CONFIGURAR ACLS IP A MITIGAR LOS ATAQUES
Objetivos
Verificar la conectividad entre los dispositivos antes de la configuración del firewall. Utilizar las ACL para garantizar el acceso remoto a los routers sólo só lo está disponible desde la estación de gestión de PC-C. Configurar ACL en R1 y R3 para mitigar los ataques. Verificar la funcionalidad ACL. En la presente actividad debe realizar lo siguiente: El acceso a los routers R1, R2 y R3 sólo debería permitirse desde el PC-C, la estación de administración. PC-C es también utilizado para las pruebas de c onectividad a PC-A, un servidor que proporciona DNS, SMTP, FTP y HTTPS. El Procedimiento operativo estándar es aplicar las ACL en los routers de borde para mitigar las amenazas comunes a partir de fuentes y/o la dirección IP de destino. En esta actividad, se crea ACL en routers de borde R1 y R3 para lograr este objetivo. Una vez finalizado debe comprobar la funcionalidad ACL de hosts internos y ext ernos. Los routers deben tener en e n su configuración lo siguiente: 1
Enable password: ciscoenpa55
Password for console: ciscoconpa55
Username for VTY lines: SSHadmin
Password for VTY lines: ciscosshpa55
Configuraciones básicas.
Verificar la conectividad de red básica:
Desde el símbolo del sistema del PC-C, haga ping al servidor de PC-A.
Desde el PC-C símbolo del sistema, SSH a la interfaz del router R2 Lo0. Salga de la sesión SSH, (señale que sucedió).
Desde el PC-C, abra un navegador web, utilizando la dirección IP para visualizar la página web, Cierre el navegador en PC-C.
Desde el A-PC mediante la consola de comandos del servidor, haga ping al PC-C.
Asegurar el acceso a Routers Configure ACL 10 para bloquear todo acceso remote a los router except desde el PC-C. Utilice el comando access-list para crear una ACL IP numerada en R1, R2 y R3. R1 (config) # access-list 10 permit 192 .168.3.3 0.0.0.0 R2 (config) # access-list 10 permit 192 .168.3.3 0.0.0.0 R3 (config) # access-list 10 permit 192 .168.3.3 0.0.0.0
Aplicar ACL 10 para el tráfico de entrada en las líneas VTY Utilice el comando access-class, para aplicar la lista de acceso para el tráfico entrante en las líneas VTY. R1 (config-line) # access-class 10 in R2 (config-line) # access-class 10 in R3 (config-line) # access-class 10 in
Verifique acceso exclusivo desde la estación de gestión de PC-C . SSH to 192.168.2.1 from PC-C (should be successful). SSH to 192.168.2.1 f rom PC-A (should fail). PC> ssh –l SSHadmin 192.168.2.1
Crear una IP ACL numerada 100 En R3, bloquear todos los paquetes que contienen la dirección IP de origen del siguiente conjunto de direcciones: 127.0.0.0 / 8, las direcciones privadas RFC 1918, y cualquier dirección IP multicast.
2
Configurar ACL 100 para bloquear todo el tráfico específico de la red exterior. También debe bloquear el tráfico procedente de su propio espacio de direcciones interno si no es una dirección RFC 1918 (en esta actividad, su espacio de direcciones interna forma parte del espacio de direcciones privadas se especificadas en el RFC 1918). Utilice el comando access-list para crear una ACL IP numerada. R3 (config) # access-list 100 deny IP 10.0.0.0 0.255.255.255 any R3 (config) # access-list 100 deny IP 172.16.0.0 0.15.255.255 any R3 (config) # access-list 100 deny IP 192.168.0.0 0.0.255.255 any R3 (config) # access-list 100 deny IP 127.0.0.0 0.255.255.255 any R3 (config) # access-list 100 deny IP 224.0.0.0 15.255.255.255 any R3 (config) # access-list 100 permit any any ip
Aplicar la ACL a la interfaz Serial 0/0/1. Utilice el comando ip access-group para aplicar la lista de acceso para el tráfico entrante en la interfaz Serial 0/0/1. R3 (config) # interface S0/0/1 R3 (config-if) # ip access-group 100 in Confirme que el tráfico que entra en la interfaz Serial 0/0/1 específica se cae. Desde el símbolo del sistema PC-C, haga ping al servidor de PC-A. Las respuestas de eco ICMP se bloquean por la ACL desde que provienen del espacio de dirección 192.168.0.0/16.
Retire la ACL de la interfaz Serial 0/0/1. Retire la ACL, de lo contrario, todo el tráfico de la red externa (siendo tratado con direcciones IP de origen privado), será negado por el resto de la actividad de PT. Utilice el comando no ip access-group, para eliminar la lista de acceso de la interfaz Serial 0/0/1. R3 (config) # interface S0/0/1 R3 (config-if) # no ip access-group 100 in R3 (config) # interface S0/0/1 R3 (config-if) # ip access-group 100 in
Crear un IP ACL numerada 110 Denegar todos los paquetes de salida con dirección de origen fuera del rango de direcciones IP internas. Configurar ACL 110 para permitir sólo el tráfico de la red interior. Utilice el comando access-list para crear una IP ACL numerada. 3
R3 (config) # access-list 110 permit ip 192.168 .3.0 0.0.0.255 cualquier
Aplicar la ACL a la interfaz F0 / 1. Utilice el comando ip access-group para aplicar la lista de acceso para el tráfico entrante en la interfaz F0 / 1. R3 (config) # interface Fa0 / 1 -Grupo de acceso R3 (config-if) # ip 110 in
Crear un IP ACL numerada 120 Se permite cualquier host externo para acceder a DNS, SMTP y FTP en el servidor PC -A, negar cualquier host externo acceder a los servicios de HTTPS en el PC -A, y permitir PC - C para acceder a R1 a través de SSH .
Asegúrese de que PC- C puede acceder a la PC -A través de HTTPS utilizando el navegador web. Asegúrese de deshabilitar HTTP y HTTPS en el servidor PC -A.
Configurar ACL 120 para permitir y denegar expresamente el tráfico espec ificado. Utilice el comando access-list para crear una IP ACL numerada. R1 ( config) # access -list 120 R1 ( config) # access -list 120 R1 ( config) # access -list 120 R1 ( config) # access -list 120 R1 ( config) # access -list 120
udp permiso de cualquier anfitrión 192.168.1.3 dominio eq tcp cualquier permiso de host 192.168.1.3 eq smtp tcp cualquier permiso de host 192.168.1.3 eq ftp tcp negar cualquier host 192.168.1.3 eq 443 tcp del permiso de host 192.168.3.3 anfitrión 10.1.1.1 eq
Aplicar la ACL a la interfaz S0/0/0 . Utilice el comando ip access-group para aplicar la lista de acceso para el tráfico entrante en la interfaz S0/0/0 . R1 ( config) # interface s0/0/0 R1 ( config -if) # ip access-group 12 0 in Asegurar que el PC- C no puede acceder a PC -A través de HTTPS utilizando el navegador web.
modificar una ACL existente Permitir respuestas de eco ICMP y mensajes de destino inalcanzable de la red exterior (en relación con R1) ; negar el resto de los paquetes ICMP entrantes. Verifique que la PC- A no puede hacer ping correctamente la interfaz loopback en R2. 4
Haga los cambios necesarios en ACL 120 para permitir y denegar el tráfico especificado. Utilice el comando access-list para crear una IP ACL numerada. R1 ( config) # access -list 120 R1 ( config) # access -list 120 R1 ( config) # access -list 120 R1 ( config) # access -list 120
icmp cualquier permiso de cualquier eco -reply icmp cualquier permiso de cualquier inalcanzable icmp negar cualquier cualquier permit any ip cualquier
Verifique que el PC- A puede hacer ping correctamente a la interfaz loopback en R2.
5