Práctica de laboratorio 6.8.1.2 ACL extendidas de Internet- Descripción general
Duración estimada: 90 min.
Objetivos:
Esta práctica de laboratorio sirve para practicar las siguientes tareas:
- Diseñar y planificar una ACL, según requisitos de seguridad específicos
- Trabajar con las capacidades más avanzadas de las listas de control de acceso IP extendidas (ACL)
- Desarrollar una ACL extendida con múltiples sentencias
- Desarrollar una ACL extendida para controlar el tráfico de Internet utilizando uno o más routers
- Desarrollar una ACL IP extendida para permitir o denegar otro tráfico específico del protocolo IP
Información básica:
Esta práctica de laboratorio es un ejercicio de práctica que simula una situación de la realidad. Se trabaja con múltiples Listas de control de acceso extendidas (ACL) para simular la regulación del tráfico al que se permite pasar a través de múltiples routers a varios servidores e Internet. Este es primariamente un ejercicio por escrito para practicar el análisis de los requisitos de seguridad y diseñar un plan de ACL. Se pueden configurar la mayoría de las ACL en los routers indicados en la sección de respuestas, pero no se pueden probar en realidad algunas de las capacidades de filtrado de las ACL en algunos casos.
Las ACL extendidas proporcionan una forma más avanzada de filtrado con mayor flexibilidad en la forma en que se controlan los paquetes. Las ACL extendidas pueden filtrar (permitir o denegar) paquetes según su dirección origen o destino y el tipo de tráfico (por ej., FTP, Telnet, HTTP etc.). Como las ACL extendidas pueden bloquear según la dirección destino, se pueden ubicar cerca del origen, lo que ayuda a reducir el tráfico de red.
En esta práctica de laboratorio se trabaja con múltiples Listas de control de acceso extendidas (ACL) para regular el tráfico que puede pasar a través de múltiples routers, según el origen, destino y tipo de tráfico.
Estos son los pasos necesarios para usar las ACL de forma efectiva:
- Determinar los requisitos de la ACL (según las necesidades de seguridad de la empresa, etc.)
- Desarrollar la ACL.
- Verificar las sentencias en la ACL
- Aplicar la ACL a una interfaz de router.
- Verificar que la ACL se aplique correctamente a la interfaz que se desea.
- Verificar que la ACL funcione correctamente
Herramientas / Preparación:
Esta es principalmente una práctica por escrito pero es aconsejable tener acceso al laboratorio de 5 routers. Debe disponerse de una pizarra para anotar las ideas sobre diferentes formas de proporcionar la seguridad deseada. Se trabaja en equipos de 2 o 3 personas. Antes de comenzar con esta práctica de laboratorio, puede resultarle útil repasar el capítulo 6 (ACL) de la Guía del segundo año de la Academia de Networking de Cisco. También conviene repasar el capítulo 6 en línea del Semestre 3. Se requiere el siguiente equipo:
- Configuración de laboratorio estándar de 5 routers de Cisco, con hubs y switches
- Estación de trabajo conectada al puerto de consola del router mediante un cable rollover
Recursos de sitio Web:
LAN Switching basics
General information on all Cisco products - (Ir al capítulo 22 - Switches)
1900 / 2820 series Ethernet switches
2900 series Fast Ethernet switches
Terms and acronyms
IP routing protocol IOS command summary
Access Control Lists - Overview and Guidelines
Notas:





En esta práctica de laboratorio se diseña un plan de seguridad que utiliza múltiples ACL extendidas y determinará dónde se deben aplicar sobre la base de la siguiente configuración de laboratorio estándar. Puede haber más de una respuesta correcta.
Se comienza con la configuración estándar de laboratorio que aparece en la descripción general y entonces se dibuja un diagrama detallado de todos los routers, servidores y redes para ayudar a obtener los requisitos. Use el espacio suministrado en la página siguiente para diagramar los requisitos enumerados a continuación y a ayudar a determinar cuáles son las ACL que se necesitan y dónde deben ubicarse.
Paso 1 - Definir los requisitos de la ACL.
A continuación se suministran los requisitos y algunos supuestos para esta práctica de laboratorio. En general es mejor intentar usar la menor cantidad posible de listas de acceso y tener en cuenta el potencial de crecimiento de la red. En este ejercicio se usan ACL extendidas.
Supongamos que sus servidores empresariales se ubican en la red 219.17.100.0 (desde LAB-B).
- Se debe permitir acceso a través de la Web (protocolo http) a su servidor web 219.17.100.80 para cualquier persona
- Se debe permitir el acceso a través de DNS a su servidor DNS 219.17.100.53
- Se debe permitir que el personal docente tenga pleno acceso desde la red 223.8.151.0 a cualquiera de estos servidores.
- No se debe permitir otro acceso a ningún servidor en la red 219.17.100.0
Suponga que todos los estudiantes se encuentran en la red 210.93.105.0, y se desea controlar el acceso hacia o desde esa red. Supongamos que el router Lab-A le pertenece a su ISP y no tiene control sobre él.
- NO se debe permitir que los estudiantes usen FTP a Internet (¡posibles problemas de virus!)
- Se debe permitir que los estudiantes tengan cualquier otro tipo de acceso a Internet
- Se debe permitir que los estudiantes tengan acceso a la red del cuerpo docente 223.8.151.0 para pasar mensajes de correo electrónico (SMTP)
- Se debe denegar a los estudiantes cualquier otro tipo de acceso a la red del cuerpo docente 223.8.151.0
Paso 2 - Desarrollar una o más ACL.
Agrupe las sentencias según sus características comunes y la ubicación donde usted considera que se debe aplicar la ACL. Intente crear la menor cantidad posible de ACL y mantener la flexibilidad. El formato o sintaxis de las sentencias de la ACL IP extendida que se utilizan aparece a continuación:
access-list list# {permit/deny} [protocol] source IP wildcard mask [port] dest. IP wildcard mask [port] [established] [log] [other options]
(Nota: Se puede usar cualquier número entre 100 y 199 para una ACL IP extendida)
Paso 3 - Aplicar y verificar las ACL con los routers del laboratorio (si están disponibles).
Si tiene acceso a los routers en el laboratorio puede aplicar y verificar las ACL que ha creado. Puede que no sea posible probar todas las capacidades de filtrado de las ACL, ya que no dispondrá de un servidor HTTP o DNS o acceso a Internet, pero se puede probar la mayor parte del filtrado. Recuerde que sólo se puede aplicar una ACL por protocolo (como IP) por dirección (entrante o saliente (IN or OUT)).
Diagrame los routers y servidores e indique la ubicación de las ACL (router e interface, entrante o saliente) según los requisitos de seguridad.
Práctica de laboratorio 6.8.1.2 ACL extendidas de - Respuestas
Esta es una solución sugerida para los requisitos. Hay otras soluciones posibles.
ACL EXTENDIDA ACL 101 Supongamos que sus servidores empresariales se ubican en la red 219.17.100.0 (desde lab-b).
1) Se debe permitir acceso a través de la Web (protocolo http) a su servidor web 219.17.100.80 para cualquier persona
Access-list 101 permit TCP any 219.17.100.80 eq HTTP
2) Se debe permitir el acceso a través de DNS a su servidor DNS 219.17.100.53
Access-list 101 permit UDP any 219.17.100.53 eq DNS
3) Se debe permitir que el personal docente tenga pleno acceso desde la red 223.8.151.0 a cualquiera de estos servidores.
Access-list 101 permit IP 223.8.151.0 0.0.0.255 219.17.100.0 0.0.0.255
4) No se debe permitir otro acceso a ningún servidor en la red 219.17.100.0
Access-list 101 deny IP any 219.17.100.0 0.0.0.255
Aplique esta lista al router e interfaz correspondientes en el Router Lab-B, Interfaz E0.
ip access-group 101
Nota: Con todas las ACL, si la dirección (IN/OUT) no se especifica, los paquetes se filtran OUT. Esta es la opción por defecto. En este caso, se filtran paquetes OUT (salientes) de la interface E0.
ACL EXTENDIDA ACL 102 Suponga que todos los estudiantes se encuentran en la red 210.93.105.0, y se desea controlar el acceso hacia o desde esa red. Supongamos que el router Lab-A le pertenece a su ISP y no tiene control sobre él.
1) NO se debe permitir que los estudiantes usen FTP a Internet (¡posibles problemas de virus!)
Access-list 102 deny TCP 210.93.105.0 0.0.0.255 any eq FTP
2) Se debe permitir que los estudiantes tengan otro tipo de acceso a Internet
Access-list 102 permit IP 210.93.105.0 0.0.0.255 any
Aplique esta lista al router e interfaz correspondientes en el Router Lab-B, Interfaz S1.
Ip access-group 102
ACL EXTENDIDA ACL 103
3) Se debe permitir que los estudiantes tengan acceso a la red del cuerpo docente 223.8.151.0 para pasar mensajes de correo electrónico (SMTP)
Access-list 103 permit TCP 210.93.105.0 0.0.0.255 223.8.151.0 eq SMTP
4) Se debe denegar a los estudiantes cualquier otro acceso a la red del cuerpo docente 223.8.151.0
Access-list 103 deny IP 210.93.105.0 0.0.0.255 223.8.151.0 any
Aplique esta lista al router e interfaz correspondientes en el Router Lab-C, Interfaz E0.
Ip access-group 103
|