema utilizando el comando TraceRT. Guarde la configuracin de los ruteadores. Ingrese los comandos utilizados para realizar estas tareas. Router1: Router#config Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname Lovon11 Lovon11(config)# Lovon11(config)#interface Serial0/3/0 Lovon11(config-if)#ip address 10.0.0.1 255.0.0.0 Lovon11(config-if)#clock rate 56000 Lovon11(config-if)#no shutdown Lovon11(config-if)# %LINK-5-CHANGED: Interface Serial0/3/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up

COMUNICACIONES DE DATOS II

Nro. DD-106 Pgina PAGE 15/10

Lovon11(config-if)#exit Lovon11(config)#interface Serial0/3/0 Lovon11(config)#interface FastEthernet0/0 Lovon11(config-if)#ip address 172.16.10.1 255.255.255.0 Lovon11(config-if)#no shutdown Lovon11(config)# Lovon11(config-if)#exit Lovon11(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2 Lovon11(config)#

Router2: Router>enable Router#config Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname Lovon12 Lovon12(config)# Lovon12(config)#interface Serial0/2/0 Lovon12(config-if)#ip address 10.0.0.2 255.0.0.0 Lovon12(config-if)#clock rate 56000 Lovon12(config-if)# Lovon12(config-if)#exit Lovon12(config)#interface FastEthernet0/0 Lovon12(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Lovon12(config-if)#ip address 192.168.10.1 255.255.255.0 Lovon12(config-if)#exit Lovon12(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1 Lovon12(config)# Lovon12(config)#interface FastEthernet0/0 Lovon12(config-if)# Lovon12(config-if)#exit

Listas de Acceso Las listas de acceso son conjuntos de reglas que indican al router como seleccionar paquetes. Una vez seleccionados los paquetes pueden ser tratados de diversas formas. Uno de los usos ms extendidos de las listas de acceso es el de controlar el flujo de trfico entrante y saliente de un ruteador. Las reglas que componen las listas de acceso tienen tres partes: un nmero que identifica la lista, una instruccin deny o permit y una condicin: access-list nmero_identificador [permit|deny] condicin

COMUNICACIONES DE DATOS II

Nro. DD-106 Pgina PAGE 15/10

El nmero utilizado para identificar una lista concreta debe ser seleccionado de un rango numrico acorde con el uso concreto de la lista. En la Tabla 1 vemos los principales tipos de listas disponibles. En este artculo nos centraremos especialmente en las listas IP, en sus formas Estndar y Extendida. Tabla 1. Numeracin de las listas de acceso. PROTOCOLO TIPO RANGO FILTRA POR IP Estndar 1-99 y 1300-1999 el origen IP Extendidas 100-199 y 2000-2699 el origen, destino, protocolo, puerto... Ethernet Cdigo (Type) 200-299 el tipo de cdigo Ethernet DECnet Protocol Suite 300-399 el origen Appletalk Protocol Suite 600-699 el origen Ethernet Direcciones 799-799 la direccin MAC IPX Estndar 800-899 el origen IPX Extendida 900-999 el origen, destino, protocolo, puerto... tipo de aplicacin (SAP, Service IPX SAP 1000-1099 Access Point) Sintaxis de las Listas de Acceso Para las listas de acceso estndar (Standard ACLs), es la siguiente: access-list nmero_identificador [permit|deny] source Mostramos a continuacin la sintaxis de las listas de acceso extendidas (extended ACLs): Para el protocolo IP: access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] Para el protocolo ICMP: access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} icmp source source-wildcard destination destination-wildcard Para el protocolo TCP: access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] Uso de wildcards. En listas de acceso utilizamos mscaras inversas o llamadas wildcard. La mscara inversa de las listas de acceso tambin puede ser determinada sustrayendo la mscara normal de la mscara 255.255.255.255. En el ejemplo, la mscara comodn para la red 10.10.10.255 con una mscara normal 255.255.255.0 sera 255.255.255.255 - 255.255.255.0 (normal) = 0.0.0.255 (inversa, comodn) 0 Toma en cuenta el octeto 255 Ignora el octeto Control de trfico, mediante listas de acceso estndar. De acuerdo al diagrama anteriormente mostrado, filtre en el RouterX2, los paquetes que tengan como origen los equipos PCX1 y PCX2, pertenecientes a la RED A. En el RouterX2, realice las siguientes actividades: RouterX2(Config)# access-list 1 deny 172.16.X0.2 0.0.0.0 RouterX2(Config)# access-list 1 deny 172.16.X0.3 0.0.0.0 RouterX2(Config)# access-list 1 permit any Habilite la lista de acceso, aplicndola a la interfaz Serial del RouterX2 en modo IN.

COMUNICACIONES DE DATOS II

Nro. DD-106 Pgina PAGE 15/10

RouterX2(Config-if)# ip access-group 1 in De acuerdo a los comandos sealados identifique la sintaxis de una lista de acceso estndar. Access-list (numero de lista) (permit/deny) (ip) (wildcard)

Verifique el funcionamiento de la lista de acceso con las siguientes pruebas, de acuerdo al protocolo solicitado. Origen PCX1 PCX2 Protocolo Destino Interfaz In/out IN xito Si/No No Observaciones La lista de acceso no permite que se pueda hacer ping entre las redes La lista de acceso no permite que se pueda hacer ping entre las redes

ICMP

RED B

RED B

ICMP

PCX1 PCX2

IN

No

Retire la lista de acceso, y a continuacin insrtela en modo OUT, en la misma interfaz. RouterX2(Config-if)#no ip access-group 1 in RouterX2(Config-if)# ip access-group 1 out Origen PCX1 PCX2 Protocolo Destino Interfaz In/out OUT xito Si/No SI Observaciones El paquete entra al router2 y como al salir tiene una ip diferente no es afectado El paquete no tiene problemas para salir del router2, al regresar tampoco es afectado por la regla

ICMP

RED B

RED B

ICMP

PCX1 PCX2

OUT

SI

Retire la lista de acceso, y a continuacin insrtela en modo IN, en la interfaz ethernet. RouterX2(Config-if)#no ip access-group 1 out RouterX2(Config-if)#int e0/0 RouterX2(Config-if)#ip access-group 1 in Origen PCX1 PCX2 RED B Protocolo ICMP ICMP Destino RED B PCX1 PCX2 Interfaz In/out IN IN xito Si/No Si Si Observaciones Es como si no existiera la regla de acceso Es como si no existiera la regla de acceso

Retire la lista de acceso, y a continuacin insrtela en modo OUT, en la misma interfaz. RouterX2(Config-if)#no ip access-group 1 in RouterX2(Config-if)# ip access-group 1 out Origen Protocolo Destino Interfaz In/out xito Si/No Observaciones

COMUNICACIONES DE DATOS II

Nro. DD-106 Pgina PAGE 15/10 Los paquetes no pasan del router2 Los paquetes salen del router2 pero cuando la respuesta del ping regresa no lo deja pasar

PCX1 PCX2

ICMP

RED B

OUT

No

RED B

ICMP

PCX1 PCX2

OUT

No

Describa en qu casos se debera de utilizar IN o OUT, fundamente el porqu: El in se usa cuando no queremos que los paquetes entren a nuestra interfaz, el out cuando queremos dejar que nuestros paquetes entren a nuestra interfaz pero no salgan

Elimine las listas de acceso creadas y en su lugar cree las mismas reglas pero utilizando el prefijo host. RouterX2(Config)# no access-list 1 deny 172.16.X0.2 0.0.0.0 RouterX2(Config)# no access-list 1 deny 172.16.X0.3 0.0.0.0 RouterX2(Config)# no access-list 1 permit any RouterX2(Config)# access-list 1 deny host 172.16.X0.2 RouterX2(Config)# access-list 1 deny host 172.16.X0.3 RouterX2(Config)# access-list 1 permit any RouterX2(Config)# int e0/0 RouterX2(config-if)# no ip access-group 1 out RouterX2(Config-if)# int s0/0 RouterX2(config-if)# ip access-group 1 in Verifique el funcionamiento de dicha regla, comprelo con los datos obtenidos en el ejercicio anterior y describa el resultado de su observacin.

La regla se encuentra funcionando y funciona igual que cuando no usamos host, esto es porque el prefijo host que especifica a solo una ip o maquina es igual a la wildcard 0.0.0.0, esta al no tener ningn uno nos dice que solo es un host al que se le deniega la entrada

Cambie la direccin IP del equipo PCX1 a 172.16.X0.2 a 172.16.X0.4, y verifique si hay conectividad.

Ahora a esa pc si se le permite conectarse

Restaure la direccin IP del equipo PCX1 a 172.16.X0.2.

COMUNICACIONES DE DATOS II

Nro. DD-106 Pgina PAGE 15/10

A continuacin filtre en el RouterX2, los paquetes que tengan como origen cualquier equipo de la RED A, exceptuando el equipo 172.16.X0.2 Elimine las listas de acceso anteriormente creadas e implemente las que se indican a continuacin: RouterX2(Config)# no access-list 1 deny host 172.16.X0.2 RouterX2(Config)# no access-list 1 deny host 172.16.X0.3 RouterX2(Config)# no access-list 1 permit any RouterX2(Config)# int s0/0 RouterX2(config-if)# no ip access-group 1 in RouterX2(Config)# access-list 2 deny 172.16.X0.0 0.0.0.255 RouterX2(Config)# access-list 2 permit host 172.16.X0.2 RouterX2(Config)# access-list 2 permit any RouterX2(Config)# int s0/0 RouterX2(config-if)# ip access-group 2 in Verifique el funcionamiento de la lista de acceso con las siguientes pruebas, de acuerdo al protocolo solicitado. Origen Protocolo Destino Interfaz In/out xito Si/No Observaciones La regla que esta primero es la de denegar todo a esa red, como esta se ejecutara primero no dejara que exista comunicacin entre las 2 redes La regla que esta primero es la de denegar todo a esa red, como esta se ejecutara primero no dejara que exista comunicacin entre las 2 redes La regla que esta primero es la de denegar todo a esa red, como esta se ejecutara primero no dejara que exista comunicacin entre las 2 redes La regla que esta primero es la de denegar todo a esa red, como esta se ejecutara primero no dejara que exista comunicacin entre las 2 redes

RED A

ICMP

RED B

IN

No

RED B

ICMP

RED A

IN

No

PCX1

ICMP

RED B

IN

No

RED B

ICMP

PCX1

IN

No

A continuacin filtre en el RouterX2, los paquetes que tengan como origen los equipos PCX3 y PCX4, pertenecientes a la RED B. Elimine las listas de acceso anteriormente creadas e implemente las que se indican a continuacin: RouterX2(Config)# no access-list 2 deny 172.16.X0.0 0.0.0.255 RouterX2(Config)# no access-list 2 permit host 172.16.X0.2 RouterX2(Config)# no access-list 2 permit any RouterX2(Config)# int s0/0 RouterX2(config-if)# no ip access-group 2 in RouterX2(Config)# access-list 3 deny host 192.168.X0.2 RouterX2(Config)# access-list 3 deny host 192.168.X0.3 RouterX2(Config)# access-list 3 permit any

COMUNICACIONES DE DATOS II
RouterX2(Config)# int e0/0 RouterX2(config-if)# ip access-group 3 in

Nro. DD-106 Pgina PAGE 15/10

Verifique el funcionamiento de la lista de acceso con las siguientes pruebas, de acuerdo al protocolo solicitado. Origen Protocolo Destino PCX3 PCX4 Interfaz In/out IN xito Si/No NO Observaciones El paquete de salida icmp si llega hasta la otra pc pero el router2 bloquea la respuesta El router2 no deja que el paquete salga e la red

RED A

ICMP

PCX3 PCX4

ICMP

RED A

IN

NO

Porque no podemos utilizar OUT al activar la lista de acceso en la interfaz ethernet.

Porque out blockearia los paquetes que estn entrando a nuestra red y procedan de esas direcciones ip, pero esas direcciones ip ya estn dentro de nuestra red

Cambie las listas de acceso de la interfaz ethernet a la interfaz serial. RouterX2(Config)# int e0/0 RouterX2(config-if)# no ip access-group 3 in RouterX2(Config)# int s0/0 RouterX2(config-if)# ip access-group 3 out Verifique el funcionamiento de la lista de acceso con las siguientes pruebas, de acuerdo al protocolo solicitado. Origen Protocolo Destino Interfaz In/out xito Si/No Observaciones El router2 deja que los paquetes entren a la red pero bloquea la respuesta El router2 no deja que los paquetes salgan de la red

RED A

ICMP

PCX3 PCX4

Out

No

PCX3 PCX4

ICMP

RED A

Out

No

Porque no podemos utilizar IN al activar la lista de acceso en la interfaz ethernet.

Si podemos, en la que no podemos es en la interfaz serial ya que si bloqueamos el in seria por gusto ya que las maquinas a las que queremos bloquear se encuentran al otro lado de la red

Describa en qu caso debera de aplicar la restriccin en la interface Ethernet o serial, fundamente su respuesta: Es recomendable bloquear las interfaces en la entrada porque as evitamos que los paquetes entren al router y ahorramos recursos, entonces debeos de restringir la interfaz serial cuando no queremos que los paquetes entren a la red b y restringir la interfaz Ethernet cuando no queremos que los paquetes salgan de la red b

COMUNICACIONES DE DATOS II

Nro. DD-106 Pgina PAGE 15/10

Cules son los diferentes wildcards utilizados en las listas de acceso. Los Wildcards en las listas de acceso son los de hosts (0.0.0.0) y los de redes, la cantidad de unos que tenga esta wildcard es la cantidad de hosts que est bloqueando

Control de trfico, mediante listas de acceso extendidas. Cree un nuevo archivo packet tracert con los datos antes requeridos. De acuerdo al diagrama anteriormente mostrado, filtre en el RouterX1 el servicio de telnet. En el RouterX1, realice las siguientes actividades: RouterX1(Config)# access-list 101 deny tcp any any eq 23 RouterX1(Config)# access-list 101 permit ip any any Habilite la lista de acceso, aplicndola a la interfaz Serial del RouterX2 en modo IN. RouterX1(Config)# int s0/0 RouterX1(Config-if)# ip access-group 101 in De acuerdo a los comandos sealados identifique la sintaxis de una lista de acceso extendida.

Access-list (numero) (deny/permit) (protocolo) (procedencia) (destino) (operador) (puerto)

Realice las siguientes pruebas: Origen Protocolo Destino ROUTER X1 Interfaz In/out In xito Si/No Si Observaciones El paquete llega sin problemas porque no hay restriccin en la interfaz Ethernet El puerto para Telnet es el 23 y este se encuentra bloqueado por eso no se puede La salida del Serial no tiene restricciones por ende si deja pasar los paquetes

RED A

TELNET

RED B

TELNET

ROUTER X1

In

No

RED A

TELNET

ROUTER X2

In

Si

Retire la lista de acceso en modo IN y configrela en modo OUT. RouterX1(Config-if)# no ip access-group 101 in RouterX1(Config-if)# ip access-group 101 out

Realice las siguientes pruebas:

Origen

Protocolo

Destino ROUTER X1

Interfaz In/out Out

xito Si/No Si

Observaciones El paquete llega sin problemas porque no hay restriccin en la interfaz Ethernet El router si tiene permitidas las conexiones entrantes el serial

RED A

TELNET

RED B

TELNET

ROUTER X1

Out

Si

COMUNICACIONES DE DATOS II

Nro. DD-106 Pgina PAGE 15/10

RED A

TELNET

ROUTER X2

Out

No

El Router1 deniega todas las conexiones de salida con el puerto 23

Retire la lista de acceso de la interfaz serial y configrela en la interfaz ethernet en modo IN. RouterX1(Config-if)# no ip access-group 101 out RouterX1(Config-if)#int e0/0 RouterX1(Config-if)# ip access-group 101 in Realice las siguientes pruebas: Origen Protocol o Destino Interfaz In/out xito Si/No Observaciones El router 1 deniega las conexiones entrantes al puerto 23

RED A

TELNET

ROUTERX1

In

No

RED B

TELNET

ROUTER X1

In

Si

El router1 no tiene regla de acceso en la serial as que todos los paquetes pueden pasar

RED A

TELNET

ROUTER X2

In

No

El router 1 deniega las conexiones entrantes al puerto 23

Retire la lista de acceso en modo IN y configrela en modo OUT. RouterX1(Config-if)# no ip access-group 101 in RouterX1(Config-if)# ip access-group 101 out Realice las siguientes pruebas: Origen Protocolo Destino ROUTER X1 Interfaz In/out Out xito Si/No Si Observaciones La regla de acceso no afecta por que para esta conexin no se usa la interfaz serial La regla de acceso solo se aplica en el out y en para esta conexin se usa el in La regla de acceso deniega la salida de los paquetes para telnet

RED A

TELNET

RED B

TELNET

ROUTER X1 ROUTER X2

Out

Si

RED A

TELNET

Out

NO

En qu interfaz recomendara aplicar este tipo de lista de acceso: Cuando no queremos que los usuarios de una red puedan usar el protocolo telnet pero si viceversa Retire la lista de acceso. RouterX1(Config-if)# no ip access-group 101 out

COMUNICACIONES DE DATOS II
Elimine la configuracin del router y reinicie el equipo.

Nro. DD-106 Pgina PAGE 15/10

Describa en qu caso debera de aplicar las listas de acceso extendidas y estndar, fundamente su respuesta: La lista de acceso estndar la usaremos cuando queremos bloquear a los usuarios sin importar el protocolo, las extendidas cuando solo queremos bloquear algunos protocolos

Configuracin del Packet Tracert. Cree un nuevo esquema antes mostrado en el packet tracert y realice los siguientes cambios. Reemplace la PCX1 y PCX3 por un servidor habilite el servicio Web, verifique si el servicio funciona correctamente. Implemente el siguiente cuadro de listas de acceso extendidas.
Comando Access-list Access-list Access-list Access-list Access-list Access-list Access-list Nmero 102 103 104 105 106 107 108 Per./Deny permit permit permit permit permit permit permit Protocolo tcp tcp tcp tcp tcp tcp tcp Origen any PCX1 PCX3 any any PCX1 PCX3 Destino any any any PCX1 PCX3 PCX3 PCX1 Condicin eq eq eq eq eq eq eq Protocolo www www www www www www www

Verifique el funcionamiento de las listas de acceso, aplicndolas a la interfaz serial del RouterX1, de acuerdo al modo que se le solicita. Complete la tabla con las consultas HTTP correspondientes.
Lista 102 Modo IN xito Si/No PCX1 http PCX3 No xito Si/No PCX3 http PCX1 Si Observaciones Solo permite que pasen paquetes de pc 3 a 1 por que esta en la entrada Solo permite que pasen paquetes de pc 1 a 3 por que esta en la salida Esta regla al esta en la entrada del serial sin embargo solo permite que salgan paquetes Esta regla permite que solo salgan paquetes del router1 Solo permite que entren paquetes al router El router solo permite que salgan paquetes pero que tengan la ip del servidor pc3 Solo permite el ingreso de paquetes que tengan la ip de la pc1 Permite solo que salgan paquetes pero hacia la pc q esta al otro lado de la red Permite que entren paquetes en direccin a la pc que esta conectada al otro router El router permite paquetes que vayan dirigidos al servidor pcx3 Solo permite que entren paquetes provenientes de la pcx1 Solo permite la salida de paquetes de la pcx1 a la pcx3 Permitir el ingreso de paquetes con direccin a la pcX1 Permitir la salida de paquetes con direccin a la

102

OUT

Si

No

103

IN

No

No

103 104 104

OUT IN OUT

Si No No

No Si No

105

IN

No

Si

105

OUT

No

No

106

IN

No

No

106

OUT

Si

NO

107 107 108 108

IN OUT IN OUT

No Si No No

No No Si No

COMUNICACIONES DE DATOS II
pcX1

Nro. DD-106 Pgina PAGE 15/10

Lovon11(config)#access-list 102 permit tcp any any eq www Lovon11(config)#access-list 103 permit tcp 172.16.10.2 any eq www ^ % Invalid input detected at '^' marker. Lovon11(config)#access-list 103 permit tcp 172.16.10.2/24 any eq www ^ % Invalid input detected at '^' marker. Lovon11(config)#access-list 103 permit tcp 172.16.10.2 0.0.0.0 any eq www Lovon11(config)#access-list 104 permit tcp any 192.168.10.1 0.0.0.0 eq www Lovon11(config)#no access-list 104 permit tcp any 192.168.10.1 0.0.0.0 eq www Lovon11(config)#access-list 106 permit tcp any 192.168.10.1 0.0.0.0 eq www Lovon11(config)#access-list 104 permit tcp 192.168.10.2 0.0.0.0 any eq www Lovon11(config)#access-list 105 permit tcp any 172.16.10.2 0.0.0.0 eq www Lovon11(config)#no access-list 106 permit tcp any 192.168.10.1 0.0.0.0 eq www Lovon11(config)#access-list 106 permit tcp any 192.168.10.2 0.0.0.0 eq www Lovon11(config)#access-list 107 permit tcp 172.16.10.2 0.0.0.0 192.168.10.2 0.0.0.0 eq www Lovon11(config)#access-list 108 permit tcp 192.168.10.2 0.0.0.0 172.16.10.2 0.0.0.0 eq www Lovon11(config)#^Z Lovon11# %SYS-5-CONFIG_I: Configured from console by console Lovon11#show acc Extended IP access list 102 permit tcp any any eq www Extended IP access list 103 permit tcp host 172.16.10.2 any eq www Extended IP access list 104 permit tcp host 192.168.10.2 any eq www Extended IP access list 105 permit tcp any host 172.16.10.2 eq www Extended IP access list 106 permit tcp any host 192.168.10.2 eq www Extended IP access list 107 permit tcp host 172.16.10.2 host 192.168.10.2 eq www Extended IP access list 108 permit tcp host 192.168.10.2 host 172.16.10.2 eq www Lovon11# Lovon11#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Lovon11(config)#interface Serial0/3/0 Lovon11(config-if)#ip access-group 102 in Lovon11(config-if)#no ip access-group 102 in Lovon11(config-if)#ip access-group 102 out Lovon11(config-if)#no ip access-group 102 out Lovon11(config-if)#ip access-group 103 in Lovon11(config-if)#no ip access-group 103 in Lovon11(config-if)#ip access-group 103 in Lovon11(config-if)#no ip access-group 103 in Lovon11(config-if)#ip access-group 103 out Lovon11(config-if)#no ip access-group 103 out Lovon11(config-if)#ip access-group 104 in Lovon11(config-if)#no ip access-group 104 in Lovon11(config-if)#ip access-group 104 out Lovon11(config-if)#no ip access-group 104 out Lovon11(config-if)#ip access-group 105 in

COMUNICACIONES DE DATOS II
Lovon11(config-if)#no ip access-group 105 in Lovon11(config-if)#ip access-group 105 out Lovon11(config-if)#no ip access-group 105 out Lovon11(config-if)#ip access-group 106 in Lovon11(config-if)#no ip access-group 106 in Lovon11(config-if)#ip access-group 106 out Lovon11(config-if)#no ip access-group 106 out Lovon11(config-if)#ip access-group 107 in Lovon11(config-if)#no ip access-group 107 in Lovon11(config-if)#ip access-group 107 out Lovon11(config-if)#no ip access-group 107 out Lovon11(config-if)#ip access-group 108 in Lovon11(config-if)#no ip access-group 108 in Lovon11(config-if)#ip access-group 108 out Lovon11(config-if)#

Nro. DD-106 Pgina PAGE 15/10

Qu conclusin puede extraer del ejercicio anterior. Una regla de acceso casi nunca va a permitir que exista comunicacin en los dos tramos de la red, casi siempre da permiso a uno y restringe a otro

Mediante el siguiente ejercicio filtraremos el protocolo ICMP. Elimine todas las listas de acceso anteriormente creadas y elimine las configuraciones asignadas con el comando ip access-group a las interfaces. Implemente la siguiente lista de acceso en el RouterX1: RouterX1(Config)#access-group 109 deny icmp any any RouterX1(Config)#access-group 109 permit ip any any Asigne la lista de acceso a la interfaz serial en modo IN, que resultados obtiene, luego de hacer sus pruebas:

No se puede hacer ping pero los dems protocolos y servicios si funcionan Porque utilizamos el comando: access-group 109 permit ip any any Porque al activar la lista de acceso de activa automticamente la lista por defecto y esta cancelaria todos los puertos y protocolos

Mediante el siguiente ejercicio bloquearemos el acceso al website PCX3. Elimine todas las listas de acceso anteriormente creadas y elimine las configuraciones asignadas con el comando ip access-group a las interfaces. Implemente la siguiente lista de acceso en el RouterX1: RouterX1(Config)#access-list 109 deny tcp any 192.16.X0.0 0.0.0.0 eq www RouterX1(Config)# access-list 109 permit tcp any any eq www Asgnelo a la interfaz serial en modo IN Realice las pruebas correspondientes. Ahora se puede hacer ping de manera normal pero no se puede ver la pagina web del servidor

10. Cuestionario Final Defina Wildcard

COMUNICACIONES DE DATOS II

Nro. DD-106 Pgina PAGE 15/10

Defina IP Access Group y diferencie el uso de IN/OUT en listas de acceso

11. TAREA, entregar en el siguiente laboratorio, Presentacin: impreso, documentacin de las polticas. EJERCICIO 1

Permitir acceso a HTTP/HTTPS y DNS a toda la RED. Bloquear el MESSENGER (Investigue la secuencia de las conexiones que realiza el usuario para conectarse) El Administrador libre acceso. (PC3)

Los puertos usados por Messenger son:

Caracterstica Iniciar sesin en el servicio de Messenger

Puerto utilizado TCP 80, 443, 1863 TCP 7001 Deteccin de la red UDP 9, 7001 TCP 80, 443, 1863 Audio TCP/UDP 30000 - 65535 Audio (programa heredado) * UDP 5004 65535 TCP 80 Conversaciones de vdeo y con cmara Web TCP/UDP 5000 - 65535 TCP 443, 1863 Transferencia de archivos TCP/UDP 1025 - 65535 Transferencia de archivos (programa heredado) * TCP 6891 - 6900 TCP 1863 Uso compartido de carpetas TCP/UDP 1025 65535 Pizarra y uso compartido de aplicaciones TCP 1503 TCP 3389 Asistencia remota TCP/UDP 49152 65535 TCP 443, 5061 Windows Live Call UDP 5004 - 65525 TCP 80, 443, 1863 Juegos TCP/UDP 1025 - 65535
Vemos que utiliza los puertos de http, as que no se podr bloquear por completo, pero al bloquear todos los puertos excepto el dns y el 80 el usuario no podr hacer uso de Messenger. El administrador siempre tendr acceso a todo, el servicio DNS no interfiere con ningn otro puerto

EJERCICIO 2

Permitir acceso a HTTP/HTTPS y DNS a toda la RED. Se habilita los Servicios de Correo con soporte a WEBMAIL en (SPRIV), que polticas debe aplicarse para su funcionamiento de salida e entrada.
EJERCICIO 3 Debe de ser presentado en Packet tracert e inverso.

COMUNICACIONES DE DATOS II

Nro. DD-106 Pgina PAGE 15/10

Divida el segmento de red 172.16.0.0/16, en tres reas con la siguiente cantidad de usuarios: Administracin 130 host Contabilidad 50 host Operaciones 320 host

Los usuarios operaciones no pueden acceder a ningn servicio de la Internet Los usuarios administracin pueden acceder a todos los recursos de Internet Los usuarios Contabilidad solo pueden visualizar paginas Web.

COMUNICACIONES DE DATOS II
12. Observaciones

Nro. DD-106 Pgina PAGE 15/10

____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ 13. Conclusiones. (Mnimo 5) ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________