LISTAS DE CONTROL DE ACCESO COMPLEJAS

LISTAS DE CONTROL DE ACCESO DINÁMICAS, REFLEXIVAS Y TEMPORALES

El router FIREWALL será el encargado de denegar o permitir el tráfico basándose en las ACL´s configuradas por el administrador de la red.

Para la configuración de los PC's Quemu guest es necesario loguearse como super usuario    con el comando su y pasword root.

Luego configure la dirección IP, mascara de subred y la puerta de enlace con los siguientes comandos.

Verifique la configuración con el comando ifconfig eth0.

Antes de empezar verifique que hay ping hacia cualquier destino desde cualquier origen.

Utilice RIP versión 2 como protocolo de enrutamiento.

1) ACL´s Dinámicas.

La empresa JVC desea permitir trafico al HOST desde internet solo para los equipos que se logueen con username y password creados en una base de datos local en el FIREWALL.

Los equipos que se logueen correctamente  abrirán una ranura temporal en el FIREWALL por 1 minuto.

Para esto se configurará una ACL dinámica pero antes se configuraran los usuarios con sus passwords.

FIREWALL(config)#username joc password 0 cisco

Crea cuenta de usuario joc con password cisco

FIREWALL(config)#username joc autocommand access-enable host

Aplica el comando access-enable que habilita la sentencia dinámica dentro de la lista de acceso. La palabra host activa la sentencia dinámica solo para el socket (IP:PUERTO) de origen que activa el comando.

FIREWALL(config)#username ADMON password 0 12345

Crea cuenta de usuario ADMON con password 12345

FIREWALL(config)#ip access-list extended TRAF-ENT

Crea una lista de acceso IP nombrada extendida llamada TRAF-ENT.

FIREWALL(config-ext-nacl)#permit tcp any host 192.168.2.1 eq telnet log-input

Permite telnet desde cualquier IP al FIREWALL con IP 192.168.2.1

FIREWALL(config-ext-nacl)#permit udp host 192.168.2.2 eq 520 host 224.0.0.9 eq 520

Permite los paquetes RIP desde el router ISP hasta el router FIREWALL

FIREWALL(config-ext-nacl)#dynamic ACCESO-HOST timeout 1 permit icmp any host 192.168.1.10 log-input

sentencia dinámica Permite conexión icmp con el servidor HOST desde cualquier dirección. La sentencia se activa por 1 minuto.

FIREWALL(config)#interface serial 1/0

FIREWALL(config-if)#ip access-group TRAF-ENT in

Aplica la lista de acceso al tráfico entrante por la interfaz serial 1/0

FIREWALL(config)#line vty 0 4

FIREWALL(config)#login local

FIREWALL(config)#

Configura la línea virtual para que cuando se haga telnet al router FIREWALL, este solicite el username y password basándose en las cuentas de usuario configuradas localmente.

Para verificar funcionalidad luego de configurada la ACL haga ping a la dirección 192.168.1.100

hay ping? _______________________

Porque? _________________________________________________

Haga telnet al FIREWALL en la ip 192.168.2.1 y logueese con el usuario joc.

Haga ping a la dirección 192.168.1.10

Hay ping? _______________________

Porque? ___________________________________________________

Ahora Haga ping sostenido a la dirección 192.168.1.10 y analice el comportamiento del ping por más de 1 minutos.

Luego de 1 minutos:

Hay ping? _______________________

Porque? ___________________________________________________

2) ACL´s reflexivas.

La empresa JVC desea permitir tráfico fuera de la red solo cuando el tráfico es generado dentro de la red. Para esto se creara una ACL reflexiva que permita solo ping cuando el ping es generado por el HOST, pero si es generado por el router ISP debe bloquearse.

FIREWALL(config)#ip access-list extended TRAF-SALIDA

Crea una ACL nombrada, cuyo nombre es TRAF-SALIDA

FIREWALL(config-ext-nacl)# permit icmp any any reflect ICMPTRAF

Permite icmp desde cualquier IP a cualquier IP y crea una base de datos llamada ICMPTRAF con información de todo el tráfico saliente

FIREWALL(config)#ip access-list extended TRAF-ENT

Crea una ACL nombrada, cuyo nombre es TRAF- ENT

FIREWALL(config-ext-nacl)#evaluate ICMPTRAF

Evalúa el tráfico generado desde dentro de la red para verificar si el tráfico entrante es respuesta a tráfico saliente.

FIREWALL(config)#interface serial 1/0

FIREWALL(config-if)#ip access-group TRAF-ENT in

Aplica la lista de acceso TRAF-ENT al tráfico entrante por la interfaz serial 1/0

FIREWALL(config-if)#ip access-group TRAF-SALIDA out

Aplica la lista de acceso TRAF-SALIDA al tráfico saliente por la interfaz serial 1/0

Para verificar funcionalidad luego de configurada la ACL haga ping desde el HOST a la dirección 200.200.200.200

Hay ping? _______________________

Porque? _______________________________________________

Luego haga ping desde el router ISP al HOST 192.168.1.10.

Hay ping? _______________________

Porque? _______________________________________________

3) ACL´s basadas en tiempo.

La empresa JVC desea permitir acceso al HOST desde fuera de la red solo al dispositivo 200.200.200.200 durante 2 minutos los viernes de 8:30 a 8:32. Para esto se creara una ACL basada en tiempo.

FIREWALL(config)#time-range PERMISO-NOCHE

FIREWALL(config-time-range)#periodic friday 20:30 a 20:32

Crea un rango de tiempo llamado PERMISO-NOCHE el cual va del viernes a las 20:30 hasta el viernes 20:32.

FIREWALL(config)#ip access-list extended TRAF-ENT

FIREWALL(config-ext-nacl)#permit ip host 200.200.200.200 host 192.168.1.10 time-range PERMISO-NOCHE

Permite ip desde 200.200.200.200 a 192.168.2.1 durante el rango de tiempo PERMISO-NOCHE

FIREWALL(config)#interface serial 1/0

FIREWALL(config-if)#ip access-group TRAF-ENT in

Aplica la lista de acceso al tráfico entrante por la interfaz serial 1/1

Para verificar funcionalidad luego de configurada la ACL haga ping sostenido desde el equipo con IP 200.200.200.200 a la dirección del HOST en horario fuera de PERMISO-NOCHE

Hay ping? _______________________

Porque? ___________________________________________

Luego de un tiempo:

Hay ping? _______________________

Porque? ___________________________________________

REPOSITORIOS PARA LINUX DEBIAN

deb http://ftp.us.debian.org/debian/ squeeze main contrib non-free 
deb-src http://ftp.us.debian.org/debian/ squeeze main contrib non-free

#SECURITY
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free

#UPDATE
deb http://ftp.us.debian.org/debian/ squeeze-proposed-updates main contrib non-free
deb-src http://ftp.us.debian.org/debian/ squeeze-proposed-updates main contrib non-free

#MULTIMEDIA
deb http://www.debian-multimedia.org sid main non-free

#EXPERiMENTAL
deb http://ftp.debian.org/debian/ experimental main
deb-src http://ftp.debian.org/debian/ experimental main

PRACTICA SNMP

1. Configure lo necesario para generar conectividad entre todos los equipos de la red.

2. Una vez todos los equipos tengan conectividad procederemos a activar el protocolo SNMP en todos los equipos.

3. Activación del agente SNMP en Windows XP.

Para configurar el agente en un sistema operativo Microsoft Windows, debemos instalar el servicio SNMP, hacemos clic en inicio, luego en panel de control y agregar o quitar programas.


Una vez dentro del asistente de configuración damos clic en la pestaña Agregar o quitar componentes de Windows, luego buscamos y seleccionamos la opción herramientas de administración y supervisión, después de esto hacemos clic en la pestaña detalles.



Cuando hacemos clic en detalles se nos aparecen dentro del asistente varias herramientas de administración y supervisión. Lo que debemos hacer es seleccionar (chulear) el Protocolo Simple de Administración de Redes (SNMP) y por ultimo dar clic en aceptar.

Nota: El sistema nos pedirá un Cd de instalación para poder copiar en nuestro disco duro los paquetes necesarios para el protocolo SNMP funcione.

Una vez instalado el protocolo SNMP, el paso a seguir es configurar la comunidad y correr el Servicio, para ello no vamos a inicio, herramientas administrativas y hacemos clic en Servicios.

Para hacer esto en un Windows XP nos vamos por inicio, panel de control, herramientas administrativas y por ultimo clic en servicios.

Cuando estemos dentro de la consola servicios, buscamos el servicio de SNMP, hacemos clic derecho sobre él y luego propiedades.

En este punto del manual configuraremos la comunidad.

Nos vamos a la pestaña capturas y en el apartado que se nos indica ponemos el nombre de la comunidad que este caso será public, luego hacemos clic en agregar a la lista.

En el apartado destinos de capturas damos clic en la pestaña agregar y se nos pedirá que agreguemos el nombre, dirección IP o IPX del host.

En la pestaña seguridad están las siguientes opciones:

Enviar captura de autenticación: Cuando el agente recibe una solicitud que no contiene un nombre de comunidad válido o bien el host emisor del mensaje no está en la lista de los permitidos, el agente puede enviar un mensaje de captura (alarma) a uno o más destinos de captura (NMS) con el mensaje del fallo de la autenticación.

Nombres de comunidad aceptados: Es necesario configurar al menos un nombre de comunidad predeterminado. Generalmente se usa el nombre public y se puede cambiar y añadir otros. Se recomienda el cambio de public a otro nombre pues éste no es seguro. Solo se procesarán los mensajes provenientes de una comunidad que esté en esta lista.

Derechos de comunidad: Se pueden configurar con que permisos se procesan las solicitudes de los miembros de determinadas comunidades.

Aceptar paquetes SNMP de cualquier host: Cuando esta opción está habilitada nunca se descartan paquetes SNMP en base a la dirección o nombre del host fuente.

Aceptar paquetes SNMP de estos host: Cuando esta opción está habilitada sólo se aceptan paquetes de los host de la lista de los permitidos. Esto añade un nivel de seguridad más alto que el nombre de la comunidad.


Por último iniciamos el servicio.

Dentro de la consola servicios, hacemos clic derecho sobre el servicio snmp y le damos reiniciar.

4. CONFIGURACION DE SNMP EN ROUTERS Y SWITCH.
R1(config)# snmp-server community public ro
Configura la comunidad public de solo lectura.

R1(config)# snmp-server community private rw
Configura la comunidad private de solo lectura.

R1(config)# snmp-server location LABORATORIO CISCO BUCARAMANGA
Configura la ubicación de dispositivo.

R1(config)# snmp-server contact ING JORGE CORTES jorgecortes8.blogspot.com
Configura el contacto de dispositivo.

Con estos comandos en SW y Routers estará configurado lo básico del protocolo SNMP
5. Para obtener información SNMP de los agentes se necesita la instalación del software en el NMS. En este laboratorio utilizaremos el MIB-BROWSER de iReasoning

Address: Dirección IP del dispositivo a monitorear.
OID: Identificador del objeto a monitorear.
Operation: Operación a realizar al clickar Go.

Configure las comunidades y versión del protocolo SNMP dando click en la pestaña Advanced.

Despliegue los diferentes arboles de objetos y obtenga información de los dispositivos en la red.





6. Utilice Wireshark para capturar trafico SNMP desde el NMS y verifique los números de puerto utilizados y la información de cada paquete.

7. Para lograr que los dispositivos envíen automáticamente información de eventos al NMS es necesario activar los TRAPS en cada agente.

R1(config)# snmp-server trap-source fastEthernet 0/0
Configura la interface fastEthernet 0/0 como la interface originaria de los traps.
R1(config)# snmp-server enable traps
Habilita el envio de TRAPS.
R1(config)# snmp-server host 192.168.100.10 traps version 1 public
Configura el envió de TRAPS al dispositivo con IP 192.168.100.10 a través de SNMP v1.
Ejecute el Trap Receiver y monitoree los mensajes recibidos.

ACL´s DINAMICAS, REFLEXIVAS Y TEMPORALES. GNS3 Y EQUIPOS REALES.

1. Realice el montaje físico propuesto en la grafica y realice la configuración de los dispositivos físicos y virtuales.

a. El Router R3 conecta la red de la empresa con internet. Este router necesita 3 interfaces Fastethernet y los equipos del Laboratorio de CISCO solo tiene 2. Por tal razón es necesario configurar Vlan y subinterfaces en la interface Fastethernet 0/1.

b. Conecte la interface del PC donde está corriendo GNS3 a la interface Fastethernet 0/0 del Router R3.

c. Configure lo necesario para garantizar conectividad completa (Utilice RIP v2).

d. Instale Apache en los servidores Web y configure páginas diferentes para el servidor de la intranet e internet.

e. Instale CISCO TFTP SERVER en el servidor TFTP.


2. Una vez tenga conectividad completa aplique las siguientes políticas de seguridad:

a. Solo el ADMON tiene telnet con los Routers.

b. Todos los equipos de la topología tiene acceso al servidor WEB de la intranet a través de un nombre de dominio.c. El administrador tiene ping con todos los PC’s pero ninguno puede hacerle ping al administrador.

d. Ningún equipo desde internet tiene conectividad con los equipos de la intranet. A menos que ese tráfico sea solicitado desde la intranet. (ACL´s reflexivas)e. Permitir a un tele-trabajador conectarse desde internet a un dispositivo (LOOPBACK 0 R2) con un username:teleco y password:cisco y permitir al ADMON de la red conectarse desde internet por telnet para configurar el Router. (ACL´s dinámicas)

EJERCICIO TIPO PREVIO PRIMER CORTE

Este ejercicio es para entregar el viernes 24 de septiembre en la noche funcionando y simulado en Packet tracer.

Es individual y para resolverlo cada alumno aplicara VLSM y utilizará la dirección de red que quiera y ademas determinara cuantos equipos hay en cada subred lo cual evita que existan dos ejercicios iguales.

Debe entregarse el diseño de direccionamiento IP con VLSM a mano en hoja blanca tamaño carta y el diagrama topologico de la red. (Ojo debe estar echo a mano)

De aqui se sacara la nota de quices del primer corte.

La empresa TENCHNOLOGY Ltda. Tiene una red de datos que interconecta las sucursales de Barbosa, Bucaramanga, Bogotá.

La red de administración esta centralizada en Barbosa donde se encuentra la granja de servidores y el administrador.

La salida a internet la tiene el Router Barbosa y esta representada por la conexión a los servidores con dirección IP 150.150.1.10 (WEB) el cual aloja la página www.internet.com y 150.150.1.20 (DNS).
Configurar el servidor DNS para que se pueda acceder a los servidores web a través de nombres de dominio.

La red LAN de Bogotá tiene dos Vlan (10 y 20) para segmentar dominios de broadcast pero se requiere aplicar enrutamiento entre Vlans.

Una vez tenga conectividad completa entre todos los equipos de la topología, Usted como administrador de la red debe aplicar las siguientes políticas de seguridad:

• Crear políticas de seguridad cerradas (ACLs cuya sentencia final es deny ip any any).

• Listas de control de acceso extendidas se aplican lo más cerca posible del origen

• Todos los equipos de la topología tiene acceso al servidor WEB de la intranet a través de un nombre de dominio.

• Evitar que los equipos de la red LAN de Bucaramanga con IP terminada entre 16 y 33 tengan acceso a internet denegando el servicio HTTP y DNS sin perder el acceso HTTP al servido de la intranet. Los demás equipos de la red LAN de Bucaramanga tienen acceso a internet.

• Todos los PC’s de la red LAN de Bogotá tienen acceso a internet (DNS Y HTTP)

• Solo el administrador tendrá telnet con los Routers.

• El administrador tiene ping con todos los PC’s pero ninguno puede hacerle ping al administrador.

• El PC con ip terminada en 20 de la red LAN de Bucaramanga tiene conectividad completa con el PC con ip terminada en 80 de la red LAN de Bogotá. El resto de Los PC’s de la red LAN de Bucaramanga NO tienen conectividad con Los PC’s de la red LAN de Bogotá.

• Los PC`s con dirección IP terminada en 50 no tienen conectividad con nadie fuera de su red excepto con el servidor de la intranet y el DNS.

EJERCICIO

La red de datos empresarial mostrada en la figura conecta dos sucursales. Una de estas en Barbosa (Santander) Conectada a la intranet por medio del router R1 y la otra en Bogotá la cual se conecta a la intranet por medio del router R2.

El router R2 además conecta la intranet a internet por medio de su puerto FE0/1.

Guarde las configuraciones de los dispositivos intermedios en el servidor TFTP y verifique el funcionamiento de los servidores WEB.

El NMS debe monitorear y recibir TRAPS desde todos los equipos de la Intranet. Este monitoreo de la red se hace desde la red 192.168.3.0/24. (Obtenga informacion de cada sistema de la red, tablas de enrutamieto, tablas arp, tablas MAC, etc).

a. Solo el ADMON tiene telnet con los Routers

b. Todos los equipos (Intranet e internet) de la topología tiene acceso al servidor WEB de la intranet.

c. El administrador tiene ping con todos los PC’s pero ninguno puede hacerle ping al administrador.

d. Ningún equipo desde internet tiene conectividad con los equipos de la intranet. A menos que ese tráfico sea solicitado desde la intranet. (ACL´s reflexivas)

e. Permitir a un tele-trabajador conectarse desde internet a un dispositivo (PC1) con un username:teleco y password:cisco (ACL´s dinamicas)

f. Permitir al ADMON de la red conectarse desde internet por telnet para configurar los Routers. username:cisco1 y password:cisco1

GNS3 Graphical Network Simulator

.



Para las personas que han empezado a trabajar comandos más avanzados de CISCO es importante contar con un simulador que nos permita practicar desde casa sin necesidad de tener los equipos físicos.

El problema esta en que la mayoría de simuladores como Packet Tracer no soportan algunos comandos avanzados. Afortunadamente existe GNS3 que es un simulador de redes gráfico el cual permite simulación de redes complejas.

GNS3 utiliza Dynamips como programa núcleo de emulación del IOS de CISCO.

Desde la pagina oficial de gns3 (www.gns3.net) puedes descargar el software y los componentes necesarios para que funcione correctamente.