Differences
This shows you the differences between two versions of the page.
|
pr:labs:05 [2019/10/28 11:25] iulia.florea [Bonus] |
— (current) | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | |||
| - | ===== Laboratorul 05. ACL-uri ===== | ||
| - | |||
| - | ==== Motivație ==== | ||
| - | |||
| - | Fiind în continuă creștere a numărului de angajați, compania noastră se vede în situația de a angaja lucrători la distanță pentru departamentele de Marketing și Finanțe (clădirea C). Acest lucru ridică însă o serie de probleme, fiind necesară construcția unei infrastructuri care să impună o serie de reguli de filtrare pentru accesul la resurse al lucrătorilor la distanță. | ||
| - | |||
| - | |||
| - | ==== Topologie ==== | ||
| - | |||
| - | {{:pr:labs:acl_topologie.png?600|}} | ||
| - | ==== Cerințe ==== | ||
| - | |||
| - | === Setup === | ||
| - | <note important> Descărcați configurațiile inițiale de {{:pr:labs:acl_initial_configs.zip|aici}}. </note> | ||
| - | <note important> Descărcați fisierul de configurare de {{:pr:labs:lab5-acl.net|aici}}. </note> | ||
| - | |||
| - | |||
| - | === Exerciții === | ||
| - | Rezolvarea următoarelor taskuri va asigura configurarea corectă a echipamentelor pentru a permite accesul lucrătorilor la distanță și implementarea regulilor de filtrare a traficului. | ||
| - | |||
| - | Atenție: Ruterul R3 nu se află sub autoritatea Dvs., deci nu îl veți configura. El este deja configurat cu toate rutele necesare. | ||
| - | |||
| - | |||
| - | Inainte de a incepe laboratorul, verificati, cu ping, conectivitatea intre ruterul R4 si interfata de loopback a lui R1. | ||
| - | |||
| - | 1. [20p] Pe ruterul R4 există definit Loopback 2, pe care trebuie sa il acceseze doar utilizatorii de pe R2. | ||
| - | Blocati traficul venit de la R1 către această interfață. | ||
| - | |||
| - | <note warning> | ||
| - | Atentie, Restul traficului către ruterul R4 trebuie să funcționeze în continuare! | ||
| - | </note> | ||
| - | |||
| - | <hidden> | ||
| - | <solution -hidden> | ||
| - | <code> | ||
| - | |||
| - | R1#ping 10.10.10.17 | ||
| - | |||
| - | Type escape sequence to abort. | ||
| - | Sending 5, 100-byte ICMP Echos to 10.10.10.17, timeout is 2 seconds: | ||
| - | !!!!! | ||
| - | Success rate is 100 percent (5/5), round-trip min/avg/max = 52/57/64 ms | ||
| - | R1#ping 10.10.10.17 | ||
| - | |||
| - | R4(config)#ip access-list extended ex1 | ||
| - | R4(config-ext-nacl)#deny ip host 192.168.254.1 host 10.10.10.17 | ||
| - | R4(config-ext-nacl)#deny ip host 172.29.167.2 host 10.10.10.17 | ||
| - | R4(config-ext-nacl)#permit ip any any | ||
| - | R4(config-ext-nacl)#int fa2/0 | ||
| - | R4(config-if)#ip access-group ex1 in | ||
| - | |||
| - | R1#ping 10.10.10.17 | ||
| - | |||
| - | Type escape sequence to abort. | ||
| - | Sending 5, 100-byte ICMP Echos to 10.10.10.17, timeout is 2 seconds: | ||
| - | U.U.U | ||
| - | Success rate is 0 percent (0/5) | ||
| - | R2#ping 10.10.10.17 | ||
| - | |||
| - | Type escape sequence to abort. | ||
| - | Sending 5, 100-byte ICMP Echos to 10.10.10.17, timeout is 2 seconds: | ||
| - | !!!!! | ||
| - | Success rate is 100 percent (5/5), round-trip min/avg/max = 16/34/44 ms | ||
| - | |||
| - | |||
| - | </code> | ||
| - | </solution> | ||
| - | </hidden> | ||
| - | |||
| - | |||
| - | 2. [20p] Filtrati traficul TCP cu range-ul de porturi destinatie 22-81 si sursa R1 catre urmatoarele adrese IP: | ||
| - | * 208.69.127.83 | ||
| - | * 77.73.36.99 | ||
| - | * 74.125.39.1 | ||
| - | |||
| - | Observație: Pentru a testa acest task, verificati ca, dupa aplicarea listei de acces, nu merg traficul HTTP si telnet | ||
| - | catre IP-urile de mai sus. | ||
| - | |||
| - | <code> | ||
| - | R1#telnet 208.69.127.83 80 | ||
| - | Trying 208.69.127.83, 80 ... Open | ||
| - | </code> | ||
| - | |||
| - | |||
| - | 3. [20p] Permiteți accesul HTTP generat din zona Teleworker către R2, doar pe interfețele fizice ale acestuia. | ||
| - | Filtrati traficul HTTP catre interfetele de Loopback ale lui R2. | ||
| - | |||
| - | * Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior! | ||
| - | |||
| - | <hidden> | ||
| - | <solution -hidden> | ||
| - | <code> | ||
| - | R1#telnet 208.69.127.83 80 | ||
| - | Trying 208.69.127.83, 80 ... Open | ||
| - | |||
| - | R2(config)#ip access-list extended ex2 | ||
| - | R2(config-ext-nacl)#deny tcp any host 208.69.127.83 range 22 81 | ||
| - | R2(config-ext-nacl)#deny tcp any host 77.73.36.99 range 22 81 | ||
| - | R2(config-ext-nacl)#deny tcp any host 74.125.39.1 range 22 81 | ||
| - | R2(config-ext-nacl)#permit ip any any | ||
| - | R2(config-ext-nacl)#int fa0/0 | ||
| - | |||
| - | R1#telnet 208.69.127.83 80 | ||
| - | Trying 208.69.127.83, 80 ... | ||
| - | % Destination unreachable; gateway or host down | ||
| - | |||
| - | R1#ping 208.69.127.83 | ||
| - | |||
| - | Type escape sequence to abort. | ||
| - | Sending 5, 100-byte ICMP Echos to 208.69.127.83, timeout is 2 seconds: | ||
| - | !!!!! | ||
| - | |||
| - | </code> | ||
| - | </solution> | ||
| - | </hidden> | ||
| - | |||
| - | 4. [20p] Din cauza riscurilor de securitate, s-a luat decizia ca niciun server al companiei din cladirea C (ruter-ul R5) să nu poata initia o conexiune TCP noua catre restul retelei. De aceea, se poate implementa o regulă ce specifică blocarea tuturor pachetelor cu sursa clădirea C ce inițiază o conexiune TCP nouă. | ||
| - | * Observație: Pentru a putea testa acest task, cât și următorul, trebuie să porniți ruterul R5, însă NU trebuie aplicata nicio lista de acces pe acesta. | ||
| - | * Interfata lui R4 conectata catre R5 e e1/0. | ||
| - | |||
| - | <hidden> | ||
| - | <solution -hidden> | ||
| - | <code> | ||
| - | |||
| - | R4#show runing-config | ||
| - | ! | ||
| - | ip access-list extended ex4 | ||
| - | permit tcp any any established | ||
| - | deny tcp any any | ||
| - | permit ip any any | ||
| - | ! | ||
| - | ! | ||
| - | interface Ethernet1/0 | ||
| - | ip address 192.168.231.1 255.255.255.252 | ||
| - | ip access-group ex4 in | ||
| - | half-duplex | ||
| - | no keepalive | ||
| - | ! | ||
| - | |||
| - | R5#ping 208.69.127.83 | ||
| - | |||
| - | Type escape sequence to abort. | ||
| - | Sending 5, 100-byte ICMP Echos to 208.69.127.83, timeout is 2 seconds: | ||
| - | !!!!! | ||
| - | Success rate is 100 percent (5/5), round-trip min/avg/max = 20/35/40 ms | ||
| - | R5#telnet 208.69.127.83 80 | ||
| - | Trying 208.69.127.83, 80 ... | ||
| - | % Destination unreachable; gateway or host down | ||
| - | |||
| - | R1#telnet 192.168.231.2 | ||
| - | Trying 192.168.231.2 ... Open | ||
| - | |||
| - | |||
| - | Password required, but none set | ||
| - | |||
| - | [Connection to 192.168.231.2 closed by foreign host] | ||
| - | |||
| - | </code> | ||
| - | </solution> | ||
| - | </hidden> | ||
| - | |||
| - | |||
| - | 5. [20p] Permiteţi traficul ICMP de la R1 către cladirea C doar dacă acesta este un răspuns la o cerere iniţiată din această zonă. Restul traficului dintre echipamente trebuie să fie permis, de asemenea. | ||
| - | * Hint: Aplicaţi o listă de acces reflexivă pe ruterul R2. | ||
| - | |||
| - | *Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior! | ||
| - | |||
| - | <hidden> | ||
| - | <solution -hidden> | ||
| - | <code> | ||
| - | R2(config-if)#ip access-list extended ex51 | ||
| - | R2(config-ext-nacl)#$ host 192.168.231.2 host 172.29.167.2 reflect ICMPLIST | ||
| - | R2(config-ext-nacl)#$ host 192.168.231.2 host 192.16.254.1 reflect ICMPLIST2 | ||
| - | R2(config-ext-nacl)#permit ip any any | ||
| - | R2(config-ext-nacl)#int fa1/0 | ||
| - | R2(config-if)#ip access-group ex51 in | ||
| - | |||
| - | R2(config)#ip access-list exte ex52 | ||
| - | R2(config-ext-nacl)#evaluate ICMPLIST | ||
| - | R2(config-ext-nacl)#evaluate ICMPLIST2 | ||
| - | R2(config-ext-nacl)#deny icmp host 172.29.167.2 host 192.168.231.2 | ||
| - | R2(config-ext-nacl)#deny icmp host 192.16.254.1 host 192.168.231.2 | ||
| - | R2(config-ext-nacl)#permit ip any any | ||
| - | |||
| - | R2(config)#interface fa1/0 | ||
| - | R2(config-if)#ip access-group ex52 out | ||
| - | |||
| - | R1#ping 192.168.231.2 | ||
| - | |||
| - | Type escape sequence to abort. | ||
| - | Sending 5, 100-byte ICMP Echos to 192.168.231.2, timeout is 2 seconds: | ||
| - | U.U.U | ||
| - | Success rate is 0 percent (0/5) | ||
| - | R5#ping 192.168.254.1 | ||
| - | |||
| - | Type escape sequence to abort. | ||
| - | Sending 5, 100-byte ICMP Echos to 192.168.254.1, timeout is 2 seconds: | ||
| - | !!!!! | ||
| - | |||
| - | </code> | ||
| - | </solution> | ||
| - | </hidden> | ||
| - | ==== Bonus ==== | ||
| - | |||
| - | 6. [10p] Vrem ca traficul TCP din zona Teleworker catre serverul C să functioneze doar în zilele lucrătoare ale unei săptămâni (Luni - Vineri, în intervalul 9:00 – 18:00). Faceți configurațiile necesare pentru a permite accesul în intervalul respectiv, interzicând complet accesul zonei Teleworker catre cladirea C în afara intervalului specificat. | ||
| - | * Observație: Lista de access creată nu trebuie să afecteze funcționalitatea niciunui task anterior! | ||
| - | * Testați funcționarea acestui task schimbând ceasul pe ruterul pe care ați aplicat lista de acces prin comanda: | ||
| - | |||
| - | <code> | ||
| - | Router# clock set 01:00:00 Dec 1 2013 | ||
| - | </code> | ||
| - | |||
| - | <hidden> | ||
| - | <solution -hidden> | ||
| - | <code> | ||
| - | R2(config)#time-range weekdays | ||
| - | R2(config-time-range)#periodic weekdays 09:00 to 18:00 | ||
| - | |||
| - | R2(config)#ip access-list ext ex2 | ||
| - | R2(config-ext-nacl)#31 permit tcp host 172.29.167.2 host 192.168.231.2 time-range weekdays | ||
| - | R2(config-ext-nacl)#32 permit tcp host 192.168.254.1 host 192.168.231.2 time-range weekdays | ||
| - | R2(config-ext-nacl)#33 deny tcp host 172.29.167.2 host 192.168.231.2 | ||
| - | R2(config-ext-nacl)#34 deny tcp host 192.168.254.1 host 192.168.231.2 | ||
| - | |||
| - | R1#telnet 192.168.231.2 | ||
| - | Oct 28 13:14:00.000: %SYS-6-CLOCKUPDATE: System clock has been updated from 21:16:04 UTC Mon Oct 28 2019 to 13:14:00 UTC Mon Oct 28 2019, configured from console by console. | ||
| - | R1#telnet 192.168.231.2 | ||
| - | Trying 192.168.231.2 ... Open | ||
| - | |||
| - | R1#telnet 192.168.231.2 | ||
| - | Trying 192.168.231.2 ... | ||
| - | % Destination unreachable; gateway or host down | ||
| - | |||
| - | </code> | ||
| - | </solution> | ||
| - | </hidden> | ||
