Conocer sobre las diferentes funcionalidades de las ACLs en un equipo cisco.
Aprender a utilizar correctamente una ACL para lograr lo planificado.
Comprender las limitaciones al aplicar ACL's MARCO TEORICO
na Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN.
REALIZACION
El objetivo de esta practica es configurar una red ya existente que posee 3 equipos routers los cuales conectan tres subredes mediante rip. En esta configuracion se debera de restringir cierto trafico de algunos hosts o subredes seleccionadas y observar su funcionamiento.
PRIMER CASO
En esta red ya existente el objetivo es llegar a bloquear como primera parte el acceso dela red 10.10 .1.0/24 hacia el router 2. Para esto se utilizara una ACL cuya funcion sea bloquear todo el trafico por el puerto serial del router 2 pero de salida. Para esto se ingresan los siguientes comandos en el router 2:
Como primer paso se creara la ACL a plicar bloqueando el trafico de la red 10.10.1.0/24 pero permitiendo el resto del trafico.
access-list 10 deny10.10.1.0 0.0.0.255 access-list 10 permit any
Una vez creada el access list debemos de ejecutarla para o cual lo haremos en la interfaz serial del router 2 para filtrar el trefico de salida.
interface S 0/01/0
ip access-group 10 out
Con esto podemos comprabar que ya no se puede tener acceso al router 1 desde los equipos existentes en la red 10.10.1.0/24.
SEGUNDO CASO
Como segunda parte de la practica procederemos a bloquear el trafico de la red 10.10 .2.0/24 hacia el router 1. Para esto se utilizara otra ACL cuya funcion sea bloquear todo el trafico de salida por el puerto serial del router 3. Las configuraciones a realizar en el router 3 son:
Como primer paso se creara la ACL a plicar bloqueando el trafico de la red 10.10.2.0/24 pero permitiendo el resto del trafico.
access-list 11 deny10.10.2.0 0.0.0.255 access-list 11 permit any
Al igual que en el caso anterior la cargaremos en la interfaz serial del router 3 para filtrar el trefico de salida.
interface S 0/01/0
ip access-group 11 out
Tambien comprabaremos que ya no se puede tener acceso al router 1 desde los equipos existentes en la red 10.10.2.0/24.
RECONOCIMIENTO DE ERRORES
Como actualmente se encuentra configurado el protocolo rip v2 en todos los routers se puede realizar una sencilla prueba de conectividad.
Como primer paso se procedio a desconectar el cable serial del router 3 y se espero unos minutos a que se cargue la configuracion del rip 2. Se pudo observar que se volvio a obtener conectividad luego de unos minutos entre la red 10.10.1.0 y el router 1 sin ninguna restriccion.
Esto se debio a que al aplicar la regla al puerto serial solo sera valida ahi y al tener concexion directa ese camino es el por defecto al router y los paquetes son bloqueados; pero al desconectar el cable el portocolo rip busca otro camino y lo alla a traves del cable cruzado enviando por ahi los paquetes y dejando sin efecto a la regla impuesta anteriromente.
La misma pureba se realizo con el router 3 ya que se desconecto el serial de ese y se comprobo el mismo suceso.
CONCLUSIONES
Las access list en un equipo de frontera como un router son de mucha utilidad para bloquear el trafico no permitido pero al igual que otros sitemas de control no es perfecto y puede tener fallas causadas por el exeso de confianza como se demostro en el caso anterior, ya que a pesar de estar configuradas correctamente las ACL's por no tomar en cuenta la configuracion del rip se pudo ingresar al router deseado por otro camino.
Hoy habia 3 visitantes (6 clics a subpáginas) ¡Aqui en esta página!
En esta red ya existente el objetivo es llegar a bloquear como primera parte el acceso dela red 10.10 .1.0/24 hacia el router 2. Para esto se utilizara una ACL cuya funcion sea bloquear todo el trafico por el puerto serial del router 2 pero de salida. Para esto se ingresan los siguientes comandos en el router 2:
