Lab0 Vlans y ACL's

jlbr incluido en Pentesting Lab Laboratorio

2022-08-28 1323 palabras 7 minutos

/pentesting/lab/lab01/images/aclVlans.png

Contenido

Siguiendo el post anterior ahora vamos a agregar Vlans y ACL’s para agregar una capa de seguridad adicional.

ACL’s

Las redes Pública, Administrativa y Desarrolladores pueden comunicarse entre sí para evitar esto vamos a agregar ACL’s en el R1. Creamos reglas para cada red:

Red Pública

para esta red debemos denegar el ruteo a las redes Administrativa y Desarrolladores para esto creamos un access-list 2:

1
2
3
4
5


R1(config)#access-list 2 deny 172.16.30.0 0.0.1.255
R1(config)#access-list 2 deny 172.16.32.0 0.0.7.255
R1(config)#access-list 2 deny 172.16.40.0 0.0.7.255
R1(config)#access-list 2 deny 172.16.48.0 0.0.1.255
R1(config)#access-list 2 permit any

Ahora en la interfaz para esta red en R1:

1
2


R1(config)#int gig2/0
R1(config-if)#ip access-group 2 out

Verificamos las reglas con:

1
2
3
4
5
6
7


R1(config)#do sh access-list 2
Standard IP access list 2
    10 deny   172.16.30.0, wildcard bits 0.0.1.255 
    20 deny   172.16.32.0, wildcard bits 0.0.7.255
    30 deny   172.16.40.0, wildcard bits 0.0.7.255 
    40 deny   172.16.48.0, wildcard bits 0.0.1.255
    50 permit any 

Si probamos la conectividad desde/hacia la red Pública notaremos que no tenemos respuesta.

Red de Administrativos:

De manera similar a la red Pública creamos un access-list 3 denegando las redes Pública y Desarrolladores:

1
2
3
4
5
6
7
8


R1(config)#access-list 3 deny 172.16.20.0 0.0.3.255
R1(config)#access-list 3 deny 172.16.24.0 0.0.3.255
R1(config)#access-list 3 deny 172.16.28.0 0.0.1.255
R1(config)#access-list 3 deny 172.16.40.0 0.0.7.255
R1(config)#access-list 3 deny 172.16.48.0 0.0.1.255
R1(config)#access-list 3 permit any
R1(config)#int gig3/0
R1(config-if)#ip access-group 3 out

Red de Desarrolladores

A esta red denegamos el ruteo a las redes Administrativas y Pública:

1
2
3
4
5
6
7
8


R1(config)#access-list 4 deny 172.16.20.0 0.0.3.255
R1(config)#access-list 4 deny 172.16.24.0 0.0.3.255
R1(config)#access-list 4 deny 172.16.28.0 0.0.1.255
R1(config)#access-list 4 deny 172.16.30.0 0.0.1.255
R1(config)#access-list 4 deny 172.16.32.0 0.0.7.255
R1(config)#access-list 4 permit any
R1(config)#int gig4/0
R1(config-if)#ip access-group 4 out

Revisamos la lista de reglas:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


R1(config)#do sh access-list
Standard IP access list 1
    10 permit 172.16.20.0, wildcard bits 0.0.0.255 (2 matches)
    20 permit 172.16.30.0, wildcard bits 0.0.0.255 (5 matches)
    30 permit 172.16.40.0, wildcard bits 0.0.0.255 (1 match)
Standard IP access list 2
    10 deny   172.16.30.0, wildcard bits 0.0.1.255
    20 deny   172.16.32.0, wildcard bits 0.0.7.255
    30 deny   172.16.40.0, wildcard bits 0.0.7.255
    40 deny   172.16.48.0, wildcard bits 0.0.1.255
    50 permit any
Standard IP access list 3
    10 deny   172.16.20.0, wildcard bits 0.0.3.255
    20 deny   172.16.24.0, wildcard bits 0.0.3.255
    30 deny   172.16.28.0, wildcard bits 0.0.1.255
    40 deny   172.16.40.0, wildcard bits 0.0.7.255
    50 deny   172.16.48.0, wildcard bits 0.0.1.255
    60 permit any 
Standard IP access list 4
    10 deny   172.16.20.0, wildcard bits 0.0.3.255
    20 deny   172.16.24.0, wildcard bits 0.0.3.255
    30 deny   172.16.28.0, wildcard bits 0.0.1.255
    40 deny   172.16.30.0, wildcard bits 0.0.1.255
    50 deny   172.16.32.0, wildcard bits 0.0.7.255
    60 permit any
R1(config)#

Con estas reglas las redes quedan aisladas y sin perder la conectividad a internet. La lista 1 es la que creamos para el pool NAT.

Wildards

Para la red Pública usamos el Wildard 0.0.3.255 para los bloques 172.16.20.0-172.16.23.0, esta forma está descrita en el capítulo 10 del libro

CCNA certification study guide 2ed

junto a una descripción de access-list, también encontré esta web de CISCO con buenos ejemplos, aquí la tabla para cada bloque:

/pentesting/lab/lab01/images/wildcards.png — Figura 1: Wildards para cada bloque

Vlans

Tabla de Vlans para cada red:

Vlan Id	Red
20	Pública
30	Administrativos
40	Desarrolladores

Switch de la red Pública(SWP)

Al ser la red Pública vamos a agregar un equipo para brindar información a los clientes y este equipo estara en la red de Administrativos:

/pentesting/lab/lab01/images/vlanNet.png — Figura 2: Conexión vlan

Creamos las vlans que usaremos en este switch:

1
2
3
4
5


SWP(config)#vlan 20
SWP(config-vlan)#name publicNet
SWP(config-vlan)#vlan 30
SWP(config-vlan)#name adminNet
SWP(config-vlan)#

Ahora asignamos las interfaces gig2/0-3 a la vlan 20:

1
2
3
4


SWP(config)#int range gig2/0-3
SWP(config-if-range)#switchport mode access
SWP(config-if-range)#switchport access vlan 20
SWP(config-if-range)#

Similar para las interfaces gig3/0-3 a la vlan 30:

1
2
3


SWP(config)#int range gig3/0-3
SWP(config-if-range)#switchport mode access
SWP(config-if-range)#switchport access vlan 30

Revisamos la tabla de vlans:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27


SWP(config)#do sh vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi0/0, Gi0/1, Gi0/2, Gi0/3
                                                Gi1/0, Gi1/1, Gi1/2, Gi1/3
20   publicNet                        active    Gi2/0, Gi2/1, Gi2/2, Gi2/3
30   adminNet                         active    Gi3/0, Gi3/1, Gi3/2, Gi3/3
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0   
20   enet  100020     1500  -      -      -        -    -        0      0   
30   enet  100030     1500  -      -      -        -    -        0      0   
1002 fddi  101002     1500  -      -      -        -    -        0      0   
1003 tr    101003     1500  -      -      -        -    -        0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trnet 101005     1500  -      -      -        ibm  -        0      0   

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

SWP(config)#

Interfaz troncal

En este caso entre el SWA y SWP solo viajará una vlan (vlan 30) no hay necesidad de establecer una interfaz troncal.

Switch de la red Administrativa(SWA)

Creamos las vlans que usaremos en este caso solo una:

1
2
3


SWA(config)#vlan 30
SWA(config-vlan)#name adminNet 
SWA(config-vlan)#

Asignamos las interfaces gig3/0-3 a la vlan 30:

1
2
3


SWA(config)#int range gig3/0-3
SWA(config-if-range)#switchport mode access
SWA(config-if-range)#switchport access vlan 30    

La tabla de Vlans:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


SWA(config)#do sh vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi0/0, Gi0/1, Gi0/2, Gi0/3
                                                Gi1/0, Gi1/1, Gi1/2, Gi1/3
                                                Gi2/0, Gi2/1, Gi2/2, Gi2/3
30   adminNet                         active    Gi3/0, Gi3/1, Gi3/2, Gi3/3
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0   
30   enet  100030     1500  -      -      -        -    -        0      0   
1002 fddi  101002     1500  -      -      -        -    -        0      0   
1003 tr    101003     1500  -      -      -        -    -        0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trnet 101005     1500  -      -      -        ibm  -        0      0   

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

SWA(config)#

Switch de la red de Desarrolladores(SWD)

Creamos la vlan:

1
2
3


SWA(config)#vlan 40
SWA(config-vlan)#name devNet
SWA(config-vlan)#

ahora las interfaces para esta vlan gig0/1-3:

1
2
3
4


SWA(config)#int range gig1/0-3
SWA(config-if-range)#switchport mode access
SWA(config-if-range)#switchport access vlan 40     
SWA(config-if-range)#

Verificamos la tabla de vlan:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


SWA(config)#do sh vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi0/0, Gi0/1, Gi0/2, Gi0/3
                                                Gi2/0, Gi2/1, Gi2/2, Gi2/3
                                                Gi3/0, Gi3/1, Gi3/2, Gi3/3
40   devNet                           active    Gi1/0, Gi1/1, Gi1/2, Gi1/3
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0   
40   enet  100040     1500  -      -      -        -    -        0      0   
1002 fddi  101002     1500  -      -      -        -    -        0      0   
1003 tr    101003     1500  -      -      -        -    -        0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trnet 101005     1500  -      -      -        ibm  -        0      0   

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

SWA(config)#

La conectividad en todas las redes hacia internet no esta interrumpida. En el siguiente post conectaremos un router Openwrt a GNS3.