exploration accessing wan chapter5 - cópia
TRANSCRIPT
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
1/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 1Version 4.0
Listas de Controle de Acesso
(Access Control Lists – ACLs)
Acessando a WAN –
Capítulo 5
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
2/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 2
Objetivos
Explicar como as ACLs são utilizadas para proteger arede corporativa de uma filial de médio porte
Configurar os diversos tipos e ACLs na redecorporativa de uma filial de médio porte
Verificar e monitorar as ACLs configuradas eidentificar e solucionar problemas
Descrever as ACLs complexas na rede corporativa deuma filial de médio porte, incluindo configurar as
ACLs dinâmicas, reflexivas e temporizadas,verificando e solucionando problemas de ACLscomplexas, além de explicar advertências
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
3/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 3
Introdução
Segurança de rede é um assunto enorme, e grandeparte dele está além do escopo deste curso
No entanto, uma das habilidades mais importantes dasquais um administrador de rede precisa é dominar as
listas de controle de acesso (ACLs) Os administradores utilizam as ACLs a fim de parar o
tráfego ou permitir apenas o tráfego especificadoenquanto interrompe todo o restante do tráfego em
suas redes Os designers de rede utilizam firewalls para proteger
redes do uso não autorizado. Os firewalls são soluçõesem hardware ou software que aplicam políticas de
segurança de rede
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
4/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 4
Introdução
Uma ACL é uma lista sequencial de instruções depermissão ou negação que se aplicam a endereços ouprotocolos de camada superior
As ACLs fornecem uma forma eficiente de controlar o
tráfego dentro e fora da sua rede Pode-se configurar as ACLs para todos os protocolos
de rede roteados
A razão mais importante para configurar as ACLs éfornecer segurança para a sua rede
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
5/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 5
Utilizando as ACLs para Proteger Redes
Uma Conversa TCP• As ACLs permitem controlar o tráfego dentro e fora da sua
rede
• Esse controle pode ser tão simples quanto permitir ou negarhosts de rede ou endereços
• As ACLs também podem ser configuradas para controlar otráfego da rede com base na porta TCP utilizada
Importante conhecer o funcionamento do TCP!!!
Ver animação5.1.1
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
6/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 6
Utilizando as ACLs para Proteger Redes
Uma Conversa TCP• O segmento de dados TCP também identifica a porta
corr
espondente ao serviço solicitado
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
7/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 7
Utilizando as ACLs para Proteger Redes
Filtragem de Pacote• A filtragem de pacote controla o acesso a uma rede,
analisando os pacotes de entrada e de saída e transmitindoou paralisando-os com base em critérios informados
• Um roteador funciona como um filtro de pacote ao
encaminhar ou negar pacotes de acordo com as regras defiltragem
• A ACL é uma lista sequencial de instruções de permissão ounegação
• A decisões de "permitir" ou "negar" pode ser feitas com baseem:
Endereço IP de origem/destino
Tipo de mensagem ICMP
Porta de origem TCP/UDP
Porta de destino TCP/UDP
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
8/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 8
Utilizando as ACLs para Proteger Redes
Filtragem de Pacote (Exemplo)• Só permita acesso à Web para usuários da rede A
• Negue acesso à Web para usuários da rede B, mas permita aeles todos os demais acessos
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
9/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 9
Utilizando as ACLs para Proteger Redes
O que é ACL?• É um script de configuração de roteador que controla se
permite ou nega a passagem a pacotes com base noscritérios encontrados no cabeçalho de pacote
• Também são utilizadas para selecionar tipos de tráfego a ser
analisado, encaminhado ou processado de outras formas• Na medida em que cada pacote passa por uma interface com
uma ACL associada, a ACL é verificada de cima parabaixo, uma linha por vez, procurando um padrãocorrespondente ao pacote de entrada
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
10/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 10
Utilizando as ACLs para Proteger Redes
O que é ACL?• Diretrizes para utilizar ACLs:
Utilize as ACLs em roteadores de firewall colocados entre assuas redes interna e externa, como a Internet
Utilize as ACLs em um roteador colocado entre duas partes da
sua rede para controlar o tráfego que entra ou sai de umadeterminada parte da sua rede interna
Configure as ACLs em roteadores de borda (roteadores situadosnas extremidades das suas redes)
Configure as ACLs para cada protocolo de rede configurado nas
interfaces do roteador de borda. Você pode configurar as ACLsem uma interface para filtrar o tráfego de entrada, o tráfego desaída ou ambos
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
11/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 11
Utilizando as ACLs para Proteger Redes
O que é ACL?• Os três Ps
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
12/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 12
Utilizando as ACLs para Proteger Redes
Operação da ACL• As ACLs definem o conjunto de regras que dão controle
adicional para pacotes que entram por interfaces de entrada,pacotes retransmitidos pelo roteador e pacotes que saempelas interfaces de saída do roteador
• As ACLs não funcionam em pacotes com origem nopróprio roteador
• As ACLs são configuradas para se aplicar ao tráfego deentrada ou ao tráfego de saída.
ACLs de entrada – os pacotes de entrada são processados
antes de serem roteados para a interface de saída. Uma ACL deentrada será eficiente porque evita a sobrecarga das pesquisasde roteamento se o pacote for descartado. Se for permitido pelostestes, o pacote será processado para roteamento
ACLs de saída – os pacotes de entrada são roteados para ainterface de saída e, em seguida, processados pela ACL desaída
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
13/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 13
Utilizando as ACLs para Proteger Redes
Operação da ACL de entrada
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
14/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 14
Utilizando as ACLs para Proteger Redes
Operação da ACL de saída
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
15/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 15
Utilizando as ACLs para Proteger Redes
A ACL e o roteamento e os processos ACL em umroteador
Ao final de toda lista de acesso, há uma instruçãoimplícita do critério "negar todo o tráfego"
Ver item
5.1.4 (2)
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
16/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 16
Utilizando as ACLs para Proteger Redes
Tipos de ACL• ACLs padrão
Possibilita permitir ou negar tráfego baseado nos endereços IPde origem
O destino do pacote e as portas envolvidas não importam
• ACLs estendidas
Filtram pacotes IP com base em vários atributos, por exemplo,
tipo de protocolo, endereço IP de origem, endereço IP de destino,portas TCP e UDP de origem, portas TCP e UDP de destino einformações do tipo de protocolo opcionais para maiorgranularidade de controle
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
17/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 17
Utilizando as ACLs para Proteger Redes
Funcionamento da ACL padrão• Uma ACL padrão é uma coleção sequencial de condições
para permitir e negar que se aplicam a endereços IP
• As duas tarefas principais envolvidas na utilização das ACLssão as seguintes:
Etapa 1. Criar uma lista de acesso, especificando um número dalista de acesso ou nome e condições de acesso
Etapa 2. Aplicar a ACL a interfaces ou linhas de terminal
Ver item5.1.6
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
18/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 18
Utilizando as ACLs para Proteger Redes
Numerando e Nomeando ACLs• Utilizar ACLs numeradas é um método efetivo para
determinar o tipo de ACL em redes menores com tráfegodefinido de maneira mais homogênea
• No entanto, um número não informa a finalidade da ACL. Por
essa razão você pode utilizar um nome para identificar uma ACL Cisco
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
19/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 19
Utilizando as ACLs para Proteger Redes
Onde colocar a ACL• A localização apropriada de uma ACL para filtrar tráfego
indesejável faz a rede operar com mais eficiência
• O posicionamento correto da ACL pode reduzir o tráfegodesnecessário
• Toda ACL deve ser colocada onde tenha o maior impacto emtermos de eficiência. As regras básicas são:
Localize as ACLs estendidas mais próximas da origem dotráfego negado. Dessa forma, o tráfego indesejável é filtrado sematravessar a infraestrutura de rede.
Como as ACLs padrão não especificam endereços de destino,coloque-as o mais próximo possível do destino
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
20/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 20
Utilizando as ACLs para Proteger Redes
Onde colocar a ACL• ACL Padrão
• ACL Estendida
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
21/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 21
Utilizando as ACLs para Proteger Redes
Diretrizes gerais para criar ACLs• A utilização das ACLs exige atenção a detalhes e muito
cuidado
• Equívocos podem sair caros em termos de indisponibilidade,identificação e solução de problemas e um serviço de rede
ruim• Antes de começar a configurar uma ACL, o planejamento
básico é obrigatório
Atividade
5.1.9 (2)
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
22/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 22
Configurando ACL Padrão
Inserindo instruções de critério• Lembre-se de que, ao entrar no roteador, o tráfego é
comparado com instruções ACL com base na ordem em queocorrem as entradas no roteador
• O roteador continua processando as instruções ACL até que
haja uma correspondência• Por essa razão, você deve ter a entrada ACL mais utilizada
na parte superior da lista
• Se nenhuma correspondência for encontrada quando oroteador chegar ao final da lista, o tráfego será negado
• Deve-se ter pelo menos uma instrução de permissão em uma ACL, ou todo o tráfego será bloqueado
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
23/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 23
Configurando ACL Padrão
Lógica da ACL padrão• Os pacotes que chegam por Fa0/0 são verificados em
relação aos seus endereços de origem:
access-list 2 deny host 192.168.10.1
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255
• Se forem permitidos, os pacotes serão roteados pelo roteadorpara uma interface de saída. Se não forem permitidos, os
pacotes serão ignorados na interface de entrada.
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
24/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 24
Configurando ACL Padrão
Lógica da ACL padrão
access-list 2 deny host 192.168.10.1access-list 2 permit 192.168.10.0 0.0.0.255access-list 2 deny 192.168.0.0 0.0.255.255access-list 2 permit 192.0.0.0 0.255.255.255
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
25/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 25
Configurando ACL Padrão
Configurando uma ACL Padrão• Para configurar ACLs padrão numeradas em um roteador
Cisco, deve-se primeiro criar a ACL padrão e ativar a ACL emuma interface
• O comando no modo de configuração global access-list
define uma ACL padrão com um número no intervalo de 1 a99 e de 1300 a 1999
• A sintaxe completa do comando ACL padrão é a seguinte:
R1(config)#access-list access-list-number [deny | permit |remark] source [source-wildcard] [log]
• Por exemplo, para criar uma ACL numerada designada 10que permitisse a rede 192.168.10.0 /24, você digitaria:
R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
26/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 26
Configurando ACL Padrão
Configurando uma ACL Padrão• Verificando a ACL configurada
• Removendo uma ACL
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
27/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 27
Configurando ACL Padrão
Configurando uma ACL Padrão• Documentando uma ACL com comentário
• Cada comentário é limitado a 100 caracteres
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
28/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 28
Configurando ACL Padrão
Máscara Curinga• É uma string de dígitos binários que informam ao roteador
que partes do número da sub-rede observar
• Embora não tenham nenhuma relação funcional commáscaras de sub-rede, as máscaras curinga fornecem uma
função semelhante• A máscara determina a proporção de um endereço IP de
origem ou de destino a ser aplicada à correspondência deendereço
• Os números 1 e 0 na máscara identificam como tratar os bitsde endereço IP correspondentes
• No entanto, eles são utilizados para fins diferentes, seguindoregras diferentes no caso da máscara curinga
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
29/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 29
Configurando ACL Padrão
Máscara Curinga• As máscaras curinga utilizam as seguintes regras para
comparar 1s e 0s binários: Bit da máscara curinga 0 – comparar o valor do bit
correspondente no endereço
Bit da máscara curinga 1 – ignorar o valor do bit correspondenteno endereço
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
30/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 30
Configurando ACL Padrão
Máscara Curinga• Exemplo
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
31/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 31
Configurando ACL Padrão
Máscara Curinga• Exemplo
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
32/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 32
Configurando ACL Padrão
Máscara Curinga• Ainda que você possa obter o mesmo resultado com duas
instruções, como:R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0 0.0.0.255
• É muito mais eficiente configurar a máscara curinga como:
R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255
• Será que a diferença é realmente significativa quanto aeficiência?
C fi d ACL P d ã
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
33/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 33
Configurando ACL Padrão
Máscara Curinga• Mas quando você considera se quis comparar a rede 192.168.16.0 a
192.168.31.0 da seguinte forma:R1(config)# access-list 10 permit 192.168.16.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.17.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.18.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.19.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.21.0 0.0.0.255R1(config)# access-list 10 permit 192.168.22.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.23.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.24.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.25.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.26.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.27.0 0.0.0.255R1(config)# access-list 10 permit 192.168.28.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.29.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.30.0 0.0.0.255
R1(config)# access-list 10 permit 192.168.31.0 0.0.0.255
• Você pode ver que a configuração da seguinte máscara curinga atorna mais eficiente: R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
34/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 34
Configurando ACL Padrão
Palavras-chave de máscara curinga• Trabalhar com representações decimais de bits de máscara
curinga binários pode ser entediante
• Para simplificar essa tarefa, as palavras-chave host e any ajudam a identificar as utilizações mais comuns da máscara
curinga• A opção host substitui a máscara 0.0.0.0. Essa máscara
informa que todos os bits de endereço IP devemcorresponder ou apenas um host é correspondente
• A opção any substitui o endereço IP e a máscara
255.255.255.255. Essa máscara diz para ignorar todo oendereço IP ou aceitar qualquer endereço.
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
35/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 35
Configurando ACL Padrão
Palavras-chave de máscara curinga
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
36/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 36
Configurando ACL Padrão
Palavras-chave de máscara curinga
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
37/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 37
Configurando ACL Padrão
Aplicando ACL padrão na interface• A ACL padrão é vinculada a uma interface utilizando-se o
comando ip access-group:
Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}
• Para remover uma ACL de uma interface, primeiro digite ocomando no ip access-group na interface e, em seguida, o
comando global no access-list para remover toda a ACL
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
38/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 38
Configurando ACL Padrão
Aplicando ACL padrão na interface
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
39/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 39
Configurando ACL Padrão
Aplicando ACL padrão na interface
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
40/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 40
Configurando ACL Padrão
Aplicando ACL para controle de acesso a VTY• Restringir o acesso a VTY é uma técnica que permite definir
quais endereços IP têm permissão de acesso Telnet aoprocesso EXEC do roteador
• Pode-se restringir qual estação de trabalho gerencia o seu
roteador com uma ACL e uma instrução access-class paraas suas linhas VTY
• Pode-se utilizar essa técnica com SSH para melhorar aindamais a segurança do acesso administrativo
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
41/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 41
Configurando ACL Padrão
Editando ACLs numeradas• Durante a configuração de uma ACL, as instruções são
adicionadas na ordem em que são inseridas no final da ACL
• No entanto, não há nenhum recurso de edição interno quepermita editar uma alteração em uma ACL
• Não pode-se inserir ou excluir linhas de maneira seletiva
• É altamente recomendável que qualquer ACL seja criada emum editor de texto, como o Bloco de Notas
• Em relação a uma ACL existente, você poderia utilizar o
comando show running-config para exibir a ACL, copiar ecolá-la no editor de texto, fazer as alterações necessárias erecarregá-la
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
42/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 42
Configurando ACL Padrão
Editando ACLs numeradas• Suponhamos que o endereço IP de host tenha sido digitado
incorretamente. Em vez do host 192.168.10.100, deveria tersido o host 192.168.10.11. Aqui estão as etapas para editar ecorrigir a ACL 20:
• Etapa 1. Exibir a ACL utilizando o comando show running-config.• Etapa 2. Realçar a ACL, copiar e colá-la para o Bloco de Notas
da Microsoft. Edite a lista conforme exigido. Quando a ACL forexibida corretamente no Bloco de Notas da Microsoft, realce-a ecopie.
• Etapa 3. No modo de configuração global, desabilite a lista deacesso utilizando o comando no access-list 20. Do contrário, asnovas instruções seriam adicionadas à ACL existente. Emseguida, cole a nova ACL na configuração do roteador
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
43/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 43
Configurando ACL Padrão
Editando ACLs numeradas• Aqui estão as etapas para editar e corrigir a ACL 20:
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
44/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 44
Configurando ACL Padrão
Comentando ACLs
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
45/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 45
Configurando ACL Padrão
Criando ACLs nomeadas padrão• Nomear uma ACL facilita a compreensão de sua função
• Por exemplo, uma ACL para negar FTP poderia se chamarNO_FTP
• Quando você identifica a sua ACL com um nome em vez deum número, o modo de configuração e a sintaxe do comandosão um pouco diferentes
Etapa 1. Começando no modo de configuração global, utilizar ocomando ip access-list para criar uma ACL nomeada. Osnomes de ACL são alfanuméricos, devendo ser exclusivos e não
começar com um número Etapa 2. No modo de configuração da ACL nomeada, utilizar as
instruções permit ou deny para especificar uma ou maiscondições e determinar se um pacote foi encaminhado ouignorado
Etapa 3. Retornar ao modo EXEC privilegiado com o comandoend.
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
46/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 46
Configurando ACL Padrão
Criando ACLs nomeadas padrão• Sintaxe
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
47/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 47
Configurando ACL Padrão
Criando ACLs nomeadas padrão• Exemplo
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
48/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 48
Configurando ACL Padrão
Monitorando e verificando ACLs
Configurando ACL Padrão
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
49/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 49
Configurando ACL Padrão
Editando ACLs nomeadas• As ACLs nomeadas têm uma grande vantagem sobre as
ACLs numeradas por serem mais fáceis de editar• As ACLs IP nomeadas permitem excluir entradas individuais
em uma ACL específica
• Pode-se usar números de sequência para inserir instruçõesem qualquer lugar da ACL nomeada
Atividade5.2.8 (2)
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
50/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 50
Configurando ACL Estendida
Testando pacotes com ACLs estendidas• Para obter um controle de filtragem de tráfego mais preciso,
você pode utilizar ACLs estendidas numeradas de 100 a 199e de 2.000 a 2.699
• As ACLs estendidas também podem ser nomeadas e
verificam os endereços do pacote de origem, o endereço dedestino, protocolos e números de porta
Ver item5.3.1 (1)
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
51/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 51
Configurando ACL Estendida
Testando pacotes com ACLs estendidas• Utilizando o número de porta apropriado, você pode
especificar um aplicativo através da especificação do númerode porta ou o nome de uma porta bem conhecida
• Operações lógicas podem ser utilizadas, como igual (eq),
diferente (neq), maior que (gt) e menor que (lt).
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
52/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 52
Configurando ACL Estendida
Testando pacotes com ACLs estendidas
Configurando ACL Estendida
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
53/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 53
Configurando ACL Estendida
Configurando uma ACL estendida
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
54/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 54
Configurando ACL Estendida
Configurando uma ACL estendida (Exemplo)
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
55/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 55
Configurando ACL Estendida
Aplicando ACL estendida a uma interface
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
56/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 56
Configurando ACL Estendida
Aplicando ACL estendida a uma interface
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
57/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 57
Configurando ACL Estendida
Aplicando ACL estendida a uma interface
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
58/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 58
Configurando ACL Estendida
Criando ACLs estendidas nomeadas
• Os comandos para criar uma ACL nomeada são diferentespara ACLs padrão e estendidas
• Etapa 1. No modo de configuração global, utilizar o comando ipaccess-list extended name para definir uma ACL estendida
nomeada• Etapa 2. No modo de configuração da ACL nomeada, especificar
as condições que você deseja permitir ou negar
• Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comando show access-lists [number | name]
•
Etapa 4. Como opção e etapa recomendada, salvar as suasentradas no arquivo de configuração com o comando copyrunning-config startup-config
• Para remover uma ACL estendida nomeada, utilize ocomando no modo de configuração global no ip access-listextended name
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
59/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 59
Configurando ACL Estendida
Criando ACLs estendidas nomeadas
Atividade5.3.4 (2)
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
60/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 60
Configurar ACLs Complexas
Tipos de ACLs complexas
• As ACLs padrão e estendidas podem se tornar a base para ACLs complexas, que fornecem funcionalidade adicional
ACL Complexa Descrição
ACLs dinâmicas
(lock -and-key)
Os usuários que desejam atravessar o roteadorsão bloqueados até utilizarem Telnet para seconectar ao roteador e serem autenticados
ACLs reflexivas Permite o tráfego de saída e limita o tráfego deentrada em relação a sessões com origem dentrodo roteador
ACLs baseada em
tempo
Permite o controle de acesso baseado na hora dodia e da semana
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
61/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 61
Configurar ACLs Complexas
ACLs Dinâmicas
• O lock-and-key é um recurso de segurança de filtragem detráfego que utiliza ACLs dinâmicas, às vezes conhecidascomo ACLs lock-and-key
• O lock-and-key só está disponível para tráfego IP
• As ACLs dinâmicas dependem da conectividade Telnet, daautenticação (local ou remota) e das ACLs estendidas
• A configuração da ACL dinâmica começa com a aplicação deuma ACL estendida para bloquear tráfego no roteador
• Os usuários que desejam atravessar o roteador sãobloqueados pela ACL estendida até utilizarem Telnet para seconectar ao roteador e serem autenticados
• A conexão Telnet é descartada, e uma ACL dinâmica deentrada única é adicionada à ACL estendida existente
•
Isso permite o tráfego durante um período específico
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
62/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 62
Configurar ACLs Complexas
Quando utilizar ACLs dinâmicas
• Algumas razões comuns para utilizar as ACLs dinâmicas sãoas seguintes:
Quando você quiser que um usuário remoto específico ou grupode usuários remotos acesse um host dentro da sua rede, ao
mesmo tempo em que conectam nos hosts remotos via Internet Lock-and-key autentica o usuário e permite acesso limitado pelo
seu roteador de firewall a um host ou sub-rede durante umperíodo finito
Quando você deseja que um subconjunto de hosts em uma redelocal acesse um host em uma rede remota protegida por um
firewall Com lock-and-key, você só pode habilitar o acesso ao host
remoto para o conjunto desejado de hosts locais
Lock-and-key exige que os usuários se autentiquem por meio deum servidor AAA, TACACS+ ou outro servidor de segurança
antes de permitir a seus hosts acessar os hosts remotos
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
63/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 63
Configurar ACLs Complexas
Benefícios de ACLs dinâmicas
• As ACLs dinâmicas têm os seguintes benefícios desegurança em relação a ACLs padrão e estendidas estáticas:
Utilização de um mecanismo de desafio para autenticar usuáriosindividuais
Gerenciamento simplificado em grandes redes interconectadas Em muitos casos, a redução do volume do processamento do
roteador obrigatório para ACLs
Redução da oportunidade para invasões à rede por hackers
Criação de acesso de usuário dinâmico por um firewall, sem
comprometer outras restrições de segurança configuradas
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
64/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 64
Configurar ACLs Complexas
Exemplos de ACL dinâmica
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
65/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 65
Configurar ACLs Complexas
ACLs Reflexivas
• Forçam o tráfego de resposta do destino de um pacote desaída conhecido recente a ir para a origem desse pacote desaída
• Isso dá mais
controle sobreo tráfego noqual você tempermissão nasua rede eaumenta osrecursos daslistas deacessoestendidas
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
66/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 66
Configurar ACLs Complexas
ACLs Reflexivas• Os administradores de rede utilizam ACLs reflexivas para
permitir tráfego IP para sessões com origem em sua redeenquanto negam tráfego IP para sessões com origem fora darede
•
Essas ACLs permitem ao roteador gerenciar tráfego desessão dinamicamente
• O roteador examina o tráfego de saída e, quando vê umanova conexão, adiciona uma entrada a uma ACL temporáriapara permitir respostas
• As ACLs reflexivas não são aplicadas diretamente a umainterface, mas são "aninhadas" em uma ACL IP nomeadaestendida que se aplicada à interface.
• As ACLs reflexivas só podem ser definidas com ACLs IPnomeadas estendidas
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
67/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 67
Configurar ACLs Complexas
Benefícios de ACLs reflexivas• As ACLs reflexivas têm os seguintes benefícios:
Ajudam a proteger a sua rede contra hackers de rede e podemser incluídas em uma defesa de firewall
Fornecem um nível de segurança contra spoofing e
determinados ataques DoS. As ACLs reflexivas são muito mais difíceis de falsificar porque
mais critérios de filtro devem corresponder para que um pacotetenha permissão. Por exemplo, os endereços de origem e dedestino e os números de porta, e não apenas os bits ACK e RST,são verificados
Simples de utilizar e, em comparação com ACLs básicas,fornecem maior controle sobre quais pacotes entram na sua rede
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
68/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 68
Configurar ACLs Complexas
Configuração de ACLs reflexivas
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
69/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 69
Configurar ACLs Complexas
ACLs baseadas no tempo• As ACLs baseadas em tempo são semelhantes a ACLs
estendidas em termos de função, mas permitem o controle deacesso com base na hora
• Para implementar ACLs baseadas em hora, você cria um
intervalo que define horas específicas do dia e da semana• Você identifica o intervalo com um nome e se refere a ele por
uma função
• As restrições de hora são impostas na própria função
• As ACLs baseadas em tempo têm muitos benefícios, como:
Oferece ao administrador de rede mais controle sobre apermissão ou a negação de acesso a recursos
Permite aos administradores de rede controlar mensagens deregistro em log
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
70/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 70
Configurar ACLs Complexas
Exemplo de ACL baseada em tempo• No exemplo, uma conexão Telnet é permitida da rede interna
para a rede externa às segundas, quartas e sextas durante ohorário comercial.
Etapa 1. Definir o intervalo para implementar a ACL e dar a ela
um nome EVERYOTHERDAY Etapa 2. Aplicar o intervalo à ACL
Etapa 3. Aplicar a ACL à interface
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
71/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 71
Configurar ACLs Complexas
Exemplo de ACL baseada em tempo
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
72/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 72
Configurar ACLs Complexas
Identificação e solução de problemas (Erro 1)
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
73/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 73
Configurar ACLs Complexas
Identificação e solução de problemas (Erro 2)
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
74/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 74
Configurar ACLs Complexas
Identificação e solução de problemas (Erro 3)
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
75/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 75
Configurar ACLs Complexas
Identificação e solução de problemas (Erro 4)
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
76/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 76
Configurar ACLs Complexas
Identificação e solução de problemas (Erro 5)
Atividade5.4.5 (2),5.5.1 (2),5.5.2 (2),5.6.1 (3)
Resumo
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
77/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 77
Resumo
Uma lista de acesso (ACL) é:Uma série de condições de permição e negação usados parafiltrar o tráfego
ACL Padrão –Identificada pelos número 1 - 99 e 1300 - 1999
–Filtra o tráfego baseado no endereço IP de origem
ACL Estendida –Identificada pelos número 100 -199 & 2000 - 2699
–Filtra o tráfego baseado em
•
Endereço IP de origem•Endereço IP de destino
•Protocolo
•Número de porta
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
78/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 78
Resumo
ACL Nomeada –Usada com o IOS 11.2 ou superior
–Pode ser usada com ACL padrão ou estendida
ACLs usam máscaras curingas
–Descrita como o inverso da máscara de sub-rede
•Razão
–0 verificar o bit
–
1
ignorar o bit
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
79/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 79
Resumo
Implementando ACLs –1º criar a ACL
–2º aplicar a ACL em uma interface
• ACL padrão aplicada mais próxima do destino
• ACL estendida aplicada mais próxima da origem
Use os comandos abaixo para verificar problemas nouso de ACL
–
Show access-list –Show interfaces
–Show run
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
80/81
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 80
Resumo
Complex ACL –Dynamic ACL
–Reflexive ACL
–Time based ACL
-
8/16/2019 Exploration Accessing WAN Chapter5 - Cópia
81/81