Laboratorul 05. ACL-uri

Motivație

Fiind în continuă creștere a numărului de angajați, compania noastră se vede în situația de a angaja lucrători la distanță pentru departamentele de Marketing și Finanțe (clădirea C). Acest lucru ridică însă o serie de probleme, fiind necesară construcția unei infrastructuri care să impună o serie de reguli de filtrare pentru accesul la resurse al lucrătorilor la distanță.

Topologie

Cerințe

Resurse laborator

  • Descărcați configurațiile inițiale de aici
  • Descărcați fisierul de configurare de aici
  • Arhivă imagine OS c3640-js.bin.zip

Exerciții

Rezolvarea următoarelor taskuri va asigura configurarea corectă a echipamentelor pentru a permite accesul lucrătorilor la distanță și implementarea regulilor de filtrare a traficului.

Atenție: Ruterul R3 nu se află sub autoritatea Dvs., deci nu îl veți configura. El este deja configurat cu toate rutele necesare.

Inainte de a incepe laboratorul, verificati, cu ping, conectivitatea intre ruterul R4 si interfata de loopback a lui R1.

01. [20p] Blocare trafic de la R1

Pe ruterul R4 există definit Loopback 2, pe care trebuie sa il acceseze doar utilizatorii de pe R2. Blocati traficul venit de la R1 către această interfață.

Atentie, Restul traficului către ruterul R4 trebuie să funcționeze în continuare!

R1#ping 10.10.10.17

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.17, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/57/64 ms
R1#ping 10.10.10.17

R4(config)#ip access-list extended ex1 
R4(config-ext-nacl)#deny ip host 192.168.254.1 host 10.10.10.17 
R4(config-ext-nacl)#deny ip host 172.29.167.2  host 10.10.10.17 
R4(config-ext-nacl)#permit ip any any
R4(config-ext-nacl)#int fa2/0
R4(config-if)#ip access-group ex1 in

R1#ping 10.10.10.17

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.17, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R2#ping 10.10.10.17

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.17, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/34/44 ms

02. [20p] Filtrare TCP porturi destinație

Filtrati traficul TCP cu range-ul de porturi destinatie 22-81 si sursa R1 catre urmatoarele adrese IP:

  • 208.69.127.83
  • 77.73.36.99
  • 74.125.39.1

Observație: Pentru a testa acest task, verificati ca, dupa aplicarea listei de acces, nu merg traficul HTTP si telnet catre IP-urile de mai sus.

R1# telnet 208.69.127.83 80
Trying 208.69.127.83, 80 ... Open

03. [20p] Permitere și filtrare trafic HTTP

Permiteți accesul HTTP generat din zona Teleworker către R2, doar pe interfețele fizice ale acestuia. Filtrati traficul HTTP catre interfetele de Loopback ale lui R2.

  • Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!
R1#telnet 208.69.127.83 80
Trying 208.69.127.83, 80 ... Open

R2(config)#ip access-list extended ex2
R2(config-ext-nacl)#deny tcp any host 208.69.127.83 range 22 81
R2(config-ext-nacl)#deny tcp any host 77.73.36.99 range 22 81  
R2(config-ext-nacl)#deny tcp any host 74.125.39.1 range 22 81
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#int fa0/0

R1#telnet 208.69.127.83 80
Trying 208.69.127.83, 80 ... 
% Destination unreachable; gateway or host down

R1#ping 208.69.127.83

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 208.69.127.83, timeout is 2 seconds:
!!!!!

04. [20p] Blocare inițiere conexiuni

Din cauza riscurilor de securitate, s-a luat decizia ca niciun server al companiei din cladirea C (ruter-ul R5) să nu poata initia o conexiune TCP noua catre restul retelei. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu sursa clădirea C ce inițiază o conexiune TCP nouă.

Observații:

  • Pentru a putea testa acest task, cât și următorul, trebuie să porniți ruterul R5, însă NU trebuie aplicata nicio lista de acces pe acesta.
  • Interfata lui R4 conectata catre R5 e e1/0.

R4#show runing-config
!
ip access-list extended ex4
 permit tcp any any established
 deny   tcp any any
 permit ip any any
!
!
interface Ethernet1/0
 ip address 192.168.231.1 255.255.255.252
 ip access-group ex4 in
 half-duplex
 no keepalive
!

R5#ping 208.69.127.83

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 208.69.127.83, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/35/40 ms
R5#telnet 208.69.127.83 80
Trying 208.69.127.83, 80 ... 
% Destination unreachable; gateway or host down

R1#telnet 192.168.231.2
Trying 192.168.231.2 ... Open


Password required, but none set

[Connection to 192.168.231.2 closed by foreign host]

05. [20p] Permitere trafic ICMP

Permiteţi traficul ICMP de la R1 către cladirea C doar dacă acesta este un răspuns la o cerere iniţiată din această zonă. Restul traficului dintre echipamente trebuie să fie permis, de asemenea.

Hint: Aplicaţi o listă de acces reflexivă pe ruterul R2.

Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!

R2(config-if)#ip access-list extended ex51
R2(config-ext-nacl)#$ host 192.168.231.2 host 172.29.167.2 reflect ICMPLIST  
R2(config-ext-nacl)#$ host 192.168.231.2 host 192.16.254.1  reflect ICMPLIST2
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#int fa1/0
R2(config-if)#ip access-group ex51 in

R2(config)#ip access-list exte ex52
R2(config-ext-nacl)#evaluate ICMPLIST
R2(config-ext-nacl)#evaluate ICMPLIST2
R2(config-ext-nacl)#deny icmp host 172.29.167.2 host 192.168.231.2 
R2(config-ext-nacl)#deny icmp host 192.16.254.1 host 192.168.231.2 
R2(config-ext-nacl)#permit ip any any

R2(config)#interface fa1/0
R2(config-if)#ip access-group ex52 out

R1#ping 192.168.231.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.231.2, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R5#ping 192.168.254.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.254.1, timeout is 2 seconds:
!!!!!

06. [BONUS - 10p] Trafic în zilele lucrătoare

Vrem ca traficul TCP din zona Teleworker catre serverul C să functioneze doar în zilele lucrătoare ale unei săptămâni (Luni - Vineri, în intervalul 9:00 – 18:00). Faceți configurațiile necesare pentru a permite accesul în intervalul respectiv, interzicând complet accesul zonei Teleworker catre cladirea C în afara intervalului specificat.

Observații:

  • Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior!
  • Testați funcționarea acestui task schimbând ceasul pe ruterul pe care ați aplicat lista de acces prin comanda:
Router# clock set 01:00:00 Dec 1 2013

 
R2(config)#time-range weekdays
R2(config-time-range)#periodic weekdays 09:00 to 18:00 

R2(config)#ip access-list ext ex2
R2(config-ext-nacl)#31 permit tcp host 172.29.167.2  host 192.168.231.2 time-range weekdays
R2(config-ext-nacl)#32 permit tcp host 192.168.254.1  host 192.168.231.2 time-range weekdays
R2(config-ext-nacl)#33 deny tcp host 172.29.167.2 host 192.168.231.2 
R2(config-ext-nacl)#34 deny tcp host 192.168.254.1 host 192.168.231.2

R2#clock set 13:14:00 28 oct 2019
Oct 28 13:14:00.000: %SYS-6-CLOCKUPDATE: System clock has been updated from 21:16:04 UTC Mon Oct 28 2019 to 13:14:00 UTC Mon Oct 28 2019, configured from console by console.

R1#telnet 192.168.231.2          
R1#telnet 192.168.231.2
Trying 192.168.231.2 ... Open

R2#clock set 21:14:00 28 oct 2019

R1#telnet 192.168.231.2
Trying 192.168.231.2 ... 
% Destination unreachable; gateway or host down
pr/labs/05.txt · Last modified: 2019/10/29 12:46 by octavian.grigorescu
CC Attribution-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0