Como bloquear Trafico de red usando ACL
8
-
Upload
dgonzalez912588 -
Category
Documents
-
view
218 -
download
3
description
este es un ejemplo de practica para denegar trafico entre dos host en el simulador cisco packet tracer
Transcript of Como bloquear Trafico de red usando ACL
UNIVERSIDAD AUTÓNOMA DEL ESTADO DE MÉXICO
CU ATLACOMULCO
ASIGNATURA: ANÁLISIS Y DISEÑO DE REDES
SIMULACIÓN ACL
M. EN T.I. MERCED LEODEGARIO URBINA DIAZ
DAVID GONZALEZ SEGUNDO
FECHA: SEPTIEMBRE 2015
INTRODUCCIÓN Lista de Control de Acceso (ACL) Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.
Colocación de las ACL
Las ACL estándar se colocan cerca del destino del tráfico. Esto se debe a sus limitaciones: no se puede distinguir el destino.
Las ACL extendidas se colocan cerca del origen del tráfico, por eficiencia - es decir, para evitar tráfico innecesario en el resto de la red.
ACL estándar
Sintaxis para un renglón (se escribe en el modo de configuración global):
access-list (número) (deny | permit) (ip origen) (wildcard origen)
Ejemplo: Bloquear toda la subred 172.17.3.0/24, excepto la máquina 172.17.3.10.
access-list 1 permit host 172.17.3.10 access-list 1 deny 172.17.3.0 0.0.0.255 access-list 1 permit any
Para asignarlo a una interface:
interface F0 ip access-group 1 out
ACL extendidas
Sintaxis para cada renglón:
access-list (número) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino) [(operador) (operando)]
El "protocolo" puede ser (entre otros) IP (todo tráfico de tipo TCP/IP), TCP, UDP, ICMP.
El "operando" puede ser un número de puerto (por ejemplo 21), o una sigla conocida, por ejemplo, "ftp".
Ejemplo 1: Repetir el ejemplo de la ACL estándar, pero se especifica que se quiere permitir o denegar el tráfico con destino al servidor, que está en 172.16.0.1:
access-list 101 permit ip host 172.17.3.10 host 172.16.0.1 access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1 access-list 101 permit ip any any
Ejemplo 2: Permitir tráfico HTTP y "ping" (ICMP) al servidor 172.16.0.1, para todos. Denegar todo lo demás.
access-list 102 permit icmp any host 172.16.0.1 access-list 102 permit tcp any host 172.16.0.1 eq www
DISEÑO LOGICO EN CISCO PACKET TRACER
SUBNETEO DE REDES
Tabla 1: subneteo de redes
Configurando IP estáticas en las PC de acuerdo a la tabla 1
Tamaño de
Red Dirección de Red Mascara Rango Host Broadcast
1200 128.18.0.0 255.255.248.0/21 128.18.0.1 - 128.18.7.254 128.18.7.255
600 128.18.8.0 255.255.252.0/22 128.18.8.1 - 128.18.11.254 128.18.11.255
300 128.18.12.0 255.255.254.0/23 128.18.12.1 - 128.18.13.254 128.18.13.255
200 128.18.14.0 255.255.255.0/24 128.18.14.1 - 128.18.14.254 128.18.14.255
70 128.18.15.0 255.255.255.128/25 128.18.15.1 - 128.18.15.126 128.18.15.127
2 128.18.15.128 255.255.255.252/30 128.18.15.129 - 128.18.15.130 128.18.15.131
2 128.18.15.132 255.255.255.252/30 128.18.15.133 - 128.18.15.134 128.18.15.135
2 128.18.15.136 255.255.255.252/30 128.18.15.137 - 128.18.15.138 128.18.15.139
CONFIGURACIÓN DEL PROTOCOLO PARA LA RED EN LOS ROUTERS
Router 1 interface FastEthernet0/0
ip address 128.18.15.1 255.255.255.128
no shutdown
interface Serial0/0
ip address 128.18.15.129 255.255.255.252
no shutdown
interface Serial0/1
ip address 128.18.15.133 255.255.255.252
no shutdown
interface FastEthernet1/0
ip address 128.18.14.1 255.255.255.0
no shutdown
router eigrp 1
network 128.18.0.0
end
Router 2
interface FastEthernet0/0
ip address 128.18.12.1 255.255.254.0
no shutdown
interface Serial0/0
ip address 128.18.15.130 255.255.255.252
no shutdown
interface Serial0/1
ip address 128.18.15.138 255.255.255.252
no shutdown
interface FastEthernet1/0
ip address 128.18.8.1 255.255.252.0
no shutdown
router eigrp 1
network 128.18.0.0
end
Router 3
interface FastEthernet0/0
ip address 128.18.0.1 255.255.248.0
ip access-group 101 out
no shutdown
interface Serial0/0
ip address 128.18.15.134 255.255.255.252
interface Serial0/1
ip address 128.18.15.137 255.255.255.252
router eigrp 1
network 128.18.0.0
APLICACIÓN DE LAS ACL ESTANDAR Y EXTENDIDAS
Denegar tráfico entre los host A - J y F - G
Para establecer una lista de acceso entre los respectivos host solo basta con denegar el protocolo IP en uno de los host de cada par, por ejemplo los host origen que se escogieron son A y F
Se elige el respectivo router donde esta conectada la subred del host y se agrega el código de lista de acceso.
Se agrega el siguiente código en el respectivo router.
Router 1 para host A
access-list 101 deny ip host 128.18.14.2 host 128.18.12.2
access-list 101 permit ip any any
interface FastEthernet1/0
ip address 128.18.14.1 255.255.255.0
ip access-group 101 out
Router 1 para host F
access-list 101 deny ip host 128.18.0.3 host 128.18.8.3
access-list 101 permit ip any any
interface FastEthernet0/0
ip address 128.18.0.1 255.255.248.0
ip access-group 101 out
