Baixe o app para aproveitar ainda mais
Prévia do material em texto
AULA 8: FIREWALL II Segurança de redes de computadores SEGURANÇA DE REDES DE COMPUTADORES Aula 8: Firewall II AULA 8: FIREWALL II Segurança de redes de computadores O que é uma ACL? Finalidade das ACLs AULA 8: FIREWALL II Segurança de redes de computadores Finalidade das ACLs Uma conversa de TCP AULA 8: FIREWALL II Segurança de redes de computadores A filtragem de pacote, às vezes chamada de filtragem de pacote estática, controla acesso a uma rede analisando os pacotes de entrada e saída e transmitindo-os ou eliminando-os com base em critérios, como o endereço IP de origem, o Endereço IP de destino e o protocolo transportado no pacote. Um Roteador atua como um filtro de pacote ao encaminhar ou recusar pacotes de acordo com as regras de filtragem. Uma ACL é uma lista sequencial de instruções de permissão ou de negação, conhecidas como entradas de controle de acesso (ACEs). Filtragem de pacotes Finalidade das ACLs AULA 8: FIREWALL II Segurança de redes de computadores Filtragem de pacotes (continuação) Finalidade das ACLs AULA 8: FIREWALL II Segurança de redes de computadores A última instrução de uma ACL é sempre uma deny implícito. Essa afirmativa é automaticamente inserida no final de cada ACL, mesmo que não esteja fisicamente presente. O deny implícito bloqueia todo o tráfego. Devido a esta negação implícita, uma ACL que não tenha pelo menos uma instrução de permissão bloqueará todo o tráfego. Operação de ACL Finalidade das ACLs AULA 8: FIREWALL II Segurança de redes de computadores ACLs IPv4 padrão versus estendidas Tipos de ACLs IPv4 da Cisco ACLs padrão ACLs estendidas AULA 8: FIREWALL II Segurança de redes de computadores Numerando e nomeando ACLs ACLs IPv4 AULA 8: FIREWALL II Segurança de redes de computadores As máscaras curinga e as máscaras de sub-rede diferem na maneira de corresponder ao binário 1s e 0s. As máscaras curinga utilizam as seguintes regras para corresponder ao binário 1s e 0s: Máscara curinga 0 - associada ao valor de bit correspondente no endereço. Máscara curinga 1 - ignora o valor de bit correspondente no endereço. As máscaras curinga são normalmente chamadas de máscaras inversas. A razão é que, diferentemente de uma máscara de sub-rede em que binário 1 é igual a uma correspondência e o binário 0 não é uma correspondência, em uma máscara curinga ocorre o contrário isso. Introdução às máscaras curinga de ACL Máscaras curinga nas ACLs AULA 8: FIREWALL II Segurança de redes de computadores Exemplos de máscara curinga: Hosts / sub-redes Máscaras curinga nas ACLs AULA 8: FIREWALL II Segurança de redes de computadores Máscaras curinga nas ACLs Exemplos de máscara curinga: Intervalos de associação AULA 8: FIREWALL II Segurança de redes de computadores Calculando a máscara curinga Calcular as máscaras curinga pode ser um desafio. Um método de atalho é subtrair a máscara de sub-rede de 255.255.255.255. Máscaras curinga nas ACLs AULA 8: FIREWALL II Segurança de redes de computadores Máscaras curinga nas ACLs Palavras-chave de máscara curinga AULA 8: FIREWALL II Segurança de redes de computadores Máscaras curinga nas ACLs Exemplos de palavras-chave de máscara curinga AULA 8: FIREWALL II Segurança de redes de computadores Máscaras curinga nas ACLs Inserindo instruções de critérios AULA 8: FIREWALL II Segurança de redes de computadores Exemplo de ACL access-list 2 deny host 192.168.10.10 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255 Configurar ACLs IPv4 padrão Configurando uma ACL padrão AULA 8: FIREWALL II Segurança de redes de computadores A sintaxe completa do comando para criar uma ACL padrão é a seguinte: Router(config)# access-list access-list-number deny permit remark source [ source-wildcard ] [ log ] Para remover a ACL, o comando global configuration no access-list é usado. A palavra-chave remark é usada para documentação e faz das listas de acesso um ótimo negócio e mais fácil de entender. Configurar ACLs IPv4 padrão Configurando uma ACL padrão AULA 8: FIREWALL II Segurança de redes de computadores O IOS Cisco aplica uma lógica interna ao aceitar e ao processar instruções de lista de acesso padrão. Conforme discutido anteriormente, as instruções de lista de acesso são processadas sequencialmente. Portanto, a ordem em que as instruções são inseridas é importante. Configurar ACLs IPv4 padrão Lógica interna AULA 8: FIREWALL II Segurança de redes de computadores Após a configuração de uma ACL padrão, ela é vinculada a uma interface com o uso do comando ip access- group no modo de configuração de interface: Router(config-if)# ip access-group { access-list-number | access-list-name } { in | out } Para remover uma ACL de uma interface, primeiro insira o comando no ip access-group na interface e, em seguida, insira o comando global no access-list para remover toda a ACL. Configurar ACLs IPv4 padrão Aplicando ACLs padrão às interfaces AULA 8: FIREWALL II Segurança de redes de computadores Configurar ACLs IPv4 padrão Aplicando ACLs padrão às interfaces AULA 8: FIREWALL II Segurança de redes de computadores Configurar ACLs IPv4 padrão Criando ACLs padrão nomeadas AULA 8: FIREWALL II Segurança de redes de computadores Configurar ACLs IPv4 padrão Comentando ACLs AULA 8: FIREWALL II Segurança de redes de computadores Modificar ACLs IPv4 Editando ACLs numeradas padrão AULA 8: FIREWALL II Segurança de redes de computadores Modificar ACLs IPv4 Editando ACLs numeradas padrão (continuação) AULA 8: FIREWALL II Segurança de redes de computadores Modificar ACLs IPv4 Editando ACLs nomeadas padrão AULA 8: FIREWALL II Segurança de redes de computadores Modificar ACLs IPv4 Verificando ACLs AULA 8: FIREWALL II Segurança de redes de computadores Modificar ACLs IPv4 Estatísticas da ACL AULA 8: FIREWALL II Segurança de redes de computadores Outra parte da lógica interna do IOS envolve o sequenciamento interno das instruções de ACL padrão. As instruções de intervalo que não têm três redes são configuradas inicialmente seguidas por cinco instruções do host. As instruções são todas válidas, porque o endereço IP do host não é parte das declarações inseridas anteriormente no intervalo. As instruções do host são listadas primeiro pelo comando show, mas não necessariamente na ordem em que foram inseridas. O IOS insere instruções do host em uma ordem usando uma função de hashing especial. A ordem resultante otimiza a busca por uma entrada da ACL de host. Números de sequência da ACL padrão Modificar ACLs IPv4 AULA 8: FIREWALL II Segurança de redes de computadores Estrutura de uma ACL de IPv4 estendida ACLs estendidas AULA 8: FIREWALL II Segurança de redes de computadores Estrutura de uma ACL de IPv4 estendida ACLs estendidas (continuação) AULA 8: FIREWALL II Segurança de redes de computadores As etapas de procedimentos para configurar ACLs estendidas são as mesmas usadas para ACL padrão. A ACL estendida é configurado em primeiro lugar, e é ativada em uma interface. No entanto, a sintaxe de comandos e os parâmetros são mais complexos para suportar recursos adicionais fornecidos pelas ACLs estendidas. Configurando ACLs estendidas Configurar ACLs IPv4 estendidas AULA 8: FIREWALL II Segurança de redes de computadores Configurar ACLs IPv4 estendidasAplicando ACLs estendidas às interfaces AULA 8: FIREWALL II Segurança de redes de computadores Configurar ACLs IPv4 estendidas Filtrando tráfego com ACLs estendidas AULA 8: FIREWALL II Segurança de redes de computadores Configurar ACLs IPv4 estendidas Criando ACLs nomeadas estendidas AULA 8: FIREWALL II Segurança de redes de computadores Configurar ACLs IPv4 estendidas Verificando ACLs AULA 8: FIREWALL II Segurança de redes de computadores É possível editar uma ACL estendida usando o mesmo processo para editar uma ACL padrão. Uma ACL estendida pode ser modificada com o uso de: • Método 1: editor de texto; • Método 2: números de sequência. Editando ACLs estendidas Modificar ACLs IPv4 AULA 8: FIREWALL II Segurança de redes de computadores • Os comandos de depuração são as ferramentas usadas para ajudar a verificar, identificar e solucionar problemas de operações de rede. • Quando algumas opções de depuração são usadas, a saída pode exibir muito mais informações do que o necessário ou pode ser facilmente visualizada. • Em uma rede de produção, a quantidade de informações fornecida por comandos de depuração pode ser confusa e pode causar interrupções de rede. • Alguns comandos de depuração podem ser combinados com uma lista de acesso para limitar a saída de modo que somente as informações necessárias para verificação ou resolução de um problema específico sejam exibidas. Objetivo da limitação da depuração da saída com ACLs Limitando a saída de depuração AULA 8: FIREWALL II Segurança de redes de computadores O administrador de R2 deseja verificar se o tráfego está sendo devidamente roteada usando debug ip packet. Para limitar a saída da depuração para incluir somente tráfego ICMP entre R1 e de R3, a ACL 101 será aplicada. Configurando ACLs para limitar a saída de depuração Limitando a saída de depuração AULA 8: FIREWALL II Segurança de redes de computadores Limitando a saída de depuração Verificando ACLs que limitam a saída de depuração AULA 8: FIREWALL II Segurança de redes de computadores • Os pacotes são testados em relação a uma ACL de entrada, se houver, antes de serem roteados. • Se um pacote de entrada corresponder a uma instrução da ACL com uma permissão, ele será enviado para ser roteado. • Se um pacote de entrada corresponder a uma instrução da ACL com um deny, ele será descartado e não roteado. • Se um pacote de entrada não encontrar nenhuma instrução da ACL, ele será “negado implicitamente” e descartado sem ser roteado. Lógica da ACL de entrada Processando pacotes com ACLs AULA 8: FIREWALL II Segurança de redes de computadores • Os pacotes são verificados primeiro para uma rota antes de serem enviados a uma interface de saída. Se não houver uma rota, os pacotes serão descartados. • Se uma interface de saída não tiver ACLs, os pacotes serão encaminhados diretamente a essa interface. • Se houver uma ACL na interface de saída, ela será testada antes de ser enviada para essa interface. • Se um pacote de saída corresponder a uma instrução da ACL com uma permissão, ele será enviado para a interface. Lógica da ACL de saída Processando pacotes com ACLs AULA 8: FIREWALL II Segurança de redes de computadores • Se um pacote de saída corresponder a uma instrução da ACL com um deny, ele será descartado. • Se um pacote de saída não encontrar nenhuma instrução da ACL, ele será “negado implicitamente” e descartado. Lógica da ACL de saída (continuação) Processando pacotes com ACLs AULA 8: FIREWALL II Segurança de redes de computadores • Quando um pacote chega a uma interface de roteador, o processo de Roteador é o mesmo, sendo as ACLs usadas ou não. À medida que um quadro entra em uma interface, o roteador verifica se o endereço da Camada 2 de destino corresponde ao endereço da Camada 2 da interface ou se o quadro é um quadro de broadcast. • Se o endereço do quadro for aceito, as informações do quadro são removidas, e o roteador verifica se há uma ACL na interface de entrada. Se existir uma ACL, o pacote é testado em relação às instruções da lista. Operações de lógica da ACL Processando pacotes com ACLs AULA 8: FIREWALL II Segurança de redes de computadores • Se o pacote for aceito, ele será testado em relação às entradas da tabela de roteamento para determinar a interface de destino. Se existir uma entrada de tabela de roteamento para o destino, o pacote será encaminhado para a interface de saída, se não, o pacote será descartado. • Depois, o roteador verifica se a interface de saída tem uma ACL. Se existir uma ACL, o pacote é testado em relação às instruções da lista. • Se não houver uma ACL ou se o pacote for permitido, o pacote será encapsulado no novo protocolo da camada 2 e encaminhado através da interface para o próximo dispositivo. Operações de lógica da ACL(continuação) Processando pacotes com ACLs AULA 8: FIREWALL II Segurança de redes de computadores • As ACLs padrão examinam apenas o endereço de origem de IPv4. O destino do pacote e as portas envolvidas não são considerados. • O software testa endereços com relação às condições da ACL, uma a uma. A primeira combinação determina se o software aceita ou rejeita o endereço. Como o software interrompe o teste das condições depois da primeira correspondência, a ordem das condições é crítica. Se nenhuma condição for correspondente, o endereço será descartado. Processo de decisão de ACL padrão Processando pacotes com ACLs AULA 8: FIREWALL II Segurança de redes de computadores • A ACL primeiro filtra no endereço de origem, depois na porta e no protocolo de origem. Ele, então, filtra no endereço destino, na porta e no protocolo de destino e toma uma decisão final de permissão ou recusa. Processo de decisão de ACL estendida Processando pacotes com ACLs AULA 8: FIREWALL II Segurança de redes de computadores O host 192.168.10.10 não tem nenhuma conectividade com 192.168.30.12. Erros comuns de ACLs Solucionando erros comuns de ACLs - Exemplo 1 AULA 8: FIREWALL II Segurança de redes de computadores Erros comuns de ACLs Solucionando erros comuns de ACLs – Exemplo 2 A rede 192.168.10.0 /24 não pode usar TFTP para se conectar com a rede 192.168.30.0 /24. AULA 8: FIREWALL II Segurança de redes de computadores Erros comuns de ACLs Solucionando erros comuns de ACLs – Exemplo 3 A rede 192.168.11.0 /24 pode usar Telnet para se conectar a 192.168.30.0 /24, mas de acordo com a política da empresa, essa conexão não deve ser negada. AULA 8: FIREWALL II Segurança de redes de computadores O host 192.168.30.12 pode executar Telnet para se conectar a 192.168.31.12, mas a política da empresa declara que essa conexão não deve ser permitida. Erros comuns de ACLs Solucionando erros comuns de ACLs – Exemplo 4 AULA 8: FIREWALL II Segurança de redes de computadores Erros comuns de ACLs Solucionando erros comuns de ACLs – Exemplo 5 O host 192.168.30.12 pode usar o Telnet para se conectar a 192.168.31.12, mas de acordo com a política de segurança, essa conexão não deve ser permitida. AULA 8: FIREWALL II Segurança de redes de computadores
Compartilhar