• Author / Uploaded
• Raul Arturo Samaniego Tello

Citation preview

UNIVERSIDAD NACIONAL DE CHIMBORAZO FACULTAD DE INGENIERÍA ESCUELA DE ELECTRÓNICA Y TELECOMUNICACIONES TELEMÁTICA I Y LABORATORIO

Listas de Acceso Raul Samaniego [email protected]

i.

En principio si las ACL no están configuradas en el router, todos los paquetes que pasen a través del router tendrán acceso a todas las partes de la red.

Introducción

E

N el presente informe se trata de detallar y explicar cómo se realiza la practica en packet tracer implementado listas de acceso, con el fin de poder filtrar ciertas direcciones y entender cómo funcionan los servidores cuando existen direcciones que se necesita denegar y direcciones que se necesita tener acceso, es así como a continuación veremos cómo logramos la obtención del filtrado.

ii.

ii.

ii. Máscaras Las máscaras se utilizan con direcciones IP en IP ACL para especificar lo que debe ser permitido y denegado. Máscaras con el fin de configurar las direcciones IP en las interfaces de comenzar con 255 y tener los valores grandes en el lado izquierdo, por ejemplo, 209.165.202.129 direcciones IP con una máscara 255.255.255.224. Máscaras en ACL IP son la inversa, por ejemplo, la máscara 0.0.0.255. Esto a veces se llama una máscara inversa o una máscara wildcard. Cuando el valor de la máscara se divide en binarios (0 y 1), los resultados determinan qué dirección bits son para ser considerado en el procesamiento del tráfico. Un 0 indica que los bits de dirección deben ser considerados (coincidencia exacta); un 1 en la máscara es un "no me importa". En esta tabla se explica aún más el concepto.

Objetivos i.



Es posible crear ACL en protocolos de red enrutados, como el Protocolo de Internet (IP) y el Intercambio de paquetes de internetwork (IPX), entre otros. Se debe definir una ACL para cada protocolo enrutado habilitado en la interfaz.

OBEJETIVO GENERAL

Realizar el filtrado de direcciones ciertas direcciones IP y detallarlas.

OBJETIVOS ESPECÍFICOS  Crear unas tutas específicas por donde se transmitirán la información por medio del filtrado.  Detallar el procedimiento para la obtención del filtrado, en este documento.

iii. Marco teórico: i.

Conceptos ACL

En el ámbito de los dispositivos routers, las ACLs son listas de condiciones que se aplican al tráfico que viaja a través de la interfaz del router. Las ACL indican al router qué tipo de paquetes aceptar o rechazar en base a las condiciones establecidas en ellas y que permiten la administración del tráfico y aseguran el acceso, bajo esas condiciones, hacia y desde una red. La aceptación y rechazo se pueden basar en la dirección origen, dirección destino, protocolo de capa superior y números de puerto. Por lo tanto, una ACL es un grupo de sentencias que define cómo se procesan los paquetes que:  Entran a las interfaces de entrada  Se reenvían a través del router  Salen de las interfaces de salida del router

Máscara Ejemplo dirección de red (tráfico que se va a procesar) máscara direcciones de red másc ara

10.1.1.0

0.0.0.255 00001010.00000001.00000001.0000000 0 00000000.00000000.00000000.11111111

Tabla. 1 Ejemplo de una dirección IP con su máscara invertida.

Sobre la base de la máscara binaria, se puede ver que los tres primeros sets (octetos) deben coincidir con la dirección de red binaria dado exactamente (00001010.00000001.00000001). El último conjunto de números se "No le importa" (0,11111111). Por lo tanto, todo el tráfico que comienza con 10.1.1. partidos desde el último octeto es "no me importa". Por lo tanto, con

1

esta máscara, a través de direcciones de red 10.1.1.1

Definir qué se les niega el protocolo, origen, destino y el puerto:

10.1.1.255 (10.1.1.x) se procesan.

Router (config) # access-list 101 tcp negar 10.0.0.0 0.255.255.255 187.100.1.6 0.0.0.0 eq 21

Restar la máscara normal desde 255.255.255.255 a fin de determinar la máscara inversa ACL. En este ejemplo, la máscara inversa se determina por la dirección de red 172.16.1.0 con una máscara normal de 255.255.255.0. 255.255.255.255 - 255.255.255.0 (máscara normal) = 0.0.0.255 (máscara inversa)

Router (config) # access-list 101 tcp negar 10.0.0.0 0.255.255.255 187.100.1.6 0.0.0.0 eq 20 Router (config) # access-list 101 IP del permiso cualquier cualquier

Nota estos equivalentes de ACL. La fuente / origencomodín de 0.0.0.0/255.255.255.255 significa "todo". La fuente / comodín de 10.1.1.2/0.0.0.0 es lo mismo que "host 10.1.1.2".

Aplicar esta ACL a una interfaz: Router (config) # interface Fa0 / 1 Router (config-if) # ip access-group 101 fuera

iii. ACL Summarization Nota: Las máscaras de subred también pueden ser representados como una notación de longitud fija. Por ejemplo, 192.168.10.0/24 representa 192.168.10.0 255.255.255.0. Esta lista describe cómo resumir una serie de redes en una sola red para la optimización de ACL. Considere estas redes.

Tenga en cuenta que tenemos que explícitamente permiten otro tipo de tráfico (access-list 101 permiso ip any any) ya que hay una orden de "negar todos" al final de cada ACL. Como podemos ver, el destino de la lista de acceso de arriba es "187.100.1.6 0.0.0.0" que especifica un host. Podemos utilizar "187.100.1.6 host" en su lugar. Vamos a discutir máscara wildcard después.

192.168.32.0/24 192.168.33.0/24 192.168.34.0/24

Definir la ACL:

Router (config) # ip access-list extendió in_to_out anfitrión permiso tcp 10.0.0.1 acogida eq 187.100.1.6 telnet

iv. Objetivos de las ACL En resumen, los objetivos que se persiguen con la creación de ACL son: Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el tráfico de vídeo, por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia mejorar el rendimiento de la misma.

(Aviso de que podemos utilizar 'telnet' en vez de puerto 23)

Controlar el flujo del tráfico. Las ACL pueden restringir el envío de las actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda. Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. Por ejemplo, el host-1 se le permite el acceso a la red de Producción, y al host-2 se le niega el acceso a esa red. Establecer qué tipo de tráfico se envía o se bloquea en las interfaces del router. Por ejemplo, permitir que se envíe el tráfico relativo al correo electrónico, y se bloquea el tráfico de ftp. Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.

Router (config-if) # ip in_to_out access-group in

Aplicar esta ACL a una interfaz: Router (config) # interface Fa0 / 0

Desarrollo : Simulación : Para realizar la simulación se propuso un escenario conformado por un routes, 2 subredes, la una contiene una PCy la otra 2 PC’s. Las reacciones son clase C, y se plantea denegar el acceso desde una de las maquinas a un PC de la Red conformada por dos maquimas:

2

Router#conf ter Enter configuration commands, one per line. End with CNTL/Z. Router(config)#acc Router(config)#access-list 101 deny ip 192.168.2.2 0.0.0.0 192.168.1.3 0.0.0.0 Router(config)#access-list 101 permit ip any any Router(config)#exit Router#conf terminal Router(config)#interface fastEthernet 0/1 Router(config-if)#ip access-group 101 in Router(config-if)#exit Router#copy running-config startupconfig Destination filename [startupconfig]? Building configuration...

Luego de realizar el direccionamiento y configurar respectivamente a cada dispositivo con su respectiva IP, pasamos a realizar la configuración de la Lista de acceso. A continuación se indicaran los comandos ingresados: Router#conf ter Router(config)#access-list 102 deny ip 192.168.2.2 0.0.0.0 192.168.1.3 0.0.0.0 Router(config)#interface fastEthernet 0/1 Router(config-if)#ip access-group 102 in Router(config-if)#end Router#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] Router#show ip interface brief Interface IP-Address OK? Method Status Protocol FastEthernet0/0

192.168.1.1

YES manual up up

FastEthernet0/1

192.168.2.1

YES manual up up

A continuación se indicara como al hacer ping desde la 192.168.2.2 a la dirección 192.168.1.2 si se hace ping mientras que a la 192.168.1.3 no se puede acceder eso se debe al filtrado correcto de la red.

Vlan1 unassigned YES unset Router#configure ter Router(config)#no access-list 102 Router(config)#end //Cuando queremos eliminar la ACL. Router#conf ter Router(config)#access-list 103 deny ip 192.168.2.0 0.0.0.255 192.168.1.3 0.0.0.0 Router#conf ter Router(config)#interface fastEthernet 0/1 Router(config-if)#ip acc Router(config-if)#ip access-group 103 in Router(config-if)#end Router#copy running-config startup-config Destination filename [startup-config]? [OK]

Conclusiones 1. Se logró entender de mejor manera esta parte fundamental del filtrado, al hacer la partica no dimos cuenta de algunos parámetros importantes en una lista de accesos. 2. Se logró cumplir con el objetivo satisfactoriamente, la restricción de la red hacia una dirección en específico.

3

 Recomendaciones:

http://maestroseguridades.es.tl/INFORMEPRACTICA-ACL.htm

Biografía:

 Se recomienda tener los comandos listos, y direccionar la red de una manera que no sea tan complicada para el configurador.  No olvidar de al final de la lista de acceso se realiza la declaración por defecto que es ANY en todos los campos a llenar para que toda la red tenga acceso a las demás redes.

nació en Quito – Ecuador el 29 de Octubre de 1985. Realizó sus estudios Secundarios en el Colegio Experimental “Pedro Vicente Maldonado”. Actualmente se encuentra estudiando en Séptimo semestre de Ingeniería en Electrónica y Telecomunicaciones de la Universidad Nacional de Chimborazo. Raúl Samaniego,

Bibliografía:  http://aprenderedes.com/2006/09/c onfiguracion-de-rip/

4