Capítulo 6 - nce.ufrj.br
Transcript of Capítulo 6 - nce.ufrj.br
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 1
Cisco Networking AcademyNúcleo de Computação Eletrônica
Universidade Federal do Rio de Janeiro
Capítulo 6
ACLs
2
SUMÁRIO
? 6.1 - Access Control Lists (ACLs);? 6.2 - Tarefas de Configuração da ACL;? 6.3 - ACLs Padrão;? 6.4 - ACLs Estendidas;? 6.5 - ACLs com Nomes;? 6.6 - Usando as ACLs com Protocolos;? 6.7 - Colocação das ACLs;? 6.8 - Verificando as ACLs.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 2
3
6.1 - Access Control Lists (ACLs)
? Objetivo? Introduzir o conceito de access control list
(ACL).
? Estrutura? 6.1.1 - O que são ACLs;? 6.1.2 - Razões para Criar ACLs;? 6.1.3 - Testando os Pacotes com ACLs;? 6.1.4 - Como as ACLs Funcionam;? 6.1.5 - Diagrama de Fluxo de Processo de
Correspondência do Teste de ACL.
4
Projeto do órgão de administração escolar Washington: ACLs
? Neste capítulo, você aprenderá os conceitos e comandos de configuração que vão ajudá-lo a usar e implementar ACLs na rede do Órgão de administração escolar Washington. Além disso, à medida que os conceitos e comandos da ACL forem apresentados, você será capaz de aplicarACLs ao projeto da escola e à sua implementação.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 3
5
Estudo de caso dividido em temas Projeto Washington: requisitos de segurança
? O projeto de LAN para todas as escolas no Órgão de administração escolar Washington requer que cada escola tenha duas redes: uma para currículo e outra para administração. Cada segmento de LAN exclusivo deve ser conectado a uma porta Ethernet separada no roteadorpara servir àquela LAN. Tais roteadores existem; procure em http://www.cisco.com para obter mais informações. Como parte da solução de segurança, você precisa projetar uma ACL para o roteador de acesso local que negará acesso aos usuários do segmento de LAN do currículo para o segmento de LAN administrativo, e ainda assim, continuará a conceder à LAN administrativa acesso total ao segmento de LAN do currículo.
6
Estudo de caso dividido em temas Projeto Washington: requisitos de segurança
? Uma exceção a essa ACL é que o roteador deve passar qualquer Sistema de Nomes de Domínio (DNS) ou tráfego de correio eletrônico para o servidor DNS/correio eletrônico, que estálocalizado no segmento da LAN administrativa. Esse é o tráfego originado na LAN que éacessado pelos alunos. Dessa forma, se um aluno estiver navegando na Web e precisar que o servidor DNS resolva os nomes de host, essa ACL fornecerá a resolução do nome de host. Além disso, essa ACL permitirá que os alunos enviem e recebam correio eletrônico.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 4
7
6.1.1 - O que são ACLs
? ACLs: listas de instruções que se aplicam à interface do roteador;
8
6.1.1 - O que são ACLs
? Essas listas dizem ao roteador que tipos de pacotes aceitar e recusar;
? Aceitação e recusa podem ser baseadas em certas especificações, como endereço origem, endereço destino e número da porta;
? ACLs permitem gerência do tráfego e digitalizar pacotes específicos aplicando a ACL à interface de um roteador;
? Qualquer tráfego atravessando a interface é testado com relação a certas condições que compõe a ACL;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 5
9
6.1.1 - O que são ACLs
? ACLs podem ser criadas para todos os protocolos de rede roteados, como IP e IPX, para filtrar pacotes conforme eles passem por um roteador;
? ACLs podem ser configuradas no roteadorpara controlar o acesso à rede ou sub-rede;
10
6.1.1 - O que são ACLs
? Roteador examina cada pacote para determinar se deve encaminhá-lo ou descartá-lo, baseado nas condições especificadas na ACL;
? Condições da ACL poderiam ser: endereço origem do tráfego, endereço destino do tráfego, protocolo da camada superior ou outras informações.
? ACLs devem ser definidas por aplicativo ? deve-se definí-las para cada protocolo ativado em uma interface, se desejar controlar o fluxo de tráfego para aquela interface;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 6
11
6.1.1 - O que são ACLs
? Em uma interface de roteador configurada para IP, AppleTalk e IPX, é preciso definir pelo menos três ACLs;
? ACLs podem ser usadas como uma ferramenta para controlar a rede, pois adicionam flexibilidade para filtrar os pacotes que entram e saem das interfaces do roteador.
12
Estudo de caso dividido em temasProjeto Washington: usando ACLs
? Quando você usa ACLs nos roteadores de acesso local, todo o tráfego de LANs do currículo deve ser proibido na LAN administrativa. Você pode fazer exceções a esse requisito permitindo que aplicativos, como serviços de correio eletrônico e diretório, passem livremente, pois representam risco mínimo.
? Correio eletrônico e DNS precisam estar disponíveis através do órgão de administração, e esses tipos de serviços não devem permitir acesso não autorizado à rede administrativa. Todas as ACLs que você criar precisam ser controladas no escritório do órgão de administração e vocêprecisa rever exceções às ACLs antes da implementação.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 7
13
6.1.2 - Razões para Criar ACLs
? Há várias razões para criar ACLs;? Fornecer um nível básico de segurança para
acesso à rede;? Limitar tráfego na rede e aumentar
desempenho da rede;? Fornecer controle de fluxo de tráfego:
? Permitir que tráfego de correio eletrônico sejaroteado, e ao mesmo tempo, bloquear todo o tráfego de telnet.
? Permitir que um host acesse uma parte de sua rede e impedir que outro acesse a mesma área;
14
6.1.2 - Razões para Criar ACLs
? Host A tem permissão de acesso a rede de Recursos Humanos, enquanto host B é impedido de acessá-la;
? Se não configurar ACLs no seu roteador, todos os pacotes passando por um roteador podem ter acesso permitido a todas as partes da rede.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 8
15
6.1.3 - Testando os Pacotes com ACLs
? Ordem na qual são colocadas as instruções da ACL é importante;
? Quando roteador está decidindo se encaminha ou bloqueia um pacote, software IOS testa o pacote em relação à cada instrução de condição, na ordem em que as instruções foram criadas;
? Obs.: Depois que uma correspondência for encontrada, nenhuma outra instrução de condição será verificada;
16
6.1.3 - Testando os Pacotes com ACLs
? Se for criada instrução de condição que permita todo o tráfego, nenhuma instrução adicionada posteriormente será verificada;
? Se for preciso instruções adicionais, em uma ACL padrão ou estendida, deve-se excluí-lae recriá-la com novas instruções de condição;
? Por isso, é uma boa idéia editar a configuração de um roteador em um PC usando um editor de texto, e depois usar o TFTP para transferí-la para o roteador;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 9
17
6.1.3 - Testando os Pacotes com ACLs
? Pode-se criar uma ACL para cada protocolo que deseja filtrar para cada interface doroteador;
? Para alguns protocolos, cria-se uma ACL para filtrar tráfego de entrada, e outra para filtrar tráfego de saída;
? Depois que uma instrução ACL verificar se há correspondência no pacote, poderá ser recusado ou permitido ao pacote usar uma interface no grupo de acesso;
18
6.1.3 - Testando os Pacotes com ACLs
? ACLs do Cisco IOS verificam o pacote e os cabeçalhos da camada superior.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 10
19
6.1.4 - Como as ACLs Funcionam
? ACL é um grupo de instruções que definem como os pacotes:? Entram nas interfaces de entrada;? São retransmitidos pelo roteador;? Saem das interfaces de saída do roteador.
? Início do processo de comunicação é o mesmo, com as ACLs sendo usadas ou não;
? Quando um pacote entra em uma interface,roteador verifica se ele é roteável ou se pode ser feito bridge;
20
6.1.4 - Como as ACLs Funcionam
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 11
21
6.1.4 - Como as ACLs Funcionam
? Roteador então verifica se interface de entrada tem uma ACL;
? Se tiver, pacote é testado novamente em relação às condições da lista;
? Se pacote for permitido, ele será testado em relação às entradas da tabela deroteamento para determinar a interface destino;
? Depois, roteador verifica se interface destino tem uma ACL;
22
6.1.4 - Como as ACLs Funcionam
? Se não tiver, pacote poderá ser enviado para interface destino diretamente;
? P. ex., se pacote usar E0, que não possuiACLs, ele usará E0 diretamente;
? Instruções de ACL operam em ordem seqüencial e lógica;
? Se uma condição correspondente for verdadeira, pacote será permitido ou negado e instruções de ACL restantes não serão verificadas;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 12
23
6.1.4 - Como as ACLs Funcionam
? Se não houver correspondência em nenhuma das instruções de ACL, uma instrução "deny any" implícita será imposta;
? Isso significa que mesmo que não se veja a "deny any" como a última linha de uma ACL, ela estará lá.
24
Estudo de caso dividido em temasProjeto Washington: permissão do usuário
? Você precisa desenvolver uma política de identificação de usuário e senha para todos os computadores do Órgão de administração. Essa política deve ser publicada e imposta. Finalmente, vocêprecisa certificar-se de que todos os computadores da rede do órgão de administração tenham total acesso àInternet.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 13
25
6.1.5 - Diagrama de Fluxo do Processode Correspondência do Teste de ACL
26
6.1.5 - Diagrama de Fluxo do Processode Correspondência do Teste de ACL
? Fazendo a correspondência do primeiro teste, é negado acesso a um pacote para o seu destino;
? Ele é descartado e jogado no depósito de bits, e não é exposto a nenhum dos testes de ACL que se seguem;
? Se pacote não corresponder às condições do primeiro teste, ele passará para a próxima instrução na ACL;
? ACLs permitem que se controle quais clientes podem acessar sua rede;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 14
27
6.1.5 - Diagrama de Fluxo do Processode Correspondência do Teste de ACL
? Condições em um arquivo ACL podem: ? Retirar determinados hosts para permitir ou
negar acesso à parte de sua rede;? Definir uma autenticação de senha para que
somente usuários que fornecerem um logon e senha válidos possam acessar parte da rede;
? Conceder permissão aos usuários para acessar parte da rede, como arquivos ou pastas de um determinado usuário.
28
6.2 - Tarefas de Configuração da ACL
? Objetivo? Apresentar a sintaxe de criação das ACLs.
? Estrutura? 6.2.1 - Criando ACLs;? 6.2.2 - O Objetivo e a Função dos Bits da
Máquina-Curinga;? 6.2.3 - O Comando Any;? 6.2.4 - O Comando Host.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 15
29
6.2.1 - Criando ACLs
? Comandos ACL podem ser longas fileiras de caracteres;
? Tarefas-chave para criar ACLs incluem:? ACLs são criadas no modo de configuração global;? Especificar um número de ACL de 1 a 99 instrui
roteador a aceitar as instruções de ACL padrão;? Especificar um número de ACL de 100 a 199 instrui
roteador a aceitar as instruções de ACL estendidas;? ACL deve ser selecionada com cuidado e colocada em
ordem lógica;
30
6.2.1 - Criando ACLs
? Protocolos IP permitidos devem ser especificados; todos os outros protocolos devem ser recusados;
? Deve-se selecionar que protocolos IP devem ser verificados;
? Todos os outros protocolos não devem ser verificados;
? Mais adiante, será possível especificar uma porta de destino opcional para obter maior precisão.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 16
31
6.2.1 - Criando ACLs
? Agrupando ACLs em interfaces? Em geral, maioria dos protocolos requer duas etapas
básicas:? Criar uma definição de ACL;? Aplicar a ACL a uma interface.
? ACLs são atribuídas a uma ou mais interfaces e podem filtrar tráfego que chega ou o que sai, conforme a configuração;
? ACLs de saída são geralmente mais eficientes do que as de entrada e por isso, são preferidas;
? Roteador com uma ACL de entrada deve verificar todos os pacotes para ver se ele corresponde à condição da ACL antes de comutar o pacote com uma interface de saída;
32
6.2.1 - Criando ACLs
? Atribuindo um número exclusivo a cada ACL? Quando configurar ACLs em um roteador, deve-
se identificar cada ACL com exclusividade, atribuindo um número à ACL do protocolo;
? Quando se usar um número para identificar uma ACL, ele deverá estar dentro de um intervalo específico de números que seja válido para o protocolo.
? Pode-se especificar ACLs pelos números dos protocolos listados na tabela;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 17
33
6.2.1 - Criando ACLs
? Quando se usa um número para identificar uma ACL, ele deverá estar dentro de um intervalo específico de números válidos para o protocolo
1000-1099Protocolo de anúncio de serviço IPX
900-999IPX estendido
800-899IPX
600-699AppleTalk
100-199IP estendido
1-99IP
IntervaloProtocolo
34
6.2.1 - Criando ACLs
? Tabela também lista intervalo de números ACL válidos para cada protocolo;
? Depois de criar uma ACL numerada, deve-se atribuí-la a uma interface para ser usada;
? Se desejar alterar uma ACL contendo instruções de ACL numeradas, precisará excluir todas as instruções na ACL numerada usando o comando de número de lista no access-list.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 18
35
Diário da Engenharia 6.2.1: Exemplo de configuração de ACL numerada
? O exemplo a seguir define as ACLs 1 e 2:? interface ethernet 0ip address 1.1.1.1 255.0.0.0ip access-group 1 inip access-group 2 out!access-list 1 permit 5.6.0.0 0.0.255.255access-list 1 deny 7.9.0.0 0.0.255.255!access-list 2 permit 1.2.3.4access-list 2 deny 1.2.0.0 0.0.255.255
36
Diário da Engenharia 6.2.1: Exemplo de configuração de ACL numerada
? Digamos que a interface receba 10 pacotes de 5.6.7.7 e 14 pacotes de 1.2.23.21. O primeiro log ficará assim:
? list 1 permit 5.6.7.7 1 packetlist 2 deny 1.2.23.21 1 packet
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 19
37
6.2.2 - O Objetivo e a Função dos Bits da Máscara-Curinga
? Máscara-curinga são 32 bits divididos em quatro octetos, cada octeto contendo 8 bits;
? Bit de máscara-curinga 0 significa "verificar o valor do bit correspondente”;
? Bit de máscara-curinga 1 significa "não verificar (ignorar) esse valor do bit correspondente”;
? Máscara-curinga é emparelhada com um endereço IP;
38
6.2.2 - O Objetivo e a Função dos Bits da Máscara-Curinga
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 20
39
6.2.2 - O Objetivo e a Função dos Bits da Máscara-Curinga
? Números um e zero são usados para identificar como lidar com os bits do endereço IP correspondentes;
? ACLs usam máscaras-curinga para identificar endereços únicos ou vários endereços para permitir ou negar testes;
? Termo utilização de máscaras-curinga é um apelido para processo de correspondência de bit-máscara da ACL;
40
6.2.2 - O Objetivo e a Função dos Bits da Máscara-Curinga
? Ele provém de uma analogia de um curinga que corresponde a qualquer outra carta em um jogo de pôquer;
? Embora ambas tenham 32 bits, máscaras-curinga e de sub-rede IP operam de forma distinta;
? Zeros e uns em uma máscara de sub-rede definem a rede, sub-rede e partes do hostdo end. IP correspondente;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 21
41
6.2.2 - O Objetivo e a Função dos Bits da Máscara-Curinga
? Zeros e uns em uma máscara-curinga, determinam se os bits correspondentes no end. IP devem ser verificados ou ignorados para as finalidades da ACL;
? Bits zero e um em uma máscara-curinga ACL fazem com que a ACL verifique ou ignore o bit correspondente no end. IP;
? Digamos que se deseje verificar em um end. IP, sub-redes que serão permitidas ou negadas;
42
6.2.2 - O Objetivo e a Função dos Bits da Máscara-Curinga
? Ex: End. IP é um end. classe B com 8 bits de sub-rede;? Usar bits de máscara-curinga IP para permitir todos os
pacotes de qualquer host nas sub-redes de 172.30.16.0 a 172.30.31.0;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 22
43
6.2.2 - O Objetivo e a Função dos Bits da Máscara-Curinga
? Para começar, máscara-curinga verifica os dois primeiros octetos (172.30), usando os bits zero correspondentes na máscara-curinga;
? Como não há interesse em endereços individuais de host (uma identificação dehost não tem .00 no final do endereço), máscara-curinga ignora o octeto final, usando os bits correspondentes um na máscara-curinga;
44
6.2.2 - O Objetivo e a Função dos Bits da Máscara-Curinga
? No terceiro octeto, máscara-curinga é 15 (00001111) e o end. IP é 16 (00010000);
? Quatro primeiros zeros na máscara-curinga falam para o roteador fazer correspondência dos quatro primeiros bits do endereço IP (0001);
? Como os últimos quatro bits são ignorados, todos os números no intervalo de 16 (00010000) a 31 (00011111) irão se corresponder, pois eles começam com o padrão 0001;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 23
45
6.2.2 - O Objetivo e a Função dos Bits da Máscara-Curinga
? Máscara-curinga ignora o valor dos últimos (menos significantes) quatro bits nesseocteto, porque nessas posições, valor do endereço poder ser binário zero ou um, e os bits da máscara-curinga correspondentes são um;
? Neste exemplo, end. 172.30.16.0 com máscara-curinga 0.0.15.255 corresponde às sub-redes de 172.30.16.0 a 172.30.31.0;
? Máscara-curinga não faz correspondência com nenhuma outra sub-rede.
46
6.2.3 - O Comando Any
? Para usos mais comuns da máscara-curinga, pode-se usar abreviações;
? Essas abreviações reduzem quantidade de digitação necessária quando estiver configurando condições de teste de endereços;
? P. ex., digamos que se deseje especificar que qualquer endereço de destino seja permitido em um teste de ACL;
? Para indicar qualquer end. IP, se digitaria 0.0.0.0;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 24
47
6.2.3 - O Comando Any
? Depois, para indicar que a ACL deveria ignorar (permitir sem verificar) qualquer valor, os bits da máscara-curinga correspondentes para esse endereço seriam todos iguais (ou seja, 255.255.255.255);
? Pode-se usar a abreviação any para comunicar essa mesma condição de teste para o software Cisco IOS ACL;
48
6.2.3 - O Comando Any
? Ao invés de digitar 0.0.0.0 255.255.255.255, pode-se usar a palavraany sozinha como palavra-chave;
? No lugar de usar:? Router(config) # access-list 1 permit 0.0.0.0 255.255.255.255
? Pode-se usar:? Router(config) # access-list 1 permit any
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 25
49
6.2.4 - O Comando Host
? Segunda condição comum onde o Cisco IOS permitirá uma abreviação na máscara-curinga da ACL será quando se desejar coincidir todos os bits de um end. de hostIP inteiro;
? P. ex., digamos que se deseje especificar que um end. IP de host seja negado em um teste de ACL;
? Para indicar o end. IP de host, deve-se inserir o endereço completo (p. ex., 172.30.16.29);
50
6.2.4 - O Comando Host
? Depois, para indicar que a ACL deve verificar todos os bits no endereço, os bits da máscara-curinga correspondente para esse endereço devem ser todos zeros (ou seja, 0.0.0.0);
? Pode-se usar a abreviação host para comunicar essa mesma condição de teste para o software Cisco IOS ACL;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 26
51
6.2.4 - O Comando Host
? P. ex., ao invés de usar:? Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0
? Pode-se usar:? Router(config)# access-list 1 permit host172.30.16.29
52
6.3 - ACLs Padrão
? Objetivo? Explicar conceito de ACL padrão.
? Estrutura? 6.3.1 - O que são ACLs Padrão;? 6.3.2 - Criando um Processo Padrão ACL Válido Usando
Todos os Parâmetros Disponíveis;? 6.3.3 - Como Verificar as Listas de Acesso;? 6.3.4 - O que são ACLs Padrão;? 6.3.5 - Criando uma ACL Padrão para Negar um Host
Específico;? 6.3.6. - Criando uma ACL Padrão para Negar uma
Sub-rede Específica.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 27
53
6.3.1 - O que são ACLs Padrão
? ACLs padrão são usadas quando se deseja bloquear todo tráfego de uma rede, permitir todo tráfego de uma rede específica ou negar conjuntos de protocolos;
? ACLs padrão verificam origem dos pacotes que devem ser roteados;
? Resultado permite ou nega a saída de um conjunto inteiro de protocolos, baseado nos endereços de host, sub-rede e rede;
54
6.3.1 - O que são ACLs Padrão
? P. ex., é feita verificação do protocolo e endereço de origem nos pacotes que chegam na E0;
? Se obtiverem permissão, pacotes sairão pela S0, que é agrupada à ACL;
? Se não obtiverem permissão, eles serão descartados.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 28
55
? Usa-se a versão padrão do comando de configuração global access-list para definir uma ACL padrão com um número;
? Sintaxe completa do comando é? Router(config)# access-list nº da lista de acesso {deny | permit} origem [curinga da origem ] [log]
? Use a forma no desse comando para retirar a ACL padrão:? Router(config)# no access-list nº da lista de acesso
6.3.2 - Criando um Comando Padrão ACL Válido Usando Todos os Parâmetros Disponíveis
56
6.3.3 - Como Verificar as Listas de Acesso
? Use o comando EXEC show access-lists para exibir o conteúdo de todas as ACLs;
? Use ainda o comando EXEC show access-listsseguido do nome ou número de uma ACL para exibir o conteúdo de uma ACL;
? Exemplo: ACL padrão que permite aos hostsacesso às três redes especificadas: ? access-list 1 permit 192.5.34.0 0.0.0.255 access-list 1 permit 128.88.0.0 0.0.255.255 access-list 1 permit 36.0.0.0 0.255.255.255 !qualquer outro acesso implicitamente negado
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 29
57
6.3.3 - Como Verificar as Listas de Acesso
? No exemplo, bits-curinga se aplicam às partes do host dos endereços de rede;
? Qualquer host com um endereço origem que não corresponda às instruções de ACL serão rejeitados;
? Para especificar vários endereços individuais mais facilmente, pode-se omitir o curinga se for todo de zeros;
58
6.3.3 - Como Verificar as Listas de Acesso
? Assim, os dois comandos de configuração a seguir têm o mesmo efeito: ? access-list 2 permit 36.48.0.3 access-list 2 permit 36.48.0.3 0.0.0.0
? Comando ip access-group agrupa uma ACL existente a uma interface;
? Somente uma ACL por porta por protocolo por direção é permitida;
? Formato do comando é:? Router(config-if)#ip access-group nº da lista de acesso {in | out}
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 30
59
6.3.4 - O que são ACLs Padrão
? Ex: ACL só permite que tráfego da rede de origem172.16.0.0 seja encaminhado;
? Tráfego na rede diferente de 172.16.0.0 será bloqueado;? Também mostrado no exemplo, comando ip access-group
1 out agrupa a ACL a uma interface de saída;
60
6.3.5 - Criando uma ACL Padrão para Negar um Host Específico
? Ex: Criar ACL para bloquear tráfego de um endereço específico, 172.16.4.13, e para permitir que todo o tráfego restante seja encaminhado em uma interface Ethernet 0.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 31
61
6.3.6 - Criando uma ACL Padrão para Negar uma Sub-rede Específica
? Ex: ACL é projetada para bloquear tráfego de uma sub-rede específica, 172.16.4.0, e para permitir que outro tráfego sejaencaminhado;
62
6.3.6 – Atividade de Laboratório Interativa – Flash
? Antes de tentar realizar o laboratório real, éinteressante tentar realizar essa atividade para testar seu desempenho na sintaxe de comando apropriada para as AccessControl Lists (ACLs) padrão.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 32
63
Laboratório 6.3.6 ACLs padrão -Visão geral
? Tempo estimado: 60 min? Objetivos:
? Este laboratório vai se concentrar na sua habilidade de concluir as seguintes tarefas:
? Rever as características e capacidades das AccessControl Lists (ACLs) IP padrão
? Criar uma ACL padrão para permitir ou negar tráfego específico
? Aplicar uma ACL IP padrão a uma interface doroteador
? Testar a ACL para determinar se os resultados desejados foram alcançados
? Remover uma ACL de uma interface do roteador? Excluir uma ACL de um roteador
64
6.4 - ACLs Estendidas
? Objetivo? Explicar conceito de ACL estendida.
? Estrutura? 6.4.1 - O que são ACLs Estendidas;? 6.4.2 - Parâmetros das ACLs Estendidas;? 6.4.3 - Números das Portas UDP e TCP;? 6.4.4 - Criar uma ACL par Negar FTP em uma
Interface Ethernet;? 6.4.5 - Criar uma ACL que Negue a Saída para
um Telnet de uma Porta Ethernet e Permite Todo o Tráfego Restante.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 33
65
6.4.1 - O que são ACLs Estendidas
? ACLs estendidas são mais usadas para testar condições porque elas proporcionam um intervalo maior de controle que as ACLs padrão;
? ACL estendida será usada para permitir tráfego daWeb e negar FTP ou telnet de redes que não sejam da empresa;
? ACLs estendidas verificam endereços origem e destino dos pacotes;
? Elas também podem verificar protocolos específicos, números de portas e outros parâmetros;
66
6.4.1 - O que são ACLs Estendidas
? Isso lhe dá mais flexibilidade para descrever que tipo de verificação a ACL fará;
? Saída dos pacotes pode ser permitida ou recusada com base em onde o pacote foi originado e no seu destino;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 34
67
6.4.1 - O que são ACLs Estendidas
? P. ex., ACL estendida pode permitir tráfego de correio eletrônico de E0 para destinos S0 específicos, enquanto nega logins remotos ou transferências de arquivos.
68
6.4.1 - O que são ACLs Estendidas
? Digamos que Interface E0 tenha sido agrupada a uma ACL estendida;
? Isso significa que se usou instruções lógicas e precisas para criar a ACL;
? Antes que um pacote possa prosseguir para aquela interface, ele é testado pela ACL associada àquela interface;
? Baseado nos testes da ACL estendida, pacote pode ser permitido ou recusado;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 35
69
6.4.1 - O que são ACLs Estendidas
? Para listas de entrada, isso significa que pacotes permitidos vão continuar a ser processados;
? Para listas de saída, isso significa que pacotes permitidos serão enviados diretamente para a E0;
? Se resultados recusarem a permissão, pacote será descartado;
? ACL do roteador fornece controle de firewallpara negar uso da interface E0;
70
6.4.1 - O que são ACLs Estendidas
? Quando pacotes forem descartados, alguns protocolos devolverão um pacote ao emissor, dizendo que o destino estava inalcançável;
? Para uma única ACL pode-se definir várias instruções;
? Cada uma delas deve fazer referência ao mesmo nome ou número de identificação, para vincular as instruções à mesma ACL;
? Pode-se ter quantas instruções de condição desejar, limitadas somente pela memória disponível;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 36
71
6.4.1 - O que são ACLs Estendidas
? Quanto mais instruções tiver, mais difícil será entender e gerenciar sua ACL;
? Dessa forma, documentar as ACLs evitará confusão;
? ACL padrão (numerada de 1 a 99) talvez não forneça controle de filtragem de tráfego de que se necessita;
? ACLs padrão filtram o tráfego com base em uma máscara e endereço de origem;
? ACLs padrão também permitem ou negam o conjunto inteiro do TCP;
72
6.4.1 - O que são ACLs Estendidas
? Talvez se necessite de uma forma mais precisa de controle de tráfego e acesso;
? Para um controle de filtragem de tráfego mais preciso, use ACLs estendidas;
? Instruções da ACL estendida verificam endereços origem e destino;
? Além disso, no final da instrução da ACL estendida, obtém-se precisão adicional de um campo que especifica o número da porta do TCP ou do UDP;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 37
73
6.4.1 - O que são ACLs Estendidas
? Pode haver números de porta conhecidos para TCP/IP;? Pode-se especificar operação lógica que a ACL estendida
executará em protocolos específicos;? ACLs estendidas usam um número do intervalo 100 a 199.
TFTP69
DNS53
Simple Mail Transport Protocol (SMTP)25
Telnet23
Programa FTP21
Dados FTP20
Protocolo IPNúmero de porta comum
(decimal)
74
6.4.2 - Parâmetros da ACL Estendida
? Forma completa do comando access-list:? Router(config)# access-list nº da lista de acesso {permit | deny} protocolosource [máscara da origem destinationmáscara do destino operador operando] [established]
? Comando ip access-group une uma ACL estendida existente a uma interface;
? Somente uma ACL por interface, por direção, por protocolo é permitida;
? Formato do comando:? Router(config-if)# access-group nº da lista de acesso {in | out}
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 38
75
6.4.2 – Atividade de Sintaxe Interativa – Flash
? Tente realizar essa atividade para testar seu desempenho na sintaxe do comando apropriada para os parâmetros das AccessControl Lists (ACLs) estendidas.
76
6.4.3 - Números das Portas UDP e TCP
? Endereços destino e origem ou protocolos específicos que usam ACLs estendidas precisam ser identificados com números do intervalo de 100 a 199;
? Números das portas TCP ou UDP de nível superior além dos outros testes nas ACLsestendidas precisam ser identificados, com um número do intervalo de 100 a 199;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 39
77
6.4.3 - Números das Portas UDP e TCP
não atribuído242-251não atribuído224-241
UDPFNP162reservado160-223não atribuído133-159
TCPWWWHTTP80TCP/IPgopher70UDPTFTPTFTP69TCP/UDPDNSDOMAIN53
UDPservidor do nome dohostNAMESERVER42
TCPSMTPSMTP25TCPconexão de terminalTELNET23TCPFTPFTP21TCPFTP (dados)FTP-DADOS20
não atribuído1-4reservado0
ProtocoloDescriçãoPalavra-
chaveDecimal
78
6.4.4 - Criar uma ACL para Negar FTP em uma Interface Ethernet
? Observe que porta de bloqueio 21 impede que comandos FTP sejam transmitidos, impedindo as transferências de arquivo FTP;
? Porta de bloqueio 20 impede que o próprio tráfego seja transmitido, mas não bloqueia os comandos FTP;
? Servidores FTP podem facilmente ser configurados para operar em diferentes portas;
? Não há garantias de que haverá serviços nessas portas, mesmo que haja normalmente.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 40
79
6.4.5 - Criar uma ACL que Negue a Saída para um Telnet de uma Porta Ethernet e Permite Todo o Tráfego Restante
? Ex: não permitir que tráfego de telnet (eq 23) de 172.16.4.0 saia pela interface E0;
? Todo tráfego de qualquer outra origem para qualquer destino é permitido, indicado pelapalavra-chave any;
80
6.5 - ACLs com Nomes
? Objetivo? Apresentar ACLs com nomes.
? Estrutura? 6.5.1 - Configurar ACLs com Nomes;? 6.5.2 - O Comando Deny;? 6.5.3 - O Comando Permit.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 41
81
6.5.1 - Configurar ACLs com Nomes
? ACLs com nome permitem que ACLs IP padrão e estendidas sejam identificadas com uma seqüência alfanumérica (nome) ao invés da representação numérica (1 a 199) atual;
? ACLs com nomes podem ser usadas para excluir entradas individuais de uma ACL específica;
? Isso permite que se modifique suas ACLssem excluí-las e depois reconfigurá-las;
82
6.5.1 - Configurar ACLs com Nomes
? Use ACLs com nomes quando: ? Se desejar identificar intuitivamente ACLs
usando um nome alfanumérico;? Se tiver mais de 99 ACLs simples e 100
estendidas para serem configuradas em umroteador para um determinado protocolo.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 42
83
6.5.1 - Configurar ACLs com Nomes
? Considere o seguinte antes de implementar as ACLs com nomes:? ACLs com nomes não são compatíveis com as
versões Cisco IOS anteriores a 11.2;? Não se pode usar o mesmo nome para várias
ACLs;? Além disso, ACLs de diferentes tipos não podem
ter o mesmo nome;? P. ex., é ilegal especificar uma ACL padrão com
o nome de George e uma ACL estendida com o mesmo nome.
84
6.5.1 - Configurar ACLs com Nomes
? Para dar um nome à ACL, use o seguinte comando:? Router(config)# ip access-list {standard |
extended} nome
? No modo de configuração de ACL, especifique uma ou mais condições permitidas ou negadas;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 43
85
? Isso determina se o pacote passará ou será descartado:
? Router(config-{std- | ext-}nacl)# deny{origem [curinga da origem] | any}
ou? Router(config-{std- | ext-}nacl)# permit
{origem [curinga da origem]|any}
6.5.1 - Configurar ACLs com Nomes
86
6.5.1 - Configurar ACLs com Nomes
? Configuração cria uma ACL padrão chamada deFiltroInternet e uma ACL estendida chamada degrupo_de_marketing.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 44
87
6.5.2 - O Comando Deny
? Use o comando de configuração de ACLdeny para definir as condições de uma ACL com nome;
? Sintaxe completa para este comando é:? deny {origem [curinga da origem] | any}
? Use a forma no desse comando para remover uma condição de negação, usando a sintaxe a seguir:? no deny {origem [curinga da origem] | any}
88
6.5.2 - O Comando Deny
? Exemplo define uma condição de negação para uma ACL padrão denominadaFiltroInternet:
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 45
89
? Use o comando de configuração de lista de acesso permit para definir as condições para uma ACL padrão com nome;? Sintaxe completa desse comando:
? permit {origem [curinga da origem] | any}[log]
? Use a forma no desse comando para retirar uma condição da ACL, usando a sintaxe:? no permit {origem [curinga da origem]| any}
6.5.3 - O Comando Permit
90
6.5.3 - O Comando Permit
? Esse comando é usado no modo de configuração de lista de acesso seguindo o comandoip access-list, para definir as condições sob as quais um pacote passa a ACL;
? Exemplo é para uma ACL denominadaFiltroInternet:? ip access-list standard FiltroInternet
deny 192.5.34.0 0.0.0.255permit 128.88.0.0 0.0.255.255permit 36.0.0.0 0.255.255.255!(Obs:qualquer outro acesso implicitamente negado)
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 46
91
6.5.3 - O Comando Permit
? Neste exemplo, instruções permit e deny não têm números e o no retira o teste específico da ACL com nome:? Router(config {std- | ext-}nacl)# {permit | deny}
{condições de teste da ACL IP}{permit | deny} {condições de teste da ACL ip} no {permit | deny} {condições de teste da ACL ip}
? Este exemplo ativa a ACL IP com nome em uma interface:? Router(config-if)# ip access-group {nome | 1-199 {in |
out}}
92
6.5.3 - O Comando Permit
? Exemplo da saída da configuração
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 47
93
6.6 - Usando as ACLs com Protocolos
? Objetivo? Mostrar que ACLs podem ser criadas para
qualquer outro protocolo roteável que umroteador Cisco e uma versão IOS específicos suportem.
? Estrutura? 6.6.1 - Protocolos para os Quais ACLs Podem
ser Criadas.
94
6.6.1 - Protocolos para os Quais ACLs Podem ser Criadas
? ACLs podem controlar a maioria dos protocolos em um roteador Cisco;
? Insira um número no intervalo de números do protocolo como o primeiro argumento da instrução global da ACL;
? Roteador identifica que software ACL usar, baseado nessa entrada numérica;
? Há várias ACLs possíveis para um protocolo;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 48
95
6.6.1 - Protocolos para os Quais ACLs Podem ser Criadas
? Selecione um número diferente do intervalo de números do protocolo para cada nova ACL;
? Só se pode especificar uma ACL por protocolo por interface;
? Em alguns protocolos, pode-se agrupar até duasACLs em uma interface: uma ACL de chegada e uma de saída;
? Em outros protocolos, só se agrupa uma ACL, que verifica os pacotes de chegada e de saída;
96
6.6.1 - Protocolos para os Quais ACLs Podem ser Criadas
? Se for uma ACL de chegada, quandoroteador receber um pacote, software Cisco IOS verificará as instruções de condição da ACL para ver se há correspondência;
? Se pacote for permitido, software continuará a processá-lo;
? Caso contrário, software descartará esse pacote, colocando-o no depósito de bits;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 49
97
6.6.1 - Protocolos para os Quais ACLs Podem ser Criadas
? Se for uma ACL de saída, após receber erotear um pacote para a interface de saída, software verificará as instruções de condição da ACL para uma correspondência;
? Se pacote for permitido, software transmitirá esse pacote;
? Se pacote for recusado, software irá descartar esse pacote, enviando-o para o depósito de bits.
98
Diário da Engenharia 6.6.1: Nomeando ou numerando um protocolo IP
? O nome ou número de um protocolo IP pode ser uma das palavras-chave eigrp, gre, icmp,igmp, igrp, ip, ipinip, nos, ospf, tcp ou udpou um número do intervalo de 0 a 255, representando um número de protocolo IP. Para fazer a correspondência com qualquer protocolo da Internet (incluindo o ICMP, TCP e UDP), use a palavra-chave ip. Os protocolos e seus números correspondentes estão listados no RFC 1700, juntamente com os números de porta.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 50
99
6.7 - Colocação das ACLs
? Objetivo? Mostrar regras de colocação das ACLs.
? Estrutura? 6.7.1 - Regra: “Colocar as ACLs Estendidas o
Mais Perto Possível da Origem do Tráfego Negado”;
? 6.7.2 - Usando ACLs em Roteadores Firewall;? 6.7.3 - Uma Arquitetura de Firewall para
Protegê-lo Contra Intrusos.
100
6.7.1 - Regra: “Colocar as ACLs Estendidas o Mais Perto Possível da Origem do Tráfego Negado”
? ACLs são usadas para controlar tráfego filtrando os pacotes e eliminando tráfego não desejado em um destino;
? Dependendo de onde se coloca a sua instrução de ACL, pode-se reduzir tráfego desnecessário;
? Tráfego que será negado em um destino remoto não deverá usar recursos de rede na rota para aquele destino;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 51
101
6.7.1 - Regra: “Colocar as ACLs Estendidas o Mais Perto Possível da Origem do Tráfego Negado”
? Digamos que a política de uma empresa seja negar telnetou tráfego de FTP em um roteador A à LAN Ethernet com comutação na porta E1 do roteador D;
? Ao mesmo tempo, outro tráfego deve ser permitido;
102
6.7.1 - Regra: “Colocar as ACLs Estendidas o Mais Perto Possível da Origem do Tráfego Negado”
? Várias abordagens podem executar essa diretriz;
? Abordagem recomendada usa uma ACL estendida;
? Ela especifica endereços origem e destino;? Coloque essa ACL estendida no roteador A;? Depois, pacotes não atravessarão a
Ethernet do roteador A, não atravessarão as interfaces seriais dos roteadores B e C e não entrarão no roteador D;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 52
103
6.7.1 - Regra: “Colocar as ACLs Estendidas o Mais Perto Possível da Origem do Tráfego Negado”
? Tráfego com diferentes endereços origem e destino ainda podem ser permitidos;
? Regra é colocar ACLs estendidas o mais perto possível da origem do tráfego negado;
? Como ACLs padrão não especificam endereços destino, tem-se que colocá-las o mais perto possível do destino;
? P. ex., deve-se colocar uma ACL padrão ou estendida na E0 do roteador D para impedir tráfego do roteador A.
104
Estudo de caso dividido em temasProjeto Washington: implementação de firewall
? A conectividade da Internet que vocêprecisará implementar no Órgão de administração escolar Washington requer uma implementação de firewall dupla, com todos os aplicativos expostos à Internet mantidos dentro de uma rede backbonepública. Você precisa certificar-se de que todas as conexões iniciadas na Internet para a rede particular de cada escola sejam recusadas.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 53
105
6.7.2 - Usando ACLs em RoteadoresFirewall
? ACLs devem ser usadas em roteadores defirewall, que são freqüentemente posicionados entre a rede interna e a rede externa, tal como a Internet;
? Roteador de firewall fornece um ponto de isolamento para que o resto da estrutura interna da rede não seja afetada;
? Pode-se usar ACLs em um roteadorposicionado entre duas partes da rede para controlar o tráfego que chega ou sai de uma determinada parte da rede interna;
106
6.7.2 - Usando ACLs em RoteadoresFirewall
? Para proporcionar benefícios de segurança de ACLs, deve-se pelo menos configurarACLs em roteadores de borda;
? Isso proporciona segurança básica da rede externa, ou de uma área menos controlada da rede, para uma área mais privada da rede;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 54
107
6.7.2 - Usando ACLs em RoteadoresFirewall
? Nesses roteadores de borda, ACLs podem ser criadas para cada protocolo de rede configurado nas interfaces do roteador;
? Pode-se configurar ACLs para tráfego que chega, tráfego que sai ou para que ambos sejam filtrados em uma interface.
108
6.7.3 - Uma Arquitetura de Firewall para Protegê-lo Contra Intrusos
? Arquitetura de firewall é uma estrutura que existe entre você e o mundo externo paraprotegê-lo de intrusos;
? Na maioria das circunstâncias, intrusos provêm da Internet global e dos milhares de redes remotas que ela interconecta;
? Geralmente, um firewall de rede consiste em várias máquinas diferentes;
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 55
109
6.7.3 - Uma Arquitetura de Firewall para Protegê-lo Contra Intrusos
? Nessa arquitetura, roteador externo que é conectado à Internet força todo o tráfego que chega a ir para o gateway do aplicativo;
? Roteador interno que é conectado à rede interna aceita pacotes somente do gatewaydo aplicativo;
? Na verdade, gateway controla a entrega de serviços baseados na rede, para e da rede interna;
110
6.7.3 - Uma Arquitetura de Firewall para Protegê-lo Contra Intrusos
? P. ex., somente certos podem ter permissão para se comunicar com a Internet, ou somente certos aplicativos podem ter permissão para estabelecer conexões entre um host interno e um host externo;
? Se único aplicativo permitido for o correio, então somente pacotes de correio devem ter permissão para passar pelo roteador;
? Isso protege o gateway do aplicativo e evita sua sobrecarga com pacotes que, caso contrário, ele descartaria.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 56
111
6.7.3 - Uma Arquitetura de Firewall para Protegê-lo Contra Intrusos
112
Diário da Engenharia 6.7.3: Usando um roteador de firewall
? Esta seção usa o cenário ilustrado nas figuras de 6 a 13 para descrever o uso de ACLs para restringir o tráfego de e para um roteador defirewall. Ter um roteador designado para atuar como um firewall é bom porque identifica claramente a função do roteador de gatewayexterno e evita sobrecarregar outros roteadorescom essa tarefa. No caso da rede interna precisar se isolar, o roteador de firewall fornece o ponto de isolamento para que o restante da estrutura interna da rede não seja afetado.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 57
113
Diário da Engenharia 6.7.3: Usando um roteador de firewall
? Na configuração do roteador de firewall a seguir, a sub-rede 13 da rede de classe B é a sub-rede dofirewalle a sub-rede 14 fornece conexão com a Internet através de um provedor de serviços:
? interface ethernet 0ip address B.B.13.1 255.255.255.0interface serial 0ip address B.B.14.1 255.255.255.0router igrpnetwork B.B.0.0
114
Diário da Engenharia 6.7.3: Usando um roteador de firewall
? Essa simples configuração não proporciona segurança e permite todo o tráfego do mundo externo em todas as partes da rede. Para proporcionar segurança ao roteadorde firewall, você precisa usar as ACLs e os grupos de acesso.
? Uma ACL define o tráfego exato que será permitido ou negado e um grupo de acesso aplica a definição de uma ACL a uma interface. As ACLs podem ser usadas para negar conexões conhecidas como riscos à segurança e depois permitir todas as outras conexões ou permitir conexões que sejam consideradas aceitáveis e negar todas as outras. Para a implementação do firewall, o último é o método mais seguro.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 58
115
Diário da Engenharia 6.7.3: Usando um roteador de firewall
? O melhor lugar para definir uma ACL é em um host, usando um editor de texto. Vocêpode criar um arquivo que contenha os comandos access-list e depois carregar o arquivo no roteador. Antes de carregar a definição de controle de acesso, qualquer definição prévia dessa ACL éremovida com o seguinte comando:
? no access-list 101
116
Diário da Engenharia 6.7.3: Usando um roteador de firewall
? O comando access-list pode agora ser usado para permitir todos os pacotes que estejam retornando às máquinas a partir de conexões já estabelecidas. Com a palavra-chave established, uma correspondência será feita se o datagramado TCP tiver os bits de confirmação (ACK) ou de reconfiguração (RST) configurados:
? access-list 101 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 established
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 59
117
Diário da Engenharia 6.7.3: Usando um roteador de firewall
? Depois que a ACL tiver sido carregada noroteador e armazenada na memória nonvolatile random-access memory (NVRAM), a atribua àinterface apropriada. Neste exemplo, o tráfego que chega vindo do mundo externo através da serial 0 é filtrado antes de ser colocado na sub-rede 13 (ethernet 0). Dessa forma, o comando access-group, que atribui uma ACL para filtrar as conexões de chegada, deve ser atribuído àethernet 0 desta forma:
? interface ethernet 0ip access-group 101
118
Diário da Engenharia 6.7.3: Usando um roteador de firewall
? Para controlar o acesso de saída para a Internet através da rede, defina uma ACL e a aplique aos pacotes de saída na serial 0 do roteador de firewall. Para fazer isso, os pacotes que retornam vindos dos hosts que usam telnet ou FTP devem ter permissão de acesso à sub-rede B.B.13.0 do firewall.
? Se você tiver várias redes internas conectadas ao roteadorde firewall e o roteador estiver usando filtros de saída, o tráfego entre as redes internas sofrerá uma redução no desempenho criada pelos filtros da ACL. Se os filtros de entrada forem apenas usados na interface partindo doroteador para o mundo externo, as redes internas não sofrerão nenhuma redução no desempenho.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 60
119
6.8 - Verificando as ACLs
? Objetivo? Apresentar mais alguns comandos show para
verificar as ACLs.
? Estrutura? 6.8.1 - Como Verificar as ALCs e Interpretar a
Saída.
120
6.8.1 - Como Verificar as ALCs e Interpretar a Saída
? Comando show ip interface exibe as informações da interface IP e indica se há alguma ACL estabelecida;
? Comando show access-lists exibe o conteúdo de todas as ACLs;
? Inserindo o nome ou número da ACL como opção para esse comando, pode-se ver uma lista específica.
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 61
121
6.8.1 - Como Verificar as ALCs e Interpretar a Saída
122
Laboratório 6.8.1.1 ACLs estendidas - Visão geral
? Tempo estimado: 60 min? Objetivos:
? Este laboratório vai se concentrar na sua habilidade de concluir as seguintes tarefas:
? Rever as características e capacidades das AccessControl Lists (ACLs) IP estendidas
? Criar uma ACL IP estendida para permitir ou negar tráfego específico
? Aplicar uma ACL IP estendida a uma interface deroteador
? Testar a ACL para determinar se os resultados desejados foram alcançados
CNAP - Cisco Network Academy Program CCNA - Módulo III
Academia Local Núcleo de Computação Eletrônica da UFRJ 62
123
Laboratório 6.8.1.2 ACLs estendidas na internet - Visão geral
? Tempo estimado: 90 min.? Objetivos:
? Este laboratório vai se concentrar na sua habilidade de concluir as seguintes tarefas:
? Projetar e planejar uma ACL com base nos requisitos específicos de segurança
? Trabalhar com os recursos mais avançados das AccessControl Lists (ACLs) IP estendidas
? Criar uma ACL estendida com várias instruções? Criar uma ACL estendida para controlar o tráfego da
Internet usando um ou mais roteadores? Criar uma ACL estendida para permitir ou negar tráfego
específico