1

ACTIVIDAD 5

ACL y NAT

Jorge Andrés Ocampo Suárez

Alejandro Mesa Ramírez

Ficha: 455596

Instructor: Julián Ciro Ramírez

Tecnología en administración de redes de datos

SENA

(Servicio Nacional de Aprendizaje)

Medellín

2013

2

Introducción

El siguiente trabajo tiene como objetivo demostrar la importancia de las listas de acceso para implementar las políticas de seguridad y el uso de NAT para la traducción de direcciones y así poder comunicarse con redes públicas.

3

Topología

Políticas de seguridad para el acceso de la red Los servidores de la zona desmilitarizada (DMZ) tendrán acceso desde las redes internas e internet: Para que se cumpla esta norma solo debimos configurar el protocolo de enrutamiento dinamico en el router:

4

La red DMZ solo puede enviar respuestas a peticiones desde los puertos de los servicios comunicados:

Para que se cumpla esta norma creamos una lista de acceso extendida donde se permita el tráfico de información tcp al puerto 80 (Servicio web) y que descarte el resto de peticiones. Las redes internas, exceptuando a DMZ, no pueden ser accedidas del inet:

Para que se cumpla esta norma creamos una lista extendida que permita que toda la red interna pueda acceder a inet por medio de un echo-reply que significa obtener respuesta. Luego permitimos todo el tráfico ospf y por ultimo especificamos que todo paquete icmp que haga una solicitud (echo) y que pase por la red 192.168.50.76 no será permitido. Los servidores internos solo deben estar publicados para las redes internas Administrativo e ingeniería:

Para que se cumpla la norma permitimos que los servidores puedan hacer peticiones hacia cualquiera, luego permitimos las dos redes a las cuales se les quiere dar respuesta, permitimos el trafico ospf y negamos el resto de trafico icmp. La red Administrativo no puede ser accesible desde otras redes:

5

Para que se cumpla esta norma primero permitimos que la red pueda hacer peticiones hacia cualquier otra, luego permitimos el trafico ospf, luego denegamos todas las redes que pidan respuesta y por último permitimos el trafico tcp para que se pueda comunicar con el servidor web. Configure el NAT necesario para permitir que todos los equipos de la red interna tengan acceso a INET: Configuramos bgp para que el DMZ tenga acceso a INET (internet): R-INET(config)#router bgp 231__este numero indica un remoto en el router R-INET(config-router)#neighbor 200.20.2.1 remote-as 123__este es el remoto de otro router R-INET(config-router)#neighbor 200.20.3.2 remote-as 234__igual que este R-INET(config-router)#redistribute connected__Este anuncia las otras redes conectas dentro del router R-DMZ(config)#router bgp 123__este numero indica un remoto en el router; debe ser diferente en cada router R-DMZ(config-router)#neighbor 200.20.2.2 remote-as 231__este es el remoto de otro router R-DMZ(config-router)#redistribute connected Router(config)#router bgp 234 Router(config-router)#neighbor 200.20.3.1 remote-as 231 Router(config-router)#redistribute connected Configuramos NAT para la red interna ya que esta es privada y no puede comunicarse con una pública, utilizando NAT podremos traducir la dirección de pública a privada: Seleccionamos las redes que serán traducidas al salir del DMZ: R-DMZ(config-ext-nacl)#permit ip 192.168.50.76 0.0.0.3 any R-DMZ(config-ext-nacl)#permit ip 192.168.50.32 0.0.0.255 any R-DMZ(config-ext-nacl)#permit ip 192.168.50.32 0.0.0.15 any R-DMZ(config-ext-nacl)#permit ip 192.168.50.48 0.0.0.15 any R-DMZ(config-ext-nacl)#permit ip 192.168.50.72 0.0.0.3 any

6

R-DMZ(config-ext-nacl)#permit ip 192.168.50.68 0.0.0.3 any R-DMZ(config-ext-nacl)#permit ip 192.168.50.84 0.0.0.15 any Asignamos la interfaz de salida, en esta interfaz es cuando se traducen las redes quedando con la dirección IP que esta tenga: R-DMZ(config)#ip nat inside source list nat interface serial 0/0/0.

7

Conclusiones

Una red pública no puede acceder a una privada ni viceversa, para esto

utilizamos NAT cuya función es traducir las direcciones y asignarles otras

para que puedan tener conectividad entre sí.

Se debe tener un previo cuidado de la configuración de ACL´s, se debe

tener en cuenta y muy claro lo que se debe permitir y mucha seguridad de

lo que se va a denegar.

La traducción de direcciones (NAT) se puede configurar de múltiples

maneras, es aconsejable que cuando se la traducción para un servicio

publicado en un servidor, se haga estático, y tener mucho cuidado a la hora

de configurarlo dinámicamente.

Para implementar seguridad de la red las ACL´s nos permiten denegar y

permitir acceso de la red en cualquier protocolo.

8

Web-grafía

http://aprenderedes.com/2006/11/proceso-de-configuracion-de-acl/

http://todopacketracer.wordpress.com/2012/08/09/configuracion-de-access-

list-estandar/

http://todopacketracer.wordpress.com/2011/11/26/configurar-nat-estatico/

http://blog.juliopari.com/servicio-nat-configuracion-y-simulacion/