CCNA  Security, Módulo 4: ACL (access control lists)

                        Fecha: 5 de Mayo del 2010 Instructor: Ernesto Vilarrasa

 

                       

 

Desafío:

 

1) sólo PC 200.0.0.3 puede acceder a web server y DNS server.

2) sólo PC 200.0.0.3 puede acceder al firewall por ssh desde internet.

3) sólo PC 200.0.0.2 puede realizar ping al firewall, previa consulta DNS.

4) el switch 200.0.0.14 envía syslogs a 200.45.0.1

5) el resto no accede a nuestra empresa.

6) sólo PC 192.168.10.200 puede acceder a pruebas.

7) sólo el host 192.168.10.200 puede acceder al firewall por ssh.

 

Solución:

 

Definimos tres ACL, una para internet, otra para LAN y otra para SSH:

 

! esta ACL se aplica en la entrada de paquetes DESDE Internet

! permite que el host .3 acceda al firewall, que hace NAT a .12 en el port 80

access-list 100 permit tcp host 200.0.0.3 host 200.45.0.1 eq 80

! permite que el host .3 acceda al firewall a travez de SSH

access-list 100 permit tcp host 200.0.0.3 host 200.45.0.1 eq 22

! permite que retornen los paquetes HTTP solicitados por 192.168.10.200

access-list 100 permit tcp host 200.0.0.6 eq 80 host 200.45.0.1 established

! permite el ingreso de peticiones DNS                          (ver abajo)

access-list 100 permit udp 200.0.0.2 0.0.0.3 host 200.45.0.1 eq 53

! permite el ingreso de mensajes SYSLOG

access-list 100 permit udp 200.0.0.14 0.0.0.3 host 200.45.0.1 eq 514

! permite el ingreso de ICMP al firewall

access-list 100 permit icmp host 200.0.0.2 host 200.45.0.1

! deniega el resto y deja registro

access-list 100 deny ip any any

!

!

! esta ACL se aplica a los paquetes que saldrán HACIA Internet

! permite la salida HTTP al server www.pruebas.com

access-list 101 permit tcp host 192.168.10.200 host 200.0.0.6 eq 80

! permite el acceso SSH desde el host .200

access-list 101 permit tcp host 192.168.10.200 host 192.168.10.1 eq 22

! permite las respuestas HTTP a las peticiones desde internet

access-list 101 permit tcp host 192.168.10.12 eq 80 host 200.0.0.3

! permite las respuestas RADIUS a las peticiones del firewall

access-list 101 permit udp host 192.168.10.10 eq 1645 host 192.168.10.1

! permite las respuestas DNS a las peticiones desde internet

access-list 101 permit udp host 192.168.10.11 eq 53 200.0.0.2 0.0.0.3

! deniega el resto y deja registro

access-list 101 deny ip any any

!

! esta ACL se aplica al acceso SSH si las otras listas fueran borradas

! se permite el host interno

access-list 11 permit 192.168.10.200

! se permite el host externo

access-list 11 permit 200.0.0.3

! deniega el resto y deja registro

access-list 11 deny any

!

! en la interfaz INSIDE se aplica la ACL 101 entrante desde la LAN

int fa0/0

ip access-group 101 in

exit

!

! en la interfaz OUTSIDE se aplica la ACL 100 entrante desde Internet

int fa0/1

ip access-group 100 in

exit

!

! en la interfaz VTY se aplica la ACL 11 entrante

line vty 0 4

access-class 11 in

end

 

Verificación:

 

Firewall#sh access-lists los match(es) indican cuando hubo coincidencia en la línea

Extended IP access list 100  si todo se probó y verificó deberían existir match(es)

    permit tcp host 200.0.0.3 host 200.45.0.1 eq www (5 match(es))

    permit tcp host 200.0.0.3 host 200.45.0.1 eq 22 (16 match(es))

    permit tcp host 200.0.0.6 eq www host 200.45.0.1 established (6 match(es))

    permit udp 200.0.0.0 0.0.0.3 host 200.45.0.1 eq domain (2 match(es))

    permit udp 200.0.0.12 0.0.0.3 host 200.45.0.1 eq 514 (8 match(es))

    permit icmp host 200.0.0.2 host 200.45.0.1 (4 match(es))

    deny ip any any (40 match(es))

Extended IP access list 101

    permit tcp host 192.168.10.200 host 200.0.0.6 eq www (5 match(es))

    permit tcp host 192.168.10.200 host 192.168.10.1 eq 22 (76 match(es))

    permit tcp host 192.168.10.12 eq www host 200.0.0.3 (3 match(es))

    permit udp host 192.168.10.10 eq 1645 host 192.168.10.1 (4 match(es))

    permit udp host 192.168.10.11 eq domain 200.0.0.0 0.0.0.3 (4 match(es))

    deny ip any any (70 match(es))

Standard IP access list 10

    permit 192.168.10.0 0.0.0.255 (2 match(es))

Standard IP access list 11

    permit host 192.168.10.200 (2 match(es))

    permit host 200.0.0.3 (2 match(es))

    deny any no hay coincidencias debido a que las ACL 100 y 101 filtran el tráfico

Firewall#

 

Apagamos y encendimos nuevamente un PC para generar un syslog desde Internet y verificamos:

 

 

 

Sobre el parámetro established:

 

En la currícula de CCNA Security y lo verifcamos con Wireshark:

 

 

 

Configuración inicial del router:

 

!

hostname Firewall

!

aaa new-model

!

aaa authentication login RADIUS group radius local

aaa authentication login default group radius local

!

username admin privilege 15 secret 5 $1$mERr$slUm

!

ip domain-name cisco

!

interface FastEthernet0/0

 ip address 192.168.10.1 255.255.255.0

 ip nat inside

!

interface FastEthernet0/1

 ip address 200.45.0.1 255.255.255.248

 ip nat outside

!

ip nat inside source list 10 interface FastEthernet0/1 overload

ip nat inside source static tcp 192.168.10.12 80 200.45.0.1 80

ip nat inside source static udp 192.168.10.13 514 200.45.0.1 514

ip nat inside source static udp 192.168.10.11 53 200.45.0.1 53

ip classless

ip route 0.0.0.0 0.0.0.0 200.45.0.2

!

access-list 10 permit 192.168.10.0 0.0.0.255 ACL para matchear paquetes NAT

!

radius-server host 192.168.10.10 auth-port 1645 key Secret1234

!

logging trap informational

logging 192.168.10.13

line con 0

 login

line vty 0 4

 login authentication RADIUS

 transport input ssh

!

end

 

Configuración final del router:

 

Firewall#wri t

Building configuration...

!

hostname Firewall

!

aaa new-model

!

aaa authentication login RADIUS group radius local

aaa authentication login default group radius local

!

username admin privilege 15 secret 5 $1$mERr$slUmKS/I4gB0NqnKSWU5y0

!

ip domain-name cisco

!

interface FastEthernet0/0

 ip address 192.168.10.1 255.255.255.0

 ip access-group 101 in

 ip nat inside

!

interface FastEthernet0/1

 ip address 200.45.0.1 255.255.255.248

 ip access-group 100 in

 ip nat outside

!

interface Vlan1

 no ip address

 shutdown

!

ip nat inside source list 10 interface FastEthernet0/1 overload

ip nat inside source static tcp 192.168.10.12 80 200.45.0.1 80

ip nat inside source static udp 192.168.10.13 514 200.45.0.1 514

ip nat inside source static udp 192.168.10.11 53 200.45.0.1 53

ip classless

ip route 0.0.0.0 0.0.0.0 200.45.0.2

!

access-list 100 permit tcp host 200.0.0.3 host 200.45.0.1 eq www

access-list 100 permit tcp host 200.0.0.3 host 200.45.0.1 eq 22

access-list 100 permit tcp host 200.0.0.6 eq www host 200.45.0.1 established

access-list 100 permit udp 200.0.0.0 0.0.0.3 host 200.45.0.1 eq domain

access-list 100 permit udp 200.0.0.12 0.0.0.3 host 200.45.0.1 eq 514

access-list 100 permit icmp host 200.0.0.2 host 200.45.0.1

access-list 100 deny ip any any

access-list 101 permit tcp host 192.168.10.200 host 200.0.0.6 eq www

access-list 101 permit tcp host 192.168.10.200 host 192.168.10.1 eq 22

access-list 101 permit tcp host 192.168.10.12 eq www host 200.0.0.3

access-list 101 permit udp host 192.168.10.10 eq 1645 host 192.168.10.1

access-list 101 permit udp host 192.168.10.11 eq domain 200.0.0.0 0.0.0.3

access-list 101 permit tcp host 192.168.10.12 host 200.0.0.3 eq www

access-list 10 permit 192.168.10.0 0.0.0.255

access-list 11 permit host 192.168.10.200

access-list 11 permit host 200.0.0.3

access-list 11 deny any

!

radius-server host 192.168.10.10 auth-port 1645 key Secret1234

!

logging trap debugging

logging 192.168.10.13

line con 0

 login

line vty 0 4

 access-class 11 in

 login

 login authentication RADIUS

 transport input ssh

!

end

 

Firewall# show copyright

 

(2010) Ernesto Vilarrasa (Rosario, Argentina)

 

Firewall#

 

 

(2010) Crazy tales to sleep by uncle Ernest

Rosario, Argentina