TAREA PRACTICA #10

Asignatura: Networking III

Integrante: Andrés Santiago Cabrera Góngora

Fecha de informe: 29 de Julio de 2021

A. TÍTULO

Configuración de ACLs_extendida IPV4

B. OBJETIVOS DE LA TAREA PRACTICA

GENERAL

Armar la Topología planteada y configurar ACLs con IPv4.

ESPECIFICOS

• Configurar la topología e inicializar dispositivos.

• Configurar dispositivos y verificar la conectividad
• Configure los ajustes básicos en PC, enrutadores y conmutadores.
• Configure el enrutamiento OSPF en R1, ISP y R3.
• Configurar y verificar ACL extendidas numeradas y nombradas
• Configurar, aplicar y verificar una ACL extendida numerada.
• Configurar, aplicar y verificar una ACL extendida con nombre.
• Modificar y verificar las ACL extendidas

C. MARCO TEORICO

ACL

Una ACL es una lista secuencial de condiciones que se aplican al tráfico que viaja
a través de una interfaz del router. Estas condiciones indican al router el tipo de
paquetes que debe aceptar o rechazar. El router examina cada paquete y lo enviará
o lo descartará, según las condiciones especificadas en la ACL. La decisión de
enviar o rechazar un paquete se tomará en función del origen del paquete, el destino
del paquete y el protocolo usado. Los routers no tienen ACL configuradas de manera
predeterminada, por lo que no filtran el tráfico de manera predeterminada. El tráfico
que ingresa al router se enruta solamente en función de la información de la tabla
de routing. Sin embargo, cuando se aplica una ACL a una interfaz, el router realiza
la tarea adicional de evaluar todos los paquetes de red a medida que pasan a través
de la interfaz para determinar si el paquete se puede reenviar. (Portela, David, &
Steven, 2020)

Tareas de las ACL

• Limitan el tráfico de la red para aumentar su rendimiento: Por ejemplo, si la

política corporativa no permite el tráfico de video en la red, se pueden
configurar y aplicar ACL que bloqueen el tráfico de 18 video. Esto reduciría
considerablemente la carga de la red y aumentaría su rendimiento.
• Proporcionan un nivel básico de seguridad para el acceso a la red: Las ACL
pueden permitir que un host acceda a una parte de la red y evitar que otro
host acceda a la misma área. Por ejemplo, se puede restringir el acceso a la
red de Recursos Humanos a los usuarios autorizados.
• Filtran el tráfico según el tipo de tráfico: Por ejemplo, una ACL puede permitir
el tráfico de correo electrónico, pero bloquear todo el tráfico de Telnet.
• Filtran a los hosts para permitirles o denegarles el acceso a los servicios de
red: Las ACL pueden permitirles o denegarles a los usuarios el acceso a
determinados tipos de archivos, como FTP o HTTP.

Funcionamiento de las ACL

Las ACL definen el conjunto de reglas que proporcionan un control adicional para
los paquetes que ingresan por las interfaces de entrada, para los que retransmiten
a través del router y para los que salen por las interfaces de salida del router. Las
ACL no operan sobre paquetes que se originan en el router mismo. Las ACL se
configuran para aplicarse al tráfico entrante o al tráfico saliente

• ACL de entrada: los paquetes entrantes se procesan antes de enrutarse a la

interfaz de salida. Las ACL de entrada son eficaces, porque ahorran la
sobrecarga de enrutar búsquedas si el paquete se descarta. Si las ACL
permiten el paquete, este se procesa para el routing. Las ACL de entrada son
ideales para filtrar los paquetes cuando la red conectada a una interfaz de
entrada es el único origen de los paquetes que se deben examinar.
• ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y
después se procesan mediante la ACL de salida. Las ACL de salida son
ideales cuando se aplica el mismo filtro a los paquetes que provienen de
varias interfaces de entrada antes de salir por la misma interfaz de salida.

GNS3
GNS3 es un software utilizado por cientos de miles de ingenieros de redes a nivel
mundial para emular, configurar, probar y solucionar problemas de redes virtuales y
reales. Le permite ejecutar una pequeña topología que consta de solo unos pocos
dispositivos en su computadora portátil, a aquellos que tienen muchos dispositivos
alojados en múltiples servidores o incluso alojados en la nube.

GNS3 está activamente desarrollado y respaldado, y cuenta con una comunidad en

crecimiento de más de 800,000 miembros. Al unirse a la comunidad se unirá a otros
estudiantes, ingenieros de redes, arquitectos y profesionales que lo han descargado
más de 10 millones de veces hasta la fecha. GNS3 se utiliza en empresas de todo el
mundo, incluidas las compañías Fortune 500. (Telectrónika, 2018)

Arquitectura

• Software GNS3 todo en uno GUI

Esta es la interfaz gráfica de usuario (GUI) de GNS3 y la parte de software necesaria

para la operación de GNS3. Este paquete instala el software todo en uno en la PC,
con lo cual se puede crear topologías utilizando el software incluido.

• Servidor/Máquina Virtual GNS#

Cuando se crea topologías en GNS3 se está utilizando la interfaz gráfica de usuario

(GUI), los dispositivos creados deben estar alojados y ejecutados por una máquina
virtual o servidor. Se tiene algunas opciones:

o Servidor local GNS3. Se ejecuta localmente en la misma PC donde

instaló el software todo en uno GNS3. Si, por ejemplo, está utilizando
una PC con Windows, tanto la GUI GNS3 como el servidor local GNS3
se están ejecutando como procesos en Windows. Procesos
adicionales como Dynamips también se ejecutarán en la PC.
o Máquina Virtual GNS3. Si se decide usar la máquina virtual GNS3
(recomendado), puede ejecutar la máquina virtual GNS3 localmente
en su PC utilizando software de virtualización como VMware
Workstation o VirtualBox; o puede ejecutar la máquina virtual GNS3
de forma remota en un servidor utilizando VMware ESXi o incluso en
la nube.

VLSM

VLSM (Variable Length Subnet Mask Mascara de Subred de Longitud Variable)

permite dividir un espacio de red en partes desiguales, es decir, la máscara de
subred de una dirección IP variara según la cantidad de bits que se tomen prestados
para una subred específica, se conoce también como división de subredes en
subredes.

Características

• El uso de las direcciones IP es más eficaz.

• Subredes de subredes, soporta subredes no contiguas (subredes separadas
por parte de otra subred).

Reglas de asignación de direcciones

• El espacio de direcciones en el que el campo subred es 0 ó -1 para una

máscara de una cierta longitud, puede ser utilizado en una subred con una
máscara de menor longitud.
• Bajo una cierta máscara, las direcciones con campos de subred o host 0 ó -
1 no pueden ser utilizados.
• El espacio de direcciones asignado bajo una máscara no puede ser asignado
bajo otra máscara (prefijo más largo).
• Mayor capacidad de resumen de ruta. (FLORES & TOAPANTA, 2007)

La configuración de VLSM es más bien organizativa a nivel esquemático, se debe

tomar en cuenta los esquemas de direccionamiento.

Ventajas

• Impide el mal uso del espacio de direcciones.

• Aligerar la carga de recursos en los routers.
• Permite una jerarquía más ordenada.
• Sólo es posible en protocolos de enrutamiento sin clase.
• En redes muy divididas, podría ocasionar conflictos en tablas de
enrutamiento.
• Implica un orden de direccionamiento cuidadoso (FLORES & TOAPANTA,
2007)

Wireshark
Wireshark es un analizador de protocolos open-source diseñado por Gerald Combs y
que actualmente está disponible para plataformas Windows y Unix. Conocido
originalmente como Ethereal, su principal objetivo es el análisis de tráfico además de
ser una excelente aplicación didáctica para el estudio de las comunicaciones y para la
resolución de problemas de red. Wireshark implementa una amplia gama de filtros que
facilitan la definición de criterios de búsqueda para los más de 1100 protocolos
soportados actualmente (versión 1.4.3); y todo ello por medio de una interfaz sencilla
e intuitiva que permite desglosar por capas cada uno de los paquetes capturados.
Gracias a que Wireshark “entiende” la estructura de los protocolos, podemos visualizar
los campos de cada una de las cabeceras y capas que componen los paquetes
monitorizados, proporcionando un gran abanico de posibilidades al administrador de
redes a la hora de abordar ciertas tareas en el análisis de tráfico. (Merino, 2011)

De forma similar a Tcpdump, Wireshark incluye una versión en línea de comandos,

denominada Tshark, aunque el presente documento se centrará únicamente en su
versión gráfica. Es importante indicar también que las funcionalidades utilizadas en el
presente informe solo representan una pequeña parte de todo el potencial que puede
ofrecernos Wireshark, y cuyo objetivo principal es servir de guía orientativa para
cualquier administrador que necesite detectar, analizar o solucionar anomalías de red.
Pueden existir situaciones en las que Wireshark no sea capaz de interpretar ciertos
protocolos debido a la falta de documentación o estandarización de estos, en cuyo
caso la ingeniería inversa será la mejor forma de abordar la situación. Otras
herramientas como Snort, OSSIM, así como multitud de IDS/IPS permiten alertar
sobre algunos de los problemas y ataques expuestos en esta guía. No obstante,
cuando se necesita analizar tráfico en profundidad o hay que auditar un entorno en el
que el tiempo prima, dichas herramientas suelen carecer de la flexibilidad que nos
ofrece un analizador de protocolos como Wireshark.

D. METODOLOGÍA

Diagrama de Bloques
 Realizar Topología Configuraciones
Direccionamiento
de red básicas de router

Verificación Configuración Comprobacion

Operabilidad ACL´s Convergencia

Topología
VLSM

Mascara de
Dispositivo Interfaz Dirección IP Gateway
subred

R1WebServer E0 195.50.105.2/28 255.255.255.240 195.50.105.1

ISPWebServer E0 195.50.105.18/28 255.255.255.240 195.50.105.17
PC-A E0 195.50.105.34/28 255.255.255.240 195.50.105.33
PC-C E0 195.50.105.50/28 255.255.255.240 195.50.105.49
F0/0 195.50.105.1/28 255.255.255.240
R1 F3/0 195.50.105.33/28 255.255.255.240
S2/0 195.50.105.129/30 255.255.255.252
F0/0 195.50.105.17/28 255.255.255.240
R2 S2/0 195.50.105.130/30 255.255.255.252
S2/1 195.50.105.133/30 255.255.255.252
F0/0 195.50.105.49/28 255.255.255.240
R3
S2/1 195.50.105.134/30 255.255.255.252
SW1 VLAN 1 195.50.105.40/28 255.255.255.240 195.50.105.33
SW2 VLAN 1 195.50.105.55/28 255.255.255.240 195.50.105.49

E. RECURSOS MATERIALES

Cantidad Denominación Figura

1 Laptop

Asus

Software
1
GNS3
 Wireshark
1

Elementos GNS3
1

F. DESCRIPCIÓN DEL DESARROLLO DE LA PRÁCTICA

1. Topología

Se procede a agregar los elementos correspondientes a esta práctica y se conectan

con interfaces obteniendo la topología
2. Configuracion Básica Switch

En primer lugar, se realizan las configuraciones básicas del router.

Luego se realizan las conexiones pertinentes

• Nombre de Router: SW1_AC

• Contraseña de enable: cisco
• Desactivación de traducción de nombres de resolución dominio
• Banner motd: Andres Cabrera, NET3 Tarea 10
• Configuración de acceso EXEC privilegiado
• Configuración de SSH
• Configuracion de cifrado de contraseña
• Guardar las configuraciones
Se realiza el mismo proceso para el otro Switch

3. Configuracion VLAN

Se procede a configurar las VLAN´s en los Switches

4. Configuracion Básica Router

En primer lugar, se realizan las configuraciones básicas del router.

Luego se realizan las conexiones pertinentes

• Nombre de Router: R1_AC

• Contraseña de enable: cisco
• Desactivación de traducción de nombres de resolución dominio
• Banner motd: Andres Cabrera, NET3 Tarea 10
• Configuración de acceso EXEC privilegiado
• Configuración de SSH
• Configuracion de cifrado de contraseña
• Guardar las configuraciones

Para ello se ingresan los comandos en el modo de configuración hostname R1_AC.

Para el mensaje se ingresa el comando banner motd Andres Cabrera, NET3 Tarea
10. Redundante. Luego se habilita la contraseña con enable secret cisco. Luego
para el cifrado de contraseña se utiliza service password-encryption. Se realiza las
configuraciones SSH y con el comando ip domain name acnet3.com para agregar
un dominio y una clave encriptada se utiliza el comando crypto key generate rsa se
agrega un tamaño siendo en este caso 1024 y se configura SSH. Para configurar
SSH se utiliza el comando ip SSH time-out 20 y ip ssh authentication-retries 5. Se
aclara que se utilizara ssh versión 2 con ip ssh versión 2. Se agrega un usuario y
contraseña con username andresc password cisco. Luego se agrega line vty 0 4 y
dentro de esas configuraciones se agrega transport input ssh y login local se
guardan las configuraciones.
Se realiza el mismo proceso para los otros routers

5. Configuracion de interfaces

Se procede a configurar las direcciones IP de las interfaces de acuerdo con el pool

de direcciones

• R1
 • R2

• R3

6. Enrutamiento OSPF

Se procede a configurar OSPF en cada router en el área 0

7. Configuracion ACLs Extendidas

Se procede a configurar las ACLs tomando en cuenta los requerimientos

i. Desde la PC-A pueda acceder a el Servidor ISPWebServer de ISP.

Se procede a permitir el acceso al servidor Web HTTP mediante el puerto 80 desde

la PC-A hacia el ISPWebServer
 ii. Desde PC-A pueda tener acceso SSH de ISP, pero no pueda recibir
mensajes ICMP.

Por lo que se procede a configurar las Access lists permitiendo el ingreso a SSH
solo a la PC-A habilitando el puerto 22 al router ISP, además de denegar ICMP a la
PC-A

iii. Desde la PC-C pueda acceder a el Servidor WebServer de R1

Se procede a permitir el acceso al servidor Web HTTP mediante el puerto 80 desde

la PC-C hacia el R1WebServer

iv. Desde PC-C pueda tener acceso SSH de R1, pero no pueda recibir
mensajes ICMP

Por lo que se procede a configurar las Access lists permitiendo el ingreso a SSH
solo a la PC-C habilitando el puerto 22 al router R1, además de denegar ICMP a la
PC-C
8. Se guardan las configuraciones

Se realiza el mismo procedimiento en los demás routers

G. RESULTADOS Y CONCLUSIONES

Resultados:

Configuraciones Switch

Luego de realizar las configuraciones básicas se puede observar el mensaje de

bienvenida y la solicitud de contraseña además de las demás configuraciones con
el comando show running-config

Configuraciones Básicas de Router

Luego de realizar las configuraciones básicas se puede observar el mensaje de

bienvenida y la solicitud de contraseña además de las demás configuraciones con
el comando show running-config
Configuraciones de router

Luego de realizar las configuraciones básicas se puede observar las

configuraciones de cada switch con el comando show running-config

• R1
• R2
 • R3

Rutas OSPF

Luego de realizar el enrutamiento OSPF se puede evidenciar las rutas que están
conectadas y las rutas aprendidas por OSPF mediante el comando show ip route.
En las cuales se observa las rutas conectadas denotadas mediante la letra “C” y
las aprendidas por OSPF denotadas por la letra “O”.
Conectividad y Convergencia en la red

Para observar la conectividad y convergencia se realiza un ping y rastreo entre la

PC-C hacia el ISPWebServer, R1WebServer y la PC-A
ACLs

i. Desde la PC-A pueda acceder a el Servidor ISPWebServer de ISP.

Luego de realizar las ACLs respectivas se puede observar los matches

Por lo que se puede observar un correcto ingreso al servidor ISPWebServer desde

la PC-A
Observándose además en las capturas de Wireshark

ii. Desde PC-A pueda tener acceso SSH de ISP, pero no pueda recibir
mensajes ICMP.

Luego de realizar las ACLs respectivas se puede observar los matches

Observándose un correcto funcionamiento de SSH mediante el ingreso por PuTTY

Pudiendo ser visible en Wireshark

Además de la denegación del ping hacia la PC-A desde cualquier otro host
Pudiéndose observar además en Wireshark el envío de ICMP Echo Request sin
respuesta Echo Replay

iii. Desde la PC-C pueda acceder a el Servidor WebServer de R1

Luego de realizar las ACLs respectivas se puede observar los matches

Por lo que se puede observar un correcto ingreso al servidor R1WebServer desde

la PC-C
Observándose además en las capturas de Wireshark

iv. Desde PC-C pueda tener acceso SSH de R1, pero no pueda recibir
mensajes ICMP

Luego de realizar las ACLs respectivas se puede observar los matches

Observándose un correcto funcionamiento de SSH mediante el ingreso por PuTTY

Pudiendo ser visible en Wireshark

Además de la denegación del ping hacia la PC-C desde cualquier otro host

Pudiéndose observar además en Wireshark el envió de ICMP Echo Request sin

respuesta Echo Replay
Conclusiones:

Mediante la realización de esta practica se pudo evidenciar el uso de ACLs

extendidas las cuales permiten admitir o denegar distintos servicios desde un host
o red hacia un servicio o tipo de servicio teniendo en cuenta el puerto y dirección
del servidor.

Como se pudo observar tras la realización de ACLs extendidas se pudo permitir el

acceso por SSH al router mediante el puerto TCP 22, de igual manera se pudo
permitir el acceso a HTTP mediante el puerto TCP 80 y la denegación de ping
mediante ICMP denotando el gran potencial del uso de ACLs extendidas.

Las ACLs extendidas pueden llegar a ofrecer más control que las ACLs estándar
pudiendo filtrar tráfico de distintos servicios, mejorando la organización en la red
permitiendo o denegando servicio o acceso a hosts no deseados, mejorando
además la seguridad.

H. BIBLIOGRAFÍA

FLORES, O., & TOAPANTA, Z. (2007). MULTIHOMING IPv6 CASO PRÁCTICO.

Sangolquí: ESCUELA POLITÉCNICA DEL EJÉRCITO.

Merino, B. (2011). ANÁLISIS DE TRÁFICO CON WIRESHARK. Madrid: INTECO-

CERT.
Portela, S., David, R., & Steven, M. (2020). REDISEÑO LOGICO DE UNA LA RED
LAN A PARTIR DE LA IMPLEMENTACIÓN DE VLAN, INTER-VLAN
ROUTING, DHCP, ACL Y PORTSECURITY EN UN MODELO
JERARQUICO DE RED DE TRES CAPAS CISCO. BOGOTÁ:
UNIVERSIDAD COOPERATIVA DE COLOMBIA.

Telectrónika. (29 de Abril de 2018). Telectrónika. Obtenido de

https://www.telectronika.com/articulos/ti/que-es-gns3/