Diego Esteban Ramrez 0933640, Jhoan Sebastin Sierra 0931427 Escuela de Ingeniera Elctrica y Electrnica Universidad del Valle
I. Objetivos Conocer los diferentes tipos de listas de acceso y el rango de nmeros asignados a estas. Entender el procesamiento top-down de las listas de acceso. Conocer que es una negacin implcita. Usar los comandos de las listas de acceso. Usar la mscara comodn (wildcard mask) en las listas de acceso. Crear una lista de acceso IP estndar numerada.
II. Desarrollo Proponga una red en la que se controle el acceso de un equipo por medio de una lista de acceso estndar, mencione las ventajas y desventajas que se tienen al utilizar una lista de acceso estndar.
Figura 1. Red propuesta.
Se propone la red propuesta en la figura 1, en donde hay una red LAN 1: 192.168.1.0/24 donde se encuentran 3 equipos terminales, y una LAN 2:192.168.2.0/24 a la que se encuentra conectado un router R2. Se procede a limitar el acceso a la configuracin del router R1 solo por el equipo terminal PC1, pero antes se debe verificar que se puede establecer una sesin con R1 desde cualquier equipo terminal, para ello se procede a hacer telnet desde cada uno de los PC.
Figura 2. Telnet a R1 y R2 desde PC1.
Figura 3. Telnet a R1 y R2 desde PC2.
Figura 4. Telnet a R1 y R2 desde PC3.
Una vez hecho esto se procede a configurar la lista de control de acceso en R1 como se muestra en la siguiente figura.
Figura 5. Configuracin lista de control de acceso para R1.
Ahora bien se procede a confirmar que la lista de control de acceso funcione, haciendo telnet a R1 desde cada PC, para el PC1 el cual es el nico que puede hacer sesin, el procedimiento es exactamente igual que en la figura 2, para los otros dos el procedimiento da como el de las figuras 6 y 7.
Figura 6. Telnet a R1 y R2 desde PC2 con ACL.
Figura 7. Telnet a R1 y R2 desde PC3 con ACL.
Como se puede observar la lista de control de acceso programada en R1 no deja que se realice una sesin con el programa cliente telnet, debido a que rechaza todo informacin con IP diferente de la del PC1:192.168.1.2/24, aunque se cumple con el propsito de evitar que los dems equipos conectados a la LAN 1 puedan establecer una sesin con R1 y de esta manera evitar que se cambie su configuracin, no permite tampoco la transmisin de otro tipo de informacin dejando incomunicados los equipos terminales de la LAN 1 con el resto del mundo, o con comunicacin en un solo sentido, esto ms que una desventaja o ventaja, refleja es el uso errneo de la IP estndar como tipo de lista de acceso para restringir un posible acceso a un equipo como un router.
Encuentre los errores de la siguiente lista de acceso IP estndar y proponga la lista de IP corregida. 1-Router(config)#access-list 1 permit 192.168.2.1 2-Router(config)#access-list 1 deny 192.168.2.2 3-Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255 4-Router(config)#access-list 1 deny any 5-Router(config)#interface serial 0/0 6-Router(config-if)#ip access-group 1 in
Un ejemplo para explicar la acces-list 1 implementada anteriormente y asignada al puerto serial 0/0, puede ser:
Figura 8. Posible caso de aplicacin. La idea central que se puede observar de los comandos propuestos, es bloquear todos los paquetes que vengan de parte del host 192.168.2.2/24, y permitir el ingreso de paquetes provenientes del host 192.168.2.1/24 y del resto de los posibles host en la red LAN 192.168.2.0/24, hacia el router 1(R1) por el puerto serial S0/0.
Sin embargo, cuando se declaran listas de control de acceso hay que tener en cuenta que deben haber la menor cantidad de sentencias con el fin de disminuir el costo computacional que sugiere el estar realizando comparaciones, por tanto la lnea 1 de los comandos ejecutados es completamente innecesaria ya que la direccin de host 192.168.2.1/24 est incluida en la sentencia de la lnea 3 donde incluye todos los hosts posibles en la red 192.168.2.0/24.
De esta manera, y teniendo en cuenta que las sentencias se comparan de uno en uno y de arriba hacia abajo (top-down), primero se verifica si el paquete viene de 192.168.2.2/24, de ser as lo descarta, de lo contrario pasa a la siguiente sentencia en donde verifica si el paquete proviene de 192.168.2.0/24, y como es claro que si se lleg hasta esta sentencia es porque no es el paquete que queremos bloquear, pasar todo paquete que llegue hasta esta sentencia incluyendo los provenientes de 192.168.2.1/24, por otro lado la sentencia de la lnea 4 garantiza que no entre a R1 ningn paquete que no pertenezca a 192.168.2.0/24.
Los comandos a ejecutar debern ser entonces:
1-Router(config)#access-list 1 deny 192.168.2.2 2-Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255 3-Router(config)#access-list 1 deny any 4-Router(config)#interface serial 0/0 5-Router(config-if)#ip access-group 1 in
Encuentre los errores de la siguiente lista de acceso IP estndar y proponga la lista de IP corregida.
Un posible caso de aplicacin vendra de agregar al caso de la figura 1 una red LAN2 172.20.0.0/16 que se comunica a travs de R1, lo que se interpreta a partir de los comandos ejecutados es que se desea bloquear la salida de paquetes a travs del puerto FastEthernet 0/0, provenientes de la red 192.168.2.0/24 y 172.20.0.0/16, adems de permitir la salida de paquetes provenientes del host 192.168.2.1/24 y los paquetes provenientes de cualquier otra red.
Sin embargo, tanto en la lnea 1 y 2 los comandos ejecutados sugieren que la direccin IP a comparar es de un host pues no se especifica una wildcard, el router la toma por defecto como 0.0.0.0 con lo que compara cada uno de los octetos, por tanto es una direccin nica, en la lnea 3 ocurre lo mismo, aun as en la lnea 1 y 2 las direcciones IP terminan en .0 lo que no es usual en direcciones de host, por tanto los comandos se tomaran como si el objetivo fuera el de filtrar paquetes de una red y no de un host.
Si la lnea 1 filtra los paquetes de 192.168.2.0/24 y nos los deja pasar, entonces nunca dejara pasar los provenientes de 192.168.2.1/24, por tanto la lnea 3 debera ser la lnea 1 o inicial, con lo que se propone el siguiente cdigo:
De esta manera se deja pasar solo los paquetes provenientes del host 192.168.2.1/24 y de otras redes diferentes a 192.168.2.0/24 y 172.20.0.0/16 por el puerto FastEthernet 0/0 de R1.
Configurar una lista de acceso en el encaminador R1(Router1) de la red de la figura 3 que permita que el telnet a dicho encaminador lo pueda realizar nicamente cualquier equipo de la LAN1: 192.168.1.0/24, aplicar la misma restriccin a los encaminadores R2 y R3 respectivamente.
Figura 10. Red con listas de acceso.
Antes de aplicar las listas de acceso a cada uno de los caminadores se proceder a comprobar que desde cada una de las redes LAN se pueda hacer telnet a cualquier encaminador, esto se muestra en la figura 4, en donde se puede ver que desde el PC2 ubicado en la LAN1:192.168.1.0/24 se puede hacer telnet a cada uno de los encaminadores.
Figura 11. Comprobacin de telnet desde el PC2 hacia los encaminadores de la red.
En la figura 5 se puede ver que desde el PC2 el ping responde si se hace hasta el PC4 (LAN4:192.168.4.0/24) y hasta el PC5 (LAN3:192.168.3.0/24), lo que significa que el efecto de hacer telnet desde la LAN1 hasta R2 y R3, es anlogo para las dems LAN.
Figura 12. Ping desde PC2 hasta PC4 y PC5.
Ahora bien, se realiza la configuracin de la lista de acceso en R1 como se muestra en la figura 6, en donde se verifica la creacin de la misma con el comando show acces-list.
Figura 13. Configuracin de la lista de acceso en R1.
Con el comando show ip interface se verifica que la lista de acceso 1 que se cre anteriormente este asociada a las interfaces deseadas, lo que se puede observar en las figuras 7 y 8, para las interfaces FastEthernet 0/0 y FastEthernet 0/1 respectivamente.
Figura 14. Asociacin de la lista de acceso con Fae0/0 en R1.
Figura 15. Asociacin de la lista de acceso con Fae0/1 en R1.
La configuracin para los encaminadores R2 y R3 es anloga a la de R1, una vez hecho esto se puede probar que efectivamente no se le puede realizar telnet a los encaminadores desde un equipo perteneciente a una LAN diferente, esto se puede observar en la figura 9 donde se realiza telnet a R1, R2 y R3 teniendo xito solo para R1, esto producto de la lista de acceso.
El procedimiento para comprobar la sesin con cada uno de los encaminadores con telnet desde cada uno de los equipos se realiza de la misma manera que en la figura 9, dando los mismos resultados.
Figura 16. Telnet desde PC2 a R1, R2 y R3 con la lista de acceso configurada en cada encaminador.
Por ltimo se comprueba tambin la realizacin de telnet desde cualquier encaminador hacia los otros dos, esto se muestra en la figura 10, en donde se observa que no es posible establecer la sesin con los otros encaminadores, esto se debe a que el telnet sigue siendo de un origen diferente al de la direccin de red que se permite en cada uno de los encaminadores, diferente sera si la comprobacin y/o comparacin de la lista de acceso se realiza de tipo outbound o la salida de la interfaz y los datos se generen en el interior del encaminador.
Figura 17. Telnet desde R1 hacia R2 y R3 con la lista de acceso configurada en cada encaminador.