Controle de tráfego com ACLs

Estudos sobre Segurança de Endpoint para proteção contra vírus e ameaças na nuvem e detecção e resposta avançadas. Materiais e melhores práticas para proteger dispositivos contra ameaças cibernéticas.
Responder
Avatar do usuário
bernardino
Site Admin
Mensagens: 682
Registrado em: 28 Ago 2020, 15:11

Controle de tráfego com ACLs

Mensagem por bernardino »

Uma lista de controle de acesso (ACL) é uma série de comandos que controlam se um dispositivo encaminha ou descarta pacotes com base nas informações encontradas no cabeçalho do pacote. Quando configuradas, as ACLs executam as seguintes tarefas:
  • Eles limitam o tráfego da rede para aumentar o desempenho da rede. Por exemplo, se a política corporativa não permite tráfego de vídeo na rede, as ACLs que bloqueiam tráfego de vídeo podem ser configuradas e aplicadas. Isso reduziria significativamente a carga da rede e aumentaria o desempenho da rede.
  • Eles fornecem controle de fluxo de tráfego. As ACLs podem restringir o fornecimento de atualizações de roteamento para garantir que as atualizações sejam de uma fonte conhecida.
  • Elas fornecem um nível básico de segurança para acesso à rede. As ACLs podem permitir que um host acesse uma parte da rede e impedir que outro host acesse a mesma área. Por exemplo, o acesso à rede de Recursos Humanos poderá ser restrito a usuários autorizados.
    Elas filtram o tráfego com base no tipo de tráfego. Por exemplo, uma ACL pode permitir tráfego de correio eletrônico, mas bloquear todo o tráfego de Telnet.
  • Elas examinam hosts para permitir ou negar acesso aos serviços de rede. As ACLs podem permitir ou negar a um usuário o acesso a tipos de arquivo, como FTP ou HTTP.
Além da permissão ou negação de tráfego, as ACLs podem ser usadas selecionando tipos de tráfego que serão analisados, enviados ou processados de outras formas. Por exemplo, as ACLs podem ser usadas para classificar o tráfego para ativar o processamento de prioridade. Esse recurso é semelhante a ter um ingresso VIP em um show ou em evento esportivo. O ingresso VIP fornece aos convidados selecionados os privilégios não oferecidos aos portadores de bilhetes de admissão geral, como a entrada prioritária ou possibilidade de entrar em uma área restrita.

A figura mostra uma topologia de amostra com ACLs aplicadas aos roteadores R1, R2 e R3.

Download: 6.2.4-packet-tracer---acl-demonstration.pka
6.2.4-packet-tracer---acl-demonstration.png
6.2.4-packet-tracer---acl-demonstration.png (21.5 KiB) Exibido 7477 vezes
Demonstração de ACL

Packet Tracer – Demonstração de lista de controle de acesso

Objetivos
Parte 1: Verificar a conectividade local e testar a lista de controle de acesso

Parte 2: Remover a lista de controle de acesso e repetir o teste

Contexto
Nesta atividade, você observará como uma lista de controle de acesso (ACL) pode ser usada para impedir que um ping alcance hosts em redes remotas. Após remover a ACL da configuração, os pings terão êxito.

Instruções
Parte 1: Verificar a conectividade local e testar a lista de controle de acesso
Etapa 1: Efetuar ping de dispositivos na rede local para verificar a conectividade.
  • Do prompt de comando de PC1, ping PC2.
  • Do prompt de comando de PC1, ping PC3.
Pergunta:
Os pings tiveram êxito?

Código: Selecionar todos

Sim. Porque as camadas 1 a 3 estão totalmente funcionais e, no momento, não há mensagens de ICMP de filtragem de política entre as duas redes locais.
  • Do prompt de comando dePC1, ping PC4.
  • Do prompt de comando de PC1, ping o DNS Server.
Pergunta:
Por que o ping falhou? (Dica: use o modo de simulação ou visualize as configurações do roteador para investigar.)

Código: Selecionar todos

Os pings falham, pois R1 está configurado com uma ACL para negar a saída de qualquer ping da interface serial 0/0/0.
Veja Configuração de R1

Código: Selecionar todos

show running-config 
!
hostname R1
!
ip cef
no ipv6 cef
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 192.168.11.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial0/0/0
 ip address 10.10.1.1 255.255.255.252
 ip access-group 11 out
!
interface Serial0/0/1
 no ip address
 clock rate 2000000
 shutdown
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 192.168.10.0 0.0.0.255 area 10
 network 192.168.11.0 0.0.0.255 area 11
 network 10.10.1.0 0.0.0.3 area 0
!
ip classless
!
ip flow-export version 9
!
access-list 11 deny 192.168.10.0 0.0.0.255
access-list 11 permit any
!
end
Parte 2: Remover ACL e repetir o teste

Etapa 1: Use os comandos show para investigar a configuração ACL.

a. Use os comandos show run e show access-listspara visualizar as ACLs atualmente configuradas. Para visualizar rapidamente as ACLs atuais, use show access-lists. Entre o comando show access-lists seguido por um espaço e um ponto de interrogação (?) para ver as opções disponíveis:

Código: Selecionar todos

R1# show access-lists ?
<1-199> ACL number
WORD ACL name
  <cr>
Se você souber o número ou nome da ACL, pode filtrar a saída do show ainda mais. Contudo, R1 tem apenas uma ACL; Portanto, o comando show access-lists será suficiente.

Código: Selecionar todos

R1# show access-lists
Standard IP access list 11
10 deny 192.168.10.0 0.0.0.255
20 permit any
A primeira linha da ACL impede que quaisquer pacotes originados no 192.168.10.0/24 rede, que inclui ecos do protocolo de mensagens de controle da Internet (ICMP) (solicitações de ping). A segunda linha da ACL permite que todo o outro tráfego de ip de qualquer origem atravesse o roteador.

b. Para que uma ACL tenha impacto na operação do roteador, ela deve ser aplicada a uma interface em uma direção específica. Neste cenário, a ACL é usada para filtrar o tráfego em uma interface. Portanto, todo o tráfego saindo da interface de R1 especificada será inspecionado contra ACL 11.

Embora você possa ver as informações de IP com o comando show ip interface pode ser mais eficiente em algumas situações simplesmente usar o comando show run

Pergunta:
Usando um ou ambos os comandos, a que interface é aplicada a ACL?

Código: Selecionar todos

Serial 0/0/0, tráfego de saída.
Você pode remover ACLs da configuração emitindo o comando no access list [number of the ACL]. O comando no access-list exclui todas as ACLs configuradas no roteador. O comando no access-list [number of the ACL] remove apenas uma ACL específica.

a. Na interface Serial0 / 0/0, remova a lista de acesso 11, anteriormente aplicada à interface como um filtro de saída :

Código: Selecionar todos

R1(config)# int se0/0/0
R1(config-if)#no ip access-group 11 out
b. No modo de configuração global, remova a ACL digitando o seguinte comando:

Código: Selecionar todos

R1(config)# no access-list 11
c. Verifique que o PC1 agora pode realizar o ping para o DNS Server e o PC4.
Algumas pessoas acham que foco significa dizer sim para a coisa em que você vai se focar.
Mas não é nada disso.
Significa dizer não às centenas de outras boas ideias que existem.
Você precisa selecionar cuidadosamente.”

Steve Jobs
Voltar ao topo
Responder

Voltar para “Segurança de Endpoint”