I. OBJETIVOS II. INTRODUCCION TEORICA

UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN GUIA DE LABORATORIO # 9 CICLO: 02-2013 Tema: Listas de Control de Acc...
8 downloads 0 Views 196KB Size
UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACIÓN GUIA DE LABORATORIO # 9 CICLO: 02-2013

Tema:

Listas de Control de Acceso (ACL’s)

Lugar de Ejecución:

Laboratorio de Redes

Tiempo Estimado: Materia:

2 horas 30 minutos Redes de área Amplia

Docentes:

Ing. René Tejada, Tec. Manuel Guandique, Tec. Mario Brito

I. OBJETIVOS Crear listas de control de acceso estándar Identificar cuando configurar ACL’s lo más cerca del origen Ubicar las listas de control de acceso en las interfaces apropiadas de un router

II. INTRODUCCION TEORICA

¿Qué es una Lista de Control de Acceso: Access List (ACL)? Las ACLs son un mecanismo que usan diversos dispositivos y aplicaciones para filtrar o clasificar el tráfico que interceptan. Una ACL se compone de un conjunto de reglas contra las que se compara cada paquete que cruce una interfaz específica del dispositivo en la que se configuro la lista de acceso. Las reglas de una ACL se redactan en bloques, una por línea, que se identifican con un número o una palabra y que identifican flujos de datos o conjuntos de direcciones ip de los paquetes que son procesados por la interfaz a la cual se han configurado las ACL’s. Cada paquete se compara contra las reglas una por una empezando por la primera y continuando con las siguientes. Si el paquete no corresponde a lo que indica una regla, se continúa evaluando a la siguiente regla. Una vez que el paquete se corresponde con una de las reglas de la ACL, se le aplica la acción asociada a esa regla coincidente y ya no se compara el paquete con el resto de reglas. Cada regla de una ACL hace uso de una dirección de referencia y una máscara wildcard que condicionan la acción a ejecutar sobre un paquete en cuestión. La condición consiste en que los paquetes coincidan con la dirección de referencia en los bits que la máscara wildcard tenga en cero, por lo tanto si una wildcard es 0.0.0.0 significa que todos los bits de la dirección origen o destino de un paquete que cruce la interfaz por la que está instalada la ACL se comparará bit a bit con la dirección de referencia, de esa manera se puede especificar una dirección completa de host. La dificultad de diseñar e instalar ACLs radica en la dificultad de concebir los patrones de tráfico como un conjunto de paquetes heterogéneos que pasan por una interfaz en una dirección en particular. FET, Redes de Area Amplia, Ciclo 2-2013

1

¿Qué es una ACL estándar (Standard ACLs)? Dentro de las ACL más comunes están las ACL estándar y las ACL extendidas. Ambos tipos de listas se pueden numerar o nombrar; además son diferenciadas entre sí por su granularidad: las extendidas permiten más detalles de filtrado Las más simples en todo sentido son las ACLs estándar, que permiten definir tráfico con base en las direcciones IP de origen de los paquetes que correspondan con las reglas de la ACL. Una ACL estándar especifica un sólo par dirección de referencia/wildcard contra el que se comparan todos los paquetes que entren o salgan de la interfaz en la que se instale la ACL, en otras palabras, una ACL estándar filtra tráfico con base en la dirección IP origen de los paquetes. Estas ACL se crean en modo de configuración global con el comando access-list seguido de un número entero (entre 1 a 99) o de (1300 a 1999). Estos rangos identifican que el tipo de ACL es estándar, otros rangos identifican ACLs extendidas (100 a 199 y 2000 a 2699). Cada regla debe tener el mismo número para pertenecer a la misma ACL, si el número cambia, la regla en particular pertenecerá a otra ACL. Luego de Access-list sigue la acción a ejecutar (permit o deny) y finalmente la condición que deben cumplir los paquetes para aplicarles la acción o continuar examinando más reglas. Las ACL estándar usan una única pareja de dirección/wildcard para especificar la condición que deben cumplir los paquetes para que se les aplique la acción permit o deny. La condición examina la dirección IP origen de cada paquete y la compara con el par dirección/wildcard pero solamente a los bits en los que la wildcard tenga ceros.

¿Cómo se configuran ACL estándar? Se deben desarrollar 3 pasos generales para configurar ACLs: 1. Crear la ACL en modo de configuración global 2. Aplicar la ACL en una interfaz indicando la dirección del tráfico al que se le va a aplicar 3. Verificar su funcionamiento La creación de la ACL consiste en crear una secuencia de reglas con un mismo identificador, cuyo orden filtre el tráfico según los paquetes requeridos. Cada regla tiene la forma:

access-list [ permit | deny ] En donde n es el número que identifica la ACL (0 a 99 ó entre 1300 a 1999 para ACLs estándar) y referenciaN/wildcardN son los pares con los que se compararán los paquetes para aplicarles la acción. Entonces una ACL tiene la forma:

access-list permit . . access-list permit access-list deny Como todas las reglas coinciden en el número (n), la ACL está compuesta por todas las reglas listadas. Se FET, Redes de Area Amplia, Ciclo 2-2013

2

puede usar las combinaciones de permiso permit y deny que se necesite para el filtrado de paquetes. Todas las ACLs terminan implícitamente en una regla deny any, es decir que, al final de la lista, cualquier paquete que no haya correspondido con ninguna regla se va a descartar por defecto. Una vez definidas un grupo de ACL’s, estas se aplican se aplican a una interfaz del dispositivo, por lo tanto hay que ingresar en modo de interfaz y ejecutar comando ip access-group [ in | out ],

interface serial 0/0 ip access-group [in|out] En donde n es el número común a todas las reglas de la ACL y las palabras in | out indican en qué sentido se aplicarán las reglas y esto tiene importantes implicaciones: el tráfico en una dirección evaluara las direcciones IP origen de los paquetes, pero en la otra dirección éstas mismas direcciones se compararan con las direcciones IP destino de los paquetes.

Verificación de configuración y ejecución de las ACL Finalmente, se verifica la ACL con la ejecución de varios comandos:

show access-list Muestra todas las listas de acceso activas y cuántos paquetes han correspondido (match) con cada regla.

show ip interface NomInterface Muestra si una interfaz tiene una ACL aplicada y en cual dirección se aplica. Este comando muestra mucha información, por la mitad de toda esa información dice inbound ACL y luego como Outbound ACL.

¿Qué consideraciones hay que tener para instalar ACLs? Denegación por defecto y Log La primera consideración importante es tener en cuenta es que las listas de acceso terminan en una denegación por defecto, por lo tanto, si una ACL sólo tiene reglas de denegación lo único que logra es denegar TODO el tráfico. Una ACL debe tener siempre por lo menos una regla de permitir. Algunos administradores prefieren poner una regla final, ya sea deny any o sino permit any de manera explícita para poder ver con show access-list cuántos paquetes se han filtrado por la última regla o mejor, cuántos paquetes no han correspondido con ninguna otra regla. Otros administradores usan la lista de acceso para recolectar información sobre el tráfico de la red, combinando reglas que terminan con la palabra log que hace que la ACL genere entradas de registro como si fueran mensajes del sistema. Combinar reglas permit con log hace que la ACL evidencie algún tráfico que se necesita saber cómo se está comportando.

FET, Redes de Area Amplia, Ciclo 2-2013

3

Orden de verificación: Reglas específicas y generales Como cada regla se verifica en secuencia comenzando por la primera, si una regla es general, es decir, abarca más direcciones o flujos de datos que otra, ésta regla debería ir después de las más específicas. Para ilustrar esto, observe el siguiente ejemplo: Se desea bloquear un host de la red 192.168.1.0/24 pero permitir el resto de esta red. Se necesitan 2 reglas: permitir la red y denegar el host, como la regla para la red es más general e incluye el host mismo, crearla primero va a tener como efecto que nunca se mire la regla que dice denegar el host, porque siempre aplicará la primera y no se verificarán más reglas, permitiendo al host transmitir información cuando el objetivo era denegar precisamente ese host. La regla se debería escribir de la siguiente manera:

access-list 1 deny 192.168.1.1 0.0.0.0 access-list 1 permit 192.168.1.0 0.0.0.255 Cuando se aplica a una interfaz la anterior ACL, ocasiona que el tráfico perteneciente a la red 192.168.1.0, excepto el host 192.168.1.1, puede salir por la interfaz en la que se aplique. Lo anterior siempre y cuando, el tráfico tenga como orígenes éstas direcciones.

Tráfico con orígen en el enrutador Finalmente, cierto tráfico proveniente del enrutador no pasa por las listas de acceso, por ejemplo, el acceso a VTY (tel-net/ssh) al enrutador no es examinado por las ACL, por lo tanto hay que poner una regla especial para este tráfico. La regla se llama access-group y debe ser ACL estándar. Una regla de este tipo limita el acceso por telnet al enrutador sólo a los hosts que correspondan a la lista especificada.

III. MATERIALES Y EQUIPO Estación de trabajo PC. Simulador de Red (Packet Tracer 5.3 o posterior) Guía de laboratorio #9

IV. PROCEDIMIENTO

Parte I: Preparación de la topología general 1. Crear una carpeta denominada RAA_guia9_CARNET, en donde se almacenaran los archivos solicitados en el resto del procedimiento. 2. Crear una simulación de Cisco Packet Tracer denominada Guia9parte1. Desarrollar la topología descrita en la Imagen 9.1. FET, Redes de Area Amplia, Ciclo 2-2013

4

Tomar en cuenta los siguientes aspectos al momento de configurar a los dispositivos anteriores: •

Las 2 interfaces seriales de router CENTRO serán extremos DCE



Configurar la primer ip de cada red LAN como ip puerta enlace. Además, para el host de cada red, configurar ip host a la siguiente ip luego de su respectiva ip Gateway.



Comprobar que haya comunicación entre cada pareja de equipos (host a su ip Gateway, de un router a otro)



Contraseñas por cada router y switch: Modo privilegiado (nombre host al revés y en minúscula)



Línea vty 0: remoto

En Switch0: la vlan 10 será la vlan nativa y tendrá asignada la ultima ip host de la subred para la administración remota.

Imagen 9.1: Topología base a implementar 3. Ejecutar la configuración del protocolo de enrutamiento dinámico RIP versión 2 en cada router, así como configurar las interfaces pasivas apropiadas por cada dispositivo. Además, configurar el parámetro: no auto-summary 4. Desarrollas las siguientes pruebas: a) Ver la Tabla de Enrutamiento de CENTRO y confirmar que este router ve a las redes LAN’s de ZEUS y las redes LAN y la Looback 10 de BERMUDAS. b) Desde PC0 hacer ping hacia la ip del Server y de PC2. c) Desde PC1 acceder vía telnet hacia la IOS’s de los router’s CENTRO y BERMUDAS. No continuar hasta que todas las pruebas solicitadas en este paso sean exitosas!! 5. Almacenar los cambios hechos en la configuración en la NVRAM de cada router y el switch, para luego reiniciar a toda la topología, dando clic en botón “Power Cycle Devices” (ubicado en la parte inferior de las barras de desplazamiento del área de la simulación).

FET, Redes de Area Amplia, Ciclo 2-2013

5

Parte II: Creando Listas de Control de Acceso (ACL) Estándar. Ejercicio 1: 6. Hacer una copia del archivo de simulación actual con el nombre Guia9parte2. 7. Para continuar, debido a que las ACL’s no pueden ser editadas/modificadas en la terminal del router una vez digitadas, se recomienda utilizar un editor de texto, para definir ahí a las diferentes ACL’s y luego copiar las sentencias hacia la CLI del dispositivo. 8. Cargar un editor de texto simple (como el Block de Notas) y crear un archivo denominado ListasACL.txt. 9. Crear y aplicar una ACL estándar que bloquee el tráfico proveniente de PC1 dirigido a la red donde está conectada PC2, pero que permita el resto de tráfico. Esta ACL se desarrolla con los siguientes pasos: a) Seleccionar el enrutador idóneo para crear la ACL. Por ser una ACL estándar, esta debe estar lo más cerca posible del destino, así que la ACL se creara en router BERMUDAS. b) En el archivo de texto ListasACL.txt, redactar la descripción de la ACL solicitada y luego los comandos para crear la ACL, por ej. así:

Descripción de ACL 1: ACL estándar que bloquee el tráfico proveniente de PC1 dirigido a la red donde está conectada PC2, pero que permita el resto de tráfico, incluso de los host de la misma red de PC1. Router BERMUDAS Interface: FastEthernet 0/0 Direccion: out Definición de acl solución: access-list 1 deny 200.0.0.194 0.0.0.0 access-list 1 permit any c) Guardar los cambios del archivo anterior, pero no cerrarlo. d) Ingresar al modo de Configuración Global del enrutador BERMUDAS (cursor BERMUDAS(config)#), e) Seleccionar los 2 comandos de definición de access-list resaltados en literal anterior y copiarlos, haciendo clic secundario y opción “copiar” f) Ubicarse en cursor Global de la CLI y dar clic secundario y opción “pegar”. Se copiaran y ejecutara la secuencia de las 2 acl’s en BERMUDAS. Al final, se habrán creado 2 ACL’s con los comandos copiados: FET, Redes de Area Amplia, Ciclo 2-2013

6

BERMUDAS(config)#access-list 1 deny 200.0.0.194 0.0.0.0 BERMUDAS(config)#access-list 1 permit any 10. Ingresar al modo de configuración especifica de la interface FastEthernet 0/0 de BERMUDAS. Asignar ahí las ACL anteriores para controlar el tráfico de salida (out, dirigido hacia host de red donde se ubica host destino PC2), con el comando ip access-group así:

BERMUDAS(config)#interface fastethernet0/0 BERMUDAS (config-if)#ip access-group 1 out BERMUDAS (config-if)#CTRL+Z 11. Comprobar el funcionamiento de la ACL anterior, ingresando a la consola de comandos msdos de PC1 y ejecutar un ping dirigido a la ip de PC2. Debe dar una respuesta de “host de red inalcanzable”. 12. Retornar al modo privilegiado de BERMUDAS y ejecutar comando show access-list, para verificar las coincidencias (match(es)) con alguna de las líneas de la ACL.

BERMUDAS#show access-lists Standard IP access list 1 deny host 200.0.0.194 (4 match(es)) permit any 13. Desde PC1, ejecutar otra prueba de ping dirigido a PC2 y luego comprobar el nuevo conteo de coincidencias en BERMUDAS. 14. Agregar una nueva PC (PC3) a la red de la vlan 20, conectándola a un puerto de acceso en switch0 y configurándola con una ip host de esa red. Enviar un ping desde PC3 hacia la PC2. Confirmar que esta vez, la prueba si es exitosa!! Desde router BERMUDAS, verificar nuevamente las coincidencias de ACL. 15. Ingresar a la ventana msdos de PC0 y enviar un ping hacia la PC2. Confirmar que la prueba es exitosa y desde BERMUDAS evaluar las nuevas coincidencias de ACL!! 16. Desactivar la ACL en BERMUDAS, ingresando al Modo de Configuración Especifica de la interface fa0/0 y negando la asignación del grupo de acl, así:

BERMUDAS(config-if)#no ip access-group 1 out 17. Realizar nuevamente pruebas de conectividad entre las PC1 y PC2

Ejercicio 2: 18. Crear y aplicar todas las ACL estándar necesarias que permita el tráfico con origen en PC-0 y como destino a la red del Server0. Además, debe permitir el tráfico con origen en PC-2 y destino a la red del Server0. Cualquier otro tráfico será negado. 19. En archivo de texto (ListasACL.txt), digitar la descripción de las ACL’s que resuelven este filtrado de FET, Redes de Area Amplia, Ciclo 2-2013 7

tráfico, sobre el router mas cercano a la red destino de ambos casos descritos (host Server0), es decir, sobre CENTRO:

Descripción de ACL 2: ACL estándar que permita el tráfico dirigido a la red Server0 proveniente del host PC0 y también desde host PC2. Debe negarse el resto de tráfico. Router CENTRO interface: FastEthernet 0/0 direccion: out definicion de acl: access-list 2 permit host 200.0.0.130 access-list 2 permit host 200.0.0.66 access-list 2 deny any 20. Ingresar al modo de configuración global de CENTRO, para copiar cada comando access-list resaltado en paso anterior, luego pegarlo en el cursor de la CLI del router y ejecutarlo. 21. Ingresar al modo de configuración de la interfaz Fa0/0 de CENTRO y asignar el grupo de ACL #2 en dirección out, así:

CENTRO(config-if)#ip access-group 2 out 22. Agregar un nuevo host (PC4), para conectarlo a la vlan 10 por medio de un puerto de acceso de Switch0 y configurarle una ip host de esta red. 23. Realizar nuevamente pruebas de conectividad desde host PC0, PC2 y PC3 Se obtendrán pruebas exitosas solamente desde PC0 y PC-2. Verificar las coincidencias de ACL’s detectadas en el router CENTRO con show access-list

Parte III: Modificando un grupo de Listas de Control de Acceso (ACL) ya existente. Ejercicio 3: 24. Realizar nuevamente pruebas de conectividad desde host PC0, PC2 y PC3 25. Hacer una copia de la simulación actual bajo el nombre Guia9parte3. 26. Ahora se modificara el filtrado de tráfico desarrollado en el Ejercicio 2, permitiendo que cualquier host de la red vlan 10 pueda ver al Server0 y ya no solamente PC0. 27. Ingresar al Modo de Configuración Global de CENTRO 28. Se procederá a crear y aplicar todas las ACL estándar necesarias que permita el tráfico de cualquier host de la red vlan 10 dirigido a la red del Server0. Además, debe permitir el tráfico con origen en PC2 y destino a la FET, Redes de Area Amplia, Ciclo 2-2013

8

red del Server0. Cualquier otro tráfico será negado. 29. Hay que seleccionar al enrutador más cercano a la red destino de ambos casos descritos (Server0), en este caso a CENTRO.

30. Desde modo configuración global de CENTRO, agregar una nueva ACL al grupo 2 de access-list ya existente en este dispositivo, ejecutando al comando:

access-list 2 permit host 200.0.0.128 0.0.0.63 Esta ACL permite el tráfico de paquetes de todos los host de la red de la vlan 10, ya no solamente del host PC0. 31. Retornar al modo de configuración privilegiado y ejecutar el comando clear access-list counters 2, que borra las estadísticas de coincidencias del grupo de access-list #2 existente en CENTRO. 32. Hacer pruebas de ping desde ambos host (PC0 y PC4) de la vlan 10 hacia la ip del Server0. La prueba resultara exitosa solamente desde PC0 Pero el objetivo de este ejercicio 3 es que todos los host de esta vlan 10 alcancen al Server0 33. Visualizar las coincidencias de Access list ejecutadas en CENTRO. Observar que la secuencia de Accesslist ha quedado registrada de una forma incorrecta:

CENTRO#show access-lists Standard IP access list 2 permit host 200.0.0.130 (4 match(es)) permit host 200.0.0.66 deny any (4 match(es)) permit 200.0.0.128 0.0.0.63

Esta secuencia incorrecta se debe a que el IOS de un router siempre agrega cada nueva ACL al final del grupo de Access list correspondiente ya existente en su configuración!! 34. Confirmar la secuencia de ACL anterior, visualizando el contenido del archivo de configuración de ejecución de CENTRO.

CENTRO#show running-config Building configuration... . ! access-list 2 permit host 200.0.0.130 access-list 2 permit host 200.0.0.66 access-list 2 deny any access-list 2 permit 200.0.0.128 0.0.0.63 FET, Redes de Area Amplia, Ciclo 2-2013

9

!

35. Para comenzar la corrección de este ejercicio 3, en el archivo (ListasACL.txt), documente la nueva secuencia de ACL que resolvería a este Ejercicio 3: Descripción de ACL 2 modificada: ACL estándar que permita el tráfico dirigido a la red Server0 proveniente de toda la vlan 10 y también desde host PC2. Debe negarse el resto de tráfico. Router CENTRO Interface: FastEthernet 0/0 Direccion: out Definicion de acl: access-list 2 permit 200.0.0.128 0.0.0.63 access-list 2 permit host 200.0.0.66 access-list 2 deny any

36. Luego, ingresar al Modo Configuración de interface Fa0/0 y desactivar el grupo de access-list 2, así:

CENTRO(config-if)#no ip access-group 2 out 37. Ahora ingresar al Modo Configuración Global de CENTRO y borrar todas las ACL #2, negándolas con el comando no access-list 2. 38. Confirmar con comando do show running-config, que ya no se muestra el conjunto de Access-list #2. 39. Luego, digitar la secuencia correcta de las 3 ACL que solucionan el filtrado requerido por el Ejercicio 3. 40. Si todos los comandos se ejecutaron correctamente, desde el archivo running-config debe verse la secuencia de ACL’s redactadas en archivo (ListasACL.txt) 41. Ingresar al modo de configuración de la interfaz fa0/0 y asignar nuevamente el grupo 2 de Access-list en dirección de salida (out), con el comando:

CENTRO(config-if)#ip access-group 2 out 42. Repetir la ejecución de ping desde las host (PC0 y PC4) de la vlan 10 hacia la ip del Server0 43. Confirmar que ambas pruebas son exitosas y verificar las estadísticas de acl’s en CENTRO.

Parte IV: Definiendo filtros avanzados con ACL estándar. Ejercicio 4: 44. Hacer una copia de la simulación actual bajo el nombre Guia9parte4. 45. Crear a la vlan 50 en Switch0 y la respectiva subinterfaz Fa0/0.50 en ZEUS. La red que utilizara será la FET, Redes de Area Amplia, Ciclo 2-2013

1 0

200.0.0.112/28. Incluir 2 nuevos host (PC5 y PC6) para conectarse a esta vlan y configurarlos apropiadamente. 46. Ahora se pretende controlar el tráfico generado por esta vlan 50. De manera tal que se permita la comunicación externa solamente a los host de la red que tengan asignadas ip’s de la mitad superior de su rango de ip’s. 47. Para este caso, se busca que el trafico de host de la vlan 50 solamente se les permita a los host que tengan asignadas ip’s entre la 200.0.0.120 hasta la 200.0.0.126. Los host fuera de este rango no tendrán acceso al resto de redes. 48. La ACL se creara en ZEUS, en la subinterfaz fa0/0.50 en dirección de entrada. El problema es determinar la máscara de wildcard apropiada para la acl, porque esta ya no abarca a toda una red o solamente a un host especifico, sino a rangos de direcciones. 49. Para calcular la Mk wildcard, se utilizaran direcciones aleatorias del rango que se desea permitir en la ACL, para compararlas de manera binaria y determinar los bits en común (que serán bits 0 en la wildcard), así: Ip de vlan 50 200.0.0

.01111000

200.0.0.125

200.0.0 200.0.0

.01111011 .01111101

200.0.0.126

200.0.0

.01111110

200.0.0.120 200.0.0.123

Ip acl Wildcard de ip

200.0.0 .01111000

200.0.0.120

0.0.0 .00000111

0.0.0.7

50. Retornar al archivo de documentación de ACL’s (ListasACL.txt) y documentar la siguiente información del grupo de ACL’s a crear Descripción de ACL 3: Se debe permitir la comunicación externa solamente a los host de la red vlan 50 que tengan asignadas ip’s de la mitad superior de su rango de ip’s. El resto de host no tendrá acceso a redes externas!! Router ZEUS Subinterface: FastEthernet 0/0.50 Direccion: in Definicion de acl: access-list 3 permit 200.0.0.120 0.0.0.7 access-list 3 deny any

51. Realice los cambios necesarios en ZEUS para agregar al grupo de ACL’s #3 del paso anterior. 52. Para comprobar este grupo de ACL’s, hacer lo siguiente: •

Configurar a la PC5 la ip 200.0.0.115/28 y al host PC6 con la 200.0.0.124 /28

FET, Redes de Area Amplia, Ciclo 2-2013

1 1



Luego, desde PC5 enviar un ping a la PC2. Esta prueba no será exitosa



Desde PC6 hacer ping hacia la ip LoopBack 10 de BERMUDAS. Esta prueba si será exitosa.



Ingresar al modo privilegiado de ZEUS y analizar las estadísticas de las Access-list 3.

FET, Redes de Area Amplia, Ciclo 2-2013

1 2

V. DISCUSION DE RESULTADOS Modificar la simulacion final del procedimiento de esta practica, para restringir la administracion remota de cada router y switch implementado, para solamente cualquier host de la red a la cual pertenece el Server0 o tambien desde la ip del host PC0. Cualquier otra ip host sera rechazada para acceder via telnet a los dispositivos. Solamente deben utilizarse ACL's estándar.

FET, Redes de Area Amplia, Ciclo 2-2013

1 3