domingo, 23 de agosto de 2015

Configuración de ACLs

Hemos sido contratados por CORP como consultores para que securicemos la red de su empresa para lo cual nos describen sus prioridades:
Descargue archivo PKT
Todas las claves son cisco.

  1. El host 192.168.1.40 tiene acceso a todos los servicios, pero no puede hacer ping a los host de la red de administración. Los demás usuarios de la subred solo tienen acceso a sitios web seguros con aplicaciones del servidor que utilizan en su trabajo, tienen acceso a su e-mail, se les debe asignar una dirección ip automáticamente y deben poder acceder al servidor mediante www.datos.emp. Cualquier otro trafico tiene que ser denegado para esta subred.
  2. Los host con IP par de la subred de administración  tienen acceso FTP, TFTP, HTTP y pueden hacer ping, deben poder ingresar mediante www.datos.emp. Los host impares solo tienen acceso HTTPS, E-mail y deben conectarse con www.datos.emp. Cualquier otro trafico es denegado.
  3. Solo el host 192.168.1.10 puede iniciar sesiones de Telnet al router
En configuración global del router CORP-A la configuración seria la siguiente:

access-list 100 deny icmp host 192.168.1.40 192.168.1.0 0.0.0.31
access-list 100 permit icmp host 192.168.1.40 any
access-list 100 permit tcp host 192.168.1.40 any
access-list 100 permit tcp 192.168.1.32 0.0.0.31 host 10.10.10.2 eq 443
access-list 100 permit tcp 192.168.1.32 0.0.0.31 host 10.10.10.2 eq 25
access-list 100 permit tcp 192.168.1.32 0.0.0.31 host 10.10.10.2 eq 68
access-list 100 permit udp 192.168.1.32 0.0.0.31 host 10.10.10.2 eq 53
access-list 100 deny ip any any
interface g0/0.2
ip access-group 100 in

access-list 101 permit tcp 192.168.1.0 0.0.0.30 host 10.10.10.2 eq 21
access-list 101 permit tcp 192.168.1.0 0.0.0.30 host 10.10.10.2 eq 69
access-list 101 permit tcp 192.168.1.0 0.0.0.30 host 10.10.10.2 eq 80
access-list 101 permit tcp 192.168.1.1 0.0.0.30 host 10.10.10.2 eq 25
access-list 101 permit tcp 192.168.1.1 0.0.0.30 host 10.10.10.2 eq  443
access-list 101 permit udp 192.168.1.1 0.0.0.30 host 10.10.10.2 eq 53
access-list 101 permit icmp 192.168.1.0 0.0.0.30 host 10.10.10.2
access-list 101 deny ip any any
interface g0/0.1
ip access-group 101 in

access-list 1 permit host 192.168.1.10
access-list 1 deny any
line vty 0 4
access-class 1 in

Para verificar la ACL emita el comando show access-list y vera las access list creadas con cada una de sus frases y las veces que se utilizaron.
Pero la verificación verdadera es probar a ver si cumple cada una de las frases creadas.
Publicado por en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

"Tu opinión es importante, gracias por comentar"

Suscribirse a: Enviar comentarios (Atom)