CONFIGURAR ACLS IP A MITIGAR LOS ATAQUES

Objetivos Verificar la conectividad entre los dispositivos antes de la configuracin del firewall. Utilizar las ACL para garantizar el acceso remoto a los routers slo est disponible desde la estacin de gestin de PC-C. Configurar ACL en R1 y R3 para mitigar los ataques. Verificar la funcionalidad ACL. En la presente actividad debe realizar lo siguiente: El acceso a los routers R1, R2 y R3 slo debera permitirse desde el PC-C, la estacin de administracin. PC-C es tambin utilizado para las pruebas de conectividad a PC-A, un servidor que proporciona DNS, SMTP, FTP y HTTPS. El Procedimiento operativo estndar es aplicar las ACL en los routers de borde para mitigar las amenazas comunes a partir de fuentes y/o la direccin IP de destino. En esta actividad, se crea ACL en routers de borde R1 y R3 para lograr este objetivo. Una vez finalizado debe comprobar la funcionalidad ACL de hosts internos y externos. Los routers deben tener en su configuracin lo siguiente: 1

Enable password: ciscoenpa55 Password for console: ciscoconpa55 Username for VTY lines: SSHadmin Password for VTY lines: ciscosshpa55 Configuraciones bsicas.

Verificar la conectividad de red bsica: Desde el smbolo del sistema del PC-C, haga ping al servidor de PC-A. Desde el PC-C smbolo del sistema, SSH a la interfaz del router R2 Lo0. Salga de la sesin SSH, (seale que sucedi). Desde el PC-C, abra un navegador web, utilizando la direccin IP para visualizar la pgina web, Cierre el navegador en PC-C. Desde el A-PC mediante la consola de comandos del servidor, haga ping al PC-C.

Asegurar el acceso a Routers Configure ACL 10 para bloquear todo acceso remote a los router except desde el PC-C. Utilice el comando access-list para crear una ACL IP numerada en R1, R2 y R3. R1 (config) # access-list 10 permit 192.168.3.3 0.0.0.0 R2 (config) # access-list 10 permit 192.168.3.3 0.0.0.0 R3 (config) # access-list 10 permit 192.168.3.3 0.0.0.0 Aplicar ACL 10 para el trfico de entrada en las lneas VTY Utilice el comando access-class, para aplicar la lista de acceso para el trfico entrante en las lneas VTY. R1 (config-line) # access-class 10 in R2 (config-line) # access-class 10 in R3 (config-line) # access-class 10 in Verifique acceso exclusivo desde la estacin de gestin de PC-C.
SSH to 192.168.2.1 from PC-C (should be successful). SSH to 192.168.2.1 from PC-A (should fail). PC> ssh l SSHadmin 192.168.2.1

Crear una IP ACL numerada 100 En R3, bloquear todos los paquetes que contienen la direccin IP de origen del siguiente conjunto de direcciones: 127.0.0.0 / 8, las direcciones privadas RFC 1918, y cualquier direccin IP multicast.

Configurar ACL 100 para bloquear todo el trfico especfico de la red exterior. Tambin debe bloquear el trfico procedente de su propio espacio de direcciones interno si no es una direccin RFC 1918 (en esta actividad, su espacio de direcciones interna forma parte del espacio de direcciones privadas se especificadas en el RFC 1918). Utilice el comando access-list para crear una ACL IP numerada. R3 (config) # access-list 100 deny IP 10.0.0.0 0.255.255.255 any R3 (config) # access-list 100 deny IP 172.16.0.0 0.15.255.255 any R3 (config) # access-list 100 deny IP 192.168.0.0 0.0.255.255 any R3 (config) # access-list 100 deny IP 127.0.0.0 0.255.255.255 any R3 (config) # access-list 100 deny IP 224.0.0.0 15.255.255.255 any R3 (config) # access-list 100 permit any any ip

Aplicar la ACL a la interfaz Serial 0/0/1. Utilice el comando ip access-group para aplicar la lista de acceso para el trfico entrante en la interfaz Serial 0/0/1. R3 (config) # interface S0/0/1 R3 (config-if) # ip access-group 100 in
Confirme que el trfico que entra en la interfaz Serial 0/0/1 especfica se cae. Desde el smbolo del sistema PC-C, haga ping al servidor de PC-A. Las respuestas de eco ICMP se bloquean por la ACL desde que provienen del espacio de direccin 192.168.0.0/16. Retire la ACL de la interfaz Serial 0/0/1. Retire la ACL, de lo contrario, todo el trfico de la red externa (siendo tratado con direcciones IP de origen privado), ser negado por el resto de la actividad de PT. Utilice el comando no ip access-group, para eliminar la lista de acceso de la interfaz Serial 0/0/1. R3 (config) # interface S0/0/1 R3 (config-if) # no ip access-group 100 in R3 (config) # interface S0/0/1 R3 (config-if) # ip access-group 100 in

Crear un IP ACL numerada 110 Denegar todos los paquetes de salida con direccin de origen fuera del rango de direcciones IP internas. Configurar ACL 110 para permitir slo el trfico de la red interior. Utilice el comando access-list para crear una IP ACL numerada. 3

R3 (config) # access-list 110 permit ip 192.168.3.0 0.0.0.255 cualquier Aplicar la ACL a la interfaz F0 / 1. Utilice el comando ip access-group para aplicar la lista de acceso para el trfico entrante en la interfaz F0 / 1. R3 (config) # interface Fa0 / 1 -Grupo de acceso R3 (config-if) # ip 110 in

Crear un IP ACL numerada 120 Se permite cualquier host externo para acceder a DNS, SMTP y FTP en el servidor PC -A, negar cualquier host externo acceder a los servicios de HTTPS en el PC -A, y permitir PC - C para acceder a R1 a travs de SSH . Asegrese de que PC- C puede acceder a la PC -A travs de HTTPS utilizando el navegador web. Asegrese de deshabilitar HTTP y HTTPS en el servidor PC -A.

Configurar ACL 120 para permitir y denegar expresamente el trfico especificado. Utilice el comando access-list para crear una IP ACL numerada. R1 ( config) # access -list 120 udp permiso de cualquier anfitrin 192.168.1.3 dominio eq R1 ( config) # access -list 120 tcp cualquier permiso de host 192.168.1.3 eq smtp R1 ( config) # access -list 120 tcp cualquier permiso de host 192.168.1.3 eq ftp R1 ( config) # access -list 120 tcp negar cualquier host 192.168.1.3 eq 443 R1 ( config) # access -list 120 tcp del permiso de host 192.168.3.3 anfitrin 10.1.1.1 eq Aplicar la ACL a la interfaz S0/0/0 . Utilice el comando ip access-group para aplicar la lista de acceso para el trfico entrante en la interfaz S0/0/0 . R1 ( config) # interface s0/0/0 R1 ( config -if) # ip access-group 120 in Asegurar que el PC- C no puede acceder a PC -A travs de HTTPS utilizando el navegador web. modificar una ACL existente Permitir respuestas de eco ICMP y mensajes de destino inalcanzable de la red exterior (en relacin con R1) ; negar el resto de los paquetes ICMP entrantes. Verifique que la PC- A no puede hacer ping correctamente la interfaz loopback en R2. 4

Haga los cambios necesarios en ACL 120 para permitir y denegar el trfico especificado. Utilice el comando access-list para crear una IP ACL numerada. R1 ( config) # access -list 120 icmp cualquier permiso de cualquier eco -reply R1 ( config) # access -list 120 icmp cualquier permiso de cualquier inalcanzable R1 ( config) # access -list 120 icmp negar cualquier cualquier R1 ( config) # access -list 120 permit any ip cualquier Verifique que el PC- A puede hacer ping correctamente a la interfaz loopback en R2.