Access Control List (ACL) SSH e NAT

Access Control List (ACL)

&

SSH e NAT

Sumário



ACL Padrão



ACL Estendida



NAT Estático, Dinâmico e PAT

Segurança em redes



Proteger os sistemas, equipamentos e

arquivos de agentes externos e internos.



Com técnicas de segurança busca-se:

◦

Confidencialidade, Integridade , autenticação e

Disponibilidade.



Os roteadores de borda - maior segurança.

Perímetros de Segurança

LAN 1

192.168.2.0

Router 1 (R1)

Internet

LAN 1

R1

Internet

Firewall

LAN 1

R1

Internet

Firewall

R2

DMZ

Abordagem com DMZ.

Abordagem com único roteador.

Boas práticas



Portas não utilizadas desligadas (default Cisco);



Desabilitar o CDP (Cisco Discovery Protocol),

HTTP e DHCP Server em roteadores de borda.



Não utilizar senhas fáceis para acesso remoto,

console e enable.



Usar preferencialmente SSH em detrimento ao

Telnet.

Introdução a Listas de Acesso

•

O uso de ACLs tornam o roteador um firewall?

•

As finalidades das ACLs são diversas:

–

Restringir o acesso via telnet;

–

Criação de NATs;

–

Restringir quais rotas podem ser divulgadas;

–

Proteger dispositivos de acessos não autorizados.

Funcionamento da ACL

•

Tipos de listas de Acesso:

–

Padrão (numerada ou nomeada);

–

Estendida (numerada ou nomeada).

•

Podem ser aplicadas:

–

Lista de Acesso Entrante (Inbound);

–

Lista de Acesso Sainte (Outbound).

Funcionamento Listas de Acesso

•

Pode-se ter apenas uma (

01

) lista de acesso

por interface ou protocolo na mesma direção;

•

E se as listas forem aplicadas em sentidos

diferentes?

Ao criar a ACL 20 no mesmo sentido,

o roteador sobrescreverá a ACL 10.

interface FastEthernet0/0

ip access-group 10 in

ip access-group 10 out

Funcionamento Listas de Acesso



Inspeção é

top/down

–

inicia na linha 1 e segue

até a última.



A inspeção é realizada até que ocorra um

“

match

”, ou seja, algum pacote se enquadre em

alguma restrição ou liberação feita pela ACL.



Ao final de cada lista de acesso existe uma

negação

“

deny any

” implícita

.

Funcionamento Listas de Acesso



As regras mais específicas devem constar nas

primeiras linhas da ACL e as mais genéricas

devem constar mais abaixo.



Exemplo:

Lista de acesso:

1 deny 10.0.0.0

2 permit 10.10.10.10

3

deny any (implícita)

Funcionamento Listas de Acesso

•

Não pode-se remover apenas um linha de

uma lista de acesso do tipo numerada. Ao

tentar se deletar uma linha toda a lista será

deletada.

•

Para que as listas de acesso tenham efeito as

mesmas devem ser

aplicadas às interfaces

.

DICA:

1. Copiar a lista de acesso para um editor de texto e editá-lo externamente.

2. Posteriormente deve-se apagar a anterior e colar a lista nova.

Tipos de ACL

Padrão

Estendida

Tipos de ACL

•

As ACLs numeradas seguem um padrão:

Tipo

Intervalo

ACL Padrão

1 a 99

ACL Estendida

100 a 199

ACL Padrão (range adicional)

1300 a 1999

ACL Estendida (range adicional) 2000 a 2699

Elementos de uma ACL

Prof. Marcos Antonio Alves Gondim 15

Elementos de uma ACL

•

Representação de endereços de origem e

destino:

Todos os

endereços

any

Apenas um

endereço IP

host 10.1.1.1

ou

10.1.1.1 255.255.255.255

Wildcard mask

•

Deve-se inverter os bits, onde zero vira um e

um vira zero.

•

Exemplos

–

mask 255.255.255.0 → wildcard 0.0.0.255

–

mask 255.255.0.0 → wildcard 0.0.255.255

–

mask 255.0.0.0 → wildcard 0.255.255.255

–

mask 255.255.240.0 → wildcard 0.0.15.255

255 - 240 = 15

DICA:

Quando a máscara tiver

um octeto diferente de

255 fazer a subtração

para achar o wildcard.

Elementos de uma ACL

•

EXEMPLOS DE ALGUNS PROTOCOLOS/PORTA:

udp

tcp

ACL PADRÃO

ACL Padrão

ACL PADRÃO

NUMERADA

ACL PADRÃO NUMERADA

Listas de Acesso Padrão Numerada

•

As listas de acesso padrão devem estar o mais

próximo do destino.

•

ACL padrão é baseada na análise do IP de

origem.

Sintaxe ACL Padrão Numerada

Prof. Marcos Antonio Alves Gondim 23

ACL:

(config)#access-list [1-99][permit/deny/remark][any/IP/rede]

Aplicar a interface:

(config)#interface [nome da interface]

(config-if)#ip access-group [nº] [in/out]

Aplicar a vty:

(config)# line vty 0 4

Router(config)#access-list 1 remark Acesso a rede Datacenter

Router(config)#access-list 1 permit 192.168.10.1

Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255

Router(config)#access-list 1 permit any

ou

Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255

DICA: Outro formato possível para

any

.

ACL PADRÃO NOMEADA

Sintaxe ACL Padrão Nomeada

Router(config)#ip access-list standard [nome]

Router(config-std-nacl)#[permit/deny] [any/IP/rede]

Aplicar a interface:

(config)#interface [nome da interface]

Router(config)#ip access-list standard Acesso_Datacenter

Router(config-std-nacl)#remark Permite acesso ao Datacenter

Router(config-std-nacl)#permit 192.168.10.1

Router(config-std-nacl)#deny 192.168.10.0 0.0.0.255

Router(config-std-nacl)#permit any

Exemplos ACL Padrão Numerada

Listas de Acesso Estendidas

•

Podem ser aplicadas tanto próximo ao destino

quanto próximo a origem, dependendo do

efeito que se desejar.

•

Porém em regra geral devem ser aplicadas o

mais próximo da origem.

•

Permite realizar o acesso ou bloqueio pelo IP

de origem/destino, porta e protocolo.

Sintaxe ACL Estendida Numerada

Prof. Marcos Antonio Alves Gondim 31

(config)# access-list [100-199] [permit/deny/remark] [protocolo]

[any/IP/rede origem] [any/IP/rede destino] [eq/gt/lt/range]

[porta]

Aplicar a interface:

(config)#interface [nome da interface]

(config-if)#ip access-group [nº] [in/out]

Aplicar a vty:

(config)# line vty 0 4

ACL Estendida Numerada

access-list 100 remark Acesso a rede Datacenter

access-list 100 permit

tcp

host 192.168.10.1

10.0.0.1 0.255.255.255

eq 80

access-list 100 permit

tcp

host 192.168.10.1

10.0.0.1 0.255.255.255

eq 80

access-list 100 deny

udp

192.168.10.10 0.0.0.0 any

eq 443

access-list 100 permit

ip

any

any

(permite tudo)

origem

destino

ACL ESTENDIDA NOMEADA

Sintaxe ACL Estendida Nomeada

(config)#ip access-list extended [Nome]

!

(config-ext-nacl)#[permit/deny][protocolo][any/IP/rede origem]

[any/IP/rede destino][protocolo]

Aplicar a interface:

(config)#interface [Nome]

Ficha de exercício!

Exercício A: ACL Padrão

Numerada



Em qual roteador/interface/sentido deve-se implementar uma ACL para

bloquear o acesso da máquina 192.168.100.1 a máquina 192.168.200.1?

A referência é o roteador

por isso a ACL é sainte.

Por ser padrão, a ACL é o mais

próximo do destino.

access-list 10 deny

192.168.100.1

access-list 10 permit any

deny any (implícito)

interface fasteth 0/0

ip access-group 10

out

Continuação Exercício A.

•

E se colocássemos a ACL o mais próximo da origem?

Todos os acesso seriam

bloqueados inclusive a

Internet.

access-list 10 deny 192.168.100.1

access-list 10 permit any

deny any (implícito)

interface fasteth 0/0

ip access-group 10 in

in

Exercício B: ACL Padrão

Numerada

•

Exemplo de ACL aplicada ao telnet:

Router_B(config)# access-list 50 permit 192.168.10.1

!

Router_B(config)# line vty 0 4

Exercício C: ACL Padrão

Numerada

access-list 10 deny 172.16.30.5

access-list 10 permit any

interface eth 0

ip access-group 10

out

interface eth 2

ip access-group 10

out

Em qual interface/sentido deve-se implementar ACL(s) para bloquear o acesso

da máquina de MARKETING ao servidor de FINANÇAS e a máquina de

VENDAS?

Exercício D: ACL Padrão

Nomeada

ip access-list standard Aula

permit 172.16.40.5

permit any

interface eth 0

ip access-group Aula

out

interface serial 0

ip access-group Aula

out

Exercício E: ACL Estendida

Numerada

access-list 100 deny tcp host 172.16.40.5 host 172.16.10.5 eq 80

access-list 100 permit any any

interface eth 2

ip access-group 100

in

Como realizar o bloqueio

da máquina de

Vendas

ao

servidor de

Finanças

na

porta

80

?

Exercício F: Estendida

Nomeada

router(config)# ip access-list extended Bloquear_Telnet

router(config-ext-nacl)# deny tcp any any eq telnet

router(config-ext-nacl)# permit ip any any

!

router(config)# int f0/0

ULTRA Exercício!

Objetivo:

Criar lista de acesso que:

1. Permita que apenas IPs PARES tenham acesso ao servidor na porta 80.

2. Permita que apenas IPs ÍMPARES tenham acesso ao servidor na porta 53.

3. Todos os IPs devem acessar a impressora.

4. Negar demais acessos.

Network Address Translation

(NAT)

Network Address Tranlation (NAT)

•

Justificativas para o surgimento do NAT:

–

O número limitado de endereços IPv4.

–

Implementar segurança.

Network Address Tranlation (NAT)

•

Cenários onde o NAT pode ser usado:

1.

Permitir usuários internos acessar a Internet;

2.

Permitir acesso a usuários internos a partir da Internet.

3.

Realizar mudanças de endereçamento de forma transparente para o

usuário.

4.

Permitir a comunicação entre redes com endereços sobrepostos.

5.

Redirecionamento de porta TCP.

Tipos de NAT

ESTÁTICO

DINÂMICO

NOMENCLATURA CISCO

INSIDE / OUTSIDE

Prof. Marcos Antonio Alves Gondim 49

inside local : endereços IPs privados

NAT Estático

•

Mapeamento um-a-um.

Prof. Marcos Antonio Alves Gondim 51

Endereço inside local Endereço inside global

10.1.1.1

200.1.1.1

10.1.1.2

200.1.1.2

Sintaxe NAT Estático

interface [nome da interface]

ip nat inside

!

interface [nome da interface]

ip nat outside

!

Exemplo NAT Estático

Prof. Marcos Antonio Alves Gondim 53

interface Ethernet 0/0

ip nat inside

!

interface Serial 0/0

ip nat outside

!

ip nat inside source static 10.1.1.1 200.1.1.1

ip nat inside source static 10.1.1.2 200.1.1.2

NAT Dinâmico

•

É utilizado para fazer o NAT de vários IPs de

origem para vários IPs de destino, um a um.

•

Gerenciamento mais simples das traduções.

•

Deve existir uma proporção entre IPs privados

e Públicos.

Sintaxe NAT Dinâmico

interface [nome da interface]

ip nat inside

!

interface [nome da interface]

ip nat outside

!

ip nat pool

[Nome] [range IPs públicos]

netmask [mask]

!

access-list

[nº]

[permit/deny]

[IP/rede privados]

Prof. Marcos Antonio Alves Gondim 57

interface Ethernet 0/0

ip nat inside

!

interface Serial 0/0

ip nat outside

!

ip nat pool

Teste

200.1.1.1 200.1.1.2 netmask 255.255.255.252

!

access-list

1

permit 10.1.1.0 0.0.0.3

!

ip nat inside source

list 1

pool Teste

NAT Overloading

•

É utilizado para fazer o NAT de vários IPs

privados

para poucos, ou apenas 01, IP

público

.

•

Faz não somente a tradução de endereços

como a tradução das portas.

Prof. Marcos Antonio Alves Gondim

Sintaxe NAT Dinâmico

interface [nome da interface]

ip nat inside

!

interface [nome da interface]

ip nat outside

!

ip nat pool

[Nome] [range IPs públicos]

netmask [mask]

!

access-list

[nº]

[permit/deny]

[IP/rede privados]

Prof. Marcos Antonio Alves Gondim 61

interface Ethernet 0/0

ip nat inside

!

interface Serial 0/0

ip nat outside

!

ip nat pool

Teste

200.1.1.1 200.1.1.2 netmask 255.255.255.252

!

access-list

1

permit 10.1.1.0 0.0.0.3

!

ip nat inside source

list 1

pool Teste

overload

Um associado da rede está configurando um router para a empresa NETSIM para fornecer acesso à Internet. O ISP proveu para a empresa NETSIM 6endereços IP’s públicos (198.18.184.105 a 198.18.184.110).

A empresa tem 14 hosts que precisam acessar a Internet simultaneamente.

Os hosts da LAN foram configurados com os endereços privados na faixa de 192.168.100.17 a 192.168.100.30.

No cenário já está configurado:

•Configurações básicas do roteador;

•Rotas estáticas;

•Senhas: cisco. Tarefa:

•Configura o hostname Weaver;

Ficha de exercício!

Router(config)#hostname Weaver !

Weaver(config)#ip nat pool marcos 198.18.184.105 198.18.184.110 netmask 255.255.255.248 Weaver(config)#access-list 1 permit 192.168.100.16 0.0.0.15

Weaver(config)#ip nat inside source list 1 pool marcos overload !

Weaver(config)#interface fa0/0 Weaver(config-if)#ip nat inside !

Weaver(config)#interface s0/0 Weaver(config-if)#ip nat outside !

Secure Shell (SSH)

SSH



É um protocolo que provê acesso remoto seguro

a equipamentos de rede.



O SSH tem as versões

v1

e

v2

, onde a

v2

se

destaca por ter algoritmos de criptografia mais

robustos e utilizar chaves a partir de

₇₆₈

bits.



No caso de equipamentos Cisco deve-se observar

se há ou não suporte de SSH na versão utilizada

do IOS.

SSH

•

Pré-requisitos:

–

Hostnames diferentes para cada roteador;

–

Configurar Domínio;

–

IOS que suporte SSH (12.1(1)T ou superior).

Gerando a Chave SSH

Conectando via SSH

-v: versão

-l: login