domingo, 9 de junio de 2013

Configurar una Access List (ACL) para securizar nuestra red

Para empezar esta practica, tendremos que acordarnos como crear una ACL, para ello podemos observer la practica de configuración del NAT en un router. En este caso, vamos a crear una access-list para securizar nuestra red. Principalmente se basará en denegar los servicios de ping, telnet y denegar el trafico HTTP. Dicha ACL tendrá como identificador el número 50 y su nombre se llamará FIREWALL.

Comandos para crear esta access-list:

  • Para comenzar, crearemos la access-list, facil, entraremos en modo configuración global e introduciremos "ip access-list extended firewall".
  • Después introduciremos las diferentes denegaciones de servicio con los siguientes comandos:
    • Para denegar los servicios de ping utilizaremos "deny icmp any any echo"
    • Para denegar los servicios de telnet utilizaremos "deny tcp any any eq telnet"
    • Para denegar los servicios web utilizaremos "deny tcp any any eq www"
    • Y para permitir los demas servicios utilizaremos "permit ip any any"

Con estos sencillos pasos, ya tendremos creados la ACL con los servicios de seguridad. Para entendernos subiré un pantallazo de la configuración en el router:

Publicado por en No hay comentarios:

sábado, 8 de junio de 2013

Configurar NAT en un router

Para empezar esta entrada de blog, nos tendremos que preguntar, ¿qué es el NAT?. Es muy facil, sus siglas significan Network Address Transalation, sabiendo sus siglas, podemos intuir por lógica de que se trata y que función va a realizar. En todo caso, su función es traducir / convertir las IP's privadas de nuestra red, en IP's publicas para poder acceder a servicios desde fuera de nuestra red. Por ejemplo, acceder a un servidor web desde nuestra casa. En realidad lo que haremos, será redireccionar una IP publica que tengamos a una IP privada de nuestra red.

Para configurarlo tendremos que tener en cuenta dos conceptos:

  • Inside: Dentro de nuestra red
  • Outside: Fuera de nuestra red.
Para configurarlo:
  • Crearemos un pool, que es un tipo de lista con las IP's publicas y le llamaremos MY-NAT-POOL e introduciremos las IP's publicas disponibles con su correspondiente mascara de subred. El comando a introducir será "ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248".
  • Crearemos una ACL para introducir las IP's privadas que convertiremos en IP's publicas. Para ello utilizaremos los siguientes comandos "access-list 1 permit 172.16.1.128 0.0.0.127
  • Acontinuación, introduciremos "ip nat inside" despues introduciremos la lista (ACL) que hemos creado con las IP's privadas, indicamos el pool que hemos configurado anteriormente y añadiremos el overload. El comando será el siguiente: "ip nat inside source list 1 pool MY-NAT-POOL overload".
  •  Indicamos el permiso de entrada a la interfaz LAN, para ello entraremos en la interfaz que queramos configurar y el comando será el siguiente "ip nat inside".
  • Después incaremos la salida y nos tendremos que colocar en la interfaz de salida. Dentro de la interfaz, introduciremos el siguiente comando: "ip nat outside".
Para aclararnos dejo un pantallazo de la configuración en el router:

 

Publicado por en No hay comentarios:

miércoles, 22 de mayo de 2013

Frame Relay

¿Qué es el Frame Relay?

El Frame Relay es una conexión virtual entre dos routers y dos puntos distantes. Dicha conexión la realizaremos contratando este servicio a un proveedor de servicios telefónicos ya que funciona a través de internet, como puede ser Telefónica. Su caracteristica principal es que utiliza identificadores para poder comunicarse, llamados DLCI (Data Link Control Interface) que se podria decir que es la interface virtual. Además para configurar este servicio, deberemos tener un router especifico frame relay

¿Como configuramos el Frame Relay?

Para empezar, entraremos en modo de configuración global  "configure terminal" y entraremos a la inteface que queramos configurar, en este caso la interface Serial 0/0/1, es decir, "interface serial 0/0/0". A continuación configuraremos la configuración de dicha interface, es decir, "encapsulation frame-relay". Después de este paso añadiremos la ip correspondiente, tambien añadiremos el ancho de banda y configuraremos el router destino con su DLCI. De este modo queda asi:

  1. "ip address 10.10.10.1 255.255.255.252"
  2. "bandwith 64"
  3. "frame-relay map ip 10.10.1.2 102 broadcast"

Para aclararnos dejo esta captura de la configuración del router:


Publicado por en No hay comentarios:

jueves, 2 de mayo de 2013

HDLC y PPP

HDLC es un protocolo de enrutamiento predeterminado de equipos de la marca CISCO. Para conseguir este enrutamiento entre los dos router, HDLC tiene que estar configurado en los dos routers. A este protocolo de enrutamiento se le puede  denominar encapsulación. Para configurar HDLC en un router CISCO, tendremos que seguir los siguientes pasos:

  1. Entrar en modo enable o mas conocido como usuario privilegiado. Para ello en la linea de comandos introducciremos el comando "enable".
  2. Lo siguiente será entrar en modo de configuración global. Para ello en la linea de comandos utilizaremos el comando "configure terminal".
  3. El siguiente paso, consiste en entrar en el modo de configuración de interface. Este comando tendrá diferentes variantes, ya que, tendremos que elegir la interface que nos interesará configurar (Fast Ethernet, Serial...). En este caso utilizaremos las intefaces Serial.
  4. Después, tendremos que utilizar el comando "encapsulation", y añadiremos la encapsulación que nos interese configurar (HDLC, PPP), en este caso HDLC. De este modo el comando será "encapsulation HDLC".



PPP es otro protocolo de enrutamiento, se configura de la misma manera que el protocolo HDLC, pero la diferencia es que en este protocolo se puede securizar la conexión. Así serán los pasos de este protocolo:

  1. Entrar en modo enable o mas conocido como usuario privilegiado. Para ello en la linea de comandos introducciremos el comando "enable".
  2. Lo siguiente será entrar en modo de configuración global. Para ello en la linea de comandos utilizaremos el comando "configure terminal".
  3. El siguiente paso, consiste en entrar en el modo de configuración de interface. Este comando tendrá diferentes variantes, ya que, tendremos que elegir la interface que nos interesará configurar (Fast Ethernet, Serial...). En este caso utilizaremos las intefaces Serial.
  4. Después, tendremos que utilizar el comando "encapsulation", y añadiremos la encapsulación que nos interese configurar (HDLC, PPP), en este caso PPP. De este modo el comando será "encapsulation ppp".
Para configurar la seguridad del protocolo PPP, será de la siguiente manera:

  1. Entrar en modo enable o mas conocido como usuario privilegiado. Para ello en la linea de comandos introducciremos el comando "enable".
  2. Lo siguiente será entrar en modo de configuración global. Para ello en la linea de comandos utilizaremos el comando "configure terminal".
  3. Utilizaremos el comando "username" añadiendo el router que vamos a configurar, añadiendo el comando "password" e introduciendo la contraseña. Ejemplo: R2(config)# username R3 password ciscochap
  4.  El siguiente paso, consiste en entrar en el modo de configuración de interface. Este comando tendrá diferentes variantes, ya que, tendremos que elegir la interface que nos interesará configurar (Fast Ethernet, Serial...). En este caso utilizaremos las intefaces Serial.
  5. Después, utilizaremos el comando "ppp authentication chap".

Publicado por en No hay comentarios:

sábado, 27 de abril de 2013

Configurar routing en los router Cisco

Para comenzar, nos estaremos preguntando que significa la palabra "routing". Basicamente significa enrutar, y consiste en configurar el router para que todas sus interfaces se puedan comunicar aunque sean diferentes redes IP.

¿Como configuramos el router para poder enrutar? Es muy sencillo.

Para empezar, tendremos que diferenciar tres tipos de protocolos de enrutamiento. En este caso, vamos a configurar un router con el protocolo de enrutamiento de EIGRP. Y también existen otros dos tipos de enrutamiento que en este caso solo vamos a nombrar: RIP y OSPF.

Pasos para configurar EIGRP:

  1. Entrar en modo "enable", después entrar modo de configuración global, "configure terminal"
  2.  Escribiremos el comando "router eigrp" y añadiremos el AS number, que es el identificador que añadiremos para diferenciar esta configuración de enrutamiento.
  3. En este paso, tendremos que utilizar el comando "network" para añadir las redes que queremos que se comuniquen y después de añadir el comando network, añadiremos la dirección de red de cada red.
Para dejar mas claros estos pasos, dejo la configuración del enrutamiento de la EWan NAT/ACL practice:



De esta forma, ya tendremos configurado el enrutamiento con el protocolo EIGRP, pero también podremos añadir la mascara wildcard. Para explicarlo tendremos que fijarnos en la máscara de subred de nuestra dirección de red. De este modo tendremos que invertir los bits de la mascara de subred, es decir, lo que antes eran "1" ahora serán "0" y los bits que eran "0" serán "1". De esta manera, conseguiremos la máscara wildmask.
Publicado por en No hay comentarios:

domingo, 21 de abril de 2013

Empezaremos con algo facilito...

El titulo de la entrada, lo dice todo. En esta entrada, nos encargaremos de configurar las interface en el caso de los 4 routers que tenemos en la topologia del EWan Practice. En este caso, 3 routers normales y un router especifico Frame Relay. No nos asustemos, es mucho mas facil de lo que parece y es una configuración básica en cualquier router. Para hacerlo mas facil de entender, lo haremos por pasos:

  1. Entrar en modo enable o mas conocido como usuario privilegiado. Para ello en la linea de comandos introducciremos el comando "enable".
  2. Lo siguiente será entrar en modo de configuración global. Para ello en la linea de comandos utilizaremos el comando "configure terminal".
  3. El siguiente paso, consiste en entrar en el modo de configuración de interface. Este comando tendrá diferentes variantes, ya que, tendremos que elegir la interface que nos interesará configurar (Fast Ethernet, Serial...). En este caso, utilizaremos el ejemplo de la Fast Ethernet 0/0. Y para ello, en la linea de comandos introduciremos "interface FastEthernet 0/0"
 Para aclararnos en estos tres pasos, subo esta imagen:


 Después de entrar al modo de configuración de interface, tendremos que añadir la ip y la mascara de subred junto al comando. De este modo, utilizaremos el comando "ip address 172.16.1.193 255.255.255.224". También tendremos que dar de alta o encender la interface. De este modo utilizaremos el comando "no shutdown". Dejo una imagen para mas aclaración:



En el caso de conexiones serial, tendremos que configurar el clock rate, según quien sea el router DCE y cual el DTE. Para esto utilizaremos el comando "clock rate" y seguidamente añadiremos la velocidad de reloj que queramos utilizar ( normalmente 64000).
Publicado por en No hay comentarios:

Direcciones de red EWan Practice

Para comenzar esta entrada, subo una imagen de la topología de la practica EWan.


De este modo, ya podemos observar las direcciones con las que trabajaremos en esta practica y poder obtener las direcciones de red que utilizamos. Para obtener estas direcciones de red de las interfaces, tendremos que observar en que subred está cada IP utilizada. Podemos deducirlo a través de la mascara de subred que tenemos en la tabla de direcciones. De este modo la tabla de direcciones sera así:



En las siguientes entradas del blog, diferenciaremos los diferentes protocolos que utilizaremos en la EWan practice y veremos como configurarlos.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)