Your SlideShare is downloading. ×
Actividad 5 ACL y NAT
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Actividad 5 ACL y NAT

544
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
544
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 1 ACTIVIDAD 5 ACL y NAT Jorge Andrés Ocampo Suárez Alejandro Mesa Ramírez Ficha: 455596 Instructor: Julián Ciro Ramírez Tecnología en administración de redes de datos SENA (Servicio Nacional de Aprendizaje) Medellín 2013
  • 2. 2 Introducción El siguiente trabajo tiene como objetivo demostrar la importancia de las listas de acceso para implementar las políticas de seguridad y el uso de NAT para la traducción de direcciones y así poder comunicarse con redes públicas.
  • 3. 3 Topología Políticas de seguridad para el acceso de la red Los servidores de la zona desmilitarizada (DMZ) tendrán acceso desde las redes internas e internet: Para que se cumpla esta norma solo debimos configurar el protocolo de enrutamiento dinamico en el router:
  • 4. 4 La red DMZ solo puede enviar respuestas a peticiones desde los puertos de los servicios comunicados: Para que se cumpla esta norma creamos una lista de acceso extendida donde se permita el tráfico de información tcp al puerto 80 (Servicio web) y que descarte el resto de peticiones. Las redes internas, exceptuando a DMZ, no pueden ser accedidas del inet: Para que se cumpla esta norma creamos una lista extendida que permita que toda la red interna pueda acceder a inet por medio de un echo-reply que significa obtener respuesta. Luego permitimos todo el tráfico ospf y por ultimo especificamos que todo paquete icmp que haga una solicitud (echo) y que pase por la red 192.168.50.76 no será permitido. Los servidores internos solo deben estar publicados para las redes internas Administrativo e ingeniería: Para que se cumpla la norma permitimos que los servidores puedan hacer peticiones hacia cualquiera, luego permitimos las dos redes a las cuales se les quiere dar respuesta, permitimos el trafico ospf y negamos el resto de trafico icmp. La red Administrativo no puede ser accesible desde otras redes:
  • 5. 5 Para que se cumpla esta norma primero permitimos que la red pueda hacer peticiones hacia cualquier otra, luego permitimos el trafico ospf, luego denegamos todas las redes que pidan respuesta y por último permitimos el trafico tcp para que se pueda comunicar con el servidor web. Configure el NAT necesario para permitir que todos los equipos de la red interna tengan acceso a INET: Configuramos bgp para que el DMZ tenga acceso a INET (internet): R-INET(config)#router bgp 231__este numero indica un remoto en el router R-INET(config-router)#neighbor 200.20.2.1 remote-as 123__este es el remoto de otro router R-INET(config-router)#neighbor 200.20.3.2 remote-as 234__igual que este R-INET(config-router)#redistribute connected__Este anuncia las otras redes conectas dentro del router R-DMZ(config)#router bgp 123__este numero indica un remoto en el router; debe ser diferente en cada router R-DMZ(config-router)#neighbor 200.20.2.2 remote-as 231__este es el remoto de otro router R-DMZ(config-router)#redistribute connected Router(config)#router bgp 234 Router(config-router)#neighbor 200.20.3.1 remote-as 231 Router(config-router)#redistribute connected Configuramos NAT para la red interna ya que esta es privada y no puede comunicarse con una pública, utilizando NAT podremos traducir la dirección de pública a privada: Seleccionamos las redes que serán traducidas al salir del DMZ: R-DMZ(config-ext-nacl)#permit ip 192.168.50.76 0.0.0.3 any R-DMZ(config-ext-nacl)#permit ip 192.168.50.32 0.0.0.255 any R-DMZ(config-ext-nacl)#permit ip 192.168.50.32 0.0.0.15 any R-DMZ(config-ext-nacl)#permit ip 192.168.50.48 0.0.0.15 any R-DMZ(config-ext-nacl)#permit ip 192.168.50.72 0.0.0.3 any
  • 6. 6 R-DMZ(config-ext-nacl)#permit ip 192.168.50.68 0.0.0.3 any R-DMZ(config-ext-nacl)#permit ip 192.168.50.84 0.0.0.15 any Asignamos la interfaz de salida, en esta interfaz es cuando se traducen las redes quedando con la dirección IP que esta tenga: R-DMZ(config)#ip nat inside source list nat interface serial 0/0/0.
  • 7. 7 Conclusiones  Una red pública no puede acceder a una privada ni viceversa, para esto utilizamos NAT cuya función es traducir las direcciones y asignarles otras para que puedan tener conectividad entre sí.  Se debe tener un previo cuidado de la configuración de ACL´s, se debe tener en cuenta y muy claro lo que se debe permitir y mucha seguridad de lo que se va a denegar.  La traducción de direcciones (NAT) se puede configurar de múltiples maneras, es aconsejable que cuando se la traducción para un servicio publicado en un servidor, se haga estático, y tener mucho cuidado a la hora de configurarlo dinámicamente.  Para implementar seguridad de la red las ACL´s nos permiten denegar y permitir acceso de la red en cualquier protocolo.
  • 8. 8 Web-grafía  http://aprenderedes.com/2006/11/proceso-de-configuracion-de-acl/  http://todopacketracer.wordpress.com/2012/08/09/configuracion-de-access- list-estandar/  http://todopacketracer.wordpress.com/2011/11/26/configurar-nat-estatico/  http://blog.juliopari.com/servicio-nat-configuracion-y-simulacion/

×