esercitazione-cisco-acl

Esercizio finale con zona aziendale, DMZ, VPN, ACL, zona pubblica, ISP

di

Progettazione rete

La progettazione della rete richede di scegliere un opportuno indirizzamento che suddivida le aree di rete locale e le varie zone server in modo logico. La nostra area aziendale è caratterizzata da due aree, una aziendale/uffici ed una dmz. Scegliamo di dividere queste due aree con due indirzzi di classe c 192.168.10.0/24 ed uno 192.168.20.0/24. Impostiamo alcuni dispositivi rispettando una struttura gerarchica con switch a fiocco di neve che collegano le aree alle bocche del router.

L’area esterna aziendale la scegliamo con una lan 192.168.30.0/24, collegata ad un router perimetrale. Simuliamo il resto di internet predisponendo una piccola area con indirizzi 8.0.0.0/8 per simulare un server web non aziendale.

In ogni server e postazione host sono stati impostati opportuni indirizzi ip della rete scelta, maschera, gateway della bocca del router corrispondete, dns che viene scelta sul server 8.8.8.8 (proprio come il dns concesso da google!). Non abbiamo previsto dns interno all’azienda che chiede eventuale salto gerarchico al dns esterno.

Tutte le aree sono interconnesse con cavi DCE ad un router che simulo essere un ISP, Internet Service Provider che fornisce i servizi di connessione ad internet per la mia azienda. Qui l’indirizzamento è ricaduto sulla scelta di 120.0.0.0/24 per il ramo R1 <-> ISP, 120.0.200.0/24 per il ramo R2 <->ISP e 120.0.100.0 per il ramo R3 <-> ISP. Avremo 3 reti differenti sulle bocche dell’ISP che non collidono mentre la rete comune sui lati adiacenti semplifica le operazioni di routing statico effettuato per creare i percorsi necessari.

Routing

Abbiamo deciso di impostare il routing tra i diversi router in gioco impostando rotte statiche. Con il comando del tipo:

ISP(config)# ip route rete-destinazione maschera ip-salto

Abbiamo realizzato le rotte statiche principali da testare col ping tra rete e tra router. Abbiamo tenuto conto del bizzarro fenomeno del protocollo ICMP che per funzionare ha bisogno di una rotta all’andata, ma anche al ritorno. Operazione questa difficoltosa per contemplare le rotte possibili. Per semplicità riportiamo i risultati delle configurazioni sui router R1, R2, R3 e ISP.

rotte su router R1
rotte su router R1
rotte su router ISP
rotte su router ISP
rotte su router R2
rotte su router R2
rotte su router R3
rotte su router R3

E’ facile trovare con un ping come le rotte tracciate permettano indiscriminatamente di pingare i vari nodi di rete.

Configurare la VPN

Dobbiamo collegare in VPN i due router R2 e R1 per consentire una VPN trasparente tra le due reti. Scegliamo la tecnologia basata su tunnel IP GRE. Creiamo una interfaccia virtuale in cui imposteremo le varie, ip, sorgenti e destinazioni e impostiamo la rotta corretta.

> en
# conf t
(config)# int tunnel 0
(config-if)# ip address 192.168.100.1 255.255.255.0
(config-if)# tunnel source serial 0/3/0
(config-if)# tunnel destination 120.0.0.1
(config-if)# tunnel mode gre ip
(config)# ip route 192.168.10.0 255.255.255.0 192.168.100.2
#copy run start-config

Il risultato visto con lo strumento lente di ingrandimento sul router R2 mostra la rotta su Tunnel0

tabella routing con lente su router R2
tabella routing con lente su router R2

Si può analogamente configurare il router R1

> en
# conf t
(config)# int tunnel 0
(config-if)# ip address 192.168.100.2 255.255.255.0
(config-if)# tunnel source serial 0/3/0
(config-if)# tunnel destination 120.0.200.2
(config-if)# tunnel mode gre ip
(config)# ip route 192.168.30.0 255.255.255.0 192.168.100.1
#copy run start-config

Il risultato del tunnel visto questa volta da CLI su router R1 con il comando show ip route. Anche qui notiamo la riga di Tunnel0

show ip route su router R1
show ip route su router R1

ACL

La richiesta prevede che la zona degli uffici e dei db possa effettuare traffico “servizi” verso l’esterno, ma non il contrario. Creiamoci una acl per questa necessità. Definiamo una acl estesa con numero 101, per esempio e la assegniamo alla scheda gigabit ethernet come traffico in uscita.

Configuriamo ora la zona DMZ con rete 192.168.20.0/24. Al momento, la DMZ è facilmente accessibile, ad esempio dalla rete 192.168.30.0/24 poiché è stato creato il percorso di rotte statiche che collega le due reti. Vediamo un esempio di ping semplice basato su protocollo ICMP

La zona DMZ si caratterizza per la necessità rispetto alla rete aziendale di dover garantire l’accesso pubblico dall’esterno. L’idea però è di garantire solo accessi su protocolli mirati o, meglio, visto che siamo in presenza di server web, di garantire accesso su protocollo TCP come richiesto dalla specifica e di aggiungere inoltre il filtro sulla sola porta 80, la porta standard per richiedere una risorsa web.

Ci posizioniamo sul router R1 e la sua CLI. Permettiamo il traffico invece nella zona ufficio, ma solo sul protocollo tcp a patto che sia partito dall’interno della rete, ovvero che sia established. Posizioniamo la nostra acl in ingresso al router sulla porta seriale più esterna.

Router(config)#access-list 100 permit tcp any 192.168.20.0 0.0.0.255 eq 80
Router(config)#access-list 100 permit tcp any eq 80 192.168.10.0 0.0.0.255 established 
Router(config)#int ser 0/3/0
Router(config-if)#ip access-group 100 in
Router(config-if)#exit

Salviamo e il gioco è fatto. Ritestiamo dalla rete 192.168.30.0 icmp è disattivato e fallisce mentre il resto del traffico tcp preventivato va in porto.

File PKT

Il file dell’esercitazione realizzato con la versone di Packet Tracer 8.1

esercizio-finaleDownload

Ultima modifica 3 Giugno 2022

Visite: 1.826