exploration accessing wan chapter5 - cópia

8/16/2019 Exploration Accessing WAN Chapter5 - Cópia

1/81

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 1Version 4.0

Listas de Controle de Acesso

(Access Control Lists – ACLs)

Acessando a WAN –

Capítulo 5


2/81

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 2

Objetivos

Explicar como as ACLs são utilizadas para proteger arede corporativa de uma filial de médio porte

Configurar os diversos tipos e ACLs na redecorporativa de uma filial de médio porte

Verificar e monitorar as ACLs configuradas eidentificar e solucionar problemas

Descrever as ACLs complexas na rede corporativa deuma filial de médio porte, incluindo configurar as

ACLs dinâmicas, reflexivas e temporizadas,verificando e solucionando problemas de ACLscomplexas, além de explicar advertências


3/81


Introdução

Segurança de rede é um assunto enorme, e grandeparte dele está além do escopo deste curso

No entanto, uma das habilidades mais importantes dasquais um administrador de rede precisa é dominar as

listas de controle de acesso (ACLs) Os administradores utilizam as ACLs a fim de parar o

tráfego ou permitir apenas o tráfego especificadoenquanto interrompe todo o restante do tráfego em

suas redes Os designers de rede utilizam firewalls para proteger

redes do uso não autorizado. Os firewalls são soluçõesem hardware ou software que aplicam políticas de

segurança de rede


4/81


Introdução

Uma ACL é uma lista sequencial de instruções depermissão ou negação que se aplicam a endereços ouprotocolos de camada superior

As ACLs fornecem uma forma eficiente de controlar o

tráfego dentro e fora da sua rede Pode-se configurar as ACLs para todos os protocolos

de rede roteados

A razão mais importante para configurar as ACLs éfornecer segurança para a sua rede


5/81


Utilizando as ACLs para Proteger Redes

Uma Conversa TCP• As ACLs permitem controlar o tráfego dentro e fora da sua

rede

• Esse controle pode ser tão simples quanto permitir ou negarhosts de rede ou endereços

• As ACLs também podem ser configuradas para controlar otráfego da rede com base na porta TCP utilizada

Importante conhecer o funcionamento do TCP!!!

Ver animação5.1.1


6/81



Uma Conversa TCP• O segmento de dados TCP também identifica a porta

corr

espondente ao serviço solicitado


7/81© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 7


Filtragem de Pacote• A filtragem de pacote controla o acesso a uma rede,

analisando os pacotes de entrada e de saída e transmitindoou paralisando-os com base em critérios informados

• Um roteador funciona como um filtro de pacote ao

encaminhar ou negar pacotes de acordo com as regras defiltragem

• A ACL é uma lista sequencial de instruções de permissão ounegação

• A decisões de "permitir" ou "negar" pode ser feitas com baseem:

Endereço IP de origem/destino

Tipo de mensagem ICMP

Porta de origem TCP/UDP

Porta de destino TCP/UDP




Filtragem de Pacote (Exemplo)• Só permita acesso à Web para usuários da rede A

• Negue acesso à Web para usuários da rede B, mas permita aeles todos os demais acessos




O que é ACL?• É um script de configuração de roteador que controla se

permite ou nega a passagem a pacotes com base noscritérios encontrados no cabeçalho de pacote

• Também são utilizadas para selecionar tipos de tráfego a ser

analisado, encaminhado ou processado de outras formas• Na medida em que cada pacote passa por uma interface com

uma ACL associada, a ACL é verificada de cima parabaixo, uma linha por vez, procurando um padrãocorrespondente ao pacote de entrada




O que é ACL?• Diretrizes para utilizar ACLs:

Utilize as ACLs em roteadores de firewall colocados entre assuas redes interna e externa, como a Internet

Utilize as ACLs em um roteador colocado entre duas partes da

sua rede para controlar o tráfego que entra ou sai de umadeterminada parte da sua rede interna

Configure as ACLs em roteadores de borda (roteadores situadosnas extremidades das suas redes)

Configure as ACLs para cada protocolo de rede configurado nas

interfaces do roteador de borda. Você pode configurar as ACLsem uma interface para filtrar o tráfego de entrada, o tráfego desaída ou ambos




O que é ACL?• Os três Ps




Operação da ACL• As ACLs definem o conjunto de regras que dão controle

adicional para pacotes que entram por interfaces de entrada,pacotes retransmitidos pelo roteador e pacotes que saempelas interfaces de saída do roteador

• As ACLs não funcionam em pacotes com origem nopróprio roteador

• As ACLs são configuradas para se aplicar ao tráfego deentrada ou ao tráfego de saída.

ACLs de entrada – os pacotes de entrada são processados

antes de serem roteados para a interface de saída. Uma ACL deentrada será eficiente porque evita a sobrecarga das pesquisasde roteamento se o pacote for descartado. Se for permitido pelostestes, o pacote será processado para roteamento

ACLs de saída – os pacotes de entrada são roteados para ainterface de saída e, em seguida, processados pela ACL desaída




Operação da ACL de entrada




Operação da ACL de saída




A ACL e o roteamento e os processos ACL em umroteador

Ao final de toda lista de acesso, há uma instruçãoimplícita do critério "negar todo o tráfego"

Ver item

5.1.4 (2)




Tipos de ACL• ACLs padrão

Possibilita permitir ou negar tráfego baseado nos endereços IPde origem

O destino do pacote e as portas envolvidas não importam

• ACLs estendidas

Filtram pacotes IP com base em vários atributos, por exemplo,

tipo de protocolo, endereço IP de origem, endereço IP de destino,portas TCP e UDP de origem, portas TCP e UDP de destino einformações do tipo de protocolo opcionais para maiorgranularidade de controle




Funcionamento da ACL padrão• Uma ACL padrão é uma coleção sequencial de condições

para permitir e negar que se aplicam a endereços IP

• As duas tarefas principais envolvidas na utilização das ACLssão as seguintes:

Etapa 1. Criar uma lista de acesso, especificando um número dalista de acesso ou nome e condições de acesso

Etapa 2. Aplicar a ACL a interfaces ou linhas de terminal

Ver item5.1.6




Numerando e Nomeando ACLs• Utilizar ACLs numeradas é um método efetivo para

determinar o tipo de ACL em redes menores com tráfegodefinido de maneira mais homogênea

• No entanto, um número não informa a finalidade da ACL. Por

essa razão você pode utilizar um nome para identificar uma ACL Cisco




Onde colocar a ACL• A localização apropriada de uma ACL para filtrar tráfego

indesejável faz a rede operar com mais eficiência

• O posicionamento correto da ACL pode reduzir o tráfegodesnecessário

• Toda ACL deve ser colocada onde tenha o maior impacto emtermos de eficiência. As regras básicas são:

Localize as ACLs estendidas mais próximas da origem dotráfego negado. Dessa forma, o tráfego indesejável é filtrado sematravessar a infraestrutura de rede.

Como as ACLs padrão não especificam endereços de destino,coloque-as o mais próximo possível do destino




Onde colocar a ACL• ACL Padrão

• ACL Estendida




Diretrizes gerais para criar ACLs• A utilização das ACLs exige atenção a detalhes e muito

cuidado

• Equívocos podem sair caros em termos de indisponibilidade,identificação e solução de problemas e um serviço de rede

ruim• Antes de começar a configurar uma ACL, o planejamento

básico é obrigatório

Atividade

5.1.9 (2)



Configurando ACL Padrão

Inserindo instruções de critério• Lembre-se de que, ao entrar no roteador, o tráfego é

comparado com instruções ACL com base na ordem em queocorrem as entradas no roteador

• O roteador continua processando as instruções ACL até que

haja uma correspondência• Por essa razão, você deve ter a entrada ACL mais utilizada

na parte superior da lista

• Se nenhuma correspondência for encontrada quando oroteador chegar ao final da lista, o tráfego será negado

• Deve-se ter pelo menos uma instrução de permissão em uma ACL, ou todo o tráfego será bloqueado




Lógica da ACL padrão• Os pacotes que chegam por Fa0/0 são verificados em

relação aos seus endereços de origem:

access-list 2 deny host 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

• Se forem permitidos, os pacotes serão roteados pelo roteadorpara uma interface de saída. Se não forem permitidos, os

pacotes serão ignorados na interface de entrada.




Lógica da ACL padrão

access-list 2 deny host 192.168.10.1access-list 2 permit 192.168.10.0 0.0.0.255access-list 2 deny 192.168.0.0 0.0.255.255access-list 2 permit 192.0.0.0 0.255.255.255


25/81



Configurando uma ACL Padrão• Para configurar ACLs padrão numeradas em um roteador

Cisco, deve-se primeiro criar a ACL padrão e ativar a ACL emuma interface

• O comando no modo de configuração global access-list

define uma ACL padrão com um número no intervalo de 1 a99 e de 1300 a 1999

• A sintaxe completa do comando ACL padrão é a seguinte:

R1(config)#access-list access-list-number [deny | permit |remark] source [source-wildcard] [log]

• Por exemplo, para criar uma ACL numerada designada 10que permitisse a rede 192.168.10.0 /24, você digitaria:

R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255


26/81



Configurando uma ACL Padrão• Verificando a ACL configurada

• Removendo uma ACL


27/81



Configurando uma ACL Padrão• Documentando uma ACL com comentário

• Cada comentário é limitado a 100 caracteres


28/81



Máscara Curinga• É uma string de dígitos binários que informam ao roteador

que partes do número da sub-rede observar

• Embora não tenham nenhuma relação funcional commáscaras de sub-rede, as máscaras curinga fornecem uma

função semelhante• A máscara determina a proporção de um endereço IP de

origem ou de destino a ser aplicada à correspondência deendereço

• Os números 1 e 0 na máscara identificam como tratar os bitsde endereço IP correspondentes

• No entanto, eles são utilizados para fins diferentes, seguindoregras diferentes no caso da máscara curinga


29/81



Máscara Curinga• As máscaras curinga utilizam as seguintes regras para

comparar 1s e 0s binários: Bit da máscara curinga 0 – comparar o valor do bit

correspondente no endereço

Bit da máscara curinga 1 – ignorar o valor do bit correspondenteno endereço


30/81



Máscara Curinga• Exemplo


31/81



Máscara Curinga• Exemplo


32/81



Máscara Curinga• Ainda que você possa obter o mesmo resultado com duas

instruções, como:R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

R1(config)# access-list 10 permit 192.168.11.0 0.0.0.255

• É muito mais eficiente configurar a máscara curinga como:


• Será que a diferença é realmente significativa quanto aeficiência?

C fi d ACL P d ã


33/81



Máscara Curinga• Mas quando você considera se quis comparar a rede 192.168.16.0 a

192.168.31.0 da seguinte forma:R1(config)# access-list 10 permit 192.168.16.0 0.0.0.255





R1(config)# access-list 10 permit 192.168.21.0 0.0.0.255R1(config)# access-list 10 permit 192.168.22.0 0.0.0.255





R1(config)# access-list 10 permit 192.168.27.0 0.0.0.255R1(config)# access-list 10 permit 192.168.28.0 0.0.0.255




• Você pode ver que a configuração da seguinte máscara curinga atorna mais eficiente: R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255


34/81



Palavras-chave de máscara curinga• Trabalhar com representações decimais de bits de máscara

curinga binários pode ser entediante

• Para simplificar essa tarefa, as palavras-chave host e any ajudam a identificar as utilizações mais comuns da máscara

curinga• A opção host substitui a máscara 0.0.0.0. Essa máscara

informa que todos os bits de endereço IP devemcorresponder ou apenas um host é correspondente

• A opção any substitui o endereço IP e a máscara

255.255.255.255. Essa máscara diz para ignorar todo oendereço IP ou aceitar qualquer endereço.


35/81



Palavras-chave de máscara curinga


36/81



Palavras-chave de máscara curinga


37/81



Aplicando ACL padrão na interface• A ACL padrão é vinculada a uma interface utilizando-se o

comando ip access-group:

Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}

• Para remover uma ACL de uma interface, primeiro digite ocomando no ip access-group na interface e, em seguida, o

comando global no access-list para remover toda a ACL


38/81



Aplicando ACL padrão na interface


39/81



Aplicando ACL padrão na interface


40/81



Aplicando ACL para controle de acesso a VTY• Restringir o acesso a VTY é uma técnica que permite definir

quais endereços IP têm permissão de acesso Telnet aoprocesso EXEC do roteador

• Pode-se restringir qual estação de trabalho gerencia o seu

roteador com uma ACL e uma instrução access-class paraas suas linhas VTY

• Pode-se utilizar essa técnica com SSH para melhorar aindamais a segurança do acesso administrativo


41/81



Editando ACLs numeradas• Durante a configuração de uma ACL, as instruções são

adicionadas na ordem em que são inseridas no final da ACL

• No entanto, não há nenhum recurso de edição interno quepermita editar uma alteração em uma ACL

• Não pode-se inserir ou excluir linhas de maneira seletiva

• É altamente recomendável que qualquer ACL seja criada emum editor de texto, como o Bloco de Notas

• Em relação a uma ACL existente, você poderia utilizar o

comando show running-config para exibir a ACL, copiar ecolá-la no editor de texto, fazer as alterações necessárias erecarregá-la


42/81



Editando ACLs numeradas• Suponhamos que o endereço IP de host tenha sido digitado

incorretamente. Em vez do host 192.168.10.100, deveria tersido o host 192.168.10.11. Aqui estão as etapas para editar ecorrigir a ACL 20:

• Etapa 1. Exibir a ACL utilizando o comando show running-config.• Etapa 2. Realçar a ACL, copiar e colá-la para o Bloco de Notas

da Microsoft. Edite a lista conforme exigido. Quando a ACL forexibida corretamente no Bloco de Notas da Microsoft, realce-a ecopie.

• Etapa 3. No modo de configuração global, desabilite a lista deacesso utilizando o comando no access-list 20. Do contrário, asnovas instruções seriam adicionadas à ACL existente. Emseguida, cole a nova ACL na configuração do roteador


43/81



Editando ACLs numeradas• Aqui estão as etapas para editar e corrigir a ACL 20:


44/81



Comentando ACLs


45/81



Criando ACLs nomeadas padrão• Nomear uma ACL facilita a compreensão de sua função

• Por exemplo, uma ACL para negar FTP poderia se chamarNO_FTP

• Quando você identifica a sua ACL com um nome em vez deum número, o modo de configuração e a sintaxe do comandosão um pouco diferentes

Etapa 1. Começando no modo de configuração global, utilizar ocomando ip access-list para criar uma ACL nomeada. Osnomes de ACL são alfanuméricos, devendo ser exclusivos e não

começar com um número Etapa 2. No modo de configuração da ACL nomeada, utilizar as

instruções permit ou deny para especificar uma ou maiscondições e determinar se um pacote foi encaminhado ouignorado

Etapa 3. Retornar ao modo EXEC privilegiado com o comandoend.


46/81



Criando ACLs nomeadas padrão• Sintaxe


47/81



Criando ACLs nomeadas padrão• Exemplo


48/81



Monitorando e verificando ACLs



49/81



Editando ACLs nomeadas• As ACLs nomeadas têm uma grande vantagem sobre as

ACLs numeradas por serem mais fáceis de editar• As ACLs IP nomeadas permitem excluir entradas individuais

em uma ACL específica

• Pode-se usar números de sequência para inserir instruçõesem qualquer lugar da ACL nomeada

Atividade5.2.8 (2)


50/81


Configurando ACL Estendida

Testando pacotes com ACLs estendidas• Para obter um controle de filtragem de tráfego mais preciso,

você pode utilizar ACLs estendidas numeradas de 100 a 199e de 2.000 a 2.699

• As ACLs estendidas também podem ser nomeadas e

verificam os endereços do pacote de origem, o endereço dedestino, protocolos e números de porta

Ver item5.3.1 (1)


51/81



Testando pacotes com ACLs estendidas• Utilizando o número de porta apropriado, você pode

especificar um aplicativo através da especificação do númerode porta ou o nome de uma porta bem conhecida

• Operações lógicas podem ser utilizadas, como igual (eq),

diferente (neq), maior que (gt) e menor que (lt).


52/81



Testando pacotes com ACLs estendidas



53/81



Configurando uma ACL estendida


54/81



Configurando uma ACL estendida (Exemplo)


55/81



Aplicando ACL estendida a uma interface


56/81





57/81





58/81



Criando ACLs estendidas nomeadas

• Os comandos para criar uma ACL nomeada são diferentespara ACLs padrão e estendidas

• Etapa 1. No modo de configuração global, utilizar o comando ipaccess-list extended name para definir uma ACL estendida

nomeada• Etapa 2. No modo de configuração da ACL nomeada, especificar

as condições que você deseja permitir ou negar

• Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comando show access-lists [number | name]

•

Etapa 4. Como opção e etapa recomendada, salvar as suasentradas no arquivo de configuração com o comando copyrunning-config startup-config

• Para remover uma ACL estendida nomeada, utilize ocomando no modo de configuração global no ip access-listextended name


59/81



Criando ACLs estendidas nomeadas

Atividade5.3.4 (2)


60/81


Configurar ACLs Complexas

Tipos de ACLs complexas

• As ACLs padrão e estendidas podem se tornar a base para ACLs complexas, que fornecem funcionalidade adicional

ACL Complexa Descrição

ACLs dinâmicas

(lock -and-key)

Os usuários que desejam atravessar o roteadorsão bloqueados até utilizarem Telnet para seconectar ao roteador e serem autenticados

ACLs reflexivas Permite o tráfego de saída e limita o tráfego deentrada em relação a sessões com origem dentrodo roteador

ACLs baseada em

tempo

Permite o controle de acesso baseado na hora dodia e da semana


61/81



ACLs Dinâmicas

• O lock-and-key é um recurso de segurança de filtragem detráfego que utiliza ACLs dinâmicas, às vezes conhecidascomo ACLs lock-and-key

• O lock-and-key só está disponível para tráfego IP

• As ACLs dinâmicas dependem da conectividade Telnet, daautenticação (local ou remota) e das ACLs estendidas

• A configuração da ACL dinâmica começa com a aplicação deuma ACL estendida para bloquear tráfego no roteador

• Os usuários que desejam atravessar o roteador sãobloqueados pela ACL estendida até utilizarem Telnet para seconectar ao roteador e serem autenticados

• A conexão Telnet é descartada, e uma ACL dinâmica deentrada única é adicionada à ACL estendida existente

•

Isso permite o tráfego durante um período específico


62/81



Quando utilizar ACLs dinâmicas

• Algumas razões comuns para utilizar as ACLs dinâmicas sãoas seguintes:

Quando você quiser que um usuário remoto específico ou grupode usuários remotos acesse um host dentro da sua rede, ao

mesmo tempo em que conectam nos hosts remotos via Internet Lock-and-key autentica o usuário e permite acesso limitado pelo

seu roteador de firewall a um host ou sub-rede durante umperíodo finito

Quando você deseja que um subconjunto de hosts em uma redelocal acesse um host em uma rede remota protegida por um

firewall Com lock-and-key, você só pode habilitar o acesso ao host

remoto para o conjunto desejado de hosts locais

Lock-and-key exige que os usuários se autentiquem por meio deum servidor AAA, TACACS+ ou outro servidor de segurança

antes de permitir a seus hosts acessar os hosts remotos


63/81



Benefícios de ACLs dinâmicas

• As ACLs dinâmicas têm os seguintes benefícios desegurança em relação a ACLs padrão e estendidas estáticas:

Utilização de um mecanismo de desafio para autenticar usuáriosindividuais

Gerenciamento simplificado em grandes redes interconectadas Em muitos casos, a redução do volume do processamento do

roteador obrigatório para ACLs

Redução da oportunidade para invasões à rede por hackers

Criação de acesso de usuário dinâmico por um firewall, sem

comprometer outras restrições de segurança configuradas


64/81



Exemplos de ACL dinâmica


65/81



ACLs Reflexivas

• Forçam o tráfego de resposta do destino de um pacote desaída conhecido recente a ir para a origem desse pacote desaída

• Isso dá mais

controle sobreo tráfego noqual você tempermissão nasua rede eaumenta osrecursos daslistas deacessoestendidas


66/81



ACLs Reflexivas• Os administradores de rede utilizam ACLs reflexivas para

permitir tráfego IP para sessões com origem em sua redeenquanto negam tráfego IP para sessões com origem fora darede

•

Essas ACLs permitem ao roteador gerenciar tráfego desessão dinamicamente

• O roteador examina o tráfego de saída e, quando vê umanova conexão, adiciona uma entrada a uma ACL temporáriapara permitir respostas

• As ACLs reflexivas não são aplicadas diretamente a umainterface, mas são "aninhadas" em uma ACL IP nomeadaestendida que se aplicada à interface.

• As ACLs reflexivas só podem ser definidas com ACLs IPnomeadas estendidas


67/81



Benefícios de ACLs reflexivas• As ACLs reflexivas têm os seguintes benefícios:

Ajudam a proteger a sua rede contra hackers de rede e podemser incluídas em uma defesa de firewall

Fornecem um nível de segurança contra spoofing e

determinados ataques DoS. As ACLs reflexivas são muito mais difíceis de falsificar porque

mais critérios de filtro devem corresponder para que um pacotetenha permissão. Por exemplo, os endereços de origem e dedestino e os números de porta, e não apenas os bits ACK e RST,são verificados

Simples de utilizar e, em comparação com ACLs básicas,fornecem maior controle sobre quais pacotes entram na sua rede


68/81



Configuração de ACLs reflexivas


69/81



ACLs baseadas no tempo• As ACLs baseadas em tempo são semelhantes a ACLs

estendidas em termos de função, mas permitem o controle deacesso com base na hora

• Para implementar ACLs baseadas em hora, você cria um

intervalo que define horas específicas do dia e da semana• Você identifica o intervalo com um nome e se refere a ele por

uma função

• As restrições de hora são impostas na própria função

• As ACLs baseadas em tempo têm muitos benefícios, como:

Oferece ao administrador de rede mais controle sobre apermissão ou a negação de acesso a recursos

Permite aos administradores de rede controlar mensagens deregistro em log


70/81



Exemplo de ACL baseada em tempo• No exemplo, uma conexão Telnet é permitida da rede interna

para a rede externa às segundas, quartas e sextas durante ohorário comercial.

Etapa 1. Definir o intervalo para implementar a ACL e dar a ela

um nome EVERYOTHERDAY Etapa 2. Aplicar o intervalo à ACL

Etapa 3. Aplicar a ACL à interface


71/81



Exemplo de ACL baseada em tempo


72/81



Identificação e solução de problemas (Erro 1)


73/81





74/81





75/81





76/81




Atividade5.4.5 (2),5.5.1 (2),5.5.2 (2),5.6.1 (3)

Resumo


77/81


Resumo

Uma lista de acesso (ACL) é:Uma série de condições de permição e negação usados parafiltrar o tráfego

ACL Padrão –Identificada pelos número 1 - 99 e 1300 - 1999

–Filtra o tráfego baseado no endereço IP de origem

ACL Estendida –Identificada pelos número 100 -199 & 2000 - 2699

–Filtra o tráfego baseado em

•

Endereço IP de origem•Endereço IP de destino

•Protocolo

•Número de porta


78/81


Resumo

ACL Nomeada –Usada com o IOS 11.2 ou superior

–Pode ser usada com ACL padrão ou estendida

ACLs usam máscaras curingas

–Descrita como o inverso da máscara de sub-rede

•Razão

–0 verificar o bit

–

1

ignorar o bit


79/81


Resumo

Implementando ACLs –1º criar a ACL

–2º aplicar a ACL em uma interface

• ACL padrão aplicada mais próxima do destino

• ACL estendida aplicada mais próxima da origem

Use os comandos abaixo para verificar problemas nouso de ACL

–

Show access-list –Show interfaces

–Show run


80/81


Resumo

Complex ACL –Dynamic ACL

–Reflexive ACL

–Time based ACL


81/81

exploration accessing wan chapter5 - cópia

Documents