Escolar Documentos
Profissional Documentos
Cultura Documentos
ROUTER
Listas de Acceso
CODIGO DEL CURSO: R65513
2. 3. 4.
1.
Nota
H IV Semana #
COMUNICACIONES DE DATOS I
Tema : Listas de Acceso Nota: Apellidos y Nombres: 5. Objetivos: Realizar una conexin LAN/WAN a travs de interfaces V.35. Implementar listas de acceso estndar en ruteadores Cisco. Implementar listas de acceso extendidas en ruteadores Cisco. Verificar las posibilidades de seguridad que nos brindan las Listas de Acceso.
V G-H 11
7. Seguridad
Advertencia: No consumir alimentos ni bebidas durante el desarrollo de la sesin del laboratorio. El equipo que esta por utilizar, es susceptible a dao elctrico por mala manipulacin y/o carga electroesttica.
8. Introduccin Terica Defina Seguridad?
Describa los siguientes servicios e indique el respectivo puerto o puertos con el que trabajan: WWW Es el Protocolo de transferencia de archivos, que usa los puertos 20 y 21 Puerto 23 TELNET El el Simple Mail Transfer Protocol, protocolo para el intercambio de correos que usa el puerto 25
FTP
SMTP
COMUNICACIONES DE DATOS II
ICMP
TCP
PCX1 172.16.X0.2/24
PCX3 192.168.X0.2/24
RED A
RED B
172.16.X0.3/24 PCX2
192.168.X0.3/24 PCX4
Conexin LAN/WAN
Implemente el siguiente esquema, en el software packet tracert, realizando las siguientes actividades: Configure el hostname del ruteador 1 como <Apellido>X1 y el hostname del ruteador 2 como <Apellido>X2. Configure la direccin 172.16.X0.0/24 para los equipos de la RED A. Configure la direccin 192.168.X0.0/24 para los equipos de la RED B. Configure la direccin X0.0.0.0/8, para los equipos del enlace WAN. Configure las respectivas rutas estticas, para que la RED A y la RED b, tengan comunicacin. Verifique la conectividad del sistema utilizando el comando PING. Verifique la conectividad del sistema utilizando el comando TraceRT. Guarde la configuracin de los ruteadores. Ingrese los comandos utilizados para realizar estas tareas. Router1: Router#config Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname Lovon11 Lovon11(config)# Lovon11(config)#interface Serial0/3/0 Lovon11(config-if)#ip address 10.0.0.1 255.0.0.0 Lovon11(config-if)#clock rate 56000 Lovon11(config-if)#no shutdown Lovon11(config-if)# %LINK-5-CHANGED: Interface Serial0/3/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up
COMUNICACIONES DE DATOS II
Lovon11(config-if)#exit Lovon11(config)#interface Serial0/3/0 Lovon11(config)#interface FastEthernet0/0 Lovon11(config-if)#ip address 172.16.10.1 255.255.255.0 Lovon11(config-if)#no shutdown Lovon11(config)# Lovon11(config-if)#exit Lovon11(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2 Lovon11(config)#
Router2: Router>enable Router#config Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname Lovon12 Lovon12(config)# Lovon12(config)#interface Serial0/2/0 Lovon12(config-if)#ip address 10.0.0.2 255.0.0.0 Lovon12(config-if)#clock rate 56000 Lovon12(config-if)# Lovon12(config-if)#exit Lovon12(config)#interface FastEthernet0/0 Lovon12(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Lovon12(config-if)#ip address 192.168.10.1 255.255.255.0 Lovon12(config-if)#exit Lovon12(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1 Lovon12(config)# Lovon12(config)#interface FastEthernet0/0 Lovon12(config-if)# Lovon12(config-if)#exit
Listas de Acceso Las listas de acceso son conjuntos de reglas que indican al router como seleccionar paquetes. Una vez seleccionados los paquetes pueden ser tratados de diversas formas. Uno de los usos ms extendidos de las listas de acceso es el de controlar el flujo de trfico entrante y saliente de un ruteador. Las reglas que componen las listas de acceso tienen tres partes: un nmero que identifica la lista, una instruccin deny o permit y una condicin: access-list nmero_identificador [permit|deny] condicin
COMUNICACIONES DE DATOS II
El nmero utilizado para identificar una lista concreta debe ser seleccionado de un rango numrico acorde con el uso concreto de la lista. En la Tabla 1 vemos los principales tipos de listas disponibles. En este artculo nos centraremos especialmente en las listas IP, en sus formas Estndar y Extendida. Tabla 1. Numeracin de las listas de acceso. PROTOCOLO TIPO RANGO FILTRA POR IP Estndar 1-99 y 1300-1999 el origen IP Extendidas 100-199 y 2000-2699 el origen, destino, protocolo, puerto... Ethernet Cdigo (Type) 200-299 el tipo de cdigo Ethernet DECnet Protocol Suite 300-399 el origen Appletalk Protocol Suite 600-699 el origen Ethernet Direcciones 799-799 la direccin MAC IPX Estndar 800-899 el origen IPX Extendida 900-999 el origen, destino, protocolo, puerto... tipo de aplicacin (SAP, Service IPX SAP 1000-1099 Access Point) Sintaxis de las Listas de Acceso Para las listas de acceso estndar (Standard ACLs), es la siguiente: access-list nmero_identificador [permit|deny] source Mostramos a continuacin la sintaxis de las listas de acceso extendidas (extended ACLs): Para el protocolo IP: access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] Para el protocolo ICMP: access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} icmp source source-wildcard destination destination-wildcard Para el protocolo TCP: access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] Uso de wildcards. En listas de acceso utilizamos mscaras inversas o llamadas wildcard. La mscara inversa de las listas de acceso tambin puede ser determinada sustrayendo la mscara normal de la mscara 255.255.255.255. En el ejemplo, la mscara comodn para la red 10.10.10.255 con una mscara normal 255.255.255.0 sera 255.255.255.255 - 255.255.255.0 (normal) = 0.0.0.255 (inversa, comodn) 0 Toma en cuenta el octeto 255 Ignora el octeto Control de trfico, mediante listas de acceso estndar. De acuerdo al diagrama anteriormente mostrado, filtre en el RouterX2, los paquetes que tengan como origen los equipos PCX1 y PCX2, pertenecientes a la RED A. En el RouterX2, realice las siguientes actividades: RouterX2(Config)# access-list 1 deny 172.16.X0.2 0.0.0.0 RouterX2(Config)# access-list 1 deny 172.16.X0.3 0.0.0.0 RouterX2(Config)# access-list 1 permit any Habilite la lista de acceso, aplicndola a la interfaz Serial del RouterX2 en modo IN.
COMUNICACIONES DE DATOS II
RouterX2(Config-if)# ip access-group 1 in De acuerdo a los comandos sealados identifique la sintaxis de una lista de acceso estndar. Access-list (numero de lista) (permit/deny) (ip) (wildcard)
Verifique el funcionamiento de la lista de acceso con las siguientes pruebas, de acuerdo al protocolo solicitado. Origen PCX1 PCX2 Protocolo Destino Interfaz In/out IN xito Si/No No Observaciones La lista de acceso no permite que se pueda hacer ping entre las redes La lista de acceso no permite que se pueda hacer ping entre las redes
ICMP
RED B
RED B
ICMP
PCX1 PCX2
IN
No
Retire la lista de acceso, y a continuacin insrtela en modo OUT, en la misma interfaz. RouterX2(Config-if)#no ip access-group 1 in RouterX2(Config-if)# ip access-group 1 out Origen PCX1 PCX2 Protocolo Destino Interfaz In/out OUT xito Si/No SI Observaciones El paquete entra al router2 y como al salir tiene una ip diferente no es afectado El paquete no tiene problemas para salir del router2, al regresar tampoco es afectado por la regla
ICMP
RED B
RED B
ICMP
PCX1 PCX2
OUT
SI
Retire la lista de acceso, y a continuacin insrtela en modo IN, en la interfaz ethernet. RouterX2(Config-if)#no ip access-group 1 out RouterX2(Config-if)#int e0/0 RouterX2(Config-if)#ip access-group 1 in Origen PCX1 PCX2 RED B Protocolo ICMP ICMP Destino RED B PCX1 PCX2 Interfaz In/out IN IN xito Si/No Si Si Observaciones Es como si no existiera la regla de acceso Es como si no existiera la regla de acceso
Retire la lista de acceso, y a continuacin insrtela en modo OUT, en la misma interfaz. RouterX2(Config-if)#no ip access-group 1 in RouterX2(Config-if)# ip access-group 1 out Origen Protocolo Destino Interfaz In/out xito Si/No Observaciones
COMUNICACIONES DE DATOS II
Nro. DD-106 Pgina PAGE 15/10 Los paquetes no pasan del router2 Los paquetes salen del router2 pero cuando la respuesta del ping regresa no lo deja pasar
PCX1 PCX2
ICMP
RED B
OUT
No
RED B
ICMP
PCX1 PCX2
OUT
No
Describa en qu casos se debera de utilizar IN o OUT, fundamente el porqu: El in se usa cuando no queremos que los paquetes entren a nuestra interfaz, el out cuando queremos dejar que nuestros paquetes entren a nuestra interfaz pero no salgan
Elimine las listas de acceso creadas y en su lugar cree las mismas reglas pero utilizando el prefijo host. RouterX2(Config)# no access-list 1 deny 172.16.X0.2 0.0.0.0 RouterX2(Config)# no access-list 1 deny 172.16.X0.3 0.0.0.0 RouterX2(Config)# no access-list 1 permit any RouterX2(Config)# access-list 1 deny host 172.16.X0.2 RouterX2(Config)# access-list 1 deny host 172.16.X0.3 RouterX2(Config)# access-list 1 permit any RouterX2(Config)# int e0/0 RouterX2(config-if)# no ip access-group 1 out RouterX2(Config-if)# int s0/0 RouterX2(config-if)# ip access-group 1 in Verifique el funcionamiento de dicha regla, comprelo con los datos obtenidos en el ejercicio anterior y describa el resultado de su observacin.
La regla se encuentra funcionando y funciona igual que cuando no usamos host, esto es porque el prefijo host que especifica a solo una ip o maquina es igual a la wildcard 0.0.0.0, esta al no tener ningn uno nos dice que solo es un host al que se le deniega la entrada
Cambie la direccin IP del equipo PCX1 a 172.16.X0.2 a 172.16.X0.4, y verifique si hay conectividad.
COMUNICACIONES DE DATOS II
A continuacin filtre en el RouterX2, los paquetes que tengan como origen cualquier equipo de la RED A, exceptuando el equipo 172.16.X0.2 Elimine las listas de acceso anteriormente creadas e implemente las que se indican a continuacin: RouterX2(Config)# no access-list 1 deny host 172.16.X0.2 RouterX2(Config)# no access-list 1 deny host 172.16.X0.3 RouterX2(Config)# no access-list 1 permit any RouterX2(Config)# int s0/0 RouterX2(config-if)# no ip access-group 1 in RouterX2(Config)# access-list 2 deny 172.16.X0.0 0.0.0.255 RouterX2(Config)# access-list 2 permit host 172.16.X0.2 RouterX2(Config)# access-list 2 permit any RouterX2(Config)# int s0/0 RouterX2(config-if)# ip access-group 2 in Verifique el funcionamiento de la lista de acceso con las siguientes pruebas, de acuerdo al protocolo solicitado. Origen Protocolo Destino Interfaz In/out xito Si/No Observaciones La regla que esta primero es la de denegar todo a esa red, como esta se ejecutara primero no dejara que exista comunicacin entre las 2 redes La regla que esta primero es la de denegar todo a esa red, como esta se ejecutara primero no dejara que exista comunicacin entre las 2 redes La regla que esta primero es la de denegar todo a esa red, como esta se ejecutara primero no dejara que exista comunicacin entre las 2 redes La regla que esta primero es la de denegar todo a esa red, como esta se ejecutara primero no dejara que exista comunicacin entre las 2 redes
RED A
ICMP
RED B
IN
No
RED B
ICMP
RED A
IN
No
PCX1
ICMP
RED B
IN
No
RED B
ICMP
PCX1
IN
No
A continuacin filtre en el RouterX2, los paquetes que tengan como origen los equipos PCX3 y PCX4, pertenecientes a la RED B. Elimine las listas de acceso anteriormente creadas e implemente las que se indican a continuacin: RouterX2(Config)# no access-list 2 deny 172.16.X0.0 0.0.0.255 RouterX2(Config)# no access-list 2 permit host 172.16.X0.2 RouterX2(Config)# no access-list 2 permit any RouterX2(Config)# int s0/0 RouterX2(config-if)# no ip access-group 2 in RouterX2(Config)# access-list 3 deny host 192.168.X0.2 RouterX2(Config)# access-list 3 deny host 192.168.X0.3 RouterX2(Config)# access-list 3 permit any
COMUNICACIONES DE DATOS II
RouterX2(Config)# int e0/0 RouterX2(config-if)# ip access-group 3 in
Verifique el funcionamiento de la lista de acceso con las siguientes pruebas, de acuerdo al protocolo solicitado. Origen Protocolo Destino PCX3 PCX4 Interfaz In/out IN xito Si/No NO Observaciones El paquete de salida icmp si llega hasta la otra pc pero el router2 bloquea la respuesta El router2 no deja que el paquete salga e la red
RED A
ICMP
PCX3 PCX4
ICMP
RED A
IN
NO
Porque out blockearia los paquetes que estn entrando a nuestra red y procedan de esas direcciones ip, pero esas direcciones ip ya estn dentro de nuestra red
Cambie las listas de acceso de la interfaz ethernet a la interfaz serial. RouterX2(Config)# int e0/0 RouterX2(config-if)# no ip access-group 3 in RouterX2(Config)# int s0/0 RouterX2(config-if)# ip access-group 3 out Verifique el funcionamiento de la lista de acceso con las siguientes pruebas, de acuerdo al protocolo solicitado. Origen Protocolo Destino Interfaz In/out xito Si/No Observaciones El router2 deja que los paquetes entren a la red pero bloquea la respuesta El router2 no deja que los paquetes salgan de la red
RED A
ICMP
PCX3 PCX4
Out
No
PCX3 PCX4
ICMP
RED A
Out
No
Si podemos, en la que no podemos es en la interfaz serial ya que si bloqueamos el in seria por gusto ya que las maquinas a las que queremos bloquear se encuentran al otro lado de la red
Describa en qu caso debera de aplicar la restriccin en la interface Ethernet o serial, fundamente su respuesta: Es recomendable bloquear las interfaces en la entrada porque as evitamos que los paquetes entren al router y ahorramos recursos, entonces debeos de restringir la interfaz serial cuando no queremos que los paquetes entren a la red b y restringir la interfaz Ethernet cuando no queremos que los paquetes salgan de la red b
COMUNICACIONES DE DATOS II
Cules son los diferentes wildcards utilizados en las listas de acceso. Los Wildcards en las listas de acceso son los de hosts (0.0.0.0) y los de redes, la cantidad de unos que tenga esta wildcard es la cantidad de hosts que est bloqueando
Control de trfico, mediante listas de acceso extendidas. Cree un nuevo archivo packet tracert con los datos antes requeridos. De acuerdo al diagrama anteriormente mostrado, filtre en el RouterX1 el servicio de telnet. En el RouterX1, realice las siguientes actividades: RouterX1(Config)# access-list 101 deny tcp any any eq 23 RouterX1(Config)# access-list 101 permit ip any any Habilite la lista de acceso, aplicndola a la interfaz Serial del RouterX2 en modo IN. RouterX1(Config)# int s0/0 RouterX1(Config-if)# ip access-group 101 in De acuerdo a los comandos sealados identifique la sintaxis de una lista de acceso extendida.
Realice las siguientes pruebas: Origen Protocolo Destino ROUTER X1 Interfaz In/out In xito Si/No Si Observaciones El paquete llega sin problemas porque no hay restriccin en la interfaz Ethernet El puerto para Telnet es el 23 y este se encuentra bloqueado por eso no se puede La salida del Serial no tiene restricciones por ende si deja pasar los paquetes
RED A
TELNET
RED B
TELNET
ROUTER X1
In
No
RED A
TELNET
ROUTER X2
In
Si
Retire la lista de acceso en modo IN y configrela en modo OUT. RouterX1(Config-if)# no ip access-group 101 in RouterX1(Config-if)# ip access-group 101 out
Origen
Protocolo
Destino ROUTER X1
xito Si/No Si
Observaciones El paquete llega sin problemas porque no hay restriccin en la interfaz Ethernet El router si tiene permitidas las conexiones entrantes el serial
RED A
TELNET
RED B
TELNET
ROUTER X1
Out
Si
COMUNICACIONES DE DATOS II
RED A
TELNET
ROUTER X2
Out
No
Retire la lista de acceso de la interfaz serial y configrela en la interfaz ethernet en modo IN. RouterX1(Config-if)# no ip access-group 101 out RouterX1(Config-if)#int e0/0 RouterX1(Config-if)# ip access-group 101 in Realice las siguientes pruebas: Origen Protocol o Destino Interfaz In/out xito Si/No Observaciones El router 1 deniega las conexiones entrantes al puerto 23
RED A
TELNET
ROUTERX1
In
No
RED B
TELNET
ROUTER X1
In
Si
El router1 no tiene regla de acceso en la serial as que todos los paquetes pueden pasar
RED A
TELNET
ROUTER X2
In
No
Retire la lista de acceso en modo IN y configrela en modo OUT. RouterX1(Config-if)# no ip access-group 101 in RouterX1(Config-if)# ip access-group 101 out Realice las siguientes pruebas: Origen Protocolo Destino ROUTER X1 Interfaz In/out Out xito Si/No Si Observaciones La regla de acceso no afecta por que para esta conexin no se usa la interfaz serial La regla de acceso solo se aplica en el out y en para esta conexin se usa el in La regla de acceso deniega la salida de los paquetes para telnet
RED A
TELNET
RED B
TELNET
ROUTER X1 ROUTER X2
Out
Si
RED A
TELNET
Out
NO
En qu interfaz recomendara aplicar este tipo de lista de acceso: Cuando no queremos que los usuarios de una red puedan usar el protocolo telnet pero si viceversa Retire la lista de acceso. RouterX1(Config-if)# no ip access-group 101 out
COMUNICACIONES DE DATOS II
Elimine la configuracin del router y reinicie el equipo.
Describa en qu caso debera de aplicar las listas de acceso extendidas y estndar, fundamente su respuesta: La lista de acceso estndar la usaremos cuando queremos bloquear a los usuarios sin importar el protocolo, las extendidas cuando solo queremos bloquear algunos protocolos
Configuracin del Packet Tracert. Cree un nuevo esquema antes mostrado en el packet tracert y realice los siguientes cambios. Reemplace la PCX1 y PCX3 por un servidor habilite el servicio Web, verifique si el servicio funciona correctamente. Implemente el siguiente cuadro de listas de acceso extendidas.
Comando Access-list Access-list Access-list Access-list Access-list Access-list Access-list Nmero 102 103 104 105 106 107 108 Per./Deny permit permit permit permit permit permit permit Protocolo tcp tcp tcp tcp tcp tcp tcp Origen any PCX1 PCX3 any any PCX1 PCX3 Destino any any any PCX1 PCX3 PCX3 PCX1 Condicin eq eq eq eq eq eq eq Protocolo www www www www www www www
Verifique el funcionamiento de las listas de acceso, aplicndolas a la interfaz serial del RouterX1, de acuerdo al modo que se le solicita. Complete la tabla con las consultas HTTP correspondientes.
Lista 102 Modo IN xito Si/No PCX1 http PCX3 No xito Si/No PCX3 http PCX1 Si Observaciones Solo permite que pasen paquetes de pc 3 a 1 por que esta en la entrada Solo permite que pasen paquetes de pc 1 a 3 por que esta en la salida Esta regla al esta en la entrada del serial sin embargo solo permite que salgan paquetes Esta regla permite que solo salgan paquetes del router1 Solo permite que entren paquetes al router El router solo permite que salgan paquetes pero que tengan la ip del servidor pc3 Solo permite el ingreso de paquetes que tengan la ip de la pc1 Permite solo que salgan paquetes pero hacia la pc q esta al otro lado de la red Permite que entren paquetes en direccin a la pc que esta conectada al otro router El router permite paquetes que vayan dirigidos al servidor pcx3 Solo permite que entren paquetes provenientes de la pcx1 Solo permite la salida de paquetes de la pcx1 a la pcx3 Permitir el ingreso de paquetes con direccin a la pcX1 Permitir la salida de paquetes con direccin a la
102
OUT
Si
No
103
IN
No
No
OUT IN OUT
Si No No
No Si No
105
IN
No
Si
105
OUT
No
No
106
IN
No
No
106
OUT
Si
NO
IN OUT IN OUT
No Si No No
No No Si No
COMUNICACIONES DE DATOS II
pcX1
Lovon11(config)#access-list 102 permit tcp any any eq www Lovon11(config)#access-list 103 permit tcp 172.16.10.2 any eq www ^ % Invalid input detected at '^' marker. Lovon11(config)#access-list 103 permit tcp 172.16.10.2/24 any eq www ^ % Invalid input detected at '^' marker. Lovon11(config)#access-list 103 permit tcp 172.16.10.2 0.0.0.0 any eq www Lovon11(config)#access-list 104 permit tcp any 192.168.10.1 0.0.0.0 eq www Lovon11(config)#no access-list 104 permit tcp any 192.168.10.1 0.0.0.0 eq www Lovon11(config)#access-list 106 permit tcp any 192.168.10.1 0.0.0.0 eq www Lovon11(config)#access-list 104 permit tcp 192.168.10.2 0.0.0.0 any eq www Lovon11(config)#access-list 105 permit tcp any 172.16.10.2 0.0.0.0 eq www Lovon11(config)#no access-list 106 permit tcp any 192.168.10.1 0.0.0.0 eq www Lovon11(config)#access-list 106 permit tcp any 192.168.10.2 0.0.0.0 eq www Lovon11(config)#access-list 107 permit tcp 172.16.10.2 0.0.0.0 192.168.10.2 0.0.0.0 eq www Lovon11(config)#access-list 108 permit tcp 192.168.10.2 0.0.0.0 172.16.10.2 0.0.0.0 eq www Lovon11(config)#^Z Lovon11# %SYS-5-CONFIG_I: Configured from console by console Lovon11#show acc Extended IP access list 102 permit tcp any any eq www Extended IP access list 103 permit tcp host 172.16.10.2 any eq www Extended IP access list 104 permit tcp host 192.168.10.2 any eq www Extended IP access list 105 permit tcp any host 172.16.10.2 eq www Extended IP access list 106 permit tcp any host 192.168.10.2 eq www Extended IP access list 107 permit tcp host 172.16.10.2 host 192.168.10.2 eq www Extended IP access list 108 permit tcp host 192.168.10.2 host 172.16.10.2 eq www Lovon11# Lovon11#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Lovon11(config)#interface Serial0/3/0 Lovon11(config-if)#ip access-group 102 in Lovon11(config-if)#no ip access-group 102 in Lovon11(config-if)#ip access-group 102 out Lovon11(config-if)#no ip access-group 102 out Lovon11(config-if)#ip access-group 103 in Lovon11(config-if)#no ip access-group 103 in Lovon11(config-if)#ip access-group 103 in Lovon11(config-if)#no ip access-group 103 in Lovon11(config-if)#ip access-group 103 out Lovon11(config-if)#no ip access-group 103 out Lovon11(config-if)#ip access-group 104 in Lovon11(config-if)#no ip access-group 104 in Lovon11(config-if)#ip access-group 104 out Lovon11(config-if)#no ip access-group 104 out Lovon11(config-if)#ip access-group 105 in
COMUNICACIONES DE DATOS II
Lovon11(config-if)#no ip access-group 105 in Lovon11(config-if)#ip access-group 105 out Lovon11(config-if)#no ip access-group 105 out Lovon11(config-if)#ip access-group 106 in Lovon11(config-if)#no ip access-group 106 in Lovon11(config-if)#ip access-group 106 out Lovon11(config-if)#no ip access-group 106 out Lovon11(config-if)#ip access-group 107 in Lovon11(config-if)#no ip access-group 107 in Lovon11(config-if)#ip access-group 107 out Lovon11(config-if)#no ip access-group 107 out Lovon11(config-if)#ip access-group 108 in Lovon11(config-if)#no ip access-group 108 in Lovon11(config-if)#ip access-group 108 out Lovon11(config-if)#
Qu conclusin puede extraer del ejercicio anterior. Una regla de acceso casi nunca va a permitir que exista comunicacin en los dos tramos de la red, casi siempre da permiso a uno y restringe a otro
Mediante el siguiente ejercicio filtraremos el protocolo ICMP. Elimine todas las listas de acceso anteriormente creadas y elimine las configuraciones asignadas con el comando ip access-group a las interfaces. Implemente la siguiente lista de acceso en el RouterX1: RouterX1(Config)#access-group 109 deny icmp any any RouterX1(Config)#access-group 109 permit ip any any Asigne la lista de acceso a la interfaz serial en modo IN, que resultados obtiene, luego de hacer sus pruebas:
No se puede hacer ping pero los dems protocolos y servicios si funcionan Porque utilizamos el comando: access-group 109 permit ip any any Porque al activar la lista de acceso de activa automticamente la lista por defecto y esta cancelaria todos los puertos y protocolos
Mediante el siguiente ejercicio bloquearemos el acceso al website PCX3. Elimine todas las listas de acceso anteriormente creadas y elimine las configuraciones asignadas con el comando ip access-group a las interfaces. Implemente la siguiente lista de acceso en el RouterX1: RouterX1(Config)#access-list 109 deny tcp any 192.16.X0.0 0.0.0.0 eq www RouterX1(Config)# access-list 109 permit tcp any any eq www Asgnelo a la interfaz serial en modo IN Realice las pruebas correspondientes. Ahora se puede hacer ping de manera normal pero no se puede ver la pagina web del servidor
COMUNICACIONES DE DATOS II
11. TAREA, entregar en el siguiente laboratorio, Presentacin: impreso, documentacin de las polticas. EJERCICIO 1
Permitir acceso a HTTP/HTTPS y DNS a toda la RED. Bloquear el MESSENGER (Investigue la secuencia de las conexiones que realiza el usuario para conectarse) El Administrador libre acceso. (PC3)
Puerto utilizado TCP 80, 443, 1863 TCP 7001 Deteccin de la red UDP 9, 7001 TCP 80, 443, 1863 Audio TCP/UDP 30000 - 65535 Audio (programa heredado) * UDP 5004 65535 TCP 80 Conversaciones de vdeo y con cmara Web TCP/UDP 5000 - 65535 TCP 443, 1863 Transferencia de archivos TCP/UDP 1025 - 65535 Transferencia de archivos (programa heredado) * TCP 6891 - 6900 TCP 1863 Uso compartido de carpetas TCP/UDP 1025 65535 Pizarra y uso compartido de aplicaciones TCP 1503 TCP 3389 Asistencia remota TCP/UDP 49152 65535 TCP 443, 5061 Windows Live Call UDP 5004 - 65525 TCP 80, 443, 1863 Juegos TCP/UDP 1025 - 65535
Vemos que utiliza los puertos de http, as que no se podr bloquear por completo, pero al bloquear todos los puertos excepto el dns y el 80 el usuario no podr hacer uso de Messenger. El administrador siempre tendr acceso a todo, el servicio DNS no interfiere con ningn otro puerto
EJERCICIO 2
Permitir acceso a HTTP/HTTPS y DNS a toda la RED. Se habilita los Servicios de Correo con soporte a WEBMAIL en (SPRIV), que polticas debe aplicarse para su funcionamiento de salida e entrada.
EJERCICIO 3 Debe de ser presentado en Packet tracert e inverso.
COMUNICACIONES DE DATOS II
Divida el segmento de red 172.16.0.0/16, en tres reas con la siguiente cantidad de usuarios: Administracin 130 host Contabilidad 50 host Operaciones 320 host
Los usuarios operaciones no pueden acceder a ningn servicio de la Internet Los usuarios administracin pueden acceder a todos los recursos de Internet Los usuarios Contabilidad solo pueden visualizar paginas Web.
COMUNICACIONES DE DATOS II
12. Observaciones
____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ 13. Conclusiones. (Mnimo 5) ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________ ____________________________________________________________________________