Está en la página 1de 52

ndice

OBJETIVOS ................................................................................................................................................... 1 MARCO TERICO ......................................................................................................................................... 2 ACL ................................................................................................................................................................. 2 Qu es una ACL?....................................................................................................................................... 2 Las ACL realizan las siguientes tareas: ....................................................................................................... 2 TIPOS DE ACL .................................................................................................................................................... 3 ACL estndar .............................................................................................................................................. 3 ACL extendidas ........................................................................................................................................... 3 DNDE UBICAR LAS ACL? .................................................................................................................................. 3 CMO FUNCIONA UNA ACL ESTNDAR? ................................................................................................................ 3 CONFIGURACIN DE LAS ACL ESTNDAR.................................................................................................................. 4 Procedimientos de configuracin de las ACL estndar .............................................................................. 4 CONFIGURACION DE LAS ACL EXTENDIDAS ............................................................................................................... 4 MASCARA WILDCARD .......................................................................................................................................... 5 CONFIGURACIN DE LISTA DE ACCESO ESTNDAR ...................................................................................... 6 Paso 1 Configurar el nombre de host y las contraseas en el router Gadsden .......................................... 6 Paso 2 Configurar los hosts en el segmento Ethernet ................................................................................ 7 Paso 3 Guardar la informacin de configuracin en el modo de comando EXEC privilegiado. ................. 8 Paso 4 Confirmar la conectividad haciendo ping al gateway por defecto desde ambos hosts.................. 8 Paso 5 Impedir el acceso a la interfaz Ethernet desde los hosts ................................................................ 9 Paso 6 Hacer ping al router desde los hosts ............................................................................................ 10 Paso 7 Aplicar la lista de acceso a la interfaz .......................................................................................... 10 Paso 8 Hacer ping al router desde los hosts ............................................................................................ 11 Paso 9 Crear una nueva lista de acceso ................................................................................................... 13 Paso 10 Aplicar la lista de acceso a la interfaz de router correspondiente .............................................. 13 Paso 11 Hacer ping al router desde cada host ......................................................................................... 13 CONFIGURACIN DE LISTAS DE ACCESO EXTENDIDAS ............................................................................... 15 Paso 1 Configurar el nombre de host y las contraseas en el router GAD ............................................... 15 Paso 2 Configurar los hosts en el segmento Ethernet .............................................................................. 16 Paso 3 Guardar la informacin de configuracin en el modo de comando EXEC privilegiado. ............... 16 Paso 4 Confirmar la conectividad haciendo ping al gateway por defecto desde ambos hosts................ 17 Paso 5 Conectarse al router mediante el navegador de Web .................................................................. 17 Paso 6 Impedir el acceso HTTP (Puerto 80) desde los hosts de la interfaz Ethernet ................................ 18 Paso 7 Aplicar la lista de acceso a la interfaz .......................................................................................... 18 Paso 8 Hacer ping al router desde los hosts ............................................................................................ 18

Paso 9 Conectarse al router mediante el navegador de Web .................................................................. 18 Paso 10 Hacer telnet al router desde los hosts ........................................................................................ 19 ACL ESTNDAR .......................................................................................................................................... 20 Paso 1 Interconexin bsica del router .................................................................................................... 21 Paso 2 Configuracin bsica .................................................................................................................... 21
Configuracin del router GAD .............................................................................................................................. 21 Configuracin router BHM ................................................................................................................................... 22

Paso 3 Establecer los requisitos de la lista de acceso .............................................................................. 23 Paso 4 Planificar los requisitos de la lista de acceso ................................................................................ 23 Paso 5 Escribir y aplicar la ACL................................................................................................................. 24 Paso 6 Verificar la ACL ............................................................................................................................. 25 Paso 7 Documente la ACL ........................................................................................................................ 27 LISTAS DE ACCESO EXTENDIDAS SENCILLAS ............................................................................................... 29 Paso 1 Configuraciones bsicas del router y el host ................................................................................ 30
Configuracin GAD ............................................................................................................................................... 35 Configuracin BHM............................................................................................................................................... 35

Paso 2 Impedir que los usuarios de Produccin accedan a la red GAD .................................................... 36 Paso 3 Permitir que un usuario de Produccin acceda a la red GAD ....................................................... 42 Paso 4 Permitir que los usuarios de GAD accedan al servidor de nmina de la administracin.............. 43 Paso 5 Documente la ACL ........................................................................................................................ 46 CONCLUSIONES .......................................................................................................................................... 47 ANEXOS ..................................................................................................................................................... 48

Objetivos
Objetivos

Configurar y aplicar una ACL estndar para permitir o denegar trfico especifico. Probar la ACL para determinar si se logran los resultados deseados. Configurar y aplicar una ACL extendida para permitir o denegar trfico especifico. Configurar listas de acceso extendidas para filtrar trfico de red a red, de host a red y de red a host.

Marco Terico
Marco Terico
ACL
Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones o protocolos de capa superior. Las ACL brindan una manera poderosa de controlar el trfico de entrada o de salida de la red. Puede configurar las ACL para todos los protocolos de red enrutados. El motivo ms importante para configurar las ACL es brindar seguridad a la red. Qu es una ACL? La ACL es una configuracin de router que controla si un router permite o deniega paquetes segn el criterio encontrado en el encabezado del paquete. Las ACL son unos de los objetos ms comnmente utilizados en el software IOS de Cisco. Las ACL tambin se utilizan para seleccionar los tipos de trfico por analizar, reenviar o procesar de otras maneras. Como cada paquete llega a travs de una interfaz con una ACL asociada, la ACL se revisa de arriba a abajo, una lnea a la vez, y se busca un patrn que coincida con el paquete entrante. La ACL hace cumplir una o ms polticas de seguridad corporativas al aplicar una regla de permiso o denegacin para determinar el destino del paquete. Es posible configurar las ACL para controlar el acceso a una red o subred. Como cada paquete llega a travs de una interfaz con una ACL asociada, la ACL se revisa de arriba a abajo, una lnea a la vez, y se busca un patrn que coincida con el paquete entrante. La ACL hace cumplir una o ms polticas de seguridad corporativas al aplicar una regla de permiso o denegacin para determinar el destino del paquete. Es posible configurar las ACL para controlar el acceso a una red o subred. Las ACL realizan las siguientes tareas: 1. Limitar el trfico de red para mejorar el rendimiento de sta. Por ejemplo, si la poltica corporativa no permite el trfico de video en la red, pueden configurarse y aplicarse las ACL que bloquean el trfico de video. Esto reduce considerablemente la carga de la red y aumenta su rendimiento. 2. Brindar control de flujo de trfico. Las ACL pueden restringir el envo de las actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda. 3. Proporcionar un nivel bsico de seguridad para el acceso a la red. Las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma rea. Por ejemplo, el acceso a la red de Recursos Humanos puede restringirse a determinados usuarios.

4. Se debe decidir qu tipos de trfico enviar o bloquear en las interfaces del router. Por ejemplo, una ACL puede permitir el trfico de correo electrnico, pero bloquear todo el trfico de Telnet. 5. Controlar las reas de la red a las que puede acceder un cliente. 6. Analizar los hosts para permitir o denegar su acceso a los servicios de red. Las ACL pueden permitir o denegar el acceso de un usuario a tipos de archivos, como FTP o HTTP.

Tipos de ACL
ACL estndar Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el trfico desde la red 192.168.30.0/24. Debido a la sentencia implcita "deny any" (denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin global. ACL extendidas Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor disparidad de control. En la figura, la ACL 103 permite el trfico que se origina desde cualquier direccin en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo de configuracin global.

Dnde Ubicar las ACL?


La ubicacin adecuada de las ACL para filtrar el trfico no deseado proporciona un funcionamiento ms eficiente de la red. Las ACL pueden actuar como firewalls para filtrar paquetes y eliminar el trfico no deseado. El lugar donde ubique las ACL puede reducir el trfico innecesario. Por ejemplo, el trfico que se deniega en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino. Todas las ACL deben ubicarse donde ms repercutan sobre la eficacia. Las reglas bsicas son: Ubicar las ACL extendidas lo ms cerca posible del origen del trfico denegado. De esta manera, el trfico no deseado se filtra sin atravesar la infraestructura de red. Como las ACL estndar no especifican las direcciones de destino, colquelas lo ms cerca del destino posible.

Cmo funciona una ACL estndar?


La ACL estndar es una coleccin secuencial de condiciones de permiso o denegacin que aplican a las direcciones IP. No se incluyen el destino del paquete ni los puertos involucrados. El software IOS de Cisco prueba las direcciones una a una con las condiciones. La primera coincidencia determina si el software acepta o rechaza la direccin. El orden de las condiciones es 3

muy importante, ya que el software detiene las condiciones de prueba luego de la primera coincidencia. Si no coinciden ningunas de las condiciones, se rechaza la direccin. Las dos tareas principales involucradas al utilizar las ACL son:

Paso 1. Crear una lista de acceso que especifique un nmero o nombre de lista de acceso y las condiciones de acceso. Paso 2. Aplicar la ACL a las interfaces o lneas de terminal.

Configuracin de las ACL estndar


Para configurar las ACL estndar numeradas en un router Cisco, primero debe crear la ACL estndar y, luego, activarla en una interfaz. El comando de configuracin global access-list define una ACL estndar con un nmero entre 1 y 99. El software IOS de Cisco Versin 12.0.1 extendi el rango y permite desde 1300 a 1999 para brindar un mximo de 798 ACL estndar posibles. Estos nmeros adicionales son denominados ACL IP expandidos. La sintaxis completa del comando ACL estndar es: Router(config)#access-list nmero-de-lista-de-acceso deny permit remark origen [wildcard origen] [log] Procedimientos de configuracin de las ACL estndar Luego de configurar una ACL estndar, se la vincula a una interfaz con el comando ip access-group: Router(config-if)#ip access-group {nmero de lista de acceso | nombre de lista de acceso} {in | out} Para eliminar una ACL de una interfaz, primero ingrese el comando no ip access-group en la interfaz y luego el comando global no access-list para eliminar toda la ACL.

Configuracion de las ACL extendidas


Para lograr un control ms preciso del filtrado del trfico, puede usar ACL extendidas numeradas del 100 al 199 y del 2000 al 2699, lo que ofrece un total de 799 ACL extendidas posibles. Las ACL extendidas se utilizan con ms frecuencia que las ACL estndar porque proporcionan un mayor control y, por lo tanto, complementan su solucin de seguridad. Al igual que las ACL estndar, las extendidas verifican la direccin de origen del paquete, pero tambin verifican la direccin de destino, los protocolos y los nmeros de puerto (o servicios). Esto ofrece un criterio ms amplio sobre el cual fundamentar la ACL. Por ejemplo, una ACL extendida puede permitir de manera simultnea el trfico de correo electrnico de una red a un destino especfico y, a la vez, denegar la transferencia de archivos y la navegacin Web.

Los procedimientos para configurar las ACL extendidas son los mismos que para las ACL estndar: primero crea la ACL extendida y luego la activa en una interfaz. Sin embargo, la sintaxis y los parmetros del comando tienen ms complejidades para admitir las funciones adicionales de las ACL extendidas. La sintaxis completa del comando ACL extendida es:

Router(config)# access-list numero_ACL deny|permit protocolo direccin_origen mascara_wildcard_dir_origen direccin_destino mascara_wildcard_dir_ destino eq|gt|lt nmero_puerto Donde: Protocolo puede ser TCP, UDP, ICMP o IP. ICMP se utiliza para filtrar ping. eq significa igual (=); gt significa mayor que (>); lt significa menor que (<) El nmero de puerto aplica para TCP y UDP.

Mascara Wildcard
Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras wildcard. Una mscara wildcard es una secuencia de dgitos binarios que le indican al router qu partes del nmero de subred observar. Aunque las mscaras wildcard no tienen una relacin funcional con las mscaras de subred, s proporcionan una funcin similar. La mscara determina qu parte de la direccin IP de origen y destino aplicar a la concordancia de direcciones. Los nmeros 1 y 0 de la mscara identifican cmo considerar los bits de direcciones IP correspondientes. Sin embargo, se utilizan con distintos propsitos y siguen distintas reglas. Las mscaras wildcard y mscaras de subred tienen una longitud de 32 bits y utilizan unos (1) y ceros (0) binarios. Las mscaras de subred utilizan unos y ceros binarios para identificar la red, subred y porcin de host de una direccin IP. Las mscaras wildcard utilizan unos y ceros binarios para filtrar direcciones IP individuales o en grupo para permitir o denegar el acceso a recursos segn la direccin IP. Al configurar cuidadosamente las mscaras wildcard, puede permitir o denegar una o varias direcciones IP. Las mscaras wildcard y mscaras de subred difieren en la forma en la que concuerdan sus unos y ceros binarios. Las mscaras wildcard utilizan las siguientes reglas para hacer coincidir sus unos y ceros binarios. Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la direccin Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin

Las mscaras wildcard generalmente son denominadas mscaras inversas. El motivo es que, a diferencia de una mscara de subred cuyo 1 binario representa una coincidencia y el 0 binario la falta de coincidencia, lo inverso es verdadero. Facilitan la lectura de una ACL al proporcionar pistas visuales en cuanto al origen o destino del criterio. 5


La opcin host reemplaza la mscara 0.0.0.0. Esta mscara indica que todos los bits de direcciones IP deben coincidir o que slo un host coincide. La opcin any reemplaza la direccin IP y la mscara 255.255.255.255. Esta mscara indica que debe ignorarse toda la direccin IP o que deben aceptarse todas las direcciones.

Configuracin de Listas de Acceso Estndar Practica 11.2.1a

Practica de Laboratorio 11.2.1a


Configuracin de lista de acceso estndar
Diagfama de Topologia

Tabla de direccionamiento
Designacin Del router Nombre Del router Gireccin FA0/0 Mscara de subred Contrasea Enable secret Contraseas Enable/VTY/C onsola

Router 1

GAD

192.168.14.1 255.255.255.0 class

cisco

Paso 1 Configurar el nombre de host y las contraseas en el router Gadsden

a. En el router Gadsden, entre al modo de configuracin global y configure el nombre de host tal como aparece en el cuadro. Entonces, configure las contraseas de consola, de la terminal virtual y de enable. Configure la interfaz FastEthernet en el router de acuerdo al diagrama.
Router>enable Router#conf t Enter configuration commands, one per line. Router(config)#hostname GAD GAD(config)#enable secret class

End with CNTL/Z.

Configuracin de Listas de Acceso Estndar Practica 11.2.1a GAD(config)#int fa0/0 GAD(config-if)#ip address 192.168.14.1 255.255.255.0 GAD(config-if)#no shut %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up GAD(config-if)#exit GAD(config)#line vty 0 4 GAD(config-line)#password cisco GAD(config-line)#login GAD(config-line)#exit GADconfig)#exit GAD#

Paso 2 Configurar los hosts en el segmento Ethernet

a. Host 1 Direccin IP 192.168.14.2 Mscara de subred 255.255.255.0 Gateway por defecto 192.168.14.1 b. Host 2 Direccin IP 192.168.14.3 Mscara de subred 255.255.255.0 Gateway por defecto 192.168.14.1

Configuracin de Listas de Acceso Estndar Practica 11.2.1a

Configuracin de la direccin IP del host 1

Configuracin de la direccin IP del host 2

Paso 3 Guardar la informacin de configuracin en el modo de comando EXEC privilegiado. GAD#copy running-config startup-config Paso 4 Confirmar la conectividad haciendo ping al gateway por defecto desde ambos hosts

a. Si los pings no tienen xito, corrija la configuracin y repita este paso hasta que tengan xito.

Configuracin de Listas de Acceso Estndar Practica 11.2.1a

Paso 5 Impedir el acceso a la interfaz Ethernet desde los hosts

a. Cree una lista de acceso que impida el acceso a FastEthernet 0 desde la red 192.168.14.0.
b. En la peticin de entrada de configuracin del router escriba el siguiente comando: GAD(config)#access-list 1 deny 192.168.14.0 0.0.0.255 GAD(config)#access-list 1 permit any

c. Por qu hace falta la segunda sentencia? Ya que en los routers existe una sentencia implcita de deny any any

Configuracin de Listas de Acceso Estndar Practica 11.2.1a

Paso 6 Hacer ping al router desde los hosts

a. Fueron exitosos los pings? Si b. Si lo fueron Por qu? Porque no fue aplicado a la interfaz

Paso 7 Aplicar la lista de acceso a la interfaz

a. En la peticin de entrada del modo de interfaz FastEthernet 0 escriba lo siguiente:


GAD(config-if)#ip access-group 1 in

10

Configuracin de Listas de Acceso Estndar Practica 11.2.1a

Paso 8 Hacer ping al router desde los hosts

a. Fueron exitosos los pings? No b. Si lo fueron Por qu?

11

Configuracin de Listas de Acceso Estndar Practica 11.2.1a

12

Configuracin de Listas de Acceso Estndar Practica 11.2.1a

Paso 9 Crear una nueva lista de acceso

a. Ahora, cree una lista de acceso que impida que los hosts con nmeros pares hagan ping pero permita el host con nmero impar. b. Cmo ser esta lista de acceso? Termine este comando con una direccin IP de comparacin (aaa.aaa.aaa.aaa) y mscara wildcard (www.www.www.www) adecuadas: access-list 2 permit aaa.aaa.aaa.aaa www.www.www.www

c. Por qu no fue necesario poner la sentencia permit any al final esta vez? Ya estamos permitiendo los host que deseamos con la primera sentencia.
Paso 10 Aplicar la lista de acceso a la interfaz de router correspondiente

a. Primero, elimine la aplicacin de lista de acceso antigua escribiendo no ip access-group 1 in en el modo de configuracin de interfaz. b. Aplique la lista de acceso nueva escribiendo ip access-group 2 in
Paso 11 Hacer ping al router desde cada host

a. Tuvo xito el ping desde el host 1? Si b. Por qu o por qu no? Porque tiene direccin par se encuentra en el rango. c. Tuvo xito el ping desde el host 2? No
13

Configuracin de Listas de Acceso Estndar Practica 11.2.1a

d. Por qu o por qu no? Porque el host 2 tiene direccin impar.

Al completar los pasos anteriores, desconctese escribiendo exit. Apague el router.


14

Configuracin de listas de acceso extendidas Practica 11.2.2a

Practica de Laboratorio 11.2.2a


Configuracin de Listas de Acceso Extendidas

Designacin del router Router 1

Nombre del router GAD

Direccin FA0/0 192.168.14.1

Mascara de subred

Contrasea enable secret 255.255.255.0 class

Contraseas enable/VTY/C consola cisco

Paso 1 Configurar el nombre de host y las contraseas en el router GAD a. En el router GAD, entre al modo de configuracin global y configure el nombre de host tal como aparece en el cuadro. Entonces, configure las contraseas de consola, de la terminal virtual y de enable. Configure la interfaz FastEthernet en el router de acuerdo al diagrama.
Router>ena Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname GAD GAD(config)#ena secret class GAD(config)#int fa0/0 GAD(config-if)#ip address 192.168.14.1 255.255.255.0 GAD(config-if)#no shut GAD(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up GAD(config-if)#exit GAD(config)#line vty 0 4 GAD(config-line)#password cisco GAD(config-line)#login GAD(config-line)#exit GAD(config)#

15

Configuracin de listas de acceso extendidas Practica 11.2.2a


GAD#

b. Permita el acceso HTTP ejecutando el comando ip http server en el modo de configuracin global.
GAD(config)#int fa0/1 GAD(config-if)#ip address 192.168.15.1 255.255.255.0 GAD(config-if)#no shut %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up GAD(config-if)#exit

Paso 2 Configurar los hosts en el segmento Ethernet a. Host 1 Direccin IP 192.168.14.2 Mscara de subred 255.255.255.0 Gateway por defecto 192.168.14.1 b. Host 2 Direccin IP 192.168.14.3 Mscara de subred 255.255.255.0 Gateway por defecto 192.168.14.1

Host 1

Host 2

Paso 3 Guardar la informacin de configuracin en el modo de comando EXEC privilegiado.

GAD#copy running-config startup-config GAD#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] GAD#

16

Configuracin de listas de acceso extendidas Practica 11.2.2a

Paso 4 Confirmar la conectividad haciendo ping al gateway por defecto desde ambos hosts a. Si los pings no tienen xito, corrija la configuracin y repita este paso hasta que tengan xito.

Ping Host 1

Ping Host 2

Paso 5 Conectarse al router mediante el navegador de Web a. Desde el host, conctese al router mediante un navegador de Web para asegurarse de que la funcin de servidor de Web est activa.

17

Configuracin de listas de acceso extendidas Practica 11.2.2a Paso 6 Impedir el acceso HTTP (Puerto 80) desde los hosts de la interfaz Ethernet a. Cree una lista de acceso que impida el acceso mediante navegador de Web a FastEthernet 0 desde la red 192.168.14.0. b. En la peticin de entrada de configuracin del router escriba el siguiente comando:
GAD(config)#access-list 101 deny tcp 192.168.14.0 0.0.0.255 any eq 80 GAD(config)#access-list 101 permit ip any any

c. Por qu hace falta la segunda sentencia?

Porque las ACL tienen implcita la sentencia deny any any al final.
Paso 7 Aplicar la lista de acceso a la interfaz a. En la peticin de entrada del modo de interfaz FastEthernet 0 escriba:
GAD(config-if)#ip access-group 101 in

Paso 8 Hacer ping al router desde los hosts a. Fueron exitosos los pings?

Si.
b. Si es as, por qu?

Porque solamente bloqueamos el servicio http.


Paso 9 Conectarse al router mediante el navegador de Web a. Pudo conectarse el navegador?

No.

18

Configuracin de listas de acceso extendidas Practica 11.2.2a

Paso 10 Hacer telnet al router desde los hosts


a. Pudo hacer Telnet con xito?

Si.
b. Por qu o por qu no? Al completar los pasos anteriores, desconctese escribiendo exit. Apague el router.

Porque telnet utiliza el puerto 23 no el 80 adems el puerto que bloqueamos con la ACL fue el http o sea el 80.

19

ACL Estndar Practica 11.2.1b

Practica de laboratorio 11.2.1b


ACL Estndar

Nombre Del router GAD BHM

Direccin FA0/0

Tipo de Interface S0/0 192.168.1.1/24 DCE 192.168.3.1/24 DTE

Direccin S0/0

Enrutamiento Contrase a enable 192.168.2.1/24 172.16.1.1/24 RIP cisco 192.168.2.2/24 RIP cisco

Direccin LO0

Contras ea VTY class class

Host 1 2 3 4

Direccin IP 192.168.1.2 192.168.1.3 192.168.3.2 192.168.3.3

Mscara de subred 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

Gaterway 192.168.1.1 192.168.1.1 192.168.3.1

Situacin La sede de la empresa en Gadsden (GAD) ofrece servicios a las sucursales, como la oficina de Birmingham (BHM). Estas oficinas tienen algunos problemas menores de seguridad y desempeo. Por lo tanto, es necesario implementar una ACL estndar como una herramienta simple y efectiva para controlar el trfico.

Infraestructura El Host 3 representa la estacin de quiosco cuyo acceso debe limitarse a la red local. El Host 4 representa a otro host de la oficina de BHM y la interface Loopback 0 del router GAD representa la Internet.

20

ACL Estndar Practica 11.2.1b Paso 1 Interconexin bsica del router a. Interconecte los routers de acuerdo al diagrama. Paso 2 Configuracin bsica a. Es posible que el router tenga configuraciones de un uso anterior. Por este motivo, borre la configuracin inicial y vuelva a cargar el router para eliminar cualquier configuracin residual. Refirase a las tablas en la primera pgina y configure el router y los host. Verifique la conectividad haciendo ping a todos los sistemas y routers desde cada sistema. b. Para simular la Internet, agregue la siguiente configuracin al router GAD.
GAD(config)#interface loopback0 GAD(config-if)#address 172.16.1.1 255.255.255.0 GAD(config-if)#exit GAD(config)#router rip GAD(config-router)#network 172.16.0.0 GAD(config-if)#^z

Configuracin del router GAD


Router>ena Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname GAD GAD(config)#ena secret class GAD(config)#int fa0/0 GAD(config-if)#ip address 192.168.1.1 255.255.255.0 GAD(config-if)#no shut GAD(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up GAD(config-if)#exit GAD(config)#int s0/0 GAD(config-if)#ip address 192.168.2.1 255.255.255.0 GAD(config-if)#clock rate 64000 GAD(config-if)#no shut %LINK-5-CHANGED: Interface Serial0/0, changed state to down GAD(config-if)#exit GAD(config)#line vty 0 4 GAD(config-line)#password cisco GAD(config-line)#login GAD(config-line)#exit GAD(config)#int loopback0 GAD(config-if)# %LINK-5-CHANGED: Interface Loopback0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up GAD(config-if)#ip address 172.16.1.1 255.255.255.0 GAD(config-if)#exit GAD(config)#router rip GAD(config-router)#network 172.16.0.0

21

ACL Estndar Practica 11.2.1b


GAD(config-router)#network 192.168.1.0 GAD(config-router)#network 192.168.2.0 GAD(config-router)#exit GAD(config)#exit GAD# %SYS-5-CONFIG_I: Configured from console by console GAD#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] GAD#

Configuracin router BHM


Router>ena Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname BHM BHM(config)#ena secret class BHM(config)#int fa0/0 BHM(config-if)#ip address 192.168.3.1 255.255.255.0 BHM(config-if)#no shut BHM(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up BHM(config-if)#exit BHM(config)#int s0/0 BHM(config-if)#ip address 192.168.2.2 255.255.255.0 BHM(config-if)#no shut BHM(config-if)# %LINK-5-CHANGED: Interface Serial0/0, changed state to up BHM(config-if)#exit BHM(config)# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up BHM(config)#line vty 0 4 BHM(config-line)#password cisco BHM(config-line)#login BHM(config-line)#exit BHM(config)#router rip BHM(config-router)#network 192.168.3.0 BHM(config-router)#network 192.168.2.0 BHM(config-router)#exit BHM(config)#exit %SYS-5-CONFIG_I: Configured from console by consoleBHM# BHM#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] BHM#

22

ACL Estndar Practica 11.2.1b

Router GAD

Router BHM

Paso 3 Establecer los requisitos de la lista de acceso a. Es necesario limitar el acceso de la estacin de quiosco (Host 3) a la red local. Se determina que es necesario crear una lista de acceso estndar para evitar que el trfico desde este host llegue a cualquiera de las dems redes. La lista de control de acceso debe bloquear el trfico desde este host sin afectar otro trfico desde esta red. Una ACL IP estndar es adecuada, dado que filtra a base de la direccin origen a cualquier destino. Cul es la direccin origen del quiosco?

192.168.3.2
Paso 4 Planificar los requisitos de la lista de acceso a. Como ocurre con cualquier proyecto, la parte ms importante del proceso es la planificacin. Primero, hay que definir la informacin necesaria para crear la ACL. Una lista de acceso consta de una serie de sentencias ACL. Cada sentencia aumenta a la ACL de forma secuencial. Dado que la lista se compone de ms de una sentencia, el orden de las sentencias debe planificarse cuidadosamente. b. Se ha determinado que para esta ACL se requerirn dos pasos lgicos. Cada uno de estos pasos se puede lograr con una sola sentencia. Como herramienta de planificacin, se puede utilizar un editor de texto como el Bloc de notas, para organizar la lgica y luego escribir la lista. En el editor de texto introduzca la lgica escribiendo:
! stop traffic from host 3 ! permit all other traffic c. A partir de esta lgica se puede elaborar la ACL. En las tablas siguientes, anote la informacin para cada sentencia pare el trfico frl ordenador pincipal 3 Nro de lista permitir o denegar Direccin origen Mscara wildcard

Denegar

192.168.3.2

0.0.0.0 23

ACL Estndar Practica 11.2.1b

permita el resto del trfico Nro de lista permitir o denegar Direccin origen Mscara wildcard

Permitir

0.0.0.0

255.255.255.255

d. Cul sera el resultado de no incluir una sentencia para permitir todas las dems direcciones origen?

Se denegaran los paquetes que llegaran debido a la sentencia deny any any
e. Cul sera el resultado de invertir el orden de las dos sentencias en la lista?

Se permitira el paso ya que las ACL prueban las sentencias segn el orden en el que fueron escritas.
f. Por qu ambas sentencias usan el mismo nmero de ACL?

Ambas son parte de las ACL entrante. Debido a que solo se permiten dos ACL por interfaz, las sentencias deben aparecer con cada una en la misma ACL.
g. El paso final en el proceso de planificacin es determinar la mejor ubicacin para la lista de acceso y la direccin en la que se debe aplicar la lista. Examine el diagrama de la red y seleccione la interfaz y direccin adecuadas. Anote esto en la tabla que se encuentra a continuacin: Router BHM Tambin: Router GAD Interfaz S0/0 Direccin in Interfaz FA0/0 Direccin in

Paso 5 Escribir y aplicar la ACL a. Mediante la lgica e informacin de la lista de acceso desarrolladas anteriormente, complete los comandos en el editor de texto. La sintaxis de la lista deber ser similar a lo siguiente:
! stop traffic from host 3 access-list #deny address wildcard ! permit all other traffic access-list #permit address wildcard

24

ACL Estndar Practica 11.2.1b b. Agregue las sentencias de configuracin para aplicar la lista a este archivo de texto. Las sentencias de configuracin tendrn la siguiente forma:
interface type #/# ip access-group #{in, out}

c. Ahora es necesario aplicar la configuracin de archivo de texto al router. Entre al modo de configuracin del router correspondiente y copie y pegue la configuracin. Observe la visualizacin de la CLI para garantizar que no haya errores. BHM>ena Password: BHM#conf t Enter configuration commands, one per line. End with CNTL/Z. BHM(config)#access-list 1 deny 192.168.3.2 0.0.0.0 BHM(config)#access-list 1 permit 0.0.0.0 255.255.255.255 BHM(config)#int fa0/0 BHM(config-if)#ip access-group 1 in BHM(config-if)#exit BHM(config)#exit BHM# %SYS-5-CONFIG_I: Configured from console by console Paso 6 Verificar la ACL Ahora que se ha completado la ACL, es necesario confirmarla y probarla. a. El primer paso es verificar la lista para ver si se ha configurado correctamente en el router. Para verificar la lgica de la ACL use el comando show access-lists. Anote el resultado. BHM#show access-list Standard IP access list 1 deny host 192.168.3.2 permit any BHM#

b. A continuacin, verifique que se haya aplicado la lista de acceso a la interfaz correcta y en la direccin correcta. Para hacer esto examine la interfaz con el comando show ip 25

ACL Estndar Practica 11.2.1b interface. Verifique el resultado desde cada interfaz y anote las listas aplicadas a la interfaz. Interfaz FA0/0

FA 0/0
La lista de acceso de salida es no establecida

No establecida
La lista de acceso de entrada es 1

c. Por ltimo, pruebe la funcionalidad de la ACL intentando enviar paquetes desde el host origen y verifique que se permita o deniegue de acuerdo a lo planificado. En este caso, la prueba se realiza con un ping. [ x] verify that host 3 CAN ping host 4 [ x] verify that host 3 CANNOT ping host 1 [ x] verify that host 3 CANNOT ping host 2 [ x] verify that host 3 CANNOT ping GAD Fa0/0 [ x] verify that host 3 CANNOT ping GAD LO0 [ x] verify that host 4 CAN ping host 1 [ x] verify that host 4 CAN ping host 2 [ x] verify that host 4 CAN ping GAD Fa0/0 [ x] verify that host 4 CAN ping GAD LO0

26

ACL Estndar Practica 11.2.1b

Algunos ejemplos de ping.

Paso 7 Documente la ACL a. Como parte de toda la gestin de red, es necesario elaborar documentacin. Agregue comentarios adicionales al archivo de texto creado para la configuracin. Este archivo tambin debe contener resultados de los comandos show access-lists y show ip interface. b. El archivo debe guardarse junto con la dems documentacin de red. La convencin de nombres de archivos debe reflejar la funcin del archivo y la fecha de implementacin. Con eso, se ha completado el proyecto de la ACL. ! stop traffic from host 3 deny host 192.168.3.2 permit any interface FastEthernet 0/0 ip access-group 1 in

27

ACL Estndar Practica 11.2.1b


FastEthernet0/0 is up, line protocol is up (connected) Internet address is 192.168.3.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is disabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is disabled IP multicast distributed fast switching is disabled Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled

c. Al terminar, borre la configuracin inicial de los routers, quite y guarde los cables y el adaptador. Termine la sesin y apague el router.

28

Listas de Acceso Extendidas Sencillas Practica 11.2.2b

Practica de laboratorio 11.2.2b


Listas de Acceso Extendidas Sencillas

Designacin del router Router 1 Router 2

Nombre del router GAD BHM

Contrasea enable secret class class

Contrasea enable, VTY y consola cisco cisco

Protocolo de enrutamiento RIP RIP

Sentencias de red RIP 172.16.0.0 192.168.1.0 172.16.0.0

Designacin

Router 1 Router 2

Direccin Fast Ethernet 0 172.16.2.1/24 192.168.1.17/28

Tipo de Interfaz Serial 0 DTE DCE

Direccin Serial 0 172.16.1.1/24 172.16.1.2/24

Direccin Fast Ethernet 1

Entradas de Tabla de host IP BHM 192.168.1.33/28 GAD

Host Servidor de nmina A B C D

Direccin IP 192.168.1.18 192.168.1.19 192.168.1.34 192.168.1.35 172.16.2.2

Mascara de subred 255.255.255.240 255.255.255.240 255.255.255.240 255.255.255.240 255.255.255.0

Gaterway 192.168.1.17 192.168.1.17 192.168.1.33 192.168.1.33 172.16.2.1 29

Listas de Acceso Extendidas Sencillas Practica 11.2.2b

Paso 1 Configuraciones bsicas del router y el host a. Interconecte los routers y los hosts de acuerdo con el diagrama. Configure todos los aspectos bsicos del router, como el nombre de host, contrasea enable, acceso de telnet, interfaces del router. Consulte el diagrama y las tablas que aparecen ms arriba. Nota: El router BHM requiere dos interfaces Ethernet . b. Las configuraciones de cada router deben realizarse de la siguiente manera:
BHM#show running-config <Resultado omitido> hostname BHM ! enable secret class ! interface FastEthernet0 ip address 192.168.1.17 255.255.255.240 ! interface Serial0 ip address 172.16.1.2 255.255.255.0 clock rate 56000 ! interface FastEthernet 1 ip address 192.168.1.33 255.255.255.240 ! router rip network 172.16.0.0 network 192.168.1.0 ! line vty 0 4 password cisco login ! end

30

Listas de Acceso Extendidas Sencillas Practica 11.2.2b


BHM# GAD#show running-config <Resultado omitido> ! hostname GAD ! enable password class ! interface FastEthernet0 ip address 172.16.2.1 255.255.255.0 ! interface Serial0 ip address 172.16.1.1 255.255.255.0 ! router rip network 172.16.0.0 ! line vty 0 4 password cisco login ! no scheduler allocate end GAD#

c. Configure los hosts con la informacin pertinente mediante la informacin definida anteriormente. Antes de aplicar cualquier tipo de lista de acceso, es importante verificar la conectividad entre sistemas. Verifique la conectividad haciendo ping a todos los sistemas y routers desde cada sistema. d. Todos los hosts deben poder hacer ping los unos a los otros y a las interfaces del router. Si los pings a algunas interfaces no tienen xito, es necesario encontrar y corregir el problema. Siempre se deben verificar las conexiones de la capa fsica, ya que con frecuencia son la fuente de los problemas de conectividad. A continuacin, verifique las interfaces del router. Asegrese de que no estn apagadas, configuradas de forma incorrecta, y de que RIP est configurado correctamente. Finalmente, recuerde que junto con las direcciones IP vlidas, los hosts tambin deben tener gateways por defecto especificados. e. Ahora que la infraestructura est armada, es el momento de implementar la seguridad de la red.

31

Listas de Acceso Extendidas Sencillas Practica 11.2.2b

Y as fuimos configurando cada PC.

32

Listas de Acceso Extendidas Sencillas Practica 11.2.2b

Configurando el router BHM

Router Rip BHM

33

Listas de Acceso Extendidas Sencillas Practica 11.2.2b

Router Rip GAD 34

Listas de Acceso Extendidas Sencillas Practica 11.2.2b Configuracin GAD


Router>ena Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname GAD GAD(config)#ena secret class GAD(config)#int fa0/0 GAD(config-if)#ip address 172.16.2.1 255.255.255.0 GAD(config-if)#no shut GAD(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up GAD(config-if)#exit GAD(config)#int s0/0 GAD(config-if)#ip address 172.16.1.1 255.255.255.0 GAD(config-if)#no shut GAD(config-if)# %LINK-5-CHANGED: Interface Serial0/0, changed state to up GAD(config-if)# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up GAD(config-if)#exit GAD(config)#line vty 0 4 GAD(config-line)#password cisco GAD(config-line)#login GAD(config-line)#exit GAD(config)#router rip GAD(config-router)#network 172.16.0.0 GAD(config-router)#exit GAD(config)#exit GAD# %SYS-5-CONFIG_I: Configured from console by console GAD#wr Building configuration... [OK] GAD#

Configuracin BHM
Router>ena Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname BHM BHM(config)#ena secret class BHM(config)#int fa0/0 BHM(config-if)#ip address 192.168.1.17 255.255.255.240 BHM(config-if)#no shut BHM(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

35

Listas de Acceso Extendidas Sencillas Practica 11.2.2b


BHM(config-if)#exit BHM(config)#int s0/0 BHM(config-if)#ip address 172.16.1.2 255.255.255.240 BHM(config-if)#no shut %LINK-5-CHANGED: Interface Serial0/0, changed state to down BHM(config-if)# BHM(config-if)#clock rate 56000 BHM(config-if)#exit BHM(config)#int fa0/1 BHM(config-if)#ip address 192.168.1.33 255.255.255.240 BHM(config-if)#no shut BHM(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up BHM(config-if)#exit BHM(config)#router rip BHM(config-router)#network 172.16.0.0 BHM(config-router)#network 192.168.1.0 BHM(config-router)#exit BHM(config)#line vty 0 4 BHM(config-line)#password cisco BHM(config-line)#login BHM(config-line)#exit BHM(config)#exit BHM# %SYS-5-CONFIG_I: Configured from console by console BHM#wr Building configuration... [OK] BHM#

Paso 2 Impedir que los usuarios de Produccin accedan a la red GAD a. La poltica de la empresa especifica que slo el grupo Administrativo debe poder acceder a la oficina de GAD. El acceso a la red por parte del grupo de Produccin queda prohibido. b. Configure una lista de acceso extendida para permitir que el grupo Administrativo tenga acceso a la oficina de GAD. El grupo de produccin no debe tener acceso a la oficina de GAD. c. Despus de un anlisis cuidadoso, se decide que la mejor opcin ser utilizar una lista de acceso extendida y aplicarla a la interfaz S0 de salida en el router BHM. Nota: Recuerde que cuando se configura la lista de acceso, el router procesa cada sentencia de la lista en el orden en que se cre. No se puede reordenar una lista de acceso, ni saltear, editar o conveniente crear la lista de acceso en un editor de texto como el Bloc de notas y luego pegar los comandos en el router, en lugar de escribirlos directamente en un router. d. Introduzca lo siguiente:
BHM#conf terminal

36

Listas de Acceso Extendidas Sencillas Practica 11.2.2b


Enter configuration commands, one per line. End with CNTL/Z. BHM(config)#access-list 100 deny ip 192.168.1.32 0.0.0.15 0.0.0.255 172.16.2.0

e. Esta sentencia define una lista de acceso extendida denominada 100. Denegar el

acceso ip por parte de cualquier usuario de la red 192.168.1.32 192.168.1.47 si intentan acceder a la red 172.16.2.0. Aunque se puede definir un acceso menos especfico, esta lista de acceso podra permitir a los usuarios de produccin acceder a otros sitios (de estar disponibles) a travs de la interfaz S0.

37

Listas de Acceso Extendidas Sencillas Practica 11.2.2b

Ping host B al D

Ping host C al D 38

Listas de Acceso Extendidas Sencillas Practica 11.2.2b

Ping host A al D

Ping host B al A

39

Listas de Acceso Extendidas Sencillas Practica 11.2.2b

Ping host B a la interfaz serial del router GAD

f.

Recuerde que existe un comando deny all implcito al final de cada lista de acceso. Debemos asegurarnos de que el grupo administrativo tenga permiso de acceder a la red de GAD. Aunque es posible imponer ms restricciones, en este caso, simplemente dejaremos pasar cualquier otro trfico. Introduzca la siguiente sentencia: BHM(config)#access-list 100 permit ip any any g. Ahora es necesario aplicar la lista de acceso a una interface. Es posible aplicar la lista a cualquier trfico entrante que vaya dirigido a la interfaz de red de produccin Fa0/1. Sin embargo, si hubiera mucho trfico entre la red administrativa y la de produccin, el router tendra que verificar cada paquete. Existe la posibilidad de que esto implique una carga innecesaria a los recursos del router. Por lo tanto, la lista de acceso se aplica a cualquier trfico de salida que pase por la interfaz S0 del router BHM. Introduzca lo siguiente:
BHM(config)#interface s0 BHM(config-if)#ip access-group 100 out

h. Verifique que la sintaxis de la lista de acceso sea correcta mediante el comando show running-config. A continuacin se indican las sentencias vlidas que deberan estar en la configuracin.
interface Serial0 ip access-group 100 out <Resultado omitido> access-list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255 access-list 100 permit ip any any

40

Listas de Acceso Extendidas Sencillas Practica 11.2.2b


Otro comando valioso es el comando show access-lists. Un resultado de muestra se presenta a continuacin: BHM#show access-lists Extended IP access list 100 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255 permit ip any any

i.

j.

El comando show access-lists tambin muestra contadores, indicando cuntas veces se ha utilizado la lista. Aqu no se muestran los contadores dado que no se ha intentado la verificacin an. Nota: Use el comando clear access-list counters para reiniciar los contadores de lista de acceso k. Ahora pruebe la lista de acceso verificando la conectividad a la red GAD por parte de los hosts administrativo y de produccin. Puede hacer ping el host de produccin (B) al host de GAD (D)?

No
Puede hacer ping el host de produccin (C) al host de GAD (D)?

No
Puede hacer ping el host administrativo (A) al host de GAD (D)?

Si
Puede hacer ping el host de produccin (B) al host de administracin (A)?

Si

41

Listas de Acceso Extendidas Sencillas Practica 11.2.2b


Puede hacer ping el host de produccin (B) a la interfaz serial del router de GAD?

Si

l.

Los hosts de produccin (B) y (C) deben poder hacer ping al host administrativo (A) y la interfaz serial del router de GAD. Sin embargo, no deben poder hacer ping al host de GAD (D). El router debe devolver un mensaje de respuesta al host que indique Destination net unreachable (Red destino inalcanzable). Emita el comando show access-lists.

Cuntas coincidencias hay?

8
m. Para ayudar a comprender de qu manera opera la lista de acceso, ejecute peridicamente el comando show access-lists. Paso 3 Permitir que un usuario de Produccin acceda a la red GAD a. Se recibe una llamada de un usuario del grupo de produccin (B). Esa person es el responsable de intercambiar ciertos archivos entre la red de produccin y la red de GAD. Es necesario modificar la lista de acceso extendida para permitirle que acceda a la red de GAD, denegando por otro lado el acceso de todos los dems de la red de produccin. b. Configure una lista de acceso extendida para permitir el acceso de ese usuario a GAD. c. Desafortunadamente, no se puede reordenar una lista de acceso, ni saltear, editar o eliminar las sentencias de una lista de acceso numerada. Si se intenta eliminar una sola sentencia de una lista de acceso numerada, se eliminar la lista completa. d. Por lo tanto, es necesario eliminar la lista de acceso extendida inicial y crear una nueva. Para eliminar la lista de acceso 101o, introduzca lo siguiente:
BHM#conf t Enter configuration commands, one per line. End with CNTL/Z. BHM(config)#no access-list 100 Verifique que se haya eliminado con el comando show access-lists.

42

Listas de Acceso Extendidas Sencillas Practica 11.2.2b e. Ahora, cree una nueva lista de acceso extendida. Siempre se debe filtrar desde lo ms especfico hasta lo ms general. Por lo tanto la primera lnea de la lista de acceso debe permitir que el host de produccin (B) acceda a la red de GAD. El resto de la lista de acceso debe ser igual a la que se introdujo anteriormente. Para filtrar el host de produccin (B), la primera lnea de la lista de acceso debe ser la siguiente:
BHM(config)#access-list 100 permit ip host 192.168.1.34 172.16.2.0 0.0.0.255

f.

Por lo tanto, la lista de acceso permite que el host de produccin (B) acceda a la red de GAD. Ahora deniegue acceso a los dems hosts de produccin a la red de GAD y permita el acceso a cualquier otro. Consulte el paso anterior para saber las siguientes dos lneas de la configuracin. El comando show access-list muestra un resultado similar a lo siguiente:
BHM#show access-lists Extended IP access list 100 permit ip host 192.168.1.34 172.16.2.0 0.0.0.255 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255 permit ip any any BHM#

g. Ahora pruebe la lista de acceso verificando la conectividad a la red GAD por parte de los hosts administrativo y de produccin. Puede hacer ping el host de produccin (B) al host de GAD (D)?

Si
Puede hacer ping el host de produccin (C) al host de GAD (D)?

No
h. El host de produccin (B) ahora debe poder hacer ping al host de GAD (D). Sin embargo, todos los dems hosts de produccin (C) no deben poder hacer ping al host de GAD (D). Nuevamente, el router debe devolver un mensaje de respuesta al host que indique Destination net unreachable (Red destino inalcanzable).

Paso 4 Permitir que los usuarios de GAD accedan al servidor de nmina de la administracin a. El grupo de administracin tiene el servidor de nmina. Peridicamente, los usuarios de la oficina de GAD necesitan acceso FTP y HTTP al servidor de nmina para cargar y descargar informes de nmina. b. Configure una lista de acceso extendida para permitir que los usuarios de la oficina de GAD tengan acceso FTP, HTTP al servidor de nmina solamente. Se decide tambin permitir el acceso ICMP para que ellos hagan ping al servidor. Los usuarios de GAD no deben poder hacer ping a ningn otro host en la red de Administracin. c. No conviene que haya trfico innecesario entre los sitios, por lo tanto se decide configurar una lista de acceso extendida en el router de GAD.

43

Listas de Acceso Extendidas Sencillas Practica 11.2.2b d. Tome en cuenta que de vez en cuando hara falta acceso EXEC privilegiado a GAD. Por este motivo, se ha configurado el acceso Telnet a GAD. De lo contrario, sera necesario viajar a la oficina de GAD para configurarlo. e. Haga Telnet al router de GAD desde el router de BHM y entre al modo enable. Haga diagnstico de fallas segn sea necesario. Nota: Una trampa en la que se puede caer al configurar las listas de acceso en los routers remotos es dejarse afuera de forma inadvertida. Esto no es un problema grave cuando el router se encuentra en una ubicacin fsica local. Sin embargo, podra ser un problema enorme si el router se encuentra fsicamente ubicado en otro punto geogrfico.

f.

Por este motivo, se recomienda enfticamente que se emita el comando reload in 30 en el router remoto. Esto recarga automticamente el router remoto dentro de los 30 minutos despus de emitir el comando. As, si el administrador se queda bloqueado, con el tiempo se recargar la configuracin anterior, permitiendo el acceso al router nuevamente. Use el comando reload cancel para desactivar la recarga pendiente.

g. Configure una lista de acceso extendida para permitir el acceso FTP al servidor de nmina. La sentencia de la lista de acceso debe ser similar al siguiente:
GAD(config)#access-list 110 permit tcp any host 192.168.1.18 eq ftp

Esta lnea permitir que cualquier host de la red de GAD tenga acceso FTP al servidor de nmina, en la direccin 192.168.1.18. Qu se podra haber definido en lugar de usar la palabra clave any?

255.255.255.255
Qu se podra haber definido en lugar de usar la palabra clave host?

0.0.0.0
44

Listas de Acceso Extendidas Sencillas Practica 11.2.2b Qu se podra haber definido en lugar de usar la palabra clave ftp?

eq 21
h. Ahora, configure la lnea siguiente de la lista de acceso para permitir el acceso HTTP al servidor de nmina. La sentencia de la lista de acceso debe ser similar al siguiente: GAD(config)#access-list 110 permit tcp any host 192.168.1.18 eq www Esta lnea permitir que cualquier host de la red de GAD tenga acceso FTP al servidor de nmina, en la direccin 192.168.1.18. Qu otra cosa se podra haber definido en lugar de usar la palabra clave www?

80
i. Ahora, configure la lnea siguiente de la lista de acceso para permitir el acceso HTTP al servidor de nmina. La sentencia de la lista de acceso debe ser similar al siguiente:
GAD(config)#access-list 110 permit icmp any host 192.168.1.18

Esta lnea permitir que cualquier host de la red de GAD haga ping al servidor de nmina, en la direccin 192.168.1.18.
j. Por ltimo, ningn usuario de GAD debe poder acceder a ningn otro host en la red de

Administracin. Aunque no es obligatorio, siempre es buena idea incluir una sentencia deny. La sentencia sirve como recordatorio y hace que sea ms fcil comprender la lista de acceso. La sentencia de la lista de acceso debe ser similar al siguiente:
GAD(config)#access-list 110 deny ip any 192.168.1.16 0.0.0.15

k. Ahora es necesario aplicar la lista de acceso a una interface. Para reducir el trfico WAN no deseado, se decide aplicar la lista de acceso a cualquier trfico de salida a travs de la interfaz S0 del router de GAD. Introduzca lo siguiente:
GAD(config)#interface s0/0 GAD(config-if)#ip access-group 110 out

l.

Ahora pruebe la lista de acceso verificando la conectividad al servidor de nmina por parte del host de GAD (D). Puede hacer ping el host de GAD (D) al servidor de nmina?

Si
Puede hacer ping el host de GAD (D) al host (A)?

No

45

Listas de Acceso Extendidas Sencillas Practica 11.2.2b

El host de GAD debe poder hacer ping al servidor de nmina solamente. El router debe devolver el mensaje Destination net unreachable (Red destino no alcanzable) al intentar hacer ping al host administrativo (D).

Paso 5 Documente la ACL a. Como parte de toda la gestin de red, es necesario elaborar documentacin. Agregue comentarios adicionales al archivo de texto creado para la configuracin. Este archivo tambin debe contener resultados de los comandos show access-lists y show ip
interface. GAD#show access-lists Extended IP access list 110 permit tcp any host 192.168.1.18 eq ftp permit tcp any host 192.168.1.18 eq www permit icmp any host 192.168.1.18 deny ip any 192.168.1.16 0.0.0.15 GAD# BHM#show ip access-lists Extended IP access list 100 permit ip host 192.168.1.34 172.16.2.0 0.0.0.255 deny ip 192.168.1.32 0.0.0.15 172.16.2.0 0.0.0.255 permit ip any any BHM#

b. El archivo debe guardarse junto con la dems documentacin de red. La convencin de nombres de archivos debe reflejar la funcin del archivo y la fecha de implementacin. c. Con eso, se ha completado esta prctica de laboratorio de ACL extendida. d. Al terminar, borre la configuracin inicial de los routers, quite y guarde los cables y el adaptador. Termine la sesin y apague el router.

46

Conclusiones
Conclusiones

Cuando se construyen las listas de acceso debemos identificar el origen y destino de los paquetes que deseamos bloquear para poder realizarlas correctamente. Antes de aplicar las ACL a un router en especfico es recomendable realizarlas primero en un editor de texto. Las ACL se aplican a una interfaz en una direccin de entrada o de salida por lo que antes de aplicarlas a cualquier interfaz es mejor analizar la ruta que seguira el paquete para llegar al destino y as evitar equivocaciones.

47

Anexos
Anexos
El comando show ip interface para el router BHM de la prctica 11.2.2b
BHM#show ip interface FastEthernet0/0 is up, line protocol is up (connected) Internet address is 192.168.1.17/28 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is disabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is disabled IP multicast distributed fast switching is disabled Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled FastEthernet0/1 is up, line protocol is up (connected) Internet address is 192.168.1.33/28 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent

48

ICMP mask replies are never sent IP fast switching is disabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is disabled IP multicast distributed fast switching is disabled Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/0 is up, line protocol is up (connected) Internet address is 172.16.1.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 100 Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is disabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP Fast switching turbo vector IP multicast fast switching is disabled IP multicast distributed fast switching is disabled Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect exclude is disabled BGP Policy Mapping is disabled Serial0/1 is administratively down, line protocol is down (disabled) Internet protocol processing disabled

49