Ejemplo de una ACL para permitir tráfico de
navegación sólo en horarios de oficina
y utilización de una ACL reflexiva para el tráfico
de retorno.
Fecha: 18 de Enero 2013 Clase: CCNA Security v1.1 intensivo
Escenario con equipos
reales, Packet Tracert no soporta estas funciones.
1.
Creamos la ventana de tiempo
Rosario#config t
Rosario(config)#time-range OFICINA
Rosario(config-time-range)#periodic weekdays 9:00 to 18:00
Rosario(config-time-range)#end
Rosario#
2.
Creamos la ACL interna (permisos de salida)
Rosario#config t
Rosario(config)#ip access-list extended FILTRO
Rosario(config-ext-nacl)#remark ACL para controlar trafico saliente
Rosario(config-ext-nacl)#permit udp 192.168.1.0 0.0.0.255 any eq domain (para resolución de DNS)
Rosario(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 any eq 443 time-range
OFICINA
Rosario(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 any eq www time-range
OFICINA
Rosario(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.1 eq
telnet (para gestión vía Fa0/0)
Rosario(config-ext-nacl)#end
Rosario#
3.
Creamos la ACL externa (permisos de entrada de tráfico
de retorno)
Rosario(config)#ip access-list extended external_ACL
Rosario(config-ext-nacl)#evaluate web-only-reflexive-ACL
(permitirá lo que genere el reflect de internal_ACL)
Rosario(config-ext-nacl)#evaluate dns-only-reflexive-ACL (permitirá lo que genere el reflect de
internal_ACL)
Rosario(config-ext-nacl)#permit tcp any any eq telnet
(para gestión vía Fa0/1)
Rosario(config-ext-nacl)#exit
Rosario(config)#ip access-list extended internal_ACL
Rosario(config-ext-nacl)#permit tcp any any eq www reflect
web-only-reflexive-ACL timeout 300 (tiempo en
segundos)
Rosario(config-ext-nacl)#permit udp any any eq domain reflect
dns-only-reflexive-ACL timeout 10 (tiempo en segundos)
Rosario(config-ext-nacl)#end
Rosario#
4.Verificamos configuración
Rosario#sh runn
---resumido---
!
interface FastEthernet0/0
ip address
192.168.1.1 255.255.255.0
ip access-group FILTRO
in
ip nat inside
!
interface FastEthernet0/1
ip address
192.168.72.253 255.255.255.0
ip access-group
external_ACL in
ip access-group
internal_ACL out
ip nat outside
!
!
ip nat inside source list 100 interface FastEthernet0/1 overload
!
ip access-list extended FILTRO
remark ACL para
controlar trafico saliente
permit udp
192.168.1.0 0.0.0.255 any eq domain
permit tcp
192.168.1.0 0.0.0.255 any eq 443 time-range OFICINA
permit tcp
192.168.1.0 0.0.0.255 any eq www time-range OFICINA
permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.1 eq telnet
ip access-list extended external_ACL
evaluate
web-only-reflexive-ACL
evaluate
dns-only-reflexive-ACL
permit tcp any any
eq telnet
ip access-list extended internal_ACL
permit tcp any any eq
www reflect web-only-reflexive-ACL timeout 300
permit udp any any
eq domain reflect dns-only-reflexive-ACL timeout 10
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 any (afectada
al PAT)
!
!
time-range OFICINA
periodic weekdays
9:00 to 18:00
!
end
5.Verificamos funcionamiento (generando tráfico http desde un PC 192.168.1.123 conectada a Fa0/0)
Rosario#sh
access-list
Extended IP access list
100 (tráfico que se le realizó PAT)
10 permit ip 192.168.1.0 0.0.0.255 any
(1635 matches)
Extended IP access list
FILTRO
10 permit udp 192.168.1.0 0.0.0.255 any eq
domain (25 matches)
20 permit tcp 192.168.1.0 0.0.0.255 any eq
443 time-range OFICINA (active) (67 matches) (está
dentro del horario)
30 permit tcp 192.168.1.0 0.0.0.255 any eq
www time-range OFICINA (active) (207 matches) (está dentro del horario)
40 permit tcp 192.168.1.0 0.0.0.255 host
192.168.1.1 eq telnet (65 matches) (Telnet PC->
router desde Fa0/0)
Extended IP access list
external_ACL
10 evaluate web-only-reflexive-ACL (1)
20 evaluate dns-only-reflexive-ACL (2)
30 permit tcp any any eq telnet (1528
matches) (Telnet PC-> router desde Fa0/1)
Extended IP access list
internal_ACL
10 permit tcp any any eq www reflect
web-only-reflexive-ACL (522 matches)
20 permit udp any any eq domain reflect
dns-only-reflexive-ACL (50 matches)
Reflexive IP access list
web-only-reflexive-ACL (1) (ventana de tráfico http
de retorno)
permit tcp host
173.194.42.4 eq www host 192.168.72.253 eq 1458 (11 matches) (time left 295) (tráfico IN permitido por ventana de tiempo, deben cumplir
requisitos
permit tcp host
173.194.42.2 eq www host 192.168.72.253 eq 1442 (3 matches) (time left 289) de capas 3 y 4 respecto
al tráfico saliente en ACL internal_ACL)
permit tcp host
74.125.134.95 eq www host 192.168.72.253 eq 1441 (3 matches) (time left 287)
permit tcp host
200.32.12.27 eq www host 192.168.72.253 eq 1437 (3 matches) (time left 287) (tiempo en
segundos para que se cierre el tráfico entrante de esta línea)
permit tcp host
200.32.12.27 eq www host 192.168.72.253 eq 1436 (7 matches) (time left 2)
permit tcp host
200.32.12.27 eq www host 192.168.72.253 eq 1434 (7 matches) (time left 2)
Reflexive IP access list
dns-only-reflexive-ACL (2) (ventana de tráfico dns
de retorno)
permit udp host
8.8.8.8 eq domain host 192.168.72.253 eq 53856 (2 matches)(time left 1)
permit udp host
8.8.8.8 eq domain host 192.168.72.253 eq 56244 (2 matches)(time left 1)
permit udp host
8.8.8.8 eq domain host 192.168.72.253 eq 58377 (2 matches)(time left 0)
Rosario#
6.
Cambiamos la hora del router (para no esperar a las 18:01)
Rosario#clock set
19:00:00 feb 18 2013
Rosario#sh clock
19:00:04.635 UTC Mon Feb
18 2013
Rosario#sh
access-lists
---resumido---
Extended IP access list
FILTRO
10 permit udp 192.168.1.0 0.0.0.255 any eq
domain (41 matches)
20 permit tcp 192.168.1.0 0.0.0.255 any eq
443 time-range OFICINA (inactive) (113 matches) (por lo tanto se denegará todo el tráfico al final
30 permit tcp 192.168.1.0 0.0.0.255 any eq
www time-range OFICINA (inactive) (351 matches) de la ACL por el
deny ip any any implícito)
40 permit tcp 192.168.1.0 0.0.0.255 host
192.168.1.1 eq telnet (338 matches)
---resumido---
Rosario#
7. Sincronizando fecha y hora contra un servidor NTP para
la ACL basadas en tiempo, de lo contrario la fecha y
hora
pueden perderse en
el reinicio del router y por lo tanto la ACL no bloquea o permite como
corresponde.
Rosario#sh clock
*0:3:53.112 UTC Mon Mar
1 1993
Rosario#conf t
Enter configuration
commands, one per line. End with CNTL/Z.
Rosario(config)#ntp server 192.168.1.2
Rosario(config)#ntp update-calendar
Rosario(config)#^Z
Rosario#sh clock
*16:12:28.46 UTC Fri Apr
11 2014
Rosario#
(2013) Networking broke my mind
(2014) Networking
for lonely nights
Rosario, Argentina