TRABAJO DE EVALUACION DE HABILIDADES 2

TEMA: FIREWALL BASADO EN CONTEXTO (CBAC)

Objetivo

El presente trabajo tiene como objetivos configurar un firewall

utilizando CBAC para controlar el acceso de ciertos protocolos a la
red LAN.

Consideraciones

 Implementar NAT en el router para que se pueda acceder a

Internet utilizando la IP Global 172.17.33.203 de todos los hosts
entre 10.10.10.16 y 10.10.10.31 (subred A) y los hosts entre
10.10.10.32 y 10.10.10.63 deben utilizar la dirección IP
172.17.33.204 (subred B).
 El router utilizará en su interfase LAN Ethernet 0, la(s) ultima(s)
direcciones de la subred.
 Publicar el SMTP Server (10.10.10.1) con la dirección IP global
172.17.33.201 y el Server (10.10.10.2) que es un servidor
WWW con la dirección 172.17.33.202, cualquier host de Internet
puede acceder solamente a dichos servicios.
 Denegar el acceso de los demás hosts de la red 10.10.10.0 hacia
la red Frame Relay.
 En la red Frame Relay, el extremo del enlace punto a punto,
tiene la dirección IP 10.10.11.1 y utiliza eigrp para realizar el
enrutamiento. Asegurarse que se reciban los mensajes eigrp del
router vecino.
Requisitos

 Que los hosts que tienen acceso a Internet se autentiquen para

poder salir a Internet utilizando AAA y puedan utilizar distintos
protocolos de acuerdo a lo siguiente:
 Subred A: Pueden acceder a Internet libremente sin embargo
no pueden descargar archivos usando aplicaciones P2P ni
tampoco pueden usar Mensajería Instantánea.
 Subred B: Solo pueden usar http y https, pero no tienen
acceso a páginas de servicios de correo electrónico. Sin
embargo en ciertos momentos del día (13:00 a 14:00 hrs.) si
pueden entrar al correo y usar Mensajería Instantánea.

Entregables

Entregar la configuración del router firewall, con todas las

consideraciones y requisitos planteados. Asumir aquello que no se
especifique bajo condición de que no altere el planteamiento inicial.
 DESARROLLO

DIAGRAMA DE INTERCONEXION

TABLA DE CONFIGURACIÓN

EQUIPOS DIRECCION IP MASCARA DE RED IP A PUBLICAR GW

SMTP SERVER 10.10.10.1 255.255.255.240 172.17.33.201 10.10.10.30
SERVER 10.10.10.2 255.255.255.240 172.17.33.202 10.10.10.30
ROUTER
E0 10.10.10.30 255.255.255.240 ---
S0 10.10.11.2 255.255.255.252 ----

CONFIGURACIÓN DEL ROUTER

&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

ROUTER1
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

hostname ROUTER1

!
interface FastEthernet0/0
ip address 10.10.10.30 255.255.255.240
ip address 10.10.10.62 255.255.255.224 secondary
ip address 10.10.10.14 255.255.255.240 secondary
no shutdown
!

interface Serial0/0/0
ip address 10.10.11.2 255.255.255.252
encapsulation frame-relay
#frame-relay map ip 10.10.11.2 201
#frame-relay map ip 10.10.11.1 201 broadcast
#no frame-relay inverse-arp
clock rate 64000
no shutdown
!
line vty 0 4
password ciscopass
login
!
!
#Configurando EIGRP
!
router eigrp 100
network 10.10.11.0 0.0.0.3
network 10.10.10.16 0.0.0.15
network 10.10.10.32 0.0.0.31
network 10.10.10.0 0.0.0.15
no auto-summary
!
!
#Configurando ruta x default
!
ip route 0.0.0.0 0.0.0.0 10.10.11.1

!
!
#Configurando Puertos
!
access-list 11 permit 10.10.10.16 0.0.0.15
access-list 12 permit 10.10.10.32 0.0.0.31
!
!
ip nat pool SRA 172.17.33.203 172.17.33.203 netmask 255.255.255.248
ip nat pool SRB 172.17.33.204 172.17.33.204 netmask 255.255.255.248
ip nat inside source list 11 pool SRA overload
ip nat inside source list 12 pool SRB overload

interface FastEthernet0/0
ip nat inside

interface Serial0/0/0
ip nat outside
# Configurando NAT - statico para los servers

ip nat inside source static 10.10.10.1 172.17.33.201

ip nat inside source static 10.10.10.2 172.17.33.202

#Configurando ACLs
#Permitir que usuarios de Internet acedan al servidor de correo interno
#Permitir que usuarios de Internet acedan al servidor www de la red interna
#via http
!
access-list 101 permit tcp any host 172.17.33.201 eq smtp
access-list 102 permit tcp any host 172.17.33.202 eq www
!
interface Serial0/0/0
ip access-group 101 in
ip access-group 102 in
!

#Autentificacion AAA

username user01 secret passuser01

aaa new-model
access-list 100 extended permit ip any any
aaa authentication match 100 inside LOCAL

# Subred A
#Pueda acceder libremente a Internet pero
#No pueda descargar archivos usando aplicaciones P2P
#No pueda usar mensajeria instantanea

# salida libre a Internet

access-list 103 permit tcp host 172.17.33.203 any
!
# messenger
access-list 103 deny tcp host 172.17.33.203 any eq 1863
access-list 103 deny tcp host 172.17.33.203 any eq p2p

interface fa0/0
ip access-group 103 in
# Subred B
#Pueda usar http y https pero
#No tenga acceso a paginas de servicios de correo electrónico (hotmail,
#yahoo) sin embargo de (13 horas hasta 14 horas) si pueda entrar a su
#correo y usar Mensajeria instantanea

# www http
access-list 104 permit tcp host 172.17.33.204 any eq 80
# www https
access-list 104 permit tcp host 172.17.33.204 any eq 443
# domain
access-list 104 permit tcp host 172.17.33.204 any eq 53
# mail
access-list 104 deny tcp host 172.17.33.204 any eq smtp
access-list 104 deny tcp host 172.17.33.204 any eq pop3

#El otro router, deberia tener la siguiente configuracion

hostname Router2

interface FastEthernet0/0
ip address 10.5.5.1 255.255.255.0
no shutdown

interface Serial0/0/0
ip address 10.10.11.1 255.255.255.252
encapsulation frame-relay
#frame-relay map ip 10.10.11.2 201
#frame-relay map ip 10.10.11.1 201 broadcast
#no frame-relay inverse-arp
clock rate 64000
no shutdown

!
line vty 0 4
password cisco
login
!

#Configurando EIGRP
!
router eigrp 100
network 10.10.11.0 0.0.0.3
#network 10.5.5.0 0.0.0.255
no auto-summary
#Configurando ruta estatica para el NAT

ip route 172.17.33.200 255.255.255.248 10.10.11.2