Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » redes » lab8
redes:lab8

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
redes:lab8 [2024/12/05 15:56] thejuanvisuredes:lab8 [2024/12/05 18:53] (actual) thejuanvisu
Línea 94: Línea 94:
   * Direcciones que nunca puedan ser de origen (ej. 127.0.0.0/8)   * Direcciones que nunca puedan ser de origen (ej. 127.0.0.0/8)
   * Direcciones potencialmente peligrosas   * Direcciones potencialmente peligrosas
-Las ACL se deben configurar en el CPE ya que son la primera medida de seguridad. En el FW se deben configurar ACL extendidas y complementarlas con CBAC. En el DL-SW se deben usar ACL extendidas.+Las ACL se deben configurar en el CPE ya que son la primera medida de seguridad. En el FW se deben configurar ACL extendidas y complementarlas con CBAC. En el DL-SW se deben usar ACL extendidas. Para comenzar se crea una Acess List estándar con el nombre ISPtoCPE para denegar el tráfico con dirección de origen las ips listadas antes y permitir el tráfico restante. 
 +<code> 
 +CPE> Enable 
 +CPE# Config Terminal 
 +CPE(config)# ip access-list standar ISPtoCPE 
 +CPE(config-std-nacl)#deny 10.0.0.0 0.255.255.255 
 +CPE(config-std-nacl)#deny 192.168.0.0 0.0.255.255 
 +CPE(config-std-nacl)#deny 172.16.0.0 0.15.255.255 
 +CPE(config-std-nacl)#deny 224.0.0.0 15.255.255.255 
 +CPE(config-std-nacl)#deny 240.0.0.0 15.255.255.255 
 +CPE(config-std-nacl)#deny 127.0.0.0 0.255.255.255 
 +CPE(config-std-nacl)#deny 169.254.0.0 0.0.255.255 
 +CPE(config-std-nacl)#permit any 
 +CPE(config-std-nacl)#exit 
 +CPE(config)# interface g0/1 
 +CPE(config-if)# ip access-group ISPtoCPE in 
 +</code> 
 +Se crea una ACL a la que llamaremos InternetToCPE que se aplica a la interfaz que conecta el ISP con el CPE (G0/1) en modo in, para bloquear el tráfico entrante proveniente de internet, evitando que este pueda saturar el CPE. 
 +<code> 
 +ISP(config)#interface g0/1 
 +ISP(config-if)#ip access-group InternetToCPE in 
 +IPS(config-if)#exit 
 +</code> 
 +Finalmente se aplica una ACL en las "line vty" en cada dispositivo para que solo se permita el envío de tráfico SSH entre los dispositivos que se encuentran en la vLan de Administración (743): 
 +<code> 
 +AL-SW1>enable 
 +AL-SW1>configure terminal 
 +AL-SW1(config)#access-list 1 permit 10.3.243.9 0.0.0.255 
 +AL-SW1(config)#access-list 1 deny any 
 +AL-SW1(config)#line vty 0 15 
 +AL-SW1(config-line)#access-class 1 in 
 +</code>
  
-==== Configuración CBAC en FW ==== 
  
 +==== Configuración CBAC en FW ====
 +Las ACL estan configuradas para controlar el tráfico entrante en las interfaces del FireWall. El trafico de retorno TCP y UDP se controla con CBAC, mientras que el ICMP será permitido. Interfaz específica: G0/0.744 (Conexión a máquina de servicios), se aplicarán las siguientes reglas a esta interfaz:
 +  * Mombre de ACL: MSStoFW
 +  * Permitir mensajes ICMP de respuesta desde la maquina de servicios a dispositivos de red interna 10.0.0.0/8, incluyendo VLAN actuales y futuras.
 +  * Bloquear tráfico ICMP que no sea una respuesta hacia dichos dispositivos.
 +  * Permitir Tráfico ICMP hacia internet sin restricciones.
 +  * Permitir mensajes de respuesta DHCP (Puerto UDP 67) a los dipositivos de la red interna 10.3.0.0/16 (VLANS actuales)
 +  * Permitir tráfico HTTP (Puerto 80), HTTPS (puerto 443) y DNS (Puerto 53 TCP y UDP) hacia internet
 +  * Bloquear Tráfico HTTP,HTTPS y DNS hacia la red interna.
 +El tráfico restante será denegado.
 +Se aplican las reglas anteriores, bloqueando cualquier tráfico no especificado:
 +<code>
 +FW(config)#ip access-list extended MSStoFW
 +FW(config-ext-nacl)#remark Control del trafico entre MSS y FW
 +FW(config-ext-nacl)#permit icmp host 10.3.244.254 10.0.0.0 0.255.255.255 echo-reply
 +FW(config-ext-nacl)#permit icmp host 10.3.244.254 10.0.0.0 0.255.255.255 unreachable
 +FW(config-ext-nacl)#deny icmp host 10.3.244.254 10.0.0.0 0.255.255.255
 +FW(config-ext-nacl)#permit icmp host 10.3.244.254 any
 +FW(config-ext-nacl)#permit udp host 10.3.244.254 eq 67 10.3.0.0 0.0.255.255
 +FW(config-ext-nacl)#deny tcp host 10.3.244.54 10.0.0.0 0.255.255.255 eq 80
 +FW(config-ext-nacl)#deny tcp host 10.3.244.54 10.0.0.0 0.255.255.255 eq 443
 +FW(config-ext-nacl)#deny tcp host 10.3.244.54 10.0.0.0 0.255.255.255 eq 53
 +FW(config-ext-nacl)#permit tcp host 10.3.244.254 any eq 80
 +FW(config-ext-nacl)#permit tcp host 10.3.244.254 any eq 443
 +FW(config-ext-nacl)#permit tcp host 10.3.244.254 any eq 53
 +FW(config-ext-nacl)#deny udp host 10.3.244.254 10.0.0.0 0.255.255.255 eq 80
 +FW(config-ext-nacl)#deny udp host 10.3.244.254 10.0.0.0 0.255.255.255 eq 443
 +FW(config-ext-nacl)#deny udp host 10.3.244.254 10.0.0.0 0.255.255.255 eq 53
 +FW(config-ext-nacl)#permit udp host 10.3.244.254 any eq 80
 +FW(config-ext-nacl)#permit udp host 10.3.244.254 any eq 443
 +FW(config-ext-nacl)#permit udp host 10.3.244.254 any eq 53
 +FW(config-ext-nacl)#deny ip any any
 +FW(config-ext-nacl)#exit
 +</code>
 ==== Configurar Zone-Based Firewal en FW ==== ==== Configurar Zone-Based Firewal en FW ====
 ==== Configurar filtrado en DL-SW1 ==== ==== Configurar filtrado en DL-SW1 ====
redes/lab8.1733414168.txt.gz · Última modificación: 2024/12/05 15:56 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki