Capítulo 6 - nce.ufrj.br

CNAP - Cisco Network Academy Program CCNA - Módulo III

Academia Local Núcleo de Computação Eletrônica da UFRJ 1

Cisco Networking AcademyNúcleo de Computação Eletrônica

Universidade Federal do Rio de Janeiro

Capítulo 6

ACLs

2

SUMÁRIO

? 6.1 - Access Control Lists (ACLs);? 6.2 - Tarefas de Configuração da ACL;? 6.3 - ACLs Padrão;? 6.4 - ACLs Estendidas;? 6.5 - ACLs com Nomes;? 6.6 - Usando as ACLs com Protocolos;? 6.7 - Colocação das ACLs;? 6.8 - Verificando as ACLs.



3

6.1 - Access Control Lists (ACLs)

? Objetivo? Introduzir o conceito de access control list

(ACL).

? Estrutura? 6.1.1 - O que são ACLs;? 6.1.2 - Razões para Criar ACLs;? 6.1.3 - Testando os Pacotes com ACLs;? 6.1.4 - Como as ACLs Funcionam;? 6.1.5 - Diagrama de Fluxo de Processo de

Correspondência do Teste de ACL.

4

Projeto do órgão de administração escolar Washington: ACLs

? Neste capítulo, você aprenderá os conceitos e comandos de configuração que vão ajudá-lo a usar e implementar ACLs na rede do Órgão de administração escolar Washington. Além disso, à medida que os conceitos e comandos da ACL forem apresentados, você será capaz de aplicarACLs ao projeto da escola e à sua implementação.



5

Estudo de caso dividido em temas Projeto Washington: requisitos de segurança

? O projeto de LAN para todas as escolas no Órgão de administração escolar Washington requer que cada escola tenha duas redes: uma para currículo e outra para administração. Cada segmento de LAN exclusivo deve ser conectado a uma porta Ethernet separada no roteadorpara servir àquela LAN. Tais roteadores existem; procure em http://www.cisco.com para obter mais informações. Como parte da solução de segurança, você precisa projetar uma ACL para o roteador de acesso local que negará acesso aos usuários do segmento de LAN do currículo para o segmento de LAN administrativo, e ainda assim, continuará a conceder à LAN administrativa acesso total ao segmento de LAN do currículo.

6

Estudo de caso dividido em temas Projeto Washington: requisitos de segurança

? Uma exceção a essa ACL é que o roteador deve passar qualquer Sistema de Nomes de Domínio (DNS) ou tráfego de correio eletrônico para o servidor DNS/correio eletrônico, que estálocalizado no segmento da LAN administrativa. Esse é o tráfego originado na LAN que éacessado pelos alunos. Dessa forma, se um aluno estiver navegando na Web e precisar que o servidor DNS resolva os nomes de host, essa ACL fornecerá a resolução do nome de host. Além disso, essa ACL permitirá que os alunos enviem e recebam correio eletrônico.



7

6.1.1 - O que são ACLs

? ACLs: listas de instruções que se aplicam à interface do roteador;

8


? Essas listas dizem ao roteador que tipos de pacotes aceitar e recusar;

? Aceitação e recusa podem ser baseadas em certas especificações, como endereço origem, endereço destino e número da porta;

? ACLs permitem gerência do tráfego e digitalizar pacotes específicos aplicando a ACL à interface de um roteador;

? Qualquer tráfego atravessando a interface é testado com relação a certas condições que compõe a ACL;



9


? ACLs podem ser criadas para todos os protocolos de rede roteados, como IP e IPX, para filtrar pacotes conforme eles passem por um roteador;

? ACLs podem ser configuradas no roteadorpara controlar o acesso à rede ou sub-rede;

10


? Roteador examina cada pacote para determinar se deve encaminhá-lo ou descartá-lo, baseado nas condições especificadas na ACL;

? Condições da ACL poderiam ser: endereço origem do tráfego, endereço destino do tráfego, protocolo da camada superior ou outras informações.

? ACLs devem ser definidas por aplicativo ? deve-se definí-las para cada protocolo ativado em uma interface, se desejar controlar o fluxo de tráfego para aquela interface;



11


? Em uma interface de roteador configurada para IP, AppleTalk e IPX, é preciso definir pelo menos três ACLs;

? ACLs podem ser usadas como uma ferramenta para controlar a rede, pois adicionam flexibilidade para filtrar os pacotes que entram e saem das interfaces do roteador.

12

Estudo de caso dividido em temasProjeto Washington: usando ACLs

? Quando você usa ACLs nos roteadores de acesso local, todo o tráfego de LANs do currículo deve ser proibido na LAN administrativa. Você pode fazer exceções a esse requisito permitindo que aplicativos, como serviços de correio eletrônico e diretório, passem livremente, pois representam risco mínimo.

? Correio eletrônico e DNS precisam estar disponíveis através do órgão de administração, e esses tipos de serviços não devem permitir acesso não autorizado à rede administrativa. Todas as ACLs que você criar precisam ser controladas no escritório do órgão de administração e vocêprecisa rever exceções às ACLs antes da implementação.



13

6.1.2 - Razões para Criar ACLs

? Há várias razões para criar ACLs;? Fornecer um nível básico de segurança para

acesso à rede;? Limitar tráfego na rede e aumentar

desempenho da rede;? Fornecer controle de fluxo de tráfego:

? Permitir que tráfego de correio eletrônico sejaroteado, e ao mesmo tempo, bloquear todo o tráfego de telnet.

? Permitir que um host acesse uma parte de sua rede e impedir que outro acesse a mesma área;

14

6.1.2 - Razões para Criar ACLs

? Host A tem permissão de acesso a rede de Recursos Humanos, enquanto host B é impedido de acessá-la;

? Se não configurar ACLs no seu roteador, todos os pacotes passando por um roteador podem ter acesso permitido a todas as partes da rede.



15

6.1.3 - Testando os Pacotes com ACLs

? Ordem na qual são colocadas as instruções da ACL é importante;

? Quando roteador está decidindo se encaminha ou bloqueia um pacote, software IOS testa o pacote em relação à cada instrução de condição, na ordem em que as instruções foram criadas;

? Obs.: Depois que uma correspondência for encontrada, nenhuma outra instrução de condição será verificada;

16


? Se for criada instrução de condição que permita todo o tráfego, nenhuma instrução adicionada posteriormente será verificada;

? Se for preciso instruções adicionais, em uma ACL padrão ou estendida, deve-se excluí-lae recriá-la com novas instruções de condição;

? Por isso, é uma boa idéia editar a configuração de um roteador em um PC usando um editor de texto, e depois usar o TFTP para transferí-la para o roteador;



17


? Pode-se criar uma ACL para cada protocolo que deseja filtrar para cada interface doroteador;

? Para alguns protocolos, cria-se uma ACL para filtrar tráfego de entrada, e outra para filtrar tráfego de saída;

? Depois que uma instrução ACL verificar se há correspondência no pacote, poderá ser recusado ou permitido ao pacote usar uma interface no grupo de acesso;

18


? ACLs do Cisco IOS verificam o pacote e os cabeçalhos da camada superior.



19

6.1.4 - Como as ACLs Funcionam

? ACL é um grupo de instruções que definem como os pacotes:? Entram nas interfaces de entrada;? São retransmitidos pelo roteador;? Saem das interfaces de saída do roteador.

? Início do processo de comunicação é o mesmo, com as ACLs sendo usadas ou não;

? Quando um pacote entra em uma interface,roteador verifica se ele é roteável ou se pode ser feito bridge;

20




21


? Roteador então verifica se interface de entrada tem uma ACL;

? Se tiver, pacote é testado novamente em relação às condições da lista;

? Se pacote for permitido, ele será testado em relação às entradas da tabela deroteamento para determinar a interface destino;

? Depois, roteador verifica se interface destino tem uma ACL;

22


? Se não tiver, pacote poderá ser enviado para interface destino diretamente;

? P. ex., se pacote usar E0, que não possuiACLs, ele usará E0 diretamente;

? Instruções de ACL operam em ordem seqüencial e lógica;

? Se uma condição correspondente for verdadeira, pacote será permitido ou negado e instruções de ACL restantes não serão verificadas;



23


? Se não houver correspondência em nenhuma das instruções de ACL, uma instrução "deny any" implícita será imposta;

? Isso significa que mesmo que não se veja a "deny any" como a última linha de uma ACL, ela estará lá.

24

Estudo de caso dividido em temasProjeto Washington: permissão do usuário

? Você precisa desenvolver uma política de identificação de usuário e senha para todos os computadores do Órgão de administração. Essa política deve ser publicada e imposta. Finalmente, vocêprecisa certificar-se de que todos os computadores da rede do órgão de administração tenham total acesso àInternet.



25

6.1.5 - Diagrama de Fluxo do Processode Correspondência do Teste de ACL

26


? Fazendo a correspondência do primeiro teste, é negado acesso a um pacote para o seu destino;

? Ele é descartado e jogado no depósito de bits, e não é exposto a nenhum dos testes de ACL que se seguem;

? Se pacote não corresponder às condições do primeiro teste, ele passará para a próxima instrução na ACL;

? ACLs permitem que se controle quais clientes podem acessar sua rede;



27


? Condições em um arquivo ACL podem: ? Retirar determinados hosts para permitir ou

negar acesso à parte de sua rede;? Definir uma autenticação de senha para que

somente usuários que fornecerem um logon e senha válidos possam acessar parte da rede;

? Conceder permissão aos usuários para acessar parte da rede, como arquivos ou pastas de um determinado usuário.

28

6.2 - Tarefas de Configuração da ACL

? Objetivo? Apresentar a sintaxe de criação das ACLs.

? Estrutura? 6.2.1 - Criando ACLs;? 6.2.2 - O Objetivo e a Função dos Bits da

Máquina-Curinga;? 6.2.3 - O Comando Any;? 6.2.4 - O Comando Host.



29

6.2.1 - Criando ACLs

? Comandos ACL podem ser longas fileiras de caracteres;

? Tarefas-chave para criar ACLs incluem:? ACLs são criadas no modo de configuração global;? Especificar um número de ACL de 1 a 99 instrui

roteador a aceitar as instruções de ACL padrão;? Especificar um número de ACL de 100 a 199 instrui

roteador a aceitar as instruções de ACL estendidas;? ACL deve ser selecionada com cuidado e colocada em

ordem lógica;

30


? Protocolos IP permitidos devem ser especificados; todos os outros protocolos devem ser recusados;

? Deve-se selecionar que protocolos IP devem ser verificados;

? Todos os outros protocolos não devem ser verificados;

? Mais adiante, será possível especificar uma porta de destino opcional para obter maior precisão.



31


? Agrupando ACLs em interfaces? Em geral, maioria dos protocolos requer duas etapas

básicas:? Criar uma definição de ACL;? Aplicar a ACL a uma interface.

? ACLs são atribuídas a uma ou mais interfaces e podem filtrar tráfego que chega ou o que sai, conforme a configuração;

? ACLs de saída são geralmente mais eficientes do que as de entrada e por isso, são preferidas;

? Roteador com uma ACL de entrada deve verificar todos os pacotes para ver se ele corresponde à condição da ACL antes de comutar o pacote com uma interface de saída;

32


? Atribuindo um número exclusivo a cada ACL? Quando configurar ACLs em um roteador, deve-

se identificar cada ACL com exclusividade, atribuindo um número à ACL do protocolo;

? Quando se usar um número para identificar uma ACL, ele deverá estar dentro de um intervalo específico de números que seja válido para o protocolo.

? Pode-se especificar ACLs pelos números dos protocolos listados na tabela;



33


? Quando se usa um número para identificar uma ACL, ele deverá estar dentro de um intervalo específico de números válidos para o protocolo

1000-1099Protocolo de anúncio de serviço IPX

900-999IPX estendido

800-899IPX

600-699AppleTalk

100-199IP estendido

1-99IP

IntervaloProtocolo

34


? Tabela também lista intervalo de números ACL válidos para cada protocolo;

? Depois de criar uma ACL numerada, deve-se atribuí-la a uma interface para ser usada;

? Se desejar alterar uma ACL contendo instruções de ACL numeradas, precisará excluir todas as instruções na ACL numerada usando o comando de número de lista no access-list.



35

Diário da Engenharia 6.2.1: Exemplo de configuração de ACL numerada

? O exemplo a seguir define as ACLs 1 e 2:? interface ethernet 0ip address 1.1.1.1 255.0.0.0ip access-group 1 inip access-group 2 out!access-list 1 permit 5.6.0.0 0.0.255.255access-list 1 deny 7.9.0.0 0.0.255.255!access-list 2 permit 1.2.3.4access-list 2 deny 1.2.0.0 0.0.255.255

36

Diário da Engenharia 6.2.1: Exemplo de configuração de ACL numerada

? Digamos que a interface receba 10 pacotes de 5.6.7.7 e 14 pacotes de 1.2.23.21. O primeiro log ficará assim:

? list 1 permit 5.6.7.7 1 packetlist 2 deny 1.2.23.21 1 packet



37

6.2.2 - O Objetivo e a Função dos Bits da Máscara-Curinga

? Máscara-curinga são 32 bits divididos em quatro octetos, cada octeto contendo 8 bits;

? Bit de máscara-curinga 0 significa "verificar o valor do bit correspondente”;

? Bit de máscara-curinga 1 significa "não verificar (ignorar) esse valor do bit correspondente”;

? Máscara-curinga é emparelhada com um endereço IP;

38




39


? Números um e zero são usados para identificar como lidar com os bits do endereço IP correspondentes;

? ACLs usam máscaras-curinga para identificar endereços únicos ou vários endereços para permitir ou negar testes;

? Termo utilização de máscaras-curinga é um apelido para processo de correspondência de bit-máscara da ACL;

40


? Ele provém de uma analogia de um curinga que corresponde a qualquer outra carta em um jogo de pôquer;

? Embora ambas tenham 32 bits, máscaras-curinga e de sub-rede IP operam de forma distinta;

? Zeros e uns em uma máscara de sub-rede definem a rede, sub-rede e partes do hostdo end. IP correspondente;



41


? Zeros e uns em uma máscara-curinga, determinam se os bits correspondentes no end. IP devem ser verificados ou ignorados para as finalidades da ACL;

? Bits zero e um em uma máscara-curinga ACL fazem com que a ACL verifique ou ignore o bit correspondente no end. IP;

? Digamos que se deseje verificar em um end. IP, sub-redes que serão permitidas ou negadas;

42


? Ex: End. IP é um end. classe B com 8 bits de sub-rede;? Usar bits de máscara-curinga IP para permitir todos os

pacotes de qualquer host nas sub-redes de 172.30.16.0 a 172.30.31.0;



43


? Para começar, máscara-curinga verifica os dois primeiros octetos (172.30), usando os bits zero correspondentes na máscara-curinga;

? Como não há interesse em endereços individuais de host (uma identificação dehost não tem .00 no final do endereço), máscara-curinga ignora o octeto final, usando os bits correspondentes um na máscara-curinga;

44


? No terceiro octeto, máscara-curinga é 15 (00001111) e o end. IP é 16 (00010000);

? Quatro primeiros zeros na máscara-curinga falam para o roteador fazer correspondência dos quatro primeiros bits do endereço IP (0001);

? Como os últimos quatro bits são ignorados, todos os números no intervalo de 16 (00010000) a 31 (00011111) irão se corresponder, pois eles começam com o padrão 0001;



45


? Máscara-curinga ignora o valor dos últimos (menos significantes) quatro bits nesseocteto, porque nessas posições, valor do endereço poder ser binário zero ou um, e os bits da máscara-curinga correspondentes são um;

? Neste exemplo, end. 172.30.16.0 com máscara-curinga 0.0.15.255 corresponde às sub-redes de 172.30.16.0 a 172.30.31.0;

? Máscara-curinga não faz correspondência com nenhuma outra sub-rede.

46

6.2.3 - O Comando Any

? Para usos mais comuns da máscara-curinga, pode-se usar abreviações;

? Essas abreviações reduzem quantidade de digitação necessária quando estiver configurando condições de teste de endereços;

? P. ex., digamos que se deseje especificar que qualquer endereço de destino seja permitido em um teste de ACL;

? Para indicar qualquer end. IP, se digitaria 0.0.0.0;



47


? Depois, para indicar que a ACL deveria ignorar (permitir sem verificar) qualquer valor, os bits da máscara-curinga correspondentes para esse endereço seriam todos iguais (ou seja, 255.255.255.255);

? Pode-se usar a abreviação any para comunicar essa mesma condição de teste para o software Cisco IOS ACL;

48


? Ao invés de digitar 0.0.0.0 255.255.255.255, pode-se usar a palavraany sozinha como palavra-chave;

? No lugar de usar:? Router(config) # access-list 1 permit 0.0.0.0 255.255.255.255

? Pode-se usar:? Router(config) # access-list 1 permit any



49

6.2.4 - O Comando Host

? Segunda condição comum onde o Cisco IOS permitirá uma abreviação na máscara-curinga da ACL será quando se desejar coincidir todos os bits de um end. de hostIP inteiro;

? P. ex., digamos que se deseje especificar que um end. IP de host seja negado em um teste de ACL;

? Para indicar o end. IP de host, deve-se inserir o endereço completo (p. ex., 172.30.16.29);

50


? Depois, para indicar que a ACL deve verificar todos os bits no endereço, os bits da máscara-curinga correspondente para esse endereço devem ser todos zeros (ou seja, 0.0.0.0);

? Pode-se usar a abreviação host para comunicar essa mesma condição de teste para o software Cisco IOS ACL;



51


? P. ex., ao invés de usar:? Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

? Pode-se usar:? Router(config)# access-list 1 permit host172.30.16.29

52

6.3 - ACLs Padrão

? Objetivo? Explicar conceito de ACL padrão.

? Estrutura? 6.3.1 - O que são ACLs Padrão;? 6.3.2 - Criando um Processo Padrão ACL Válido Usando

Todos os Parâmetros Disponíveis;? 6.3.3 - Como Verificar as Listas de Acesso;? 6.3.4 - O que são ACLs Padrão;? 6.3.5 - Criando uma ACL Padrão para Negar um Host

Específico;? 6.3.6. - Criando uma ACL Padrão para Negar uma

Sub-rede Específica.



53

6.3.1 - O que são ACLs Padrão

? ACLs padrão são usadas quando se deseja bloquear todo tráfego de uma rede, permitir todo tráfego de uma rede específica ou negar conjuntos de protocolos;

? ACLs padrão verificam origem dos pacotes que devem ser roteados;

? Resultado permite ou nega a saída de um conjunto inteiro de protocolos, baseado nos endereços de host, sub-rede e rede;

54


? P. ex., é feita verificação do protocolo e endereço de origem nos pacotes que chegam na E0;

? Se obtiverem permissão, pacotes sairão pela S0, que é agrupada à ACL;

? Se não obtiverem permissão, eles serão descartados.



55

? Usa-se a versão padrão do comando de configuração global access-list para definir uma ACL padrão com um número;

? Sintaxe completa do comando é? Router(config)# access-list nº da lista de acesso {deny | permit} origem [curinga da origem ] [log]

? Use a forma no desse comando para retirar a ACL padrão:? Router(config)# no access-list nº da lista de acesso

6.3.2 - Criando um Comando Padrão ACL Válido Usando Todos os Parâmetros Disponíveis

56

6.3.3 - Como Verificar as Listas de Acesso

? Use o comando EXEC show access-lists para exibir o conteúdo de todas as ACLs;

? Use ainda o comando EXEC show access-listsseguido do nome ou número de uma ACL para exibir o conteúdo de uma ACL;

? Exemplo: ACL padrão que permite aos hostsacesso às três redes especificadas: ? access-list 1 permit 192.5.34.0 0.0.0.255 access-list 1 permit 128.88.0.0 0.0.255.255 access-list 1 permit 36.0.0.0 0.255.255.255 !qualquer outro acesso implicitamente negado



57


? No exemplo, bits-curinga se aplicam às partes do host dos endereços de rede;

? Qualquer host com um endereço origem que não corresponda às instruções de ACL serão rejeitados;

? Para especificar vários endereços individuais mais facilmente, pode-se omitir o curinga se for todo de zeros;

58


? Assim, os dois comandos de configuração a seguir têm o mesmo efeito: ? access-list 2 permit 36.48.0.3 access-list 2 permit 36.48.0.3 0.0.0.0

? Comando ip access-group agrupa uma ACL existente a uma interface;

? Somente uma ACL por porta por protocolo por direção é permitida;

? Formato do comando é:? Router(config-if)#ip access-group nº da lista de acesso {in | out}



59


? Ex: ACL só permite que tráfego da rede de origem172.16.0.0 seja encaminhado;

? Tráfego na rede diferente de 172.16.0.0 será bloqueado;? Também mostrado no exemplo, comando ip access-group

1 out agrupa a ACL a uma interface de saída;

60

6.3.5 - Criando uma ACL Padrão para Negar um Host Específico

? Ex: Criar ACL para bloquear tráfego de um endereço específico, 172.16.4.13, e para permitir que todo o tráfego restante seja encaminhado em uma interface Ethernet 0.



61

6.3.6 - Criando uma ACL Padrão para Negar uma Sub-rede Específica

? Ex: ACL é projetada para bloquear tráfego de uma sub-rede específica, 172.16.4.0, e para permitir que outro tráfego sejaencaminhado;

62

6.3.6 – Atividade de Laboratório Interativa – Flash

? Antes de tentar realizar o laboratório real, éinteressante tentar realizar essa atividade para testar seu desempenho na sintaxe de comando apropriada para as AccessControl Lists (ACLs) padrão.



63

Laboratório 6.3.6 ACLs padrão -Visão geral

? Tempo estimado: 60 min? Objetivos:

? Este laboratório vai se concentrar na sua habilidade de concluir as seguintes tarefas:

? Rever as características e capacidades das AccessControl Lists (ACLs) IP padrão

? Criar uma ACL padrão para permitir ou negar tráfego específico

? Aplicar uma ACL IP padrão a uma interface doroteador

? Testar a ACL para determinar se os resultados desejados foram alcançados

? Remover uma ACL de uma interface do roteador? Excluir uma ACL de um roteador

64

6.4 - ACLs Estendidas

? Objetivo? Explicar conceito de ACL estendida.

? Estrutura? 6.4.1 - O que são ACLs Estendidas;? 6.4.2 - Parâmetros das ACLs Estendidas;? 6.4.3 - Números das Portas UDP e TCP;? 6.4.4 - Criar uma ACL par Negar FTP em uma

Interface Ethernet;? 6.4.5 - Criar uma ACL que Negue a Saída para

um Telnet de uma Porta Ethernet e Permite Todo o Tráfego Restante.



65

6.4.1 - O que são ACLs Estendidas

? ACLs estendidas são mais usadas para testar condições porque elas proporcionam um intervalo maior de controle que as ACLs padrão;

? ACL estendida será usada para permitir tráfego daWeb e negar FTP ou telnet de redes que não sejam da empresa;

? ACLs estendidas verificam endereços origem e destino dos pacotes;

? Elas também podem verificar protocolos específicos, números de portas e outros parâmetros;

66


? Isso lhe dá mais flexibilidade para descrever que tipo de verificação a ACL fará;

? Saída dos pacotes pode ser permitida ou recusada com base em onde o pacote foi originado e no seu destino;



67


? P. ex., ACL estendida pode permitir tráfego de correio eletrônico de E0 para destinos S0 específicos, enquanto nega logins remotos ou transferências de arquivos.

68


? Digamos que Interface E0 tenha sido agrupada a uma ACL estendida;

? Isso significa que se usou instruções lógicas e precisas para criar a ACL;

? Antes que um pacote possa prosseguir para aquela interface, ele é testado pela ACL associada àquela interface;

? Baseado nos testes da ACL estendida, pacote pode ser permitido ou recusado;



69


? Para listas de entrada, isso significa que pacotes permitidos vão continuar a ser processados;

? Para listas de saída, isso significa que pacotes permitidos serão enviados diretamente para a E0;

? Se resultados recusarem a permissão, pacote será descartado;

? ACL do roteador fornece controle de firewallpara negar uso da interface E0;

70


? Quando pacotes forem descartados, alguns protocolos devolverão um pacote ao emissor, dizendo que o destino estava inalcançável;

? Para uma única ACL pode-se definir várias instruções;

? Cada uma delas deve fazer referência ao mesmo nome ou número de identificação, para vincular as instruções à mesma ACL;

? Pode-se ter quantas instruções de condição desejar, limitadas somente pela memória disponível;



71


? Quanto mais instruções tiver, mais difícil será entender e gerenciar sua ACL;

? Dessa forma, documentar as ACLs evitará confusão;

? ACL padrão (numerada de 1 a 99) talvez não forneça controle de filtragem de tráfego de que se necessita;

? ACLs padrão filtram o tráfego com base em uma máscara e endereço de origem;

? ACLs padrão também permitem ou negam o conjunto inteiro do TCP;

72


? Talvez se necessite de uma forma mais precisa de controle de tráfego e acesso;

? Para um controle de filtragem de tráfego mais preciso, use ACLs estendidas;

? Instruções da ACL estendida verificam endereços origem e destino;

? Além disso, no final da instrução da ACL estendida, obtém-se precisão adicional de um campo que especifica o número da porta do TCP ou do UDP;



73


? Pode haver números de porta conhecidos para TCP/IP;? Pode-se especificar operação lógica que a ACL estendida

executará em protocolos específicos;? ACLs estendidas usam um número do intervalo 100 a 199.

TFTP69

DNS53

Simple Mail Transport Protocol (SMTP)25

Telnet23

Programa FTP21

Dados FTP20

Protocolo IPNúmero de porta comum

(decimal)

74

6.4.2 - Parâmetros da ACL Estendida

? Forma completa do comando access-list:? Router(config)# access-list nº da lista de acesso {permit | deny} protocolosource [máscara da origem destinationmáscara do destino operador operando] [established]

? Comando ip access-group une uma ACL estendida existente a uma interface;

? Somente uma ACL por interface, por direção, por protocolo é permitida;

? Formato do comando:? Router(config-if)# access-group nº da lista de acesso {in | out}



75

6.4.2 – Atividade de Sintaxe Interativa – Flash

? Tente realizar essa atividade para testar seu desempenho na sintaxe do comando apropriada para os parâmetros das AccessControl Lists (ACLs) estendidas.

76

6.4.3 - Números das Portas UDP e TCP

? Endereços destino e origem ou protocolos específicos que usam ACLs estendidas precisam ser identificados com números do intervalo de 100 a 199;

? Números das portas TCP ou UDP de nível superior além dos outros testes nas ACLsestendidas precisam ser identificados, com um número do intervalo de 100 a 199;



77

6.4.3 - Números das Portas UDP e TCP

não atribuído242-251não atribuído224-241

UDPFNP162reservado160-223não atribuído133-159

TCPWWWHTTP80TCP/IPgopher70UDPTFTPTFTP69TCP/UDPDNSDOMAIN53

UDPservidor do nome dohostNAMESERVER42

TCPSMTPSMTP25TCPconexão de terminalTELNET23TCPFTPFTP21TCPFTP (dados)FTP-DADOS20

não atribuído1-4reservado0

ProtocoloDescriçãoPalavra-

chaveDecimal

78

6.4.4 - Criar uma ACL para Negar FTP em uma Interface Ethernet

? Observe que porta de bloqueio 21 impede que comandos FTP sejam transmitidos, impedindo as transferências de arquivo FTP;

? Porta de bloqueio 20 impede que o próprio tráfego seja transmitido, mas não bloqueia os comandos FTP;

? Servidores FTP podem facilmente ser configurados para operar em diferentes portas;

? Não há garantias de que haverá serviços nessas portas, mesmo que haja normalmente.



79

6.4.5 - Criar uma ACL que Negue a Saída para um Telnet de uma Porta Ethernet e Permite Todo o Tráfego Restante

? Ex: não permitir que tráfego de telnet (eq 23) de 172.16.4.0 saia pela interface E0;

? Todo tráfego de qualquer outra origem para qualquer destino é permitido, indicado pelapalavra-chave any;

80

6.5 - ACLs com Nomes

? Objetivo? Apresentar ACLs com nomes.

? Estrutura? 6.5.1 - Configurar ACLs com Nomes;? 6.5.2 - O Comando Deny;? 6.5.3 - O Comando Permit.



81

6.5.1 - Configurar ACLs com Nomes

? ACLs com nome permitem que ACLs IP padrão e estendidas sejam identificadas com uma seqüência alfanumérica (nome) ao invés da representação numérica (1 a 199) atual;

? ACLs com nomes podem ser usadas para excluir entradas individuais de uma ACL específica;

? Isso permite que se modifique suas ACLssem excluí-las e depois reconfigurá-las;

82


? Use ACLs com nomes quando: ? Se desejar identificar intuitivamente ACLs

usando um nome alfanumérico;? Se tiver mais de 99 ACLs simples e 100

estendidas para serem configuradas em umroteador para um determinado protocolo.



83


? Considere o seguinte antes de implementar as ACLs com nomes:? ACLs com nomes não são compatíveis com as

versões Cisco IOS anteriores a 11.2;? Não se pode usar o mesmo nome para várias

ACLs;? Além disso, ACLs de diferentes tipos não podem

ter o mesmo nome;? P. ex., é ilegal especificar uma ACL padrão com

o nome de George e uma ACL estendida com o mesmo nome.

84


? Para dar um nome à ACL, use o seguinte comando:? Router(config)# ip access-list {standard |

extended} nome

? No modo de configuração de ACL, especifique uma ou mais condições permitidas ou negadas;



85

? Isso determina se o pacote passará ou será descartado:

? Router(config-{std- | ext-}nacl)# deny{origem [curinga da origem] | any}

ou? Router(config-{std- | ext-}nacl)# permit

{origem [curinga da origem]|any}


86


? Configuração cria uma ACL padrão chamada deFiltroInternet e uma ACL estendida chamada degrupo_de_marketing.



87

6.5.2 - O Comando Deny

? Use o comando de configuração de ACLdeny para definir as condições de uma ACL com nome;

? Sintaxe completa para este comando é:? deny {origem [curinga da origem] | any}

? Use a forma no desse comando para remover uma condição de negação, usando a sintaxe a seguir:? no deny {origem [curinga da origem] | any}

88

6.5.2 - O Comando Deny

? Exemplo define uma condição de negação para uma ACL padrão denominadaFiltroInternet:



89

? Use o comando de configuração de lista de acesso permit para definir as condições para uma ACL padrão com nome;? Sintaxe completa desse comando:

? permit {origem [curinga da origem] | any}[log]

? Use a forma no desse comando para retirar uma condição da ACL, usando a sintaxe:? no permit {origem [curinga da origem]| any}

6.5.3 - O Comando Permit

90


? Esse comando é usado no modo de configuração de lista de acesso seguindo o comandoip access-list, para definir as condições sob as quais um pacote passa a ACL;

? Exemplo é para uma ACL denominadaFiltroInternet:? ip access-list standard FiltroInternet

deny 192.5.34.0 0.0.0.255permit 128.88.0.0 0.0.255.255permit 36.0.0.0 0.255.255.255!(Obs:qualquer outro acesso implicitamente negado)



91


? Neste exemplo, instruções permit e deny não têm números e o no retira o teste específico da ACL com nome:? Router(config {std- | ext-}nacl)# {permit | deny}

{condições de teste da ACL IP}{permit | deny} {condições de teste da ACL ip} no {permit | deny} {condições de teste da ACL ip}

? Este exemplo ativa a ACL IP com nome em uma interface:? Router(config-if)# ip access-group {nome | 1-199 {in |

out}}

92


? Exemplo da saída da configuração



93

6.6 - Usando as ACLs com Protocolos

? Objetivo? Mostrar que ACLs podem ser criadas para

qualquer outro protocolo roteável que umroteador Cisco e uma versão IOS específicos suportem.

? Estrutura? 6.6.1 - Protocolos para os Quais ACLs Podem

ser Criadas.

94

6.6.1 - Protocolos para os Quais ACLs Podem ser Criadas

? ACLs podem controlar a maioria dos protocolos em um roteador Cisco;

? Insira um número no intervalo de números do protocolo como o primeiro argumento da instrução global da ACL;

? Roteador identifica que software ACL usar, baseado nessa entrada numérica;

? Há várias ACLs possíveis para um protocolo;



95


? Selecione um número diferente do intervalo de números do protocolo para cada nova ACL;

? Só se pode especificar uma ACL por protocolo por interface;

? Em alguns protocolos, pode-se agrupar até duasACLs em uma interface: uma ACL de chegada e uma de saída;

? Em outros protocolos, só se agrupa uma ACL, que verifica os pacotes de chegada e de saída;

96


? Se for uma ACL de chegada, quandoroteador receber um pacote, software Cisco IOS verificará as instruções de condição da ACL para ver se há correspondência;

? Se pacote for permitido, software continuará a processá-lo;

? Caso contrário, software descartará esse pacote, colocando-o no depósito de bits;



97


? Se for uma ACL de saída, após receber erotear um pacote para a interface de saída, software verificará as instruções de condição da ACL para uma correspondência;

? Se pacote for permitido, software transmitirá esse pacote;

? Se pacote for recusado, software irá descartar esse pacote, enviando-o para o depósito de bits.

98

Diário da Engenharia 6.6.1: Nomeando ou numerando um protocolo IP

? O nome ou número de um protocolo IP pode ser uma das palavras-chave eigrp, gre, icmp,igmp, igrp, ip, ipinip, nos, ospf, tcp ou udpou um número do intervalo de 0 a 255, representando um número de protocolo IP. Para fazer a correspondência com qualquer protocolo da Internet (incluindo o ICMP, TCP e UDP), use a palavra-chave ip. Os protocolos e seus números correspondentes estão listados no RFC 1700, juntamente com os números de porta.



99

6.7 - Colocação das ACLs

? Objetivo? Mostrar regras de colocação das ACLs.

? Estrutura? 6.7.1 - Regra: “Colocar as ACLs Estendidas o

Mais Perto Possível da Origem do Tráfego Negado”;

? 6.7.2 - Usando ACLs em Roteadores Firewall;? 6.7.3 - Uma Arquitetura de Firewall para

Protegê-lo Contra Intrusos.

100

6.7.1 - Regra: “Colocar as ACLs Estendidas o Mais Perto Possível da Origem do Tráfego Negado”

? ACLs são usadas para controlar tráfego filtrando os pacotes e eliminando tráfego não desejado em um destino;

? Dependendo de onde se coloca a sua instrução de ACL, pode-se reduzir tráfego desnecessário;

? Tráfego que será negado em um destino remoto não deverá usar recursos de rede na rota para aquele destino;



101


? Digamos que a política de uma empresa seja negar telnetou tráfego de FTP em um roteador A à LAN Ethernet com comutação na porta E1 do roteador D;

? Ao mesmo tempo, outro tráfego deve ser permitido;

102


? Várias abordagens podem executar essa diretriz;

? Abordagem recomendada usa uma ACL estendida;

? Ela especifica endereços origem e destino;? Coloque essa ACL estendida no roteador A;? Depois, pacotes não atravessarão a

Ethernet do roteador A, não atravessarão as interfaces seriais dos roteadores B e C e não entrarão no roteador D;



103


? Tráfego com diferentes endereços origem e destino ainda podem ser permitidos;

? Regra é colocar ACLs estendidas o mais perto possível da origem do tráfego negado;

? Como ACLs padrão não especificam endereços destino, tem-se que colocá-las o mais perto possível do destino;

? P. ex., deve-se colocar uma ACL padrão ou estendida na E0 do roteador D para impedir tráfego do roteador A.

104

Estudo de caso dividido em temasProjeto Washington: implementação de firewall

? A conectividade da Internet que vocêprecisará implementar no Órgão de administração escolar Washington requer uma implementação de firewall dupla, com todos os aplicativos expostos à Internet mantidos dentro de uma rede backbonepública. Você precisa certificar-se de que todas as conexões iniciadas na Internet para a rede particular de cada escola sejam recusadas.



105

6.7.2 - Usando ACLs em RoteadoresFirewall

? ACLs devem ser usadas em roteadores defirewall, que são freqüentemente posicionados entre a rede interna e a rede externa, tal como a Internet;

? Roteador de firewall fornece um ponto de isolamento para que o resto da estrutura interna da rede não seja afetada;

? Pode-se usar ACLs em um roteadorposicionado entre duas partes da rede para controlar o tráfego que chega ou sai de uma determinada parte da rede interna;

106


? Para proporcionar benefícios de segurança de ACLs, deve-se pelo menos configurarACLs em roteadores de borda;

? Isso proporciona segurança básica da rede externa, ou de uma área menos controlada da rede, para uma área mais privada da rede;



107


? Nesses roteadores de borda, ACLs podem ser criadas para cada protocolo de rede configurado nas interfaces do roteador;

? Pode-se configurar ACLs para tráfego que chega, tráfego que sai ou para que ambos sejam filtrados em uma interface.

108

6.7.3 - Uma Arquitetura de Firewall para Protegê-lo Contra Intrusos

? Arquitetura de firewall é uma estrutura que existe entre você e o mundo externo paraprotegê-lo de intrusos;

? Na maioria das circunstâncias, intrusos provêm da Internet global e dos milhares de redes remotas que ela interconecta;

? Geralmente, um firewall de rede consiste em várias máquinas diferentes;



109


? Nessa arquitetura, roteador externo que é conectado à Internet força todo o tráfego que chega a ir para o gateway do aplicativo;

? Roteador interno que é conectado à rede interna aceita pacotes somente do gatewaydo aplicativo;

? Na verdade, gateway controla a entrega de serviços baseados na rede, para e da rede interna;

110


? P. ex., somente certos podem ter permissão para se comunicar com a Internet, ou somente certos aplicativos podem ter permissão para estabelecer conexões entre um host interno e um host externo;

? Se único aplicativo permitido for o correio, então somente pacotes de correio devem ter permissão para passar pelo roteador;

? Isso protege o gateway do aplicativo e evita sua sobrecarga com pacotes que, caso contrário, ele descartaria.



111


112

Diário da Engenharia 6.7.3: Usando um roteador de firewall

? Esta seção usa o cenário ilustrado nas figuras de 6 a 13 para descrever o uso de ACLs para restringir o tráfego de e para um roteador defirewall. Ter um roteador designado para atuar como um firewall é bom porque identifica claramente a função do roteador de gatewayexterno e evita sobrecarregar outros roteadorescom essa tarefa. No caso da rede interna precisar se isolar, o roteador de firewall fornece o ponto de isolamento para que o restante da estrutura interna da rede não seja afetado.



113


? Na configuração do roteador de firewall a seguir, a sub-rede 13 da rede de classe B é a sub-rede dofirewalle a sub-rede 14 fornece conexão com a Internet através de um provedor de serviços:

? interface ethernet 0ip address B.B.13.1 255.255.255.0interface serial 0ip address B.B.14.1 255.255.255.0router igrpnetwork B.B.0.0

114


? Essa simples configuração não proporciona segurança e permite todo o tráfego do mundo externo em todas as partes da rede. Para proporcionar segurança ao roteadorde firewall, você precisa usar as ACLs e os grupos de acesso.

? Uma ACL define o tráfego exato que será permitido ou negado e um grupo de acesso aplica a definição de uma ACL a uma interface. As ACLs podem ser usadas para negar conexões conhecidas como riscos à segurança e depois permitir todas as outras conexões ou permitir conexões que sejam consideradas aceitáveis e negar todas as outras. Para a implementação do firewall, o último é o método mais seguro.



115


? O melhor lugar para definir uma ACL é em um host, usando um editor de texto. Vocêpode criar um arquivo que contenha os comandos access-list e depois carregar o arquivo no roteador. Antes de carregar a definição de controle de acesso, qualquer definição prévia dessa ACL éremovida com o seguinte comando:

? no access-list 101

116


? O comando access-list pode agora ser usado para permitir todos os pacotes que estejam retornando às máquinas a partir de conexões já estabelecidas. Com a palavra-chave established, uma correspondência será feita se o datagramado TCP tiver os bits de confirmação (ACK) ou de reconfiguração (RST) configurados:

? access-list 101 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 established



117


? Depois que a ACL tiver sido carregada noroteador e armazenada na memória nonvolatile random-access memory (NVRAM), a atribua àinterface apropriada. Neste exemplo, o tráfego que chega vindo do mundo externo através da serial 0 é filtrado antes de ser colocado na sub-rede 13 (ethernet 0). Dessa forma, o comando access-group, que atribui uma ACL para filtrar as conexões de chegada, deve ser atribuído àethernet 0 desta forma:

? interface ethernet 0ip access-group 101

118


? Para controlar o acesso de saída para a Internet através da rede, defina uma ACL e a aplique aos pacotes de saída na serial 0 do roteador de firewall. Para fazer isso, os pacotes que retornam vindos dos hosts que usam telnet ou FTP devem ter permissão de acesso à sub-rede B.B.13.0 do firewall.

? Se você tiver várias redes internas conectadas ao roteadorde firewall e o roteador estiver usando filtros de saída, o tráfego entre as redes internas sofrerá uma redução no desempenho criada pelos filtros da ACL. Se os filtros de entrada forem apenas usados na interface partindo doroteador para o mundo externo, as redes internas não sofrerão nenhuma redução no desempenho.



119

6.8 - Verificando as ACLs

? Objetivo? Apresentar mais alguns comandos show para

verificar as ACLs.

? Estrutura? 6.8.1 - Como Verificar as ALCs e Interpretar a

Saída.

120

6.8.1 - Como Verificar as ALCs e Interpretar a Saída

? Comando show ip interface exibe as informações da interface IP e indica se há alguma ACL estabelecida;

? Comando show access-lists exibe o conteúdo de todas as ACLs;

? Inserindo o nome ou número da ACL como opção para esse comando, pode-se ver uma lista específica.



121

6.8.1 - Como Verificar as ALCs e Interpretar a Saída

122

Laboratório 6.8.1.1 ACLs estendidas - Visão geral

? Tempo estimado: 60 min? Objetivos:


? Rever as características e capacidades das AccessControl Lists (ACLs) IP estendidas

? Criar uma ACL IP estendida para permitir ou negar tráfego específico

? Aplicar uma ACL IP estendida a uma interface deroteador

? Testar a ACL para determinar se os resultados desejados foram alcançados



123

Laboratório 6.8.1.2 ACLs estendidas na internet - Visão geral

? Tempo estimado: 90 min.? Objetivos:


? Projetar e planejar uma ACL com base nos requisitos específicos de segurança

? Trabalhar com os recursos mais avançados das AccessControl Lists (ACLs) IP estendidas

? Criar uma ACL estendida com várias instruções? Criar uma ACL estendida para controlar o tráfego da

Internet usando um ou mais roteadores? Criar uma ACL estendida para permitir ou negar tráfego

específico

Capítulo 6 - nce.ufrj.br

Documents

Transcript of Capítulo 6 - nce.ufrj.br