Acl Listas de Controle de Acesso

  • View
    99

  • Download
    3

Embed Size (px)

DESCRIPTION

Listas de controle de acesso

Text of Acl Listas de Controle de Acesso

  • 1. ACL - Listas de Controle de Acesso CURSO TCNICO DE REDES E INFRAESTRUTURA DOCENTE DONIZETI VIEIRA GOMES MCSA MCTS MCP - LPI CLA ISO27002 DCTS - SECURITY+

2. O que so ACLs? As Access Control Lists permitem ao administrador de redes controlar aspectos relacionados a segurana no roteador, permitindo filtrar o trafego de entrada ou de sada baseando-se em regras como em um firewall. As regras de uma ACL podem filtrar os pacotes permitindo ou negando o trafego de entrada e de sada, ou nos dois sentidos. Alm de ser um recurso de segurana importante, pode ser utilizado para outros fins como controle de redistribuio de protocolos de roteamento, NAT, conteno de trfegos indevidos, etc. 3. Como funcionam as ACLs? As regras de uma ACL so criadas para permitir PERMIT ou para negar DENY o trafego. Tudo o que no for permitido estar implicitamente negado (IMPLICIT DENY) As regras se baseiam em protocolos da pilha do TCP/IP e tambm do nvel de aplicao, sendo endereos de origem e/ou destino, portas e protocolos, alm de seus estados (Ex.: stablished) Protocolos IPV4 e IPV6 (somente Named ACL), protocolos de transporte (TCP e UDP), nmeros de portas de protocolos e servios (Ex.: 21,80,443,25,110...) e protocolos de aplicao (Ex.:TELNET, FTP, HTTP, SMTP...), protocolos de roteamento (RIP, OSPF, EIGRP ,BGP...) e por mensagens de ICMP. O sentido da regra um fator importante, ele pode ser de ENTRADA in e de SAIDA out As ACLs so aplicadas interfaces (Ex.: Fa0/1) e linhas (vty e console) 4. Como funcionam as ACLs? IMPORTANTE: Sempre devemos nos posicionar dentro do roteador para entendermos corretamente o sentido de IN e de OUT da ACL. A posio da ACL na LISTA (sequncia) tambm importante. 5. Tipos de ACLs Os tipos de ACLs suportados no IOS dos routers Cisco so: Standard ACLs ou ACLs padro Extended ACLs ou ACLs estendidas Dynamic (lock and key) ACLs IP-named ACLs Reflexive ACLs Time-based ACLs that use time ranges Commented IP ACL entries Context-based ACLs Authentication proxy Turbo ACLs Distributed time-based ACLs 6. Tipos de ACLs mais comuns ACL padro Filtram utilizando o endereo IP de origem ACL estendida Filtram tanto pelo IP origem como pelo destino e tambm pelos protocolos da camada de transporte (TCP e UDP) utilizando nmero de portas As ACL padro ou estendida podem utilizar nmeros (numbered) ou utilizar nomes (named) Exemplos: R1# access-list 10 permit 192.168.10.1 - numerada R3# ip access-list standard Bloquear_WWW - nomeada 7. ACLS Numeradas As ACLs numeradas possuem os seguintes intervalos de numerao por tipos padro ou estendida (protocolo IP): 1-99 - ACL Padro 100-199 - ACL Estendida 1300-1999 - ACL Padro (intervalo adicional) 2000-2699 - ACL Estendida (intervalo adicional) 8. Consideraes sobre ACLs Documente e planeje todas suas ACLs, use um editor de textos Nunca se esquea do NEGAR IMPLICITO (e oculto) no final das regras As regras so adicionadas ao fim da lista Aplique ACLs padro sempre o mais prximas do destino. Aplique ACLs estendidas sempre o mais prximo da origem. ACLs que atravessam o roteador e no tem PERMIT so descartadas Use comentrios em suas ACLs (remark) para facilitar a compreenso 9. Fluxo Lgico das regras de uma ACL interface ip 10. Mscaras Coringas Wildcard Masks As mscaras coringa ou wildcard masks so utilizadas nas ACLs para definirmos pores de subredes a redes ou hosts ip, entretanto utilizam um formato diferenciado da mscara de subredes comum, utilizando-se do 0 ao invs do 1 para definir a poro relativa a subrede, exemplo: Mscara Coringa Mscara Comum 11. Sintaxe de comandos de ACLs: ACL PADRO: Router(config)# access-list [1-99] [permit/deny] [host/rede {wildcard}] Router (config-if)# ip access-group [1-99] [in/out] ACL ESTENDIDA: Router(config)# access-list [100-199] [permit/deny] [protocolo] [host/rede {wildcard} origem] [host/rede {wildcard} destino] [parmetros do protocolo] 12. Exemplo de uma ACL Padro Permita somente o trfego da rede de origem 192.168.10.0 ser encaminhado por S0/0/0. O trfego das redes que no sejam 192.168.10.0 bloqueado. Minha rede 13. Exemplos e Casos: ACL Nomeada Nomes ao invs de nmeros podem ser mais intuitivos. ACL padro chamada NO_ACCESS 14. Comentando ACLs Comentar as ACLs com o comando REMARK outra forma de deixar mais claro para todos, qual a funo da ACL 15. Editando uma ACL Abaixo todo o processo para editar, corrigir ou alterar uma ACL 16. Exemplo de ACL Estendida Negar TELNET vindo de 192.168.11.0 porm qualquer outro protocolo de qualquer ip permitido 17. ACLs Complexas Alm das ACL padro estendida numrica ou nomeada, temos ACL mais especificas que permitem cenrios mais complexos, por exemplo aplicar uma ACL de um determinado tipo de trafego para o setor de produo de segunda a sexta das 8:00 as 18:00. Este s um exemplo do poder das ACLs complexas. 18. Exibindo e checando as ACLs Para visualizar e checar quais as ACLs configuradas no router podemos utilizar alguns comandos do IOS, sendo importantes tambm para efetuar troubleshooting. Vejamos: show access-list Exibe todas as listas de acesso e seus parmetros, menos interfaces. show access-list 110 Exibe os parmetros da lista de acesso 110. show ip access-list Exibe as listas de acesso IP configuradas show ip interface Exibe quais interfaces possuem ACLs ativas show running-config - Apresenta as configuraes das listas de acesso completas 19. Perguntas??? 20. OBRIGADO!!!