configurar acls ip a mitigar los ataques
TRANSCRIPT
1
CONFIGURAR ACLS IP A MITIGAR LOS ATAQUES
Objetivos
Verificar la conectividad entre los dispositivos antes de la configuración del firewall. Utilizar las ACL para garantizar el acceso remoto a los routers sólo está disponible desde la
estación de gestión de PC-C. Configurar ACL en R1 y R3 para mitigar los ataques. Verificar la funcionalidad ACL.
En la presente actividad debe realizar lo siguiente:
El acceso a los routers R1, R2 y R3 sólo debería permitirse desde el PC-C, la estación de
administración. PC-C es también utilizado para las pruebas de conectividad a PC-A, un servidor que
proporciona DNS, SMTP, FTP y HTTPS.
El Procedimiento operativo estándar es aplicar las ACL en los routers de borde para mitigar las
amenazas comunes a partir de fuentes y/o la dirección IP de destino. En esta actividad, se crea ACL
en routers de borde R1 y R3 para lograr este objetivo.
Una vez finalizado debe comprobar la funcionalidad ACL de hosts internos y externos.
Los routers deben tener en su configuración lo siguiente:
2
Enable password: ciscoenpa55
Password for console: ciscoconpa55
Username for VTY lines: SSHadmin
Password for VTY lines: ciscosshpa55
Configuraciones básicas.
Verificar la conectividad de red básica:
Desde el símbolo del sistema del PC-C, haga ping al servidor de PC-A.
Desde el PC-C símbolo del sistema, SSH a la interfaz del router R2 Lo0. Salga de la sesión SSH.
Paso 3. Desde PC-C, abra un navegador web en el PC-A servidor (utilizando la dirección IP) para
visualizar la web página. Cierre el navegador en PC-C.
Paso 4. Desde el A-PC de comandos del servidor, mesa de ping PC-C.
Asegurar el acceso a Routers
Configure ACL 10 to block all remote access to the routers except from PC-C.
Utilice el comando access-list para crear una IP ACL numerada en R1, R2 y R3.
R1 (config) # access-list 10 permit 192.168.3.3 0.0.0.0 R2 (config) # access-list 10 permit 192.168.3.3 0.0.0.0 R3 (config) # access-list 10 permit 192.168.3.3 0.0.0.0
Aplicar ACL 10 para el tráfico de entrada en las líneas VTY
Utilice el comando access-class, para aplicar la lista de acceso para el tráfico entrante en las líneas
VTY.
R1 (config-line) # access-class 10 in R2 (config-line) # access-class 10 in R3 (config-line) # access-class 10 in
Verifique acceso exclusivo desde la estación de gestión de PC-C.
SSH to 192.168.2.1 from PC-C (should be successful). SSH to 192.168.2.1 from PC-A (should fail). PC> ssh –l SSHadmin 192.168.2.1
Crear una IP ACL numerada 100
En R3, bloquear todos los paquetes que contienen la dirección IP de origen del siguiente conjunto
de direcciones: 127.0.0.0 / 8, las direcciones privadas RFC 1918, y cualquier dirección IP multicast.
3
Configurar ACL 100 para bloquear todo el tráfico específico de la red exterior.
También debe bloquear el tráfico procedente de su propio espacio de direcciones interno si no es
una dirección RFC 1918 (en esta actividad, su espacio de direcciones interna forma parte del
espacio de direcciones privadas se especifica en el RFC 1918).
Utilice el comando access-list para crear una IP ACL numerada.
R3 (config) # access-list 100 niega IP 10.0.0.0 0.255.255.255 cualquier R3 (config) # access-list 100 niega IP 172.16.0.0 0.15.255.255 cualquier R3 (config) # access-list 100 niega IP 192.168.0.0 0.0.255.255 cualquier R3 (config) # access-list 100 niega IP 127.0.0.0 0.255.255.255 cualquier R3 (config) # access-list 100 niega IP 224.0.0.0 15.255.255.255 cualquier R3 (config) # access-list 100 permit any cualquier ip
Aplicar la ACL a la interfaz Serial 0/0/1.
Utilice el comando ip access-group para aplicar la lista de acceso para el tráfico entrante en la
interfaz Serial 0/0/1.
R3 (config) # interface S0/0/1 R3 (config-if) # ip access-group 100 in Confirme que el tráfico que entra en la interfaz Serial 0/0/1 específica se cae. Desde el símbolo del sistema PC-C, haga ping al servidor de PC-A. Las respuestas de eco ICMP se bloquean por la ACL desde que provienen del espacio de dirección 192.168.0.0/16. Retire la ACL de la interfaz Serial 0/0/1. Retire la ACL. De lo contrario, todo el tráfico de la red externa (siendo tratado con direcciones IP de origen privado), será negado por el resto de la actividad de PT. Utilice el comando access-group no ip para eliminar la lista de acceso de la interfaz Serial 0/0/1. R3 (config) # interface S0/0/1 R3 (config-if) # no ip access-group 100 in R3 (config) # interface S0/0/1 R3 (config-if) # ip access-group 100 in
Crear un IP ACL numerada 110 Denegar todos los paquetes de salida con dirección de origen fuera del rango de direcciones IP internas. Configurar ACL 110 para permitir sólo el tráfico de la red interior. Utilice el comando access-list para crear una IP ACL numerada.
4
R3 (config) # access-list 110 permit ip 192.168.3.0 0.0.0.255 cualquier Aplicar la ACL a la interfaz F0 / 1. Utilice el comando ip access-group para aplicar la lista de acceso para el tráfico entrante en la interfaz F0 / 1. R3 (config) # interface Fa0 / 1 -Grupo de acceso R3 (config-if) # ip 110 in Crear un IP ACL numerada 120 Se permite cualquier host externo para acceder a DNS, SMTP y FTP en el servidor PC -A, negar cualquier host externo acceder a los servicios de HTTPS en el PC -A, y permitir PC - C para acceder a R1 a través de SSH .
Asegúrese de que PC- C puede acceder a la PC -A través de HTTPS utilizando el navegador web.
Asegúrese de deshabilitar HTTP y HTTPS en el servidor PC -A.
Configurar ACL 120 para permitir y denegar expresamente el tráfico especificado. Utilice el comando access-list para crear una IP ACL numerada. R1 ( config) # access -list 120 udp permiso de cualquier anfitrión 192.168.1.3 dominio eq R1 ( config) # access -list 120 tcp cualquier permiso de host 192.168.1.3 eq smtp R1 ( config) # access -list 120 tcp cualquier permiso de host 192.168.1.3 eq ftp R1 ( config) # access -list 120 tcp negar cualquier host 192.168.1.3 eq 443 R1 ( config) # access -list 120 tcp del permiso de host 192.168.3.3 anfitrión 10.1.1.1 eq Aplicar la ACL a la interfaz S0/0/0 .
Utilice el comando ip access-group para aplicar la lista de acceso para el tráfico entrante en la interfaz S0/0/0 . R1 ( config) # interface s0/0/0 R1 ( config -if) # ip access-group 120 in Asegurar que el PC- C no puede acceder a PC -A través de HTTPS utilizando el navegador web. modificar una ACL existente Permitir respuestas de eco ICMP y mensajes de destino inalcanzable de la red exterior (en relación con R1) ; negar el resto de los paquetes ICMP entrantes. Verifique que la PC- A no puede hacer ping correctamente la interfaz loopback en R2.
5
Haga los cambios necesarios en ACL 120 para permitir y denegar el tráfico especificado. Utilice el comando access-list para crear una IP ACL numerada. R1 ( config) # access -list 120 icmp cualquier permiso de cualquier eco -reply R1 ( config) # access -list 120 icmp cualquier permiso de cualquier inalcanzable R1 ( config) # access -list 120 icmp negar cualquier cualquier R1 ( config) # access -list 120 permit any ip cualquier Verifique que el PC- A puede hacer ping correctamente a la interfaz loopback en R2.