Objetivos Interpretar una poltica de seguridad para definir las reglas del firewall. Crear sentencias ACL para implementar las reglas del firewall. Configurar y probar las ACL. Resultados esperados y criterios de xito Antes de comenzar con esta prctica de laboratorio, lea las tareas que debe realizar. Cul cree que ser el resultado despus de realizar estas tareas? Pues van de la mano a las configuraciones de las listas, ya sea para permitir o denegar el trfico de los puertos. Cules son los riesgos inherentes de no utilizar una ACL para asegurar el trfico de red? El trfico en los puertos aumentara, no se tendra seguridad en esa parte y puede aumentar el riesgo en la red.
Javier Fabin Ramrez Mena 10300782 8 A2 Cules son los diversos mtodos para limitar el flujo de trfico desde y hacia las redes LAN o WAN? Las listas de control acceso.
Paso 1: Realizar el cableado y conectar la red como se muestra en el diagrama de la topologa NOTA: Si las PC utilizadas en esta prctica de laboratorio tambin estn conectadas a su red LAN de la Academia o a Internet, asegrese de documentar las conexiones del cable y configuraciones TCP/IP para que stas puedan ser reestablecidas al finalizar la prctica. a. Conecte y configure los dispositivos de acuerdo con la topologa y configuracin dadas. Debe configurarse el enrutamiento a travs de los enlaces seriales para establecer la comunicacin de datos. NOTA: El instructor puede sustituir el Servidor de produccin por un servidor equivalente en esta prctica de laboratorio. b. Configure el acceso a Telnet en cada router. c. Haga ping entre Host1, Host2 y el Servidor de produccin, para confirmar la conectividad de la red. En caso de que fallen los pings o Telnet, resuelva los problemas y establezca la conectividad.
Paso 2: Realizar configuraciones bsicas del router a. Configure los dispositivos de red teniendo en cuenta las siguientes pautas: Configure los nombres de host de cada dispositivo. Configure una contrasea para el modo EXEC de class. Javier Fabin Ramrez Mena 10300782 8 A2 Configure una contrasea de cisco para las conexiones de la consola. Configure una contrasea de cisco para las conexiones de la vty (Terminal virtual). Configure direcciones IP en todos los dispositivos. Habilite EIGRP en todos los routers y configure a cada uno para que notifique todas las redes conectadas. Verifique la conectividad total de IP usando el comando ping. b. Confirme la conectividad de la Capa de aplicacin con la utilizacin de Telnet en todos los routers.
Paso 3: Crear el conjunto de reglas del firewall y las sentencias de la lista de acceso Utilizando la informacin de la poltica de seguridad de FilmCompany para el acceso remoto, cree las reglas del firewall que deban implementarse para hacer cumplir la poltica. Despus de documentar la regla del firewall, cree la sentencia de la lista de acceso que va a implementar la regla del firewall. Quizs se necesite ms de una sentencia para implementar una regla. Se muestra un ejemplo de una de las reglas del firewall: Poltica de seguridad 1: Los usuarios remotos deben poder acceder al Servidor de produccin para ver sus programas en la Web y para ingresar nuevas rdenes. Regla del firewall: Permitirles a los usuarios del 10.1.1.0/24 el acceso al Servidor de produccin (172.17.1.1) en el puerto TCP 80. Sentencia(s) de la lista de acceso: permit tcp 10.1.1.0 0.0.0.255 host 172.17.1.1 eq 80 Ubicacin de la lista de acceso: En la entrada del router SR1 Fa0/1 (recuerde que las ACL extendidas deben colocarse lo ms cerca posible del origen del trfico) Javier Fabin Ramrez Mena 10300782 8 A2 Para cada una de las siguientes polticas de seguridad: a. Cree una regla del firewall. b. Cree una sentencia de la lista de acceso. c. Determine la ubicacin de la lista de acceso para implementar la regla del firewall. Poltica de seguridad 2: Los usuarios remotos deben poder utilizar el FTP para descargar y subir archivos procedentes del Servidor de produccin y destinados a ste. Regla del firewall: Permitir que este equipo enve o reciba trfico con programas, servicios del sistema, equipos o usuarios. Poltica de seguridad 3: Los usuarios remotos pueden utilizar el Servidor de produccin para enviar y recibir correo electrnico usando los protocolos IMAP y SMTP. Poltica de seguridad 4: Los usuarios remotos no deben poder acceder a ningn otro servicio disponible en el Servidor de produccin. Poltica de seguridad 5: No se permite el trfico procedente de las estaciones de trabajo individuales de la oficina principal hacia las estaciones de trabajo de los trabajadores remotos. Cualquier archivo que deba transferirse entre los dos sitios debe ser almacenado en el Servidor de produccin y recuperado a travs del FTP. Poltica de seguridad 6: No se permite el trfico desde las estaciones de trabajo del sitio remoto hacia las estaciones de trabajo del sitio principal. Poltica de seguridad 7: No se permite el trfico de Telnet desde las estaciones de trabajo del sitio remoto hacia ningn dispositivo, excepto su switch local. Paso 4: Crear las ACL extendidas a. Vuelva a ver la informacin sobre la ubicacin de la lista de acceso que cre para implementar cada una de las polticas de seguridad de FilmCompany. Enumere todas las distintas ubicaciones de la lista de acceso que anot ms arriba. Javier Fabin Ramrez Mena 10300782 8 A2 Segn la informacin de la ubicacin cuntas listas de acceso tiene que crear? En el Router SR1 En el Router Edge2 En el Router BR4 b. Segn las sentencias de la lista de acceso que desarroll en la Tarea 3, cree cada lista de acceso que se necesite para implementar las polticas de seguridad. Cuando cree las listas de acceso, recuerde los siguientes principios: Slo se puede aplicar una lista de acceso por protocolo, por direccin en cada interfaz. Las sentencias de la lista de acceso se procesan en orden. Una vez que se cre una lista de acceso y se aplic a la interfaz, se descarta todo el trfico que no coincida con ninguna sentencia de la lista de acceso. c. Use un archivo de texto para crear las listas de acceso o escrbalas aqu. Evale cada sentencia de la lista de acceso para asegurarse de que va a filtrar el trfico como se pretende. Por qu es tan importante el orden de las sentencias de la lista de acceso? Para permitir o denegar el trfico de manera jerrquica. Paso 5: Configurar y probar las listas de acceso a. Configure las listas de acceso en los routers adecuados y aplquelas a las interfaces correctas. Nombres de listas de acceso: Listas de acceso b. Pruebe las listas de acceso y su ubicacin llevando a cabo las siguientes pruebas: Usando el Host1, abra el explorador e intente ver una pgina Web situada en el Servidor de produccin con la direccin http://172.17.1.1. Tuvo xito? Si Javier Fabin Ramrez Mena 10300782 8 A2 Usando el Host1, abra el explorador e intente conectarse al Servidor de produccin con ftp://172.17.1.1. Tuvo xito? Si Usando el Host1, intente ejecutar Telnet hacia cualquier direccin de cualquier router o switch. Tuvo xito? no Usando el Host1, intente hacer ping en el Host2. Tuvo xito? si Usando el Host2, intente hacer ping en el Host1 Tuvo xito? si Las ACL tuvieron el rendimiento que esperaba? Si Si no fue as, corrija y vuelva a probar las ACL y su ubicacin dentro de la red. Paso 7: Reflexin Las estrategias de diseo para la LAN de FilmCompany plantean muchos desafos para el diseador. Cules fueron algunos de los mayores desafos de crear una ACL con los que se encontr? Configurar las ACL adecuadamente Evale y analice las estrategias identificadas. Todas las estrategias diseadas o el hardware identificado cumplen con la tarea de la misma forma? Si Alguna ACL podra funcionar mejor que otra? Si