ACLs complexas.ppsx
- 1. Neylor Michel Ciência da Computação
- 2. ACLs (Listas de Controle de Acesso) são recursos que estão disponíveis para evitar que a rede gere acessos não desejáveis. A ACL tem critérios para utilização dos pacotes IP e esses critérios são inspecionados durante uma sessão. Exemplos dessas inspeções são os endereços de origem e destino da camada de rede, protocolo da camada de transporte, também as portas da camada sessão e as aplicações.
- 3. Classificador de pacote Contêm uma lista de entradas Termos “deny” e “permit”
- 4. Processamento em ordem Entradas especificas devem ser colocadas no início da lista. Possui a instrução “deny all” implícita no final da lista das ACLs
- 6. - Quando deseja-se que um host remoto tenha acesso à um host em uma rede local de trabalho através da internet, é possível criar política de autenticação. - Quando um conjunto de hosts necessita acessar uma outra rede protegida por um firewall, é possível obrigá-los a autenticar para que o tráfego seja permitido.
- 7. - Um usuário que deseja liberar sua conexão com algum destino, abre uma sessão telnet para o roteador configurado com a ACL dinâmica. - O roteador recebe o pacote telnet e solicita o usuário e senha. E o processo de autenticação é realizado pelo próprio roteador ou uma central de autenticação como TACACS+ ou RADIUS.
- 9. ACL Dinâmica ------------- Router1=Router modelo 3640 interfaces ser0/0 192.168.2.1/24 eth1/0 192.168.1.1/24 Router2=Router modelo 3640 interfaces ser0/0 192.168.2.2/24 PC1=Router modelo 3640 simulando um PC interfaces eth0/0 192.168.1.2/24 defaut-gateway 192.168.1.1/24 ------------------------------------------------------------------------------------- #Comandos inseridos em Router1 para cofigurar o telnet conf t line vty 0 4 password telnet login autocommand access-enable host timeout 5 #Comando inseridos em Router1 para liberar acesso telnet para PC1 conf t access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.1 eq telnet int eth 1/0 ip access-group 101 in #Comando inseridos em Router1 que cria a lista dinâmica permitindo #30 minutos de accesso de PC1 para Router2 somente quando autenticado via telnet conf t access-list 101 dynamic testlist timeout 30 permit ip any host 192.168.2.2
- 10. Listas de acesso reflexivas permitem que os pacotes IP sejam filtrados com base em informações da camada superior, da sessão. Podem-se usar listas de acesso reflexivas para permitir o trafego IP para sessões originárias de dentro da rede, mas que negam o tráfego IP para sessões originárias de fora da rede.
- 11. O roteador analisa a saída dos dados e quando identifica uma nova conexão, adiciona uma entrada para ACL temporária permitindo respostas de volta ao host de origem As configurações são feitas geralmente na fronteira da rede interna com a externa - roteadores firewall.
- 12. ACLs reflexivas não funcionam com aplicações em que o número da porta usada mude durante a seção.
- 13. Tem uma enorme importância para a proteção contra invasores da rede Fornece um nível maior de segurança contra falsificação e ataques de negação e de serviços São simples de usar e, em comparação com ACLs básicas, fornecem maior controle sobre quais pacotes entram na rede.
- 15. ACL Reflexiva ------------- Router=Router modelo 3640 interfaces eth0/0 192.168.1.1/24 eth0/1 192.168.2.1/24 PC1=Router modelo 3640 simulando um PC interfaces eth0/0 192.168.1.2/24 defaut-gateway 192.168.1.1/24 PC2=Router modelo 3640 simulando um PC interfaces eth0/0 192.168.2.2/24 defaut-gateway 192.168.2.1/24 ----------------------------------------------------------------------------------------- #Comando inseridos em Router para que PC2 não possa se comunicar com algum host da rede conf t ip access-list extended INBOUND evaluate MIRROR ip access-list extended OUTBOUND permit tcp any any reflect MIRROR permit icmp any any reflect MIRROR deny ip any any log exit int eth 0/1 ip access-group INBOUND in ip access-group OUTBOUND out
- 16. As ACLs baseadas em tempo tem como característica um controle de acesso baseada na hora ou dia da semana. Sua função e parecida com ACLs estendidas. Ela funciona na criação de um intervalo de tempo, em que o administrador pode selecionar o horário ou dia da semana em que os usuários possam ou não acessar determinado pacote
- 17. Rede com maior controle sobre os tráfegos, onde o administrador permite ou nega acesso a determinadas informações. A ACL pode permitir tráfegos em determinados horário do dias, mas não constantemente.
- 18. Bloquear o acesso a internet em determinado horário ou permitir o acesso apenas para um determinado servidor durante o horário de trabalho.
- 20. ACL Time Based --------------- PC1=Router modelo 3640 simulando um PC interfaces eth0/0 192.168.1.2/24 defaut-gateway 192.168.1.1/24 Router=Router modelo 3640 interfaces eth0/0 192.168.1.1/24 ---------------------------------------------- #Comandos para inserir um time-range no Router #e permitir acesso telnet somente das 0:00 às 6:00 ao PC1 conf t time-range TR_TELNET periodic daily 0:00 to 6:00 exit access-list 101 permit tcp host 192.168.1.2 host 192.168.1.1 eq telnet time-range TR_TELNET int eth 0/0 ip access group 101 in