Acl listas de controle de acesso
-
Upload
dony-network-security-professional -
Category
Documents
-
view
1.616 -
download
0
Transcript of Acl listas de controle de acesso
ACL - Listas de Controle de Acesso
CURSO TÉCNICO DE REDES E INFRAESTRUTURA
DOCENTE DONIZETI VIEIRA GOMES – MCSA – MCTS – MCP - LPI – CLA – ISO27002 – DCTS - SECURITY+
O que são ACLs?
As Access Control Lists permitem ao administrador de redes controlar aspectos relacionados a segurança no roteador, permitindo filtrar o trafego de entrada ou de saída baseando-se em regras como em um firewall.
As regras de uma ACL podem filtrar os pacotes permitindo ou negando o trafego de entrada e de saída, ou nos dois sentidos.
Além de ser um recurso de segurança importante, pode ser utilizado para outros fins como controle de redistribuição de protocolos de roteamento, NAT, contenção de tráfegos indevidos, etc.
Como funcionam as ACLs?
As regras de uma ACL são criadas para permitir PERMIT ou para negar DENY o trafego. Tudo o que não for permitido estará implicitamente negado (IMPLICIT DENY)
As regras se baseiam em protocolos da pilha do TCP/IP e também do nível de aplicação, sendo endereços de origem e/ou destino, portas e protocolos, além de seus estados (Ex.: stablished)
Protocolos IPV4 e IPV6 (somente Named ACL), protocolos de transporte (TCP e UDP), números de portas de protocolos e serviços (Ex.: 21,80,443,25,110...) e protocolos de aplicação (Ex.:TELNET, FTP, HTTP, SMTP...), protocolos de roteamento (RIP, OSPF, EIGRP ,BGP...) e por mensagens de ICMP.
O sentido da regra é um fator importante, ele pode ser de ENTRADA in e de SAIDA out
As ACLs são aplicadas à interfaces (Ex.: Fa0/1) e linhas (vty e console)
Como funcionam as ACLs?
IMPORTANTE: Sempre devemos nos posicionar dentro do roteador para entendermos corretamente o sentido de IN e de OUT da ACL.
A posição da ACL na LISTA (sequência) também é importante.
Tipos de ACLs
Os tipos de ACLs suportados no IOS dos routers Cisco são:
Standard ACLs ou ACLs padrão
Extended ACLs ou ACLs estendidas
Dynamic (lock and key) ACLs
IP-named ACLs
Reflexive ACLs
Time-based ACLs that use time ranges
Commented IP ACL entries
Context-based ACLs
Authentication proxy
Turbo ACLs
Distributed time-based ACLs
Tipos de ACLs mais comuns
ACL padrão – Filtram utilizando o endereço IP de origem
ACL estendida – Filtram tanto pelo IP origem como pelo destino e também pelos protocolos da camada de transporte (TCP e UDP) utilizando número de portas
As ACL padrão ou estendida podem utilizar números (numbered) ou utilizar nomes (named)
Exemplos:
R1# access-list 10 permit 192.168.10.1 - numerada
R3# ip access-list standard Bloquear_WWW - nomeada
ACLS Numeradas
As ACLs numeradas possuem os seguintes intervalos de numeração por tipos padrão ou estendida (protocolo IP):
1-99 - ACL Padrão
100-199 - ACL Estendida
1300-1999 - ACL Padrão (intervalo adicional)
2000-2699 - ACL Estendida (intervalo adicional)
Considerações sobre ACLs
Documente e planeje todas suas ACLs, use um editor de textos
Nunca se esqueça do NEGAR IMPLICITO (e oculto) no final das regras
As regras são adicionadas ao fim da lista
Aplique ACLs padrão sempre o mais próximas do destino.
Aplique ACLs estendidas sempre o mais próximo da origem.
ACLs que atravessam o roteador e não tem PERMIT são descartadas
Use comentários em suas ACLs (remark) para facilitar a compreensão
Fluxo Lógico das regras de uma ACL
interface
ip
Máscaras Coringas – Wildcard Masks
As máscaras coringa ou wildcard masks são utilizadas nas ACLs para definirmos porções de subredes a redes ou hosts ip, entretanto utilizam um formato diferenciado da máscara de subredes comum, utilizando-se do 0 ao invés do 1 para definir a porção relativa a subrede, exemplo:
Máscara Coringa
Máscara Comum
Sintaxe de comandos de ACLs:
ACL PADRÃO:
Router(config)# access-list [1-99] [permit/deny] [host/rede {wildcard}]
Router (config-if)# ip access-group [1-99] [in/out]
ACL ESTENDIDA:
Router(config)# access-list [100-199] [permit/deny] [protocolo] [host/rede
{wildcard} origem] [host/rede {wildcard} destino] [parâmetros do protocolo]
Exemplo de uma ACL Padrão
Permita somente o tráfego da rede de origem 192.168.10.0 ser encaminhado por S0/0/0. O tráfego das redes que não sejam 192.168.10.0 é bloqueado.
Minha rede
Exemplos e Casos: ACL Nomeada
Nomes ao invés de números podem ser mais intuitivos. ACL padrão chamada NO_ACCESS
Comentando ACLs
Comentar as ACLs com o comando REMARK é outra forma de deixar mais claro para todos, qual a função da ACL
Editando uma ACL
Abaixo todo o processo para editar, corrigir ou alterar uma ACL
Exemplo de ACL Estendida
Negar TELNET vindo de 192.168.11.0 porém qualquer outro protocolo de qualquer ip é permitido
ACLs Complexas
Além das ACL padrão estendida numérica ou nomeada, temos ACL mais especificas que permitem cenários mais complexos, por exemplo aplicar uma ACL de um determinado tipo de trafego para o setor de produção de segunda a sexta das 8:00 as 18:00. Este é só um exemplo do poder das ACLs complexas.
Exibindo e checando as ACLs
Para visualizar e checar quais as ACLs configuradas no router podemos utilizar alguns comandos do IOS, sendo importantes também para efetuar troubleshooting. Vejamos:
show access-list – Exibe todas as listas de acesso e seus parâmetros, menos interfaces.
show access-list 110 – Exibe os parâmetros da lista de acesso 110.
show ip access-list – Exibe as listas de acesso IP configuradas
show ip interface – Exibe quais interfaces possuem ACLs ativas
show running-config - Apresenta as configurações das listas de acesso completas
Perguntas???
OBRIGADO!!!