5.5.3

Laboratorio práctico 5.5.3: Desarrollo de las ACL para implementar conjuntos de reglas de firewall

Javier Fabián Ramírez Mena 10300782 8 A2

Objetivos 

 

Interpretar una política de seguridad para definir las reglas del firewall. Crear sentencias ACL para implementar las reglas del firewall. Configurar y probar las ACL.

Resultados esperados y criterios de éxito  Antes de comenzar con esta práctica de laboratorio, lea las tareas que debe realizar. ¿Cuál cree que será el resultado después de realizar estas tareas? Pues van de la mano a las configuraciones de las listas, ya sea para  permitir o denegar el tráfico de los puertos. ¿Cuáles son los riesgos inherentes de no utilizar una ACL para asegurar el tráfico de red? El tráfico en los puertos aumentaría, no se tendría seguridad en esa  parte y puede aumentar el riesgo en la red.

Javier Fabián Ramírez Mena 10300782 8 A2

¿Cuáles son los diversos métodos para limitar el flujo de tráfico desde y hacia las redes LAN o WAN? Las listas de control acceso.

Paso 1: Realizar el cableado y conectar la red como se muestra en el diagrama de la topología NOTA: Si las PC utilizadas en esta práctica de laboratorio también están conectadas a su red LAN de la  Academia o a Internet, asegúrese de documentar las conexiones del cable y configuraciones TCP/IP para que éstas puedan ser reestablecidas al finalizar la práctica. a. Conecte y configure los dispositivos de acuerdo con la topología y configuración dadas. Debe configurarse el enrutamiento a través de los enlaces seriales para establecer la comunicación de datos. NOTA: El instructor puede sustituir el Servidor de producción por un servidor equivalente en esta práctica de laboratorio. b. Configure el acceso a Telnet en cada router. c. Haga ping entre Host1, Host2 y el Servidor de producción, para confirmar la conectividad de la red. En caso de que fallen los pings o Telnet, resuelva los problemas y establezca la conectividad.

Paso 2: Realizar configuraciones básicas del router a. Configure los dispositivos de red teniendo en cuenta las siguientes pautas: • Configure los nombres de host de cada dispositivo. • Configure una contraseña para el modo EXEC de class.

Javier Fabián Ramírez Mena 10300782 8 A2

• Configure una contraseña de cisco para las conexiones de la consola. • Configure una contraseña de cisco para las conexiones de la vty (Terminal virtual). • Configure direcciones IP en todos los dispositivos. • Habilite EIGRP en todos los routers y configure a cada uno para que notifique todas las redes conectadas. • Verifique la conectividad total de IP usando el comando ping. b. Confirme la conectividad de la Capa de aplicación con la utilización de Telnet en todos los routers.

Paso 3: Crear el conjunto de reglas del firewall y las sentencias de la lista de acceso Utilizando la información de la política de seguridad de FilmCompany para el acceso remoto, cree las reglas del firewall que deban implementarse para hacer cumplir la política. Después de documentar la regla del firewall, cree la sentencia de la lista de acceso que va a implementar la regla del firewall. Quizás se necesite más de una sentencia para implementar una regla. Se muestra un ejemplo de una de las reglas del firewall: Política de seguridad 1: Los usuarios remotos deben poder acceder al Servidor de producción para ver sus programas en la Web y para ingresar nuevas órdenes. Regla del firewall: Permitirles a los usuarios del 10.1.1.0/24 el acceso al Servidor de producción (172.17.1.1) en el puerto TCP 80. Sentencia(s) de la lista de acceso: permit tcp 10.1.1.0 0.0.0.255 host 172.17.1.1 eq 80 Ubicación de la lista de acceso: En la entrada del router SR1 Fa0/1 (recuerde que las ACL extendidas deben colocarse lo más cerca posible del origen del tráfico)

Javier Fabián Ramírez Mena 10300782 8 A2

Para cada una de las siguientes políticas de seguridad: a. Cree una regla del firewall. b. Cree una sentencia de la lista de acceso. c. Determine la ubicación de la lista de acceso para implementar la regla del firewall. Política de seguridad 2: Los usuarios remotos deben poder utilizar el FTP para descargar y subir archivos procedentes del Servidor de producción y destinados a éste. Regla del firewall: Permitir que este equipo envíe o reciba tráfico con programas, servicios del sistema, equipos o usuarios. Política de seguridad 3: Los usuarios remotos pueden utilizar el Servidor de producción para enviar y recibir correo electrónico usando los protocolos IMAP y SMTP. Política de seguridad 4: Los usuarios remotos no deben poder acceder a ningún otro servicio disponible en el Servidor de producción. Política de seguridad 5: No se permite el tráfico procedente de las estaciones de trabajo individuales de la oficina principal hacia las estaciones de trabajo de los trabajadores remotos. Cualquier archivo que deba transferirse entre los dos sitios debe ser almacenado en el Servidor de producción y recuperado a través del FTP. Política de seguridad 6: No se permite el tráfico desde las estaciones de trabajo del sitio remoto hacia las estaciones de trabajo del sitio principal. Política de seguridad 7: No se permite el tráfico de Telnet desde las estaciones de trabajo del sitio remoto hacia ningún dispositivo, excepto su switch local. Paso 4: Crear las ACL extendidas a. Vuelva a ver la información sobre la ubicación de la lista de acceso que creó para implementar cada una de las políticas de seguridad de FilmCompany. Enumere todas las distintas ubicaciones de la lista de acceso que anotó más arriba.

Javier Fabián Ramírez Mena 10300782 8 A2

Según la información de la ubicación cuántas listas de acceso tiene que crear? En el Router SR1 En el Router Edge2 En el Router BR4 b. Según las sentencias de la lista de acceso que desarrolló en la Tarea 3, cree cada lista de acceso que se necesite para implementar las políticas de seguridad. Cuando cree las listas de acceso, recuerde los siguientes principios: • Sólo se puede aplicar una lista de acceso por protocolo, por dirección en cada interfaz. • Las sentencias de la lista de acceso se procesan en orden. Una vez que se creó una lista de acceso y se aplicó a la interfaz, se descarta todo el tráfico que no coincida con ninguna sentencia de la lista de acceso. c. Use un archivo de texto para crear las listas de acceso o escríbalas aquí. Evalúe cada sentencia de la lista de acceso para asegurarse de que va a filtrar el tráfico como se pretende. ¿Por qué es tan importante el orden de las sentencias de la lista de acceso? Para permitir o denegar el tráfico de manera jerárquica. Paso 5: Configurar y probar las listas de acceso a. Configure las listas de acceso en los routers adecuados y aplíquelas a las interfaces correctas. Nombres de listas de acceso: Listas de acceso b. Pruebe las listas de acceso y su ubicación llevando a cabo las siguientes pruebas: Usando el Host1, abra el explorador e intente ver una página Web situada en el Servidor de producción con la dirección http://172.17.1.1. ¿Tuvo éxito? Si  Javier Fabián Ramírez Mena 10300782 8 A2

Usando el Host1, abra el explorador e intente conectarse al Servidor de producción con ftp://172.17.1.1. ¿Tuvo éxito? Si Usando el Host1, intente ejecutar Telnet hacia cualquier dirección de cualquier router o switch. ¿Tuvo éxito? no Usando el Host1, intente hacer ping en el Host2. ¿Tuvo éxito? si  Usando el Host2, intente hacer ping en el Host1 ¿Tuvo éxito? si  ¿Las ACL tuvieron el rendimiento que esperaba? Si  Si no fue así, corrija y vuelva a probar las ACL y su ubicación dentro de la red. Paso 7: Reflexión Las estrategias de diseño para la LAN de FilmCompany plantean muchos desafíos para el diseñador. ¿Cuáles fueron algunos de los mayores desafíos de crear una ACL con los que se encontró? Configurar las ACL adecuadamente Evalúe y analice las estrategias identificadas. ¿Todas las estrategias diseñadas o el hardware identificado cumplen con la tarea de la misma forma? Si ¿Alguna ACL podría funcionar mejor que otra? Si

Javier Fabián Ramírez Mena 10300782 8 A2