Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
08 firewall II
Compartilhar
Prévia do material em texto
AULA 8: FIREWALL II
Segurança de redes de computadores
SEGURANÇA DE REDES DE COMPUTADORES
Aula 8: Firewall II
AULA 8: FIREWALL II
Segurança de redes de computadores
O que é uma ACL?
Finalidade das ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
Finalidade das ACLs
Uma conversa de TCP
AULA 8: FIREWALL II
Segurança de redes de computadores
A filtragem de pacote, às vezes chamada de filtragem de pacote estática, controla acesso a uma rede
analisando os pacotes de entrada e saída e transmitindo-os ou eliminando-os com base em critérios, como
o endereço IP de origem, o Endereço IP de destino e o protocolo transportado no pacote.
Um Roteador atua como um filtro de pacote ao encaminhar ou recusar pacotes de acordo com as regras de
filtragem.
Uma ACL é uma lista sequencial de instruções de permissão ou de negação, conhecidas como entradas de
controle de acesso (ACEs).
Filtragem de pacotes
Finalidade das ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
Filtragem de pacotes (continuação)
Finalidade das ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
A última instrução de uma ACL é sempre uma deny implícito. Essa afirmativa é automaticamente inserida
no final de cada ACL, mesmo que não esteja fisicamente presente. O deny implícito bloqueia todo o
tráfego. Devido a esta negação implícita, uma ACL que não tenha pelo menos uma instrução de permissão
bloqueará todo o tráfego.
Operação de ACL
Finalidade das ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
ACLs IPv4 padrão versus estendidas
Tipos de ACLs IPv4 da Cisco
ACLs padrão
ACLs estendidas
AULA 8: FIREWALL II
Segurança de redes de computadores
Numerando e nomeando ACLs
ACLs IPv4
AULA 8: FIREWALL II
Segurança de redes de computadores
As máscaras curinga e as máscaras de sub-rede diferem na maneira de corresponder ao binário 1s e 0s. As
máscaras curinga utilizam as seguintes regras para corresponder ao binário 1s e 0s:
Máscara curinga 0 - associada ao valor de bit correspondente no endereço.
Máscara curinga 1 - ignora o valor de bit correspondente no endereço.
As máscaras curinga são normalmente chamadas de máscaras inversas. A razão é que, diferentemente de
uma máscara de sub-rede em que binário 1 é igual a uma correspondência e o binário 0 não é uma
correspondência, em uma máscara curinga ocorre o contrário isso.
Introdução às máscaras curinga de ACL
Máscaras curinga nas ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
Exemplos de máscara curinga: Hosts / sub-redes
Máscaras curinga nas ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
Máscaras curinga nas ACLs
Exemplos de máscara curinga: Intervalos de associação
AULA 8: FIREWALL II
Segurança de redes de computadores
Calculando a máscara curinga
Calcular as máscaras curinga pode ser um desafio. Um método de atalho é subtrair a máscara
de sub-rede de 255.255.255.255.
Máscaras curinga nas ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
Máscaras curinga nas ACLs
Palavras-chave de máscara curinga
AULA 8: FIREWALL II
Segurança de redes de computadores
Máscaras curinga nas ACLs
Exemplos de palavras-chave de máscara curinga
AULA 8: FIREWALL II
Segurança de redes de computadores
Máscaras curinga nas ACLs
Inserindo instruções de critérios
AULA 8: FIREWALL II
Segurança de redes de computadores
Exemplo de ACL
access-list 2 deny host 192.168.10.10
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255
Configurar ACLs IPv4 padrão
Configurando uma ACL padrão
AULA 8: FIREWALL II
Segurança de redes de computadores
A sintaxe completa do comando para criar uma ACL padrão é a seguinte:
Router(config)# access-list access-list-number deny permit remark source [ source-wildcard ] [
log ]
Para remover a ACL, o comando global configuration no access-list é usado.
A palavra-chave remark é usada para documentação e faz das listas de acesso um ótimo negócio e mais
fácil de entender.
Configurar ACLs IPv4 padrão
Configurando uma ACL padrão
AULA 8: FIREWALL II
Segurança de redes de computadores
O IOS Cisco aplica uma lógica interna ao aceitar e ao processar instruções de lista de acesso padrão.
Conforme discutido anteriormente, as instruções de lista de acesso são processadas sequencialmente.
Portanto, a ordem em que as instruções são inseridas é importante.
Configurar ACLs IPv4 padrão
Lógica interna
AULA 8: FIREWALL II
Segurança de redes de computadores
Após a configuração de uma ACL padrão, ela é vinculada a uma interface com o uso do comando ip access-
group no modo de configuração de interface:
Router(config-if)# ip access-group { access-list-number | access-list-name } { in | out }
Para remover uma ACL de uma interface, primeiro insira o comando no ip access-group na interface e, em
seguida, insira o comando global no access-list para remover toda a ACL.
Configurar ACLs IPv4 padrão
Aplicando ACLs padrão às interfaces
AULA 8: FIREWALL II
Segurança de redes de computadores
Configurar ACLs IPv4 padrão
Aplicando ACLs padrão às interfaces
AULA 8: FIREWALL II
Segurança de redes de computadores
Configurar ACLs IPv4 padrão
Criando ACLs padrão nomeadas
AULA 8: FIREWALL II
Segurança de redes de computadores
Configurar ACLs IPv4 padrão
Comentando ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
Modificar ACLs IPv4
Editando ACLs numeradas padrão
AULA 8: FIREWALL II
Segurança de redes de computadores
Modificar ACLs IPv4
Editando ACLs numeradas padrão (continuação)
AULA 8: FIREWALL II
Segurança de redes de computadores
Modificar ACLs IPv4
Editando ACLs nomeadas padrão
AULA 8: FIREWALL II
Segurança de redes de computadores
Modificar ACLs IPv4
Verificando ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
Modificar ACLs IPv4
Estatísticas da ACL
AULA 8: FIREWALL II
Segurança de redes de computadores
Outra parte da lógica interna do IOS envolve o sequenciamento interno das instruções de ACL padrão. As
instruções de intervalo que não têm três redes são configuradas inicialmente seguidas por cinco instruções
do host. As instruções são todas válidas, porque o endereço IP do host não é parte das declarações
inseridas anteriormente no intervalo.
As instruções do host são listadas primeiro pelo comando show, mas não necessariamente na ordem em
que foram inseridas. O IOS insere instruções do host em uma ordem usando uma função de hashing
especial. A ordem resultante otimiza a busca por uma entrada da ACL de host.
Números de sequência da ACL padrão
Modificar ACLs IPv4
AULA 8: FIREWALL II
Segurança de redes de computadores
Estrutura de uma ACL de IPv4 estendida
ACLs estendidas
AULA 8: FIREWALL II
Segurança de redes de computadores
Estrutura de uma ACL de IPv4 estendida
ACLs estendidas (continuação)
AULA 8: FIREWALL II
Segurança de redes de computadores
As etapas de procedimentos para configurar ACLs estendidas são as mesmas usadas para ACL padrão. A
ACL estendida é configurado em primeiro lugar, e é ativada em uma interface. No entanto, a sintaxe de
comandos e os parâmetros são mais complexos para suportar recursos adicionais fornecidos pelas ACLs
estendidas.
Configurando ACLs estendidas
Configurar ACLs IPv4 estendidas
AULA 8: FIREWALL II
Segurança de redes de computadores
Configurar ACLs IPv4 estendidasAplicando ACLs estendidas às interfaces
AULA 8: FIREWALL II
Segurança de redes de computadores
Configurar ACLs IPv4 estendidas
Filtrando tráfego com ACLs estendidas
AULA 8: FIREWALL II
Segurança de redes de computadores
Configurar ACLs IPv4 estendidas
Criando ACLs nomeadas estendidas
AULA 8: FIREWALL II
Segurança de redes de computadores
Configurar ACLs IPv4 estendidas
Verificando ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
É possível editar uma ACL estendida usando o mesmo processo para editar uma ACL padrão. Uma ACL
estendida pode ser modificada com o uso de:
• Método 1: editor de texto;
• Método 2: números de sequência.
Editando ACLs estendidas
Modificar ACLs IPv4
AULA 8: FIREWALL II
Segurança de redes de computadores
• Os comandos de depuração são as ferramentas usadas para ajudar a verificar, identificar e solucionar
problemas de operações de rede.
• Quando algumas opções de depuração são usadas, a saída pode exibir muito mais informações do que
o necessário ou pode ser facilmente visualizada.
• Em uma rede de produção, a quantidade de informações fornecida por comandos de depuração pode
ser confusa e pode causar interrupções de rede.
• Alguns comandos de depuração podem ser combinados com uma lista de acesso para limitar a saída de
modo que somente as informações necessárias para verificação ou resolução de um problema
específico sejam exibidas.
Objetivo da limitação da depuração da saída com ACLs
Limitando a saída de depuração
AULA 8: FIREWALL II
Segurança de redes de computadores
O administrador de R2 deseja verificar se o tráfego
está sendo devidamente roteada usando debug ip
packet. Para limitar a saída da depuração para
incluir somente tráfego ICMP entre R1 e de R3, a
ACL 101 será aplicada.
Configurando ACLs para limitar a saída de depuração
Limitando a saída de depuração
AULA 8: FIREWALL II
Segurança de redes de computadores
Limitando a saída de depuração
Verificando ACLs que limitam a saída de depuração
AULA 8: FIREWALL II
Segurança de redes de computadores
• Os pacotes são testados em relação a uma ACL de entrada, se houver, antes de serem roteados.
• Se um pacote de entrada corresponder a uma instrução da ACL com uma permissão, ele será enviado
para ser roteado.
• Se um pacote de entrada corresponder a uma instrução da ACL com um deny, ele será descartado e
não roteado.
• Se um pacote de entrada não encontrar nenhuma instrução da ACL, ele será “negado implicitamente”
e descartado sem ser roteado.
Lógica da ACL de entrada
Processando pacotes com ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
• Os pacotes são verificados primeiro para uma rota antes de serem enviados a uma interface de saída.
Se não houver uma rota, os pacotes serão descartados.
• Se uma interface de saída não tiver ACLs, os pacotes serão encaminhados diretamente a essa interface.
• Se houver uma ACL na interface de saída, ela será testada antes de ser enviada para essa interface.
• Se um pacote de saída corresponder a uma instrução da ACL com uma permissão, ele será enviado
para a interface.
Lógica da ACL de saída
Processando pacotes com ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
• Se um pacote de saída corresponder a uma instrução da ACL com um deny, ele será descartado.
• Se um pacote de saída não encontrar nenhuma instrução da ACL, ele será “negado implicitamente” e
descartado.
Lógica da ACL de saída (continuação)
Processando pacotes com ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
• Quando um pacote chega a uma interface de roteador, o processo de Roteador é o mesmo, sendo as
ACLs usadas ou não. À medida que um quadro entra em uma interface, o roteador verifica se o
endereço da Camada 2 de destino corresponde ao endereço da Camada 2 da interface ou se o quadro
é um quadro de broadcast.
• Se o endereço do quadro for aceito, as informações do quadro são removidas, e o roteador verifica se
há uma ACL na interface de entrada. Se existir uma ACL, o pacote é testado em relação às instruções da
lista.
Operações de lógica da ACL
Processando pacotes com ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
• Se o pacote for aceito, ele será testado em relação às entradas da tabela de roteamento para
determinar a interface de destino. Se existir uma entrada de tabela de roteamento para o destino, o
pacote será encaminhado para a interface de saída, se não, o pacote será descartado.
• Depois, o roteador verifica se a interface de saída tem uma ACL. Se existir uma ACL, o pacote é testado
em relação às instruções da lista.
• Se não houver uma ACL ou se o pacote for permitido, o pacote será encapsulado no novo protocolo da
camada 2 e encaminhado através da interface para o próximo dispositivo.
Operações de lógica da ACL(continuação)
Processando pacotes com ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
• As ACLs padrão examinam apenas o endereço de origem de IPv4. O destino do pacote e as portas
envolvidas não são considerados.
• O software testa endereços com relação às condições da ACL, uma a uma. A primeira combinação
determina se o software aceita ou rejeita o endereço. Como o software interrompe o teste das
condições depois da primeira correspondência, a ordem das condições é crítica. Se nenhuma condição
for correspondente, o endereço será descartado.
Processo de decisão de ACL padrão
Processando pacotes com ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
• A ACL primeiro filtra no endereço de origem, depois na porta e no protocolo de origem. Ele, então,
filtra no endereço destino, na porta e no protocolo de destino e toma uma decisão final de permissão
ou recusa.
Processo de decisão de ACL estendida
Processando pacotes com ACLs
AULA 8: FIREWALL II
Segurança de redes de computadores
O host 192.168.10.10 não tem nenhuma conectividade com 192.168.30.12.
Erros comuns de ACLs
Solucionando erros comuns de ACLs - Exemplo 1
AULA 8: FIREWALL II
Segurança de redes de computadores
Erros comuns de ACLs
Solucionando erros comuns de ACLs – Exemplo 2
A rede 192.168.10.0 /24 não pode usar TFTP para se conectar com a rede 192.168.30.0 /24.
AULA 8: FIREWALL II
Segurança de redes de computadores
Erros comuns de ACLs
Solucionando erros comuns de ACLs – Exemplo 3
A rede 192.168.11.0 /24 pode usar Telnet para se conectar a 192.168.30.0 /24, mas de acordo com a política
da empresa, essa conexão não deve ser negada.
AULA 8: FIREWALL II
Segurança de redes de computadores
O host 192.168.30.12 pode executar Telnet para se conectar a 192.168.31.12, mas a política da empresa
declara que essa conexão não deve ser permitida.
Erros comuns de ACLs
Solucionando erros comuns de ACLs – Exemplo 4
AULA 8: FIREWALL II
Segurança de redes de computadores
Erros comuns de ACLs
Solucionando erros comuns de ACLs – Exemplo 5
O host 192.168.30.12 pode usar o Telnet para se conectar a 192.168.31.12, mas de acordo com a política de
segurança, essa conexão não deve ser permitida.
AULA 8: FIREWALL II
Segurança de redes de computadores
Continue navegando
Materiais relacionados
1 pág.
Perguntas relacionadas
Compartilhar