Laboratório b Listas de acesso estendidas para DMZ simples

Transcrição

1 Laboratório b Listas de acesso estendidas para DMZ simples Objetivo Situação Neste laboratório, será explorado o uso de listas de acesso estendidas para criação de uma Zona Desmilitarizada (DMZ). A BMTC é uma pequena empresa de fabricação localizada em Gadsden. Ela decidiu promover seus produtos pela internet. Para isso, a primeira exigência é divulgar os produtos para clientes CCNA 2: Roteadores e Roteamento, Conc. Básicos v Laboratório b Copyright 2003, Cisco Systems, Inc.

2 potenciais, distribuindo resumos, relatórios e depoimentos sobre seus produtos. As exigências futuras seriam serviços de , FTP, DNS e comércio eletrônico on-line. Eles contrataram você para desenvolver e configurar uma infra-estrutura segura para atender às exigências de rede internas e externas sem afetar a responsabilidade fiscal, ou seja, "faça uma rede segura, mas mantendo os custos baixos. Após uma análise cuidadosa, foi proposta a criação de uma arquitetura de segurança com duas camadas, consistindo em uma zona de rede corporativa e uma DMZ. A zona de rede corporativa comportaria servidores privados e clientes internos. A DMZ comportaria apenas um servidor externo, que forneceria serviços de W eb. Apesar de o uso de apenas um servidor criar um único ponto de falha, o serviço é somente informacional, não sendo considerado crítico. Eles gostaram da proposta e assinaram um contrato para dar prosseguimento. Etapa 1 Configurações básicas do roteador e do host a. Interconecte os roteadores e hosts conforme mostra o diagrama. Configure as informações básicas, como nome do host, interfaces de roteador e protocolos de roteamento. Consulte o diagrama e as tabelas como referência. As configurações de cada roteador devem ser similares a: GAD#show running-config <Output Omitted> hostname GAD interface FastEthernet0 ip address interface Serial0 ip address interface FastEthernet1 ip address router rip network network GAD# ISP#show running-config <Output Omitted> hostname ISP interface FastEthernet0 ip address interface Serial0 ip address router rip network ISP# b. Configure os hosts com as informações adequadas, de acordo com o que já foi definido CCNA 2: Roteadores e Roteamento, Conc. Básicos v Laboratório b Copyright 2003, Cisco Systems, Inc.

3 c. Para que o laboratório seja mais realista, o software do servidor de web deve ser instalado no servidor host. Alguns exemplos são Microsoft IIS e Microsoft Personal Web Server (Windows 98). Também é possível usar outros softwares, como o TinyWeb Server (http: / Caso o TinyWeb Server seja usado, é recomendável instalar também o TinyBox (http: /people.freenet.de/ralph.becker/tinybox/), que é o front-end de interface com o usuário do TinyWeb Server. Não se esqueça de criar uma página padrão index.html. A página da web deve incluir uma mensagem como Olá, Mundo. Salve a página de acordo com as instruções do software do servidor de web. d. Antes de aplicar qualquer tipo de lista de acesso, é importante verificar o acesso entre os sistemas. [ ]Para isso, use o comando ping em cada sistema para todos os sistemas e roteadores. Todos os hosts devem ser capazes de acessar os outros pelo comando ping. Pode ser necessário aplicar a solução de problemas caso o ping não funcione com algumas interfaces. Sempre verifique as conexões das camadas físicas, já que elas costumam apresentar mais problemas de conectividade. Em seguida, verifique as interfaces dos roteadores. Verifique se eles não estão desligados, se não foram configurados incorretamente e se o RIP foi configurado adequadamente. Por fim, lembre-se de que além dos endereços IP válidos, os hosts devem ter gateways padrão especificados. e. No host A, abra um navegador, como o Windows Explorer ou o Netscape Navigator, e digite o endereço do servidor de web no campo correspondente. [ ]Verifique o acesso de cada host ao servidor de web. O host A exibe a página index.html? O host B exibe a página index.html? Ambos os hosts devem conseguir exibir a página index.html no navegador. Solucione o problema, conforme o necessário. f. Agora que a infra-estrutura já está instalada, passaremos à etapa de segurança de internetwork. Etapa 2 Proteger a rede corporativa a. A zona da rede corporativa comporta servidores privados e clientes internos. Nenhuma outra rede deve ter acesso a ela. b. Configure uma lista de acesso estendida para proteger a rede corporativa. A proteção começa pela especificação do tráfego autorizado a sair da rede. Apesar de parecer estranho inicialmente, isso fica mais claro quando se sabe que a maioria dos hackers é formada por empregados internos. A primeira lista de acesso especifica que redes têm acesso externo. GAD#conf terminal Digite os comandos de configuração, um por linha. Conclua com CNTL/Z. GAD(config)#access-list 101 permit ip any GAD(config)#access-list CCNA 2: Roteadores e Roteamento, Conc. Básicos v Laboratório b Copyright 2003, Cisco Systems, Inc.

4 A primeira linha define que a lista de acesso 101 autorizará somente usuários válidos da empresa na rede a passarem pelo roteador. A segunda linha é dispensável, já que o comando "deny all" (negar todos) está implícito, mas ela foi adicionada para fins de leitura. c. Agora é preciso aplicar a lista de acesso à interface da rede corporativa. GAD(config)#interface fa1 GAD(config-if)#ip access-group 101 in d. Agora é preciso testar as listas de acesso. Todos os hosts devem ser capazes de acessar qualquer local pelo comando ping. e. Em seguida, configure uma lista de acesso estendida de saída na interface da rede corporativa. O tráfego de entrada da rede será originado da internet ou da DMZ. Por isso, o tráfego autorizado a entrar na empresa deve ser limitado. f. A primeira questão a ser abordada é verificar se somente o tráfego originado pela rede corporativa está autorizado a retornar a ela. GAD(config)#access-list 102 permit tcp any any established A palavra-chave established nesta linha permite somente tráfego TCP originado na rede g. Para facilitar o gerenciamento e a solução de problemas de rede, também se decidiu permitir a entrada de ICMP na rede. Isso fará com que os hosts internos possam receber mensagens ICMP (mensagens ping, por exemplo). GAD(config)#access-list 102 permit icmp any any echo-reply GAD(config)#access-list 102 permit icmp any any unreachable A primeira linha permite somente que comandos ping bem sucedidos retornem à rede corporativa. A segunda linha permite que mensagens de comandos ping malsucedidos sejam exibidas. h. Neste ponto, não há interesse em nenhum outro tráfego na rede corporativa. Por isso, digite: GAD(config)#access-list 102 i. Por fim, a lista de acesso precisa ser aplicada à porta FastEthernet da rede corporativa. GAD(config)#interface fa 1 GAD(config-if)#ip access-group 102 out CCNA 2: Roteadores e Roteamento, Conc. Básicos v Laboratório b Copyright 2003, Cisco Systems, Inc.

5 j. Lembre-se de que a interface pode suportar uma lista de acesso de entrada e uma de saída. Para verificar isto, use o comando show interface fa1. A saída do comando deverá confirmar que a lista de acesso de saída é a 102 e que a lista de acesso de entrada é a 101. k. Use o comando show access-lists para verificar a sintaxe das listas. A saída deve ser: GAD#show access-lists extended IP access list 101 permit ip any Extended IP access list 102 permit tcp any any established permit icmp any any echo-reply permit icmp any any unreachable As listas de acesso podem ter que ser excluídas e inseridas novamente, caso haja discrepâncias entre a saída anterior e a configuração. l. Agora, as listas de acesso devem ser testadas. O host A deve ser capaz de acessar qualquer local pelo comando ping. No entanto, nenhum outro host poderá ter acesso ao Host A utilizando o comando ping. m. No host A, abra um navegador, como o Windows Explorer ou o Netscape Navigator, e digite o endereço do servidor de web no campo correspondente. [ ] Verifique se o host A continua tendo acesso ao servidor de web. O host A exibe a página index.html? n. O host A deve continuar conseguindo exibir a página index.html no navegador. Solucione o problema, conforme o necessário. o. A rede corporativa interna agora está segura. A próxima etapa é garantir a segurança da rede DMZ. Etapa 3 Proteger a rede DMZ a. A DMZ comportará apenas um servidor externo, que fornecerá serviços de Web. Outros serviços, como , FTP e DNS, serão implementados futuramente. Apesar de o uso de apenas um servidor criar um único ponto de falha, o serviço é somente informacional, não sendo considerado crítico. b. Configure uma lista de acesso estendida para proteger a rede DMZ. Assim como foi feito para a rede corporativa, especifique qual tráfego pode sair da rede e aplique-o à interface. GAD#conf terminal Digite os comandos de configuração, um por linha. Conclua com CNTL/Z. GAD(config)#access-list 111 permit ip any CCNA 2: Roteadores e Roteamento, Conc. Básicos v Laboratório b Copyright 2003, Cisco Systems, Inc.

6 GAD(config)#access-list 111 GAD(config)#interface fa0 GAD(config-if)#ip access-group 111 in c. Agora, teste as listas de acesso. O host A deve ser capaz de acessar qualquer local pelo comando ping. No entanto, nenhum host externo poderá ter acesso ao Host A utilizando o comando ping. d. Em seguida, é preciso determinar uma lista de acesso estendida de saída para especificar qual tráfego pode entrar na rede DMZ. O tráfego de entrada da rede DMZ será originado da internet ou da rede corporativa que demanda serviços de Web. e. Configure uma lista de acesso estendida de saída para especificar as solicitações de Web com autorização para entrar na rede. GAD(config)#access-list 112 permit tcp any host eq www Esta linha irá permitir a entrada de serviços destinados ao servidor de Web na rede DMZ. Que comando deve ser digitado para permitir a entrada de solicitações DNS na rede DMZ? Que comando deve ser digitado para permitir a entrada de solicitações de na rede DMZ? Que comando deve ser digitado para permitir a entrada de solicitações de FTP na rede DMZ? f. Para fins de gerenciamento, pode ser útil autorizar os usuários corporativos a usar o comando ping com o servidor de Web. No entanto, os usuários de internet não devem ter esse privilégio. Acrescente uma linha à lista de acesso, para permitir que somente os usuários corporativos ICMP acessem a rede DMZ. GAD(config)#access-list 112 permit icmp host Esta linha autoriza somente hosts da rede corporativa a usar o comando ping com o servidor de Web. Apesar de a configuração poder ser mais restritiva em relação às opções ICMP, isso não é visto como necessário. g. Outros serviços podem vir a ter acesso autorizado à rede DMZ. No entanto, neste ponto, não há interesse em nenhum outro tráfego na rede DMZ. Por isso, digite: GAD(config)#access-list CCNA 2: Roteadores e Roteamento, Conc. Básicos v Laboratório b Copyright 2003, Cisco Systems, Inc.

7 h. Aplique a lista de acesso de saída à porta FastEthernet da rede DMZ. GAD(config)#interface fa 0 GAD(config-if)#ip access-group 112 out i. Use o comando show-access-lists para verificar a sintaxe das listas. A saída deve ser: GAD#show access-lists Extended IP access list 101 permit ip any (70 matches) Extended IP access list 102 permit tcp any any established (8 matches) permit icmp any any echo-reply (12 matches) permit icmp any any unreachable (4 matches) Extended IP access list 111 permit ip any (59 matches) Extended IP access list 112 permit tcp any host eq www (29 matches) permit icmp host (4 matches) (14 matches) As listas de acesso podem ter que ser excluídas e inseridas novamente, caso haja discrepâncias entre a saída anterior e a configuração. j. As listas devem ser testadas. k. Somente o host A deve ser capaz de acessar qualquer local pelo comando ping. Em cada host, abra um navegador, como o Windows Explorer ou o Netscape Navigator, e digite o endereço do servidor de web no campo correspondente. [ ] Verifique se os hosts continuam tendo acesso ao servidor de web. O host A exibe a página index.html? O host B exibe a página index.html? Ambos os hosts devem conseguir exibir a página index.html no navegador. Solucione o problema, conforme o necessário. l. A rede DMZ agora está segura. Em seguida, é preciso configurar a interface externa, para impedir práticas de spoofing e de hackers. Etapa 4 Impedir spoofing a. As redes estão cada vez mais vulneráveis a ataques de usuários externos. Hackers, crackers e script kiddies são termos usados para descrever vários indivíduos que tentam, de forma mal - intencionada, invadir redes ou impossibilitá-las de responder a solicitações legítimas (ataques de negação de serviço - DoS). Isso representa um problema para os usuários da internet CCNA 2: Roteadores e Roteamento, Conc. Básicos v Laboratório b Copyright 2003, Cisco Systems, Inc.

8 b. As práticas desses hackers são bastante conhecidas. Um método comum é tentar forjar endereços IP válidos de origem interna. Essa prática é normalmente conhecida como spoofing. c. Para impedir o spoofing, decidiu-se configurar uma lista de acesso que dificulta o spoofing de hosts de internet em endereços de rede internos. Três endereços IP de origem que os hackers tentam forjar são endereços internos válidos (ex.: ), endereços de loopback (ex.:127.x.x.x) e endereços multicast (ex.: 224.x.x.x 239.x.x.x). d. Configure uma lista de acesso de entrada para dificultar o spoofing de endereços internos por usuários externos e aplique-a à interface serial 0. GAD(config)#access-list 121 deny ip any GAD(config)#access-list 121 deny ip any GAD(config)#access-list 121 deny ip any GAD(config)#access-list 121 permit ip any any GAD(config)#interface serial 0 GAD(config-if)#ip access-group 121 in A primeira linha impedirá que usuários externos forjem um endereço IP de origem válido. A segunda linha impedirá o uso da faixa de endereços de loopback. A terceira linha impedirá que hackers usem a faixa de endereços multicast (ex.: ) para criar tráfego interno desnecessário. e. Use o comando show-access-lists para verificar a sintaxe das listas. A saída deve ser: GAD#show access-lists GAD#show access-lists Extended IP access list 101 permit ip any (168 matches) Extended IP access list 102 permit tcp any any established (24 matches) permit icmp any any echo-reply (28 matches) permit icmp any any unreachable (12 matches) Extended IP access list 111 permit ip any (122 matches) Extended IP access list 112 permit tcp any host eq www (69 matches) permit icmp host (12 matches) (22 matches) Extended IP access list 121 deny ip any deny ip any deny ip any permit ip any any (47 matches) As listas de acesso podem ter que ser excluídas e inseridas novamente, caso haja discrepâncias entre a saída anterior e a configuração. f. Por fim, teste se ainda há conectividade CCNA 2: Roteadores e Roteamento, Conc. Básicos v Laboratório b Copyright 2003, Cisco Systems, Inc.

9 Somente o host A deve ser capaz de acessar qualquer local pelo comando ping. g. Em cada host, abra um navegador, como o Windows Explorer ou o Netscape Navigator, e digite o endereço do servidor de web no campo correspondente. [ ] Verifique se os hosts continuam tendo acesso ao servidor de web. O host A exibe a página index.html? O host B exibe a página index.html? Ambos os hosts devem conseguir exibir a página index.html no navegador. Solucione o problema, conforme o necessário. h. A rede BMTC agora está segura. Observação: Esse laboratório é uma solução básica, que contribui para a segurança da rede. Ele não pretende, de forma alguma, ser uma solução completa. Para garantir a devida proteção das redes da empresa, devem ser implementados dispositivos específicos, como o Cisco PIX. Da mesma forma, recursos avançados, como a tradução de endereços de rede (NAT) e opções de listas de acesso avançadas como listas reflexivas e listas baseadas no conteúdo (CBAC) são fortemente recomendadas e estão fora do escopo da certificação CCNA. Por fim, é recomendável que os administradores de rede mantenham uma relação estreita com os provedores, para obterem ajuda quando a segurança da rede estiver comprometida. Etapa 5 Documentar a ACL a. A documentação deve ser criada como parte do gerenciamento de rede como um todo. Use o arquivo de texto criado na configuração e acrescente comentários. Esse arquivo também deve conter a saída dos comandos show access-list eshow ip interface. b. O arquivo deve ser salvo com outros documentos da rede. Ele deve ser nomeado de acordo com a função e a data de implementação. c. Após a conclusão, apague a configuração de inicialização dos roteadores, remova e guarde os cabos e o adaptador. Faça logoff e desligue o roteador CCNA 2: Roteadores e Roteamento, Conc. Básicos v Laboratório b Copyright 2003, Cisco Systems, Inc.