configuración y documentación de acl y firewall asa
DESCRIPTION
ManualTRANSCRIPT
Configuración y Documentación de ACL y Firewall ASA GESTIÓN DE REDES DE DATOS
SERVICIO NACIONAL DE APRENDIZAJE YIMY FERNANDO PÉREZ MEDINA DIEGO LEON GIL BARRIENTOS GELIER ESTEBAN MORENO GÓMEZ
Ficha:
464327
1
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un
concepto de seguridad informática usado para fomentar la separación de
privilegios. Es una forma de determinar los permisos de acceso apropiados a un
determinado objeto, dependiendo de ciertos aspectos del proceso que hace el
pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como
routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando
el tráfico de red de acuerdo a alguna condición.
Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir
“tráfico interesante” (tráfico suficientemente importante como para activar o
mantener una conexión) en ISDN.
Las listas de acceso funcionan de acuerdo a sentencias que son configuradas en
el router.
2
En redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes. Las listas de acceso de control pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.
Existen dos tipos de ACL:
ACL estándar, donde solo tenemos que especificar una dirección de origen;
ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.
Las Acl por defecto bloquean todo el tráfico con una linea que se conoce como linea implícita.
Las sentencias se ejecutan línea a línea hasta que se encuentra una coincidencia.
Cuando una linea hace match el resto de las sentencias no se revisan.
Solo se puede aplicar 1 acl por interfaz y por protocolo.
Hay que considerar el flujo del tráfico para aplicar la acl en la interfaz correspondiente.
3
ACTIVIDAD ACL
Tenemos la siguiente topología:
Debemos cumplir los siguientes propósitos:
Las redes inalámbricas solo deben tener acceso a internet, no a las demás redes.
Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las demás máquinas de ese segmento.
Lo primero que hicimos en la topología fue realizar un correcto enrutamiento en general de los dispositivos para probar conectividad y eficacia de la topología. NOTA: Primero hacer el debido enrutamiento sin aplicar ACLs, por que podríamos tener problemas de conectividad y nos podríamos confundir si es la ACL que se está aplicando o problemas generales de la topología. La lista que aplicamos para que las redes inalámbricas del lado izquierdo no tengan acceso a las demás redes, pero sí a internet fue:
4
En el siguiente requerimiento de este lado:
Las redes inalámbricas solo deben tener acceso a internet, no a las demás redes.
Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las demás máquinas de ese segmento.
5
En la lista de acceso la diseñamos desconociendo que podíamos tener dos listas de acceso, por lo tanto diseñamos una sola para que cumpliéramos los parámetros aplicando la ACL en una sola interfaz de trafico INSIDE. Cumplimos con los parámetros pero si notamos bien la ACL estamos permitiendo el tráfico origen desde el servidor en específico, hacia las demás redes por lo tanto analizando; el tráfico desde las redes remotas si permite entrar al servidor pero la ACL no permite que vaya a algunas redes, inalámbricas por ejemplo. Las running-config de los routers son las siguientes:
6
Router 0 version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router0 ! boot-start-marker boot-end-marker ! logging message-counter syslog enable secret 5 $1$boin$EYAhWq60EmH/0IdqmmFN9. ! no aaa new-model memory-size iomem 5 ! dot11 syslog ip source-route ! ! ip cef ! ! no ipv6 cef ! multilink bundle-name authenticated ! voice-card 0 ! archive log config hidekeys ! ! interface FastEthernet0/0 ip address 172.16.0.1 255.255.255.0 ip access-group 101 in duplex auto speed auto ! interface FastEthernet0/1 ip address 172.16.1.129 255.255.255.128 duplex auto speed auto
7
! interface Serial0/0/0 ip address 172.16.2.1 255.255.255.0 clock rate 64000 ! interface Serial0/0/1 no ip address shutdown clock rate 125000 ! interface Serial0/2/0 no ip address shutdown clock rate 2000000 ! interface Serial0/2/1 no ip address shutdown clock rate 2000000 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 172.16.2.2 ip route 172.16.8.0 255.255.255.0 172.16.2.2 ip route 192.168.10.0 255.255.255.0 172.16.2.2 no ip http server no ip http secure-server ! access-list 101 deny ip host 172.16.0.5 172.16.4.0 0.0.1.255 access-list 101 deny ip host 172.16.0.5 172.16.8.0 0.0.0.255 access-list 101 deny ip host 172.16.0.5 172.16.9.0 0.0.0.255 access-list 101 deny ip host 172.16.0.5 172.16.1.128 0.0.0.127 access-list 101 deny ip host 172.16.0.5 172.16.0.0 0.0.0.255 access-list 101 permit ip 172.16.0.0 0.0.0.255 any ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end
8
Router 4 version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router4 ! boot-start-marker boot-end-marker ! logging message-counter syslog enable secret 5 $1$zisT$0aGPV.UGpI7.aMt2F8Y3T0 ! no aaa new-model ! dot11 syslog ip source-route ! ! ip cef ! ! no ipv6 cef ! multilink bundle-name authenticated ! ! voice-card 0 ! archive log config hidekeys ! interface Loopback1 ip address 200.200.200.200 255.255.255.0 ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.4 encapsulation dot1Q 4 ip address 172.16.4.1 255.255.254.0 !
9
interface FastEthernet0/0.8 encapsulation dot1Q 8 ip address 172.16.8.1 255.255.255.0 ! interface FastEthernet0/1 ip address 172.16.9.1 255.255.255.0 ip access-group 101 in duplex auto speed auto ! interface Serial0/0/0 ip address 172.16.2.2 255.255.255.0 ! interface Serial0/0/1 no ip address shutdown clock rate 125000 ! ip forward-protocol nd ip route 172.16.0.0 255.255.255.0 172.16.2.1 ip route 172.16.1.128 255.255.255.128 172.16.2.1 no ip http server no ip http secure-server ! access-list 101 permit ip host 172.16.9.2 172.16.4.0 0.0.1.255 access-list 101 permit ip host 172.16.9.2 172.16.8.0 0.0.0.255 access-list 101 permit ip host 172.16.9.2 172.16.1.128 0.0.0.127 access-list 101 permit ip host 172.16.9.2 172.16.0.0 0.0.0.255 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.1.255 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255 access-list 101 permit ip 172.16.9.0 0.0.0.255 any ! ! control-plane ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end
10
Para la lista de acceso correcta para el Router 4 es así, aplicando 2 listas de acceso. Router 4 # ethernet 101 out access-list 101 permit ip 172.16.4.0 0.0.3.255 host 172.16.9.2 access-list 101 permit ip 172.16.8.0 0.0.0.255 host 172.16.9.2 access-list 101 permit ip 172.16.1.128 0.0.0.127 host 172.16.9.2 access-list 101 permit ip 172.16.0.0 0.0.0.255 host 172.16.9.2 Router 4 # ethernet 102 in access-list 102 permit ip host 172.16.9.2 any access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.3.255 access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255 access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127 access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255 access-list 102 permit ip 172.16.9.0 0.0.0.255 any
11
WEBGRAFIA http://www.redescisco.net/v2/art/como-configurar-un-firewall-asa-8-4-en-gns3/ http://es.slideshare.net/websyo/practica-con-firewall-asa-14114092 http://aprenderedes.com/2012/12/configuracion-de-asdm-en-cisco-asa-con-gns3/ http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115904-asa-config-dmz-00.html http://www.cisco.com/cisco/web/support/LA/111/1118/1118174_asa-config-dmz-00.html