Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seccin: B
2010 II
COMUNICACIOENS DE DATOS II
LISTAS DE CONTROL DE ACCESO I. OBJETIVOS Implementar una Red IP Administrar un lista de accesos para la seguridad en redes IP II. EQUIPOS Y MATERIALES Una computadora con SO Windows XP Una computadora con SO Linux Centos Emulador de Terminal: Hyperterminal, Routers Cisco 2811 con cables de consola Cables WAN DB60-V35Male Cables WAN DB60-V35Female
Una Lista de Control de Acceso o ACL (del ingls, Access Control List) es un concepto de seguridad informtica usado para fomentar la separacin de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACLs permiten controlar el flujo del trfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna condicin. Sin embargo, tambin tienen usos adicionales, como por ejemplo, distinguir "trfico interesante" (trfico suficientemente importante como para activar o mantener una conexin) en RDSI.
Pgina |2
COMUNICACIOENS DE DATOS II
IV. PROCEDIMIENTO 1. Determinamos las caractersticas de los equipos a utilizar : o Servidor web Modelo: Linksys-WMP300N o Servidor ftp Modelo: Linksys-WMP300N o Switch Modelo: Cisco Catalyst 2950 Switch 24 o Router Modelo: Cisco 1841 Integrated Services Router 2. En la siguiente red planificamos la utilizacin de la numeracin IP de la red LAN Privada, la red WAN y la red LAN del proveedor.
3. Access List Standard Poltica 1: Permitir libre acceso a la LAN del proveedor desde la PC1 y deniega el acceso a las dems PCs de toda a red LAN privada
Pgina |3
COMUNICACIOENS DE DATOS II
Pruebas: ACCION o Ping de PC2 a la LAN del proveedor o Ping de PC1 a la LAN del proveedor o Acceder al servidor web desde PC2 o Acceder al servidor web desde PC1 o Ping de web server al ftp server o Ping de ftp server al web server o Ping del web server a la PC1 o Ping del web server a la PC2 RESULTADO No Si no Si Si Si Si No
Pgina |4
COMUNICACIOENS DE DATOS II
POLTICA2: En esta configuracin se deniega el acceso a la PC 2 y permitimos el acceso a las dems computadoras, esta configuracin la realizamos en el router.
Pruebas: ACCION o Ping de PC2 a la LAN del proveedor o Ping de PC1 a la LAN del proveedor o Acceder al servidor web desde PC2 o Acceder al servidor web desde PC1 o Ping de web server al ftp server o Ping de ftp server al web server o Ping del web server a la PC1 o Ping del web server a la PC2 RESULTADO No Si No Si Si Si Si No
Pgina |5
COMUNICACIOENS DE DATOS II
Pgina |6
COMUNICACIOENS DE DATOS II
LISTA DE ACCESO EXTENDIDO POLTICA 3: Permitir el acceso a un rango continuo de direcciones ip.
Pgina |7
COMUNICACIOENS DE DATOS II
Ping de PC2 a la LAN del proveedor Si Ping de PC1 a la LAN del proveedor Si Acceder al servidor web desde PC2 Acceder al servidor web desde PC1 Ping de web server al ftp server Ping de ftp server al web server Ping del web server a la PC1 Ping del web server a la PC2 Si Si Si Si Si Si
POLTICA 4: El trafico FTP proveniente de LAN privada destinados a la LAN del proveedor es denegada, mientras que el resto del trafico IP esta permitido.
Pgina |8
COMUNICACIOENS DE DATOS II
Ping de PC2 a la LAN del proveedor Si Ping de PC1 a la LAN del proveedor si Acceder al servidor web desde PC2 Acceder al servidor web desde PC1 Ping de web server al ftp server Ping de ftp server al web server Ping del web server a la PC1 Ping del web server a la PC2 Si si Si Si Si Si
POLTICA 5: El servidor FTP utiliza el puerto 21 para el control y el puerto 20 para datos.El servidor FTP con ip 192.168.51.2 esta situada en la LAN del proveedor.Esta polticas establece que el trfico FTP y los datos proceden de la LAN Privada esta permitido,mientras que el resto de trafico denegado.
# # # #
102 permit any host 192.168.52.2 eq ftp 102 permit any host 192.168.52.2 eq ftp-data established 110 permit any host 192.168.52.2 ftp any established 11 permit any host 192.168.52.2 eq ftp-data any
Pgina |9
COMUNICACIOENS DE DATOS II
ACCION
RESULTADO
Ping de PC2 a la LAN del proveedor Si Ping de PC1 a la LAN del proveedor si Acceder al servidor web desde PC2 Acceder al servidor web desde PC1 Ping de web server al ftp server Ping de ftp server al web server Ping del web server a la PC1 Ping del web server a la PC2 si si Si Si no no
AREA: Ejercicio 1 Permitir acceso a HTTP/HTTPS y DNS a toda la RED. # # # # access-list access-list access-list access-list 100 100 100 100 permit permit permit permit tcp 192.168.41.0 0.0.0.255 any eq 80 tcp 192.168.41.0 0.0.0.255 any eq 443 tcp 192.168.41.0 0.0.0.255 any eq 53 udp 192.168.41.0 0.0.0.255 any eq 53
Bloquear el MESSENGER (Investigue la secuencia de las conexiones que realiza el usuario para conectarse ) #Cliente(config)#access-list 100 deny tcp 192.168.11.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 1863
P g i n a | 10
COMUNICACIOENS DE DATOS II
Ejercicio 2 Permitir acceso a HTTP/HTTPS y DNS a toda la RED # # # # access-list access-list access-list access-list 120 120 120 120 permit permit permit permit tcp 192.168.41.0 0.0.0.255 any eq 80 tcp 192.168.41.0 0.0.0.255 any eq 443 tcp 192.168.41.0 0.0.0.255 any eq 53 udp 192.168.41.0 0.0.0.255 any eq 53
Se habilita los Servicios de Correo con soporte a WEBMAIL en (SPRIV), que polticas debe aplicarse para su funcionamiento de salida e entrada. #access-list 130 permit tcp 192.168.11.0 0.0.0.255 any
TRABAJO
Cierta empresa no cuenta con equipos de seguridad por lo que solicita configuracin de ACL en su router que esta conmutado a Internet, la empresa requiere las siguientes polticas: 4 estacione de gerentes salida libre a Internet. 30 estaciones solo salida http, https.(OTROS) 10 estaciones de desarrollo, salida http,https, ssh. 1 servidor web, salida http 1 servidor correo, salida smtp.
P g i n a | 11
COMUNICACIOENS DE DATOS II
ESQUEMA
REGLAS DE ACCESO
4 estacione de gerentes salida libre a Internet.
# # # #
20 20 20 20
tcp 192.168.10.0 0.0.0.255 any eq 80 tcp 192.168.10.0 0.0.0.255 any eq 443 tcp 192.168.10.0 0.0.0.255 any eq 53 udp 192.168.10.0 0.0.0.255 any eq 53
# # # # #
30 30 30 30 30
tcp 192.168.20.0 0.0.0.255 any eq 80 tcp 192.168.20.0 0.0.0.255 any eq 443 tcp 192.168.20.0 0.0.0.255 any eq 53 udp 192.168.20.0 0.0.0.255 any eq 53 tcp 192.168.20.0 0.0.0.255 any eq 22
P g i n a | 12
COMUNICACIOENS DE DATOS II
1 servidor web, salida http
# access-list 50 permit tcp 80.0.0.3 0.0.0.255 any eq 25 # access-list 50 permit tcp 80.0.0.3 0.0.0.255 any eq 110 # access-list 50 permit tcp 80.0.0.3 0.0.0.255 any eq 143
P g i n a | 13
COMUNICACIOENS DE DATOS II
V. OBSERVACIONES Y CONCLUSIONES
El uso de listas de acceso permite un eficiente control de la red para poder darle ms seguridad, controlando la entrada de servicios (denegando o permitiendo). Para configurar las listas de acceso podemos hacer uso del nombre del servicio para acceder o denegar, podemos usar el puerto por el cual se accede y tambin tenemos que tener claro si el tipo de puerto es TCP o UDP. Una ACL se aplica a la interfaz de entrada o de salida. Se pueden crear una ACL para la interfaz de salida y otra distinta para esa interfaz de entrada.
P g i n a | 14