Francisco Javier Cruces Doval
viernes, 8 de septiembre de 2023 | 9 minutos
Underworld
Introducción
Vives en UNDERWORLD. En tu mundo, se presentan diferentes tipos de especies con un único fin, “cruzarse” entre sí. Estas criaturas son:
VAMPIROS
LICÁNTROPOS: hombres lobo con la capacidad de regresar a su estado humano.
HOMBRES LOBO: hombres lobo que tras su primera conversión a lobo, no pudieron regresar a su estado humano.
HUMANOS: unos mierdecillas.
TÚ: un guerrero informático con superpoderes como darse la vuelta a un juego que todavía no ha salido al mercado o poseer la facultad de volverse invisible cuando sale de fiesta y trata de cortejar a una fémina diciéndole frases del tipo: ¿quieres que te compile el kernel nena?
El aspecto de UNDERWORLD es el siguiente:
1.Enturar el escenario
Tablas de enrutamiento a “papel”
| ROUTER HUMANO | ||
|---|---|---|
| 192.168.1.0/24 | 0.0.0.0 | F0/0 |
| 192.168.2.0/24 | 0.0.0.0 | F1/0 |
| 192.168.3.0/24 | 192.168.2.2 | F1/0 |
| 192.168.4.0/24 | 192.168.2.2 | F1/0 |
| 192.168.5.0/24 | 192.168.2.2 | F1/0 |
| 192.168.6.0/24 | 192.168.2.2 | F1/0 |
| 192.168.7.0/24 | 192.168.2.2 | F1/0 |
| 0.0.0.0/0 | 192.168.2.2 | F1/0 |
| ROUTER VAMPIROS | ||
|---|---|---|
| 192.168.1.0/24 | 192.168.2.1 | F1/0 |
| 192.168.2.0/24 | 0.0.0.0 | F1/0 |
| 192.168.3.0/24 | 0.0.0.0 | F0/0 |
| 192.168.4.0/24 | 0.0.0.0 | F2/0 |
| 192.168.5.0/24 | 192.168.4.2 | F2/0 |
| 192.168.6.0/24 | 192.168.4.2 | F2/0 |
| 192.168.7.0/24 | 192.168.4.2 | F2/0 |
| 0.0.0.0/0 | 192.168.4.2 | F2/0 |
| ROUTER LICÁNTROPOS | ||
|---|---|---|
| 192.168.1.0/24 | 192.168.4.1 | F2/0 |
| 192.168.2.0/24 | 192.168.4.1 | F2/0 |
| 192.168.3.0/24 | 192.168.4.1 | F2/0 |
| 192.168.4.0/24 | 0.0.0.0 | F2/0 |
| 192.168.5.0/24 | 0.0.0.0 | F0/0 |
| 192.168.6.0/24 | 0.0.0.0 | F1/0 |
| 192.168.7.0/24 | 192.168.6.2 | F1/0 |
| 0.0.0.0/0 | 192.168.4.1 | F1/0 |
| ROUTER HOMBRE LOBO | ||
|---|---|---|
| 192.168.1.0/24 | 192.168.6.1 | F1/0 |
| 192.168.2.0/24 | 192.168.6.1 | F1/0 |
| 192.168.3.0/24 | 192.168.6.1 | F1/0 |
| 192.168.4.0/24 | 192.168.6.1 | F1/0 |
| 192.168.5.0/24 | 192.168.6.1 | F1/0 |
| 192.168.6.0/24 | 0.0.0.0 | F1/0 |
| 192.168.7.0/24 | 0.0.0.0 | F0/0 |
| 0.0.0.0/0 | 192.168.6.1 | F1/0 |
2.Configuración direcciones Ips interfaces
Router humanos
Guardamos la configuración :
Router vampiros
Guardamos la configuración :
Router licántropos
Guardamos la configuración :
Router vampiros
Guardamos la configuración :
3. Añadiendo la tabla de enrutamiento a los routers
Router humanos
Nos creara por defecto las rutas a las redes que estamos conectados solo necesitaremos añadir la ruta por defecto :
Nos quedaría la tabla de enrutamiento :
Guardamos la configuración :
Router vampiros
Añadiremos las siguientes rutas :
Así quedaría la tabla de enrutamiento :
Guardamos la configuración :
Router licántropos
Añadimos las siguientes rutas :
Así quedaría nuestra tabla de enrutamiento :
Guardamos la configuración :
Router hombres lobo
Añadimos las siguientes rutas :
Así quedaría nuestra tabla de enrutamiento :
Guardamos la configuración :
4.Prueba de enrutamiento
Para no hacer muy extenso este apartado comprobare que desde PC1 llego a todos los PCs:
5.Configuración ACLs
Todo el mundo utiliza la red para mandarse mensajitos y ligar (por lo que deberás configurar la red para que esto sea posible en un principio, es decir, que todos los equipos tengan conexión entre sí). Tú, que ya estás hasta la *#%?! de tanto bicho raro como consecuencia de los cruces que se producen cuando un vampiro se cruza por ejemplo con un licántropo y el hijo de éstos con un hombre lobo y así sucesivamente, decides ponerle fin a la historia haciendo lo siguiente, metiéndole unas cuantas ACLs a los routers que los comunican:
- Los VAMPIROS no podrán comunicarse con el resto de especies.
Creamos la regla para denegar el trafico de la red 192.168.3.0:
La aplicamos a la interfaz FastEthernet 0/0(192.168.3.1) y la aplicamos a la salida de esta :
Comprobaremos que los PCs de la red de Vampiros no pueden comunicarse con el resto , nos dice que hay una ACL cortándonos el paso :
Si desde cualquier otro reino nos comunicamos con ellos los mensajes serán capaces de llegar a ellos sin embargo la respuesta no llegaran ya que la ACL lo impide , la respuesta es cortada ya que sale de la red de los vampiros :
- Los HOMBRES LOBO y los LICÁNTROPOS, dado que no son tan repulsivos cuando se cruzan, podrán comunicarse entre sí. Con el resto de especies no tendrán comunicación.
Este apartado podemos darle diferentes soluciones , yo he optado por poner una ACL , en la interfaz F2/0 del router de licántropos .
Creamos la ACL :
Y la aplicamos de salida de la interfaz F2/0 de salida :
Comprobaremos que la ACL funciona , haciendo pings entre las maquinas.
Desde PC7 vemos que no nos permite salir del router de licántropos , este nos corta la comunicación pero sin embargo podemos llegar a las demás redes :
Desde PC5 podemos observar el mismo resultado :
Desde PC1 vemos que no obtenemos respuesta ya que solo estamos cortando el trafico de salida impidiendo que las maquinas de “dentro” se comuniquen con las de fuera .
HUMANOS tampoco podrán comunicarse con el resto de especies
Con el esquema actual de ACLs no seria necesario implementar una nueva regla en ya que con el esquema actual no es posible la comunicación con ellos . Aunque los mensajes que PC1 realice lleguen a su destino este no recibirá ninguna respuesta .
Pero si aun así queremos impedir que los humanos puedan enviar mensajes a los demás desde su red implementaremos la siguiente regla en su router :
Ahora estamos cortando los mensajes de los humanos desde el Router 1:
6.Servidor DHCP
Al final decides hacer negocio con las especies raras porque no tienen ni pajolera idea de informática y eres contratado por estos entes malignos para que lleves a cabo las siguientes tareas:
Hombres lobo
Los hombres lobo que son bastante burros metiendo direcciones IP a sus máquinas, te piden que les configures el servicio DHCP para que todas sus máquinas reciban automáticamente una IP libre:
Tendremos que hacer los siguientes pasos :
- El comando ip dhcp excluded-address 192.168.7.1 –> Señalamos las direcciones que no queremos que se repartan por DHCP , es decir las exclusiones .
- El comando ip dhcp pool HOMBRES_LOBO nombramos al rango de direcciones que estamos repartiendo
- Nos meterá a la configuración del rango, ahora le decimos la red que queremos que reparta las direcciones network 192.168.7.0 255.255.255.0
- Ahora le indicaremos que puerta de enlace queremos que asigne default-router 192.168.7.1
- Si quisiéramos configurar un servidor DNS , por ejemplo el de google seria así dns-server 8.8.8.8
Podemos ver que el servidor DHCP esta funcionando correctamente con los parámetros que le hemos indicado anteriormente :
Licántropos
Los licántropos por su parte, te contratan para que les asignes también por DHCP sus IPs, pero te indican que no pueden recibir las primeras 10 direcciones de su rango (sin contar la de red ni la de la puerta de enlace), ya que éstas, están reservadas para los jefes de su clan que están de viaje y volverán en unos días.
Declaramos las ips que vamos a excluir :
Nombramos al rango de direcciones que estamos repartiendo para así poder configurarlo:
Le decimos la red que queremos que reparta las direcciones :
Ahora le indicaremos que puerta de enlace queremos que asigne :
Comprobaremos que el servidor dhcp esta funcionando :
7.Modificación ACLs
Permitir ligar con las vampiros
De tanto hacer negocio con los vampiros, te fijas en un par de vampiritas que están de muy buen ver y te gustaría poder enviarles mensajitos desde el chalet que te acabas de comprar en HUMANLAND con el pastizal que les estás sacando a las pobres “criaturicas”. Tu IP es la 192.168.1.4 y la de SELENE y SONJA son la 192.168.3.4 y 192.168.3.5 respectivamente. Añade una máquina a HUMANLAND para tu equipo denominado IT KNIGHT y 2 máquinas denominadas SELENE y SONJA con las mencionadas IPs en TRANSILVANIA.
Si queremos realizar esto deberemos de configurar ACLs avanzadas para poder controlar el origen y el destino de los paquetes.
La sintaxis es bastante sencilla en este caso :
permit ip IP_ORIGEN WILDCARD IP_DESTINO WILDCARD Crearemos la ACL para los humanos :
También crearemos la ACL para los vampiros :
La aplicaremos a la interfaz de entrada en cada red , ambas son la FastEthernet 0/0 :
*****Deberemos de haber quitado anteriormente las lista asignada a la interfaz si no dará un error , para quitarla es el mismo comando que para ponerla poniendo un no delante .
Ahora comprobaremos la efectividad de estas reglas que hemos implementado :
IT KNIGHT –> SELENE y SONJA
Vemos que solo nos permite el trafico hacia estos dos host específicos tal y como hemos indicado en nuestras ACLs
SELENE –> IT KNIGHT
Vemos que solo nos permite el trafico hacia estos dos host específicos tal y como hemos indicado en nuestras ACLs , si intentamos comunicarnos con otro host cortara el trafico la ACL:
SONJA–> IT KNIGHT
Vemos que solo nos permite el trafico hacia estos dos host específicos tal y como hemos indicado en nuestras ACLs , si intentamos comunicarnos con otro host cortara el trafico la ACL:
También podemos ver las estadísticas de la ACL en el router fijándonos en los hits de la regla para ver si están funcionando :
Aunque en ninguna de las listas hemos especificado en deny any , no seria necesario ya que esta implícito , es decir por defecto al no cumplirse ninguna regla desechara el trafico .
8. Servidor web
Desde que no se puede ligar en UNDERWORLD, están todos más aburridos que un ajo, así que decides ponerles un servidor WEB interno a UNDERWORLD. Añade al router PUENTE 1, un servidor denominado FICHEROS que tendrá la IP 192.168.8.2/24, creando las ACLs necesarias para que la comunidad entera de UNDERWORLD, pueda entretenerse viendo algunas web chulas.
Lo primero sera configurar la nueva interfaz del router de los HUMANOS:
Lo siguiente sera configurar para nuestro esquema actual en el router de VAMPIROS la ruta a la nueva red para que se route el escenario correctamente :
Ya por ultimo configuraremos la ip de nuestro debian de forma estática con la dirección 192.168.8.2:
Además le instalaremos apache (deberemos hacerlo previamente conectado a la nube NAT ) :
Una vez ya tenemos el servidor web preparado y enrutado en nuestro escenario , vamos a modificar las distintas ACLs para que solo puedan llegar al servidor web por el puerto 80 .
En el router de los humanos añadimos la siguiente regla , la cual permite todo el trafico hacia el host 192.168.8.2 que vaya al puerto 80:
Para refrescar la lista y que se apliquen los cambios deberemos de volver a asignársela al router :
Ahora haremos lo mismo con el router de los vampiros ya que tiene configuradas ACLs extendidas al igual que los humanos :
Ahora vamos a configurar una ACL avanzada para los licántropos y los hombres lobo :
Vamos a comprobar que NO podemos hacerle ping al servidor desde los VPCs:
En resumen hemos mantenido las reglas anteriores pero hemos permitido el trafico al servidor web siempre y cuando venga por el puerto 80 , por eso no podemos hacerle ping .
Vamos a comprobar que podemos acceder al servidor web desde las redes : –>HUMANOS :
–>VAMPIROS:
–>LICÁNTROPOS:
–> HOMBRES LOBO :
