Prctica N 11

ACL (Listas de Acceso)

11.1. Configuracin de la red. Configure cada una de las interfaces de la red de acuerdo a la informacin que se proporciona. Se deben configurar el servidor Web para que funcione como tal. Primero desactive los servicios de HTTP, DNS, TFTP y DNS en el servidor de administracin. Cuando la PC hace la peticin de la pagina index.html, enva un mensaje DNS y el Servidor Web esta funcionando como tal en la red, tiene que mandarle la direccin de la pgina que solicita. Para que esto ocurra introduzca el nombre de dominio index.html y la direccin IP donde se encuentra la pgina. Luego adala

En cada PC indique la direccin del servidor DNS.

Figura 11.1. Configuracin de un servidor DNS.

Figura 11.2. Configuracin de un host para hacer solicitudes al servidor DNS.

Figura 11.4. Visualizacin de la pgina index.html en un host.

11.2. Aplicacin de ACL nombradas estndar.

11.2.1. Haga ping de la PC4 a la direccin 192.45.0.2 para probar la conectividad. Respuesta:Si hay Conectividad 11.2.2. Algunos alumnos de la carrera de Ingeniera en Sistemas de Informacin han estado intentando acceder a la red del rea de Administracin, desde la red de ISI, en ella se encuentran todos los registros acadmicos de los alumnos. Evite que accedan a esta red. El nombre de la ACL es NO-ISI o utilice un nmero entre 1-99. Qu ACL aplic? Administracion(config)#ip access-list standard NO_ISI Administraci(config-std-nacl)#deny 192.45.2.0 0.0.0.255 Administraci(config-std-nacl)#permit any Administraci(config-std-nacl)#do wr 11.2.3. Dnde aplic la ACL? Por qu? Cmo entrada (in) o como salida (out)? Por qu? Respuesta: Lo aplicamos en la interfaz mas prxima a filtrar en nuestro caso fue en la interfaz FastEternet 0/0 del router de Admistracion. Como la direccin al filtar esta en la salida de esa ruta (FastEthernet 0/0) es decir los paquetes que vengan de la direccin IP 192.45.2.0 y quieran ir a 192.45.0.0 tendrian que salir por FastEternet 0/0 es por ello que lo aplicamos como salida out. 11.2.4. Vuelva hacer ping desde la PC4 a la direccin 192.45.0.2 Funcion? Por qu? Verifique los resultados de la ejecucin de la ACL en el panel de simulacin del Packet Tracer 4.1, haga clic en una trama rechaza. Respuesta: No Funciono el ping ya que no tenemos acceso a dicha red esta esta bloqueada en las listas de acceso de el router de Administracion. 11.2.5. Haga ping de la PC1 a la direccin 192.45.2.2 Funcion? Justifique el resultado. Respuesta: No funciona ya que hemos denegado el acceso a esta red parece ser un efecto en ambos lados. 11.2.6. Se desea que slo la PC3 tenga acceso a la red de Administracin. Agregue la nueva ACL en NO_ISI. Anote todo el procedimiento y justifquelo. ACL aplicada:

Respuesta:
Administracion(config)#ip access-list standard NO_ISI Administraci(config-std-nacl)#permit host 192.45.2.2 Administraci(config-std-nacl)#deny 192.45.2.0 0.0.0.255 Administraci(config-std-nacl)#permit any Administraci(config-std-nacl)#do wr Building configuration...

Lo que s hizo fue nicamente permitir el acceso de PC3 desde la red 192.45.2.0 Y bloquear el resto de los host que estn en esa misma subred

11.2.7. Haga ping de la PC3 y PC4 a la red 192.45.0.0. Qu ocurri? Explique. Respuesta: Lo que hacemos es que al hacer ping de la PC3 a la red 192.45.0.0 Tenemos conectividad como se puede ver abajo: PC3>ping 192.45.0.0 Pinging 192.45.0.0 with 32 bytes of data: Reply from 172.10.1.1: bytes=32 time=140ms TTL=253 Reply from 172.10.1.1: bytes=32 time=100ms TTL=253 Reply from 172.10.1.1: bytes=32 time=100ms TTL=253 Reply from 172.10.1.1: bytes=32 time=101ms TTL=253 Ping statistics for 192.45.0.0: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 100ms, Maximum = 140ms, Average = 110ms Y si hacemos un ping a esa misma ruta desde la PC4 no dara el mensaje de: PC>ping 192.45.0.2 Pinging 192.45.0.2 with 32 bytes of data: Request timed out. Request timed out. Request timed out. Ping statistics for 192.45.0.2: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss) En el buen castellano no hay conectividad a esa red 11.3. Aplicacin de ACL nombradas extendidas. 11.3.1. Haga telnet al router 172.10.2.1 desde la PC4. Realice la configuracin correspondiente en los routers de Informtica e ISI para que pueda realizarse el telnet. Respuesta: PC4>telnet 172.10.2.1 Trying 172.10.2.1 ... User Access Verification Password: mono2 Informatica> 11.3.2.Los administradores de la red se han dado cuenta que los alumnos han intentado entrar al router principal(el router de Informtica).Es por ello que desean que la red 192.45.2.0 no tenga acceso a al router mediante telnet. El nombre de la ACL es NO_Telnet_ISI o el numero 101. Qu ACL aplic? Respuesta: La ACL que aplicamos es este caso fue una que nos permitiera bloquear a todo el trfico telnet que tuviera como origen a la red 192.45.2.0 para esto aplicamos la siguiente lista de acceso: Nota para filtrar este tipo de trfico se aplico una ACL extendida. Informatica>enable Informatica #configure terminal Informatica (config)#ip access-list extended NO_TELNET_ISI Informatica (config-ext-nacl)# deny tcp 192.45.2.0 0.0.0.255 any eq telnet Informatica (config-ext-nacl)#permit ip any any 11.3.3.Dnde aplico la ACL? Por qu? Cmo entrada o salida? Respuesta: Esta ACL se aplico en la interfaz serial 0/0 de router Informatica como entrada ya que se tiene que ver el tipo de trafico entrante al router para poder denegar este tipo de puerto(23) tambin se puede usar el nombre en este caso es telnet.

11.3.4.Qu nmero de puerto uso? Por qu?

Figura 11.5.Asociacin de los puertos y servicios de la capa de aplicacin y de la capa de transporte.

11.3.5. Realice le telnet al router de Informtica nuevamente, desde una PC de la red 192.45.2.0. Realice un ping. Explique los resultados. Respuesta: El resultado a dicha peticin desde la PC5 es: PC>telnet 172.10.2.1 Trying 172.10.2.1 ... % Connection timed out; remote host not responding PC> Nota: Como se ha bloqueado esta red desde el router Informatica para tener acceso a telnet no se tiene conexin con este tipo de peticin. 11.3.6. Se ha negado el acceso a Internet a la red de ISI, slo la PC3 tiene acceso. Formule y aplique la ACL adecuada para lograrlo. Asegrese que la red de Administracin tenga acceso a los servicios al ServidorWeb. Respuesta: Informatica>enable Informatica #configure terminal Informatica (config-ext-nacl)#permit tcp 192.45.2.2 0.0.0.0 any eq www Informatica (config-ext-nacl)# deny tcp 192.45.2.0 0.0.0.255 any eq telnet Informatica (config-ext-nacl)# permit ip any any Nota: esta ACL la aplicamos en la intefaz fasEthernet 0/0 del router Informatica como acl de salida. 11.3.7. Haga la peticin de la pgina index.html desde la PC3 y desde la PC5. Qu ocurri? Respuesta: En la practica desde la Pc3 hay conexin es decir se puede ver la web solicitada pero si la solicitamos desde otra Pc de la misma sub red no se tiene acceso ala pagina index.html.