Listas de Control de Acceso

Introducción

Una lista de control de acceso o ACL es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.

Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI.

Se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes. Las listas de acceso de control pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.

Configuración inicial

Configuración de interfaces






Configuración del protocolo RIP


Probando ping




Habilitando VTY´s




Lista de control de acceso, redes permitidas

Protocolo OSPF

Introducción

En esta practica implementamos el protocolo OSPF, que es otro protocolo de enrutamiento dinámico.

El protocolo OSPF es un protocolo de enrutamiento jerárquico de pasarela interior, de envestidura dinamica IGP (Interior Gateway Protocol), que usa algoritmo SmothWall Dijkstra enlace-estado (LSE - Link State Algorithm) para calcular la ruta mas corta posible, utilizando la métrica de menor costo, por ejemplo una métrica podría ser en menor costo de RTT (Round Trip Time).

OSPF tiene dos características principales:

- La primera es que es un protocolo abierto, lo cual significa es de dominio público, las especificaciones OSPF son publicadas en el RFC 1247. 

- La segunda característica es que este protocolo está basado en el algoritmo SPF, el cual algunas veces es llamado Dijkstra, el cual coge el nombre de su creador. 

Como protocolo que mantiene un control del estado de los enlaces de la red, OSPF contrasta con otros protocolos (como el protocolo RIP), es que los existentes son de vector de distancia. Los routers que funcionan con algoritmos de distancia de vector envían toda o parte de sus tablas de rutas en mensajes de actualización a sus vecinos.

WILCARD
“Wildcard” es un “comodín”. Tanto en la dirección de origen, como (en el caso de las ACL extendidas) en la dirección de destino, se especifican las direcciones como dos grupos de números: un número IP, y una máscara wildcard.
Si se traduce a binario, los “1” en la máscara wildcard significan que en la dirección IP correspondiente puede ir cualquier valor.
Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de subred, cambiando los “0” por “1” y los “1” por “0” (en binario).
Sin embargo, las máscaras wildcard también permiten más; por ejemplo, se pueden denegar todas las máquinas con números IP impares, o permitir el rango de IP 1-31, en varias subredes a la vez.

Desarrollo de la practica

Primero se configuran las interfaces de los routers

Router 1
Router>enable
Router#conf t
Router(config)#int g0/0
Router(config-if)#ip add 200.210.220.1 255.255.255.0
Router(config-if)#no sh
Router(config)#int s0/0/0
Router(config-if)#ip add 200.210.222.129 255.255.255.252
Router(config-if)#clock rate 64000
Router(config-if)#no sh
Router(config-if)#exi


Router 2
Router>enable
Router#conf t
Router(config)#int g0/0
Router(config-if)#ip add 200.210.221.3 255.255.255.0
Router(config-if)#no sh
Router(config)#int s0/0/0
Router(config-if)#ip add 200.210.222.130 255.255.255.252
Router(config-if)#no sh
Router(config)#int s0/0/1
Router(config-if)#ip add 200.210.222.133 255.255.255.252
Router(config-if)#clock rate 64000
Router(config-if)#no sh
Router(config-if)#exi


Router 3
Router>enable
Router#conf t
Router(config)#int g0/0
Router(config-if)#ip add 200.210.220.29 255.255.255.128
Router(config-if)#no sh
Router(config)#int s0/0/0
Router(config-if)#ip add 200.210.222.134 255.255.255.252
Router(config-if)#no sh
Router(config-if)#exi

Ahora se configura OSPF en los routers

Router 1
Router(config)#router ospf 1
Router(config-router)#net 200.210.222.128 0.0.0.3 area 0
Router(config-router)#net 200.210.222.0 0.0.0.255 area 0

Router(config-router)#exi

Router 2
Router(config)#router ospf 1
Router(config-router)#net 200.210.222.128 0.0.0.3 area 0
Router(config-router)#net 200.210.222.132 0.0.0.3 area 0
Router(config-router)#net 200.210.221.0 0.0.0.255 area 0
Router(config-router)#exi

Router 3
Router(config)#router ospf 1
Router(config-router)#net 200.210.222.132 0.0.0.3 area 0
Router(config-router)#net 200.210.222.0 0.0.0.127 area 0
Router(config-router)#exi


Después de anunciar las redes, se logra tener comunicacion entre los equipos conectados.
Por ultimo usamos los comandos siguientes para que nos muestre información especifica sobre la comunicación entre los equipos

show ip ospf neighbor
show ip ospf interface

show op ospf database router

Router on a Stick

Introducción

El enrutamiento inter-VLAN ROUTER ON A STICK, es más eficiente que el enrutamiento inter-VlAN tradicional. Consiste en crear subinterfaces (1 hasta 65535) en una sola interfaz física de un Router, entonces tenemos con esta configuración la posibilidad de usar una sola interfaz para enrutar los paquetes de varias VLAN que viajan a través del puerto trunk de un switch conectado a esa interfaz.

Podemos entonces configurar varias IP de diferentes redes a varias interfaces virtuales (subinterfaces) alojadas en una sola interfaz física.

Ventajas

Fácil de implementar solo se requiere crear una subinterfaz por cada VLAN en el Router.
Mucho más económica que tener un Router por VLAN.
Mucha mejor latencia que tener un Router por VLAN.

Desventajas 

Los Routers son más lentos que los switches para ruteo inter-VLAN, lo ideal es tener un switch multicapa.
Si se necesita incrementar el número de puertos, entre más puertos requiera un Router más costoso resulta.
Estamos expuestos al buen funcionamiento de una sola interfaz física en el Router, esto es un único punto de fallo.

Instrucciones

1- Configurar las VLANs en el Switch

2- Habilitar password cisco

3- Proteger las VTYs:

·           - SSH only

       - Username: operador
       - Password: class

4- Deshabilitar los puertos no usados

5- Configurar Router on a Stick

6- Verificar mediante ping entre PC-A y PC-B

Diseño de la red

Desarrollo de la práctica

Configuración de las VLANs

Habilitar Password y Proteger las VTYs

Deshabilitar los puertos no usados

Configurar Router on a Stick

Configurar el Router

Configuración de Dot1Q e interfaces

Ping exitoso entre PC-A y PC-B

Enrutamiento estático y dinámico

Enrutamiento estático 

El enrutamiento es fundamental para cualquier red de datos, ya que transfiere información a través de una internetwork de origen a destino. Los routers son dispositivos que se encargan de transferir paquetes de una red a la siguiente.

Los routers descubren redes remotas de manera dinámica, mediante protocolos de routing, de manera manual, o por medio de rutas estáticas. En muchos casos, los routers utilizan una combinación de protocolos de routing dinámico y rutas estáticas. 

El routing estático proporciona algunas ventajas en comparación con el routing dinámico, por ejemplo:

• Las rutas estáticas no se anuncian a través de la red, lo cual aumenta la seguridad.

• Las rutas estáticas consumen menos ancho de banda que los protocolos de routing dinámico. No se utiliza ningún ciclo de CPU para calcular y comunicar las rutas.

• La ruta que usa una ruta estática para enviar datos es conocida.

El routing estático tiene las siguientes desventajas:

• La configuración inicial y el mantenimiento son prolongados.

• La configuración es propensa a errores, especialmente en redes extensas.

• Se requiere la intervención del administrador para mantener la información cambiante de la ruta.

• No se adapta bien a las redes en crecimiento; el mantenimiento se torna cada vez más complicado.

• Requiere un conocimiento completo de toda la red para una correcta implementación.

Enrutamiento dinámico

Los protocolos de enrutamiento se usan para facilitar el intercambio de información de enrutamiento entre los routers. Un protocolo de enrutamiento es un conjunto de procesos, algoritmos y mensajes que se usan para intercambiar información de enrutamiento y completar la tabla de enrutamiento con la elección de los mejores caminos que realiza el protocolo. El propósito de los protocolos de routing dinámico incluye lo siguiente:

• Descubrir redes remotas

• Mantener la información de enrutamiento actualizada

• Escoger el mejor camino hacia las redes de destino

• Poder encontrar un mejor camino nuevo si la ruta actual deja de estar disponible

Desarrollo de la practica 

Conexión física

PuTTY

Configuración de interfaces, direcciones ip

Comprobando conexión con las interfaces. Para lograr conectividad entre los hosts, solo es necesario configurar la dirección IP, la mascara de red y la dirección IP de la puerta de enlace. 

Interfaz serial 0:

Ping a 200.201.22.133:

Resumen de rutas, comando show ip route:

Ahora la misma configuración, pero usando el protocolo RIPv2 para el routeo dinámico.

Comando show ip route:

Al hacer cambios en la red desde cualquier punto, el protocolo actualiza las tablas de direcciones automáticamente para todos los routers, a diferencia del routeo estático.

Dispositivos de Interconexión de redes

Objetivo

• Relacionar los componentes de los Hubs, Switches y Routers conforme la explicación del maestro
• Documentar (tomando notas y fotografías) los diferentes componentes del Router, identificando los componentes relacionados con cada función de acuerdo al diagrama de bloques del Router

D-Link Ethernet Repeater

Modelo DE-804: Repetidor, Capa 1 del modelo OSI

Un repetidor es un dispositivo sencillo utilizado para regenerar una señal entre dos nodos de una red. De esta manera, se extiende el alcance de la red. El repetidor funciona solamente en el nivel físico (capa 1 del modelo OSI), es decir que sólo actúa sobre la información binaria que viaja en la línea de transmisión y que no puede interpretar los paquetes de información.

Por otra parte, un repetidor puede utilizarse como una interfaz entre dos medios físicos de tipos diferentes, es decir que puede, por ejemplo, conectar un segmento de par trenzado a una línea de fibra óptica.

PM7102 Ethernet Convertidor DC/DC: Convertidor no regulado de DC/DC (entrada 5 V/salida 9 V) de 24 pines.

Puertos

Compatible con Ethernet I, IEEE 802.3; 10BASE5, 10BASE2, y 10BASE-T
Diseñado para ser interfaz con transceivers 10BASE-T
Codificacion Manchester a 10 Mbits/s

Cisco serie 2500

Modelo 2514: Dual LAN/multiprotocol router

La serie CISCO 2500 son routers que se suelen utilizar para conectar Ethernet o Token Ring a través de RDSI. Se basan en un procesador CISC Motorola 68EC030.

Especificaciones:

- CPU: 25 MHz (32 bits, 256 bytes de caché de datos interna, 256 bytes de cache de instrucciones interna)
- RAM: +16 MB
- Voltaje de alimentación: 110/240 V AC o 48 V DC
- Interfaz soportada: Ethernet (10 Mbit/s) y Sync Serial (2 Mbit/s)


Puertos:

AUI: attachment unit interface

Datos de alimentación

 

Vista General 

Memoria RAM

North y South Bridges

Fuente de poder

Slot PCMCIA