Fecha: 5 de Mayo del 2010 Instructor: Ernesto Vilarrasa
Desafío:
1) sólo PC 200.0.0.3 puede acceder a web server y DNS server.
2) sólo PC 200.0.0.3 puede acceder al firewall por ssh desde internet.
3) sólo PC 200.0.0.2 puede
realizar ping al firewall, previa consulta DNS.
4) el switch 200.0.0.14 envía syslogs a 200.45.0.1
5) el resto no accede a
nuestra empresa.
6) sólo PC 192.168.10.200
puede acceder a pruebas.
7) sólo el host
192.168.10.200 puede acceder al firewall por ssh.
Solución:
Definimos tres ACL, una para internet, otra para LAN y otra para SSH:
! esta ACL se aplica en la entrada de paquetes DESDE Internet
! permite que el host .3 acceda al firewall, que hace NAT a .12 en el port 80
access-list 100 permit tcp host 200.0.0.3 host
200.45.0.1 eq 80
! permite
que el host .3 acceda al firewall a travez de SSH
access-list 100 permit tcp host 200.0.0.3 host
200.45.0.1 eq 22
! permite
que retornen los paquetes HTTP solicitados por 192.168.10.200
access-list 100 permit tcp host 200.0.0.6 eq 80 host
200.45.0.1 established
! permite el
ingreso de peticiones DNS (ver abajo)
access-list 100 permit udp 200.0.0.2 0.0.0.3 host
200.45.0.1 eq 53
! permite el
ingreso de mensajes SYSLOG
access-list 100 permit udp 200.0.0.14 0.0.0.3 host
200.45.0.1 eq 514
! permite el
ingreso de ICMP al firewall
access-list 100 permit icmp host 200.0.0.2 host
200.45.0.1
! deniega el
resto y deja registro
access-list 100 deny ip any any
!
!
! esta ACL se aplica a los paquetes que saldrán HACIA Internet
! permite la
salida HTTP al server www.pruebas.com
access-list 101 permit tcp host 192.168.10.200 host
200.0.0.6 eq 80
! permite el
acceso SSH desde el host .200
access-list 101 permit tcp host 192.168.10.200 host
192.168.10.1 eq 22
! permite las respuestas HTTP a las peticiones desde internet
access-list 101 permit tcp host 192.168.10.12 eq 80
host 200.0.0.3
! permite las respuestas RADIUS a las peticiones del firewall
access-list 101 permit udp host 192.168.10.10 eq 1645
host 192.168.10.1
! permite las respuestas DNS a las peticiones desde internet
access-list 101 permit udp host 192.168.10.11 eq 53
200.0.0.2 0.0.0.3
! deniega el
resto y deja registro
access-list 101 deny ip any any
!
! esta ACL se aplica al acceso SSH si las otras listas fueran borradas
! se permite el host interno
access-list 11 permit 192.168.10.200
! se permite el host externo
access-list 11 permit 200.0.0.3
! deniega el
resto y deja registro
access-list 11 deny any
!
! en la
interfaz INSIDE se aplica la ACL 101 entrante desde la LAN
int fa0/0
ip access-group 101 in
exit
!
! en la
interfaz OUTSIDE se aplica la ACL 100 entrante desde Internet
int fa0/1
ip access-group 100 in
exit
!
! en la
interfaz VTY se aplica la ACL 11 entrante
line vty 0 4
access-class 11 in
end
Verificación:
Firewall#sh
access-lists los match(es) indican cuando hubo
coincidencia en la línea
Extended IP access list
100 si todo
se probó y verificó deberían existir match(es)
permit tcp host
200.0.0.3 host 200.45.0.1 eq www (5 match(es))
permit tcp
host 200.0.0.3 host 200.45.0.1 eq 22 (16 match(es))
permit tcp
host 200.0.0.6 eq www host 200.45.0.1 established (6 match(es))
permit udp
200.0.0.0 0.0.0.3 host 200.45.0.1 eq domain (2 match(es))
permit udp
200.0.0.12 0.0.0.3 host 200.45.0.1 eq 514 (8 match(es))
permit icmp
host 200.0.0.2 host 200.45.0.1 (4 match(es))
deny ip any
any (40 match(es))
Extended IP access list 101
permit tcp
host 192.168.10.200 host 200.0.0.6 eq www (5 match(es))
permit tcp
host 192.168.10.200 host 192.168.10.1 eq 22 (76 match(es))
permit tcp
host 192.168.10.12 eq www host 200.0.0.3 (3 match(es))
permit udp
host 192.168.10.10 eq 1645 host 192.168.10.1 (4 match(es))
permit udp host 192.168.10.11 eq domain 200.0.0.0 0.0.0.3 (4
match(es))
deny ip any
any (70 match(es))
Standard IP access list 10
permit
192.168.10.0 0.0.0.255 (2 match(es))
Standard IP access list 11
permit host
192.168.10.200 (2 match(es))
permit host
200.0.0.3 (2 match(es))
deny
any no hay coincidencias debido a que las ACL 100 y
101 filtran el tráfico
Firewall#
Apagamos y encendimos
nuevamente un PC para generar un syslog desde Internet y verificamos:
Sobre el parámetro
established:
En la currícula de CCNA Security y lo verifcamos con Wireshark:
!
hostname Firewall
!
aaa new-model
!
aaa authentication login RADIUS group radius local
aaa authentication login default group radius local
!
username admin privilege 15 secret 5 $1$mERr$slUm
!
ip domain-name cisco
!
interface FastEthernet0/0
ip address
192.168.10.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
ip address
200.45.0.1 255.255.255.248
ip nat outside
!
ip nat inside source list
10 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.10.12 80
200.45.0.1 80
ip nat inside source static udp 192.168.10.13 514
200.45.0.1 514
ip nat inside source static udp 192.168.10.11 53
200.45.0.1 53
ip classless
ip route 0.0.0.0 0.0.0.0 200.45.0.2
!
access-list 10 permit 192.168.10.0 0.0.0.255 ACL para matchear paquetes NAT
!
radius-server host 192.168.10.10 auth-port 1645 key
Secret1234
!
logging trap informational
logging 192.168.10.13
line con 0
login
line vty 0 4
login
authentication RADIUS
transport
input ssh
!
end
Firewall#wri t
Building configuration...
!
hostname Firewall
!
aaa new-model
!
aaa authentication login RADIUS group radius local
aaa authentication login default group radius local
!
username admin privilege 15 secret 5
$1$mERr$slUmKS/I4gB0NqnKSWU5y0
!
ip domain-name cisco
!
interface FastEthernet0/0
ip address
192.168.10.1 255.255.255.0
ip access-group 101 in
ip nat inside
!
interface FastEthernet0/1
ip address
200.45.0.1 255.255.255.248
ip access-group 100 in
ip nat outside
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list
10 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.10.12 80
200.45.0.1 80
ip nat inside source static udp 192.168.10.13 514
200.45.0.1 514
ip nat inside source static udp 192.168.10.11 53
200.45.0.1 53
ip classless
ip route 0.0.0.0 0.0.0.0 200.45.0.2
!
access-list 100 permit tcp host 200.0.0.3
host 200.45.0.1 eq www
access-list 100 permit tcp host 200.0.0.3
host 200.45.0.1 eq 22
access-list 100 permit tcp host 200.0.0.6
eq www host 200.45.0.1 established
access-list 100 permit udp 200.0.0.0
0.0.0.3 host 200.45.0.1 eq domain
access-list 100 permit udp 200.0.0.12
0.0.0.3 host 200.45.0.1 eq 514
access-list 100 permit icmp host 200.0.0.2
host 200.45.0.1
access-list 100 deny ip any any
access-list 101 permit tcp host
192.168.10.200 host 200.0.0.6 eq www
access-list 101 permit tcp host 192.168.10.200 host 192.168.10.1 eq 22
access-list 101 permit tcp host
192.168.10.12 eq www host 200.0.0.3
access-list 101 permit udp host 192.168.10.10
eq 1645 host 192.168.10.1
access-list 101 permit udp host
192.168.10.11 eq domain 200.0.0.0 0.0.0.3
access-list 101 permit tcp host
192.168.10.12 host 200.0.0.3 eq www
access-list 10 permit 192.168.10.0
0.0.0.255
access-list 11 permit host 192.168.10.200
access-list 11 permit host 200.0.0.3
access-list 11 deny any
!
radius-server host 192.168.10.10 auth-port 1645 key
Secret1234
!
logging trap debugging
logging 192.168.10.13
line con 0
login
line vty 0 4
access-class 11 in
login
login authentication
RADIUS
transport
input ssh
!
end
Firewall# show copyright
(2010) Ernesto Vilarrasa
(Rosario, Argentina)
Firewall#
(2010) Crazy tales to sleep by uncle Ernest
Rosario, Argentina