Listas de acceso en cisco packet tracer
-
Upload
dgonzalez912588 -
Category
Documents
-
view
56 -
download
3
description
Transcript of Listas de acceso en cisco packet tracer
UNIVERSIDAD AUTÓNOMA DEL ESTADO DE MÉXICO
CU ATLACOMULCO
ASIGNATURA: ANÁLISIS Y DISEÑO DE REDES
SIMULACIÓN ACL CON SERVICIOS
M. EN T.I. MERCED LEODEGARIO URBINA DIAZ
DAVID GONZALEZ SEGUNDO
FECHA: SEPTIEMBRE 2015
INTRODUCCIÓN Lista de Control de Acceso (ACL) Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.
Colocación de las ACL
Las ACL estándar se colocan cerca del destino del tráfico. Esto se debe a sus limitaciones: no se puede distinguir el destino.
Las ACL extendidas se colocan cerca del origen del tráfico, por eficiencia - es decir, para evitar tráfico innecesario en el resto de la red.
ACL estándar
Sintaxis para un renglón (se escribe en el modo de configuración global):
access-list (número) (deny | permit) (ip origen) (wildcard origen)
Ejemplo: Bloquear toda la subred 172.17.3.0/24, excepto la máquina 172.17.3.10.
access-list 1 permit host 172.17.3.10 access-list 1 deny 172.17.3.0 0.0.0.255 access-list 1 permit any
Para asignarlo a una interface:
interface F0 ip access-group 1 out
ACL extendidas
Sintaxis para cada renglón:
access-list (número) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino) [(operador) (operando)]
El "protocolo" puede ser (entre otros) IP (todo tráfico de tipo TCP/IP), TCP, UDP, ICMP.
El "operando" puede ser un número de puerto (por ejemplo 21), o una sigla conocida, por ejemplo, "ftp".
Ejemplo 1: Repetir el ejemplo de la ACL estándar, pero se especifica que se quiere permitir o denegar el tráfico con destino al servidor, que está en 172.16.0.1:
access-list 101 permit ip host 172.17.3.10 host 172.16.0.1 access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1 access-list 101 permit ip any any
Ejemplo 2: Permitir tráfico HTTP y "ping" (ICMP) al servidor 172.16.0.1, para todos. Denegar todo lo demás.
access-list 102 permit icmp any host 172.16.0.1 access-list 102 permit tcp any host 172.16.0.1 eq www
DISEÑO LOGICO EN CISCO PACKET TRACER
SUBNETEO DE REDES
Tabla 1: subneteo de redes
Configurando IP estáticas en las PC de acuerdo a la tabla 1
Tamaño de
Red Dirección de Red Mascara Rango Host Broadcast
500 128.18.0.0 255.255.254.0/23 128.18.0.1 - 128.18.1.254 128.18.1.255
400 128.18.2.0 255.255.254.0/23 128.18.2.1 - 128.18.3.254 128.18.3.255
300 128.18.4.0 255.255.254.0/23 128.18.4.1 - 128.18.5.254 128.18.5.255
200 128.18.6.0 255.255.255.0/24 128.18.6.1 - 128.18.6.254 128.18.6.255
100 128.18.7.0 255.255.255.128/25 128.18.7.1 - 128.18.7.126 128.18.7.127
2 128.18.8.0 255.255.255.0/24 128.18.8.1 - 128.18.8.254 128.18.8.255
2 128.18.9.0 255.255.255.0/24 128.18.9.1 - 128.18.9.254 128.18.9.255
2 128.18.10.0 255.255.255.0/24 128.18.10.1 - 128.18.10.254 128.18.10.255
2 128.18.11.0 255.255.255.0/24 128.18.11.1 - 128.18.11.254 128.18.11.255
2 128.18.12.0 255.255.255.0/24 128.18.12.1 - 128.18.12.254 128.18.12.255
2 128.18.13.0 255.255.255.0/24 128.18.13.1 - 128.18.13.254 128.18.13.255
2 128.18.14.0 255.255.255.0/24 128.18.14.1 - 128.18.14.254 128.18.14.25
Configurando el servidor para FTP, EMAIL y HTTP
IP estática y su interface
Servicio FTP con usuario y contraseña para autenticación
Servicio EMAIL con nombre del dominio y las cuentas de correo
Servicio HTTP o web con etiquetas HTML para mostrar una página principal
CONFIGURACIÓN DEL PROTOCOLO PARA LA RED EN LOS ROUTERS
Router 1 interface FastEthernet0/0
ip address 128.18.7.1 255.255.255.128
interface Serial0/0
ip address 128.18.8.1 255.255.255.0
no shutdown
interface Serial0/1
ip address 128.18.9.1 255.255.255.0
no shutdown
router eigrp 1
network 128.18.0.0
end
Router 2 interface FastEthernet0/0
ip address 128.18.6.1 255.255.255.0
interface Serial0/0
ip address 128.18.9.2 255.255.255.0
no shutdown
interface Serial0/1
ip address 128.18.10.1 255.255.255.0
no shutdown
router eigrp 1
network 128.18.0.0
end
Router 3 interface FastEthernet0/0
ip address 128.18.4.1 255.255.255.0
interface Serial0/0
ip address 128.18.10.2 255.255.255.0
no shutdown
interface Serial0/1
ip address 128.18.11.2 255.255.255.0
no shutdown
router eigrp 1
network 128.18.0.0
end
Router 4
interface FastEthernet0/0
ip address 128.18.2.1 255.255.254.0
interface Serial0/0
ip address 128.18.8.2 255.255.255.0
no shutdown
interface Serial0/1
ip address 128.18.11.1 255.255.255.0
no shutdown
interface Serial0/2
ip address 128.18.12.1 255.255.255.0
no shutdown
router eigrp 1
network 128.18.0.0
end
Router 5
interface FastEthernet0/0
ip address 128.18.0.1 255.255.254.0
interface Serial0/0
ip address 128.18.12.2 255.255.255.0
no shutdown
interface FastEthernet1/0
ip address 128.18.14.1 255.255.255.0
no shutdown
router eigrp 1
network 128.18.0.0
end
APLICACIÓN DE LAS ACL ESTANDAR Y EXTENDIDAS
Realizar las siguientes listas de acceso de acuerdo a lo siguiente:
1. Negar FTP a A y permitir todo lo demás 2. Negar Mail a D y permitir todo lo demás 3. Negar TELNET y FTP a H, permitir todo lo demás
Para aplicar la lista de acceso se tiene que configurar el router al cual esta conectada la subred del host al que se le va a permitir o denegar el acceso.
Se agrega el siguiente código en el respectivo router.
Router 1 para denegar FTP a A
access-list 101 deny tcp host 128.18.7.102 host 128.18.14.2 eq ftp
access-list 101 permit ip any any
interface FastEthernet0/0
ip address 128.18.7.1 255.255.255.128
ip access-group 101 in
ip access-group 101 out
Router 2 para denegar MAIL a D
access-list 102 deny tcp host 128.18.6.103 host 128.18.14.2 eq pop3
access-list 102 deny tcp host 128.18.6.103 host 128.18.14.2 eq smtp
access-list 102 permit ip any any
interface FastEthernet0/0
ip address 128.18.6.1 255.255.255.0
ip access-group 102 in
ip access-group 102 out
Router 4 para denegar TELNET y FTP a H
access-list 103 deny tcp host 128.18.2.102 host 128.18.14.2 eq ftp
access-list 103 deny tcp host 128.18.2.102 any eq telnet
access-list 103 permit ip any any
interface FastEthernet0/0
ip address 128.18.2.1 255.255.254.0
ip access-group 103 in