Diferencias

Muestra las diferencias entre dos versiones de la página.

--- redes:lab8 [2024/12/05 15:44] – thejuanvisu
+++ redes:lab8 [2024/12/05 18:53] (actual) – thejuanvisu
@@ Línea 14: / Línea 14: @@
 Para la VLAN de servicios hacen falta varias Pool de direcciones que no son mencionadas en el enunciado del laboratorio.
 ===== Parte 1: Servidores =====
+==== Servicios HTTP/HTTPS ====
 Primero se necesita Apache para montar el servicio Web:
 <code>
@@ Línea 53: / Línea 55: @@
 </code>
+==== Servicios DNS ====
+Comenzamos instalando el servicio DNS con el siguiente comando:
+<code bash>
+sudo apt install bind9 bind9utils bind9−doc
+</code>
+Para configurar el servidor DNS se modifica el archivo /etc/bind/named.conf.options con los servidores a los que se redirigirán las peticiones:
+<code>
+options {
+...
+   forwarders {
+.144.48.30; 193.144.48.100
+   }
+}
+</code>
+Una vez realizadas las configuraciones se inicia el servicio con el siguiente comando:
+<code>
+sudo systemctl enable --now named
+</code>
+Tras eso se comprueba que el servicio esté corriendo con el siguiente comnado:
+<code>
+sudo systemctl status named
+</code>
+Se prueba a hacer una petición desde localhost a google para comprobar que se nos entrega una ip con el siguiente comando:
+<code bash>
+sudo dig @127.0.0.1 google.com
+</code>
 ===== Parte 2: Configuración de los filtros del firewall =====
@@ Línea 63: / Línea 94: @@
   * Direcciones que nunca puedan ser de origen (ej. 127.0.0.0/8)
   * Direcciones potencialmente peligrosas
-Las ACL se deben configurar en el CPE ya que son la primera medida de seguridad. En el FW se deben configurar ACL extendidas y complementarlas con CBAC. En el DL-SW se deben usar ACL extendidas.
+Las ACL se deben configurar en el CPE ya que son la primera medida de seguridad. En el FW se deben configurar ACL extendidas y complementarlas con CBAC. En el DL-SW se deben usar ACL extendidas. Para comenzar se crea una Acess List estándar con el nombre ISPtoCPE para denegar el tráfico con dirección de origen las ips listadas antes y permitir el tráfico restante.
+<code>
+CPE> Enable
+CPE# Config Terminal
+CPE(config)# ip access-list standar ISPtoCPE
+CPE(config-std-nacl)#deny 10.0.0.0 0.255.255.255
+CPE(config-std-nacl)#deny 192.168.0.0 0.0.255.255
+CPE(config-std-nacl)#deny 172.16.0.0 0.15.255.255
+CPE(config-std-nacl)#deny 224.0.0.0 15.255.255.255
+CPE(config-std-nacl)#deny 240.0.0.0 15.255.255.255
+CPE(config-std-nacl)#deny 127.0.0.0 0.255.255.255
+CPE(config-std-nacl)#deny 169.254.0.0 0.0.255.255
+CPE(config-std-nacl)#permit any
+CPE(config-std-nacl)#exit
+CPE(config)# interface g0/1
+CPE(config-if)# ip access-group ISPtoCPE in
+</code>
+Se crea una ACL a la que llamaremos InternetToCPE que se aplica a la interfaz que conecta el ISP con el CPE (G0/1) en modo in, para bloquear el tráfico entrante proveniente de internet, evitando que este pueda saturar el CPE.
+<code>
+ISP(config)#interface g0/1
+ISP(config-if)#ip access-group InternetToCPE in
+IPS(config-if)#exit
+</code>
+Finalmente se aplica una ACL en las "line vty" en cada dispositivo para que solo se permita el envío de tráfico SSH entre los dispositivos que se encuentran en la vLan de Administración (743):
+<code>
+AL-SW1>enable
+AL-SW1>configure terminal
+AL-SW1(config)#access-list 1 permit 10.3.243.9 0.0.0.255
+AL-SW1(config)#access-list 1 deny any
+AL-SW1(config)#line vty 0 15
+AL-SW1(config-line)#access-class 1 in
+</code>
-==== Configuración CBAC en FW ====
+==== Configuración CBAC en FW ====
+Las ACL estan configuradas para controlar el tráfico entrante en las interfaces del FireWall. El trafico de retorno TCP y UDP se controla con CBAC, mientras que el ICMP será permitido. Interfaz específica: G0/0.744 (Conexión a máquina de servicios), se aplicarán las siguientes reglas a esta interfaz:
+  * Mombre de ACL: MSStoFW
+  * Permitir mensajes ICMP de respuesta desde la maquina de servicios a dispositivos de red interna 10.0.0.0/8, incluyendo VLAN actuales y futuras.
+  * Bloquear tráfico ICMP que no sea una respuesta hacia dichos dispositivos.
+  * Permitir Tráfico ICMP hacia internet sin restricciones.
+  * Permitir mensajes de respuesta DHCP (Puerto UDP 67) a los dipositivos de la red interna 10.3.0.0/16 (VLANS actuales)
+  * Permitir tráfico HTTP (Puerto 80), HTTPS (puerto 443) y DNS (Puerto 53 TCP y UDP) hacia internet
+  * Bloquear Tráfico HTTP,HTTPS y DNS hacia la red interna.
+El tráfico restante será denegado.
+Se aplican las reglas anteriores, bloqueando cualquier tráfico no especificado:
+<code>
+FW(config)#ip access-list extended MSStoFW
+FW(config-ext-nacl)#remark Control del trafico entre MSS y FW
+FW(config-ext-nacl)#permit icmp host 10.3.244.254 10.0.0.0 0.255.255.255 echo-reply
+FW(config-ext-nacl)#permit icmp host 10.3.244.254 10.0.0.0 0.255.255.255 unreachable
+FW(config-ext-nacl)#deny icmp host 10.3.244.254 10.0.0.0 0.255.255.255
+FW(config-ext-nacl)#permit icmp host 10.3.244.254 any
+FW(config-ext-nacl)#permit udp host 10.3.244.254 eq 67 10.3.0.0 0.0.255.255
+FW(config-ext-nacl)#deny tcp host 10.3.244.54 10.0.0.0 0.255.255.255 eq 80
+FW(config-ext-nacl)#deny tcp host 10.3.244.54 10.0.0.0 0.255.255.255 eq 443
+FW(config-ext-nacl)#deny tcp host 10.3.244.54 10.0.0.0 0.255.255.255 eq 53
+FW(config-ext-nacl)#permit tcp host 10.3.244.254 any eq 80
+FW(config-ext-nacl)#permit tcp host 10.3.244.254 any eq 443
+FW(config-ext-nacl)#permit tcp host 10.3.244.254 any eq 53
+FW(config-ext-nacl)#deny udp host 10.3.244.254 10.0.0.0 0.255.255.255 eq 80
+FW(config-ext-nacl)#deny udp host 10.3.244.254 10.0.0.0 0.255.255.255 eq 443
+FW(config-ext-nacl)#deny udp host 10.3.244.254 10.0.0.0 0.255.255.255 eq 53
+FW(config-ext-nacl)#permit udp host 10.3.244.254 any eq 80
+FW(config-ext-nacl)#permit udp host 10.3.244.254 any eq 443
+FW(config-ext-nacl)#permit udp host 10.3.244.254 any eq 53
+FW(config-ext-nacl)#deny ip any any
+FW(config-ext-nacl)#exit
+</code>
 ==== Configurar Zone-Based Firewal en FW ====
 ==== Configurar filtrado en DL-SW1 ====

Knoppia

Herramientas de usuario

Herramientas del sitio

Diferencias

Herramientas de la página