Configurando as Listas de Acesso IP

Transcrição

1 Configurando as Listas de Acesso IP Índice Introdução Pré-requisitos Requisitos Componentes Usados Convenções Conceitos de ACL Máscaras Sumarização sobre ACL ACLs de Processo Definir Portas e Tipos de Mensagem Aplicar ACLs Definir In, Out, Source e Destination Editar ACLs Solução de Problemas Tipos de ACLs de IP Diagrama de rede ACLs Padrão ACLs Estendidas Lock and Key (ACLs Dinâmicas) ACLs Nomeadas de IP ACLs Reflexivas ACLs Baseadas no Período Utilizando Intervalos de Tempo Entradas de ACL IP Comentadas Controle de Acesso Baseado em Contexto Proxy de Autenticação ACLs Turbo ACLs Distribuídas Baseadas no Período ACLs Recebidas ACLs de Proteção de Infra-Estrutura ACLs de Trânsito Informações Relacionadas Introdução Este documento explica como as listas de controle de acesso (ACLs) do IP filtram o tráfego da rede. Também contém descrições breves dos tipos ACL IP, disponibilidade de recurso e um exemplo de uso em uma rede. Acesse a ferramenta Software Advisor (clientes registrados somente) para determinar o suporte de alguns recursos mais avançados da ACL de IP do Cisco IOS. RFC 1700 contém números atribuídos de portas bem conhecidas. RFC 1918 contém alocação de endereço para Internet privada, endereços IP que normalmente não deveriam ser vistos na Internet. Observação: As ACLs também podem ser utilizadas para outros fins além de filtrar tráfego IP; por exemplo, para definir o tráfego para Network Address Translate (NAT) ou criptografia ou para filtrar protocolos não-ip como AppleTalk ou IPX. Uma discussão sobre essas funções está fora do escopo deste documento. Pré-requisitos Requisitos Não existem pré-requisitos específicos para este documento. Os conceitos discutidos estão presentes em Cisco IOS Software Releases 8.3 ou posterior. Isso é observado em cada recurso de lista de acesso. Componentes Usados

2 Este documento aborda vários tipos de ACLs. Alguns estão presentes desde o Cisco IOS Software Release 8.3 e outros foram introduzidos em versões posteriores. Isso é observado na discussão de cada tipo. As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos. Convenções Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos. Conceitos de ACL Esta seção descreve os conceitos de ACL. Máscaras As máscaras são usadas com os endereços IP nos ACLs de IP para especificar o que deve ser permitido e recusado. As máscaras para a configuração de endereços IP em interfaces começam com 255 e apresentam os valores maiores à esquerda, por exemplo, endereço IP com a máscara As máscaras para ACLs de IP são o inverso, por exemplo, máscara Às vezes, essas máscaras são chamadas de máscaras inversas ou máscaras curinga. Quando o valor da máscara é dividido em binário (0s e 1s), os resultados determinam quais bits do endereço devem ser considerados no processamento do tráfego. Zero (0) indica que os bits do endereço devem ser considerados (correspondência exata) e um (1) significa "não leve em consideração". Esta tabela explica melhor o conceito. Exemplo de máscara endereço de rede (tráfego que deve ser processado) máscara endereço de rede (binário) máscara (binária) Com base na máscara binária, você pode ver que os primeiros três conjuntos (octetos) devem corresponder exatamente ao endereço binário de rede dado ( ). O último conjunto de números "não é levado em consideração" ( ). Portanto, todo tráfego que começa com correspondentes de desde o último octeto significa "não leve em consideração". Dessa forma, com essa máscara, os endereços de rede entre e ( x) são processados. Subtraia a máscara normal de para determinar a máscara inversa ACL. Neste exemplo, a máscara inversa é determinada para o endereço de rede com uma máscara normal de (máscara normal) = (máscara inversa) Observe estes equivalentes de ACL. A origem/o caractere geral de origem de / significa qualquer um. A origem/caractere-curinga de / é o mesmo que "host ". Sumarização sobre ACL Observação: Máscaras de sub-rede também podem ser representadas por uma notação de comprimento fixo. Por exemplo, /24 representa Essa lista descreve como sumarizar uma série de redes em uma rede única para otimização da ACL. Considere estas redes / / / / /24

3 / / /24 Os dois primeiros octetos e o último octeto são os mesmos para cada rede. Esta tabela é uma explicação de como sumarizá-los em uma única rede. O terceiro octeto para as redes anteriores podem ser escritos como vistos nesta tabela, de acordo com a posição do bit do octeto e o valor do endereço para cada bit. Decimal M M M M M D D D Como os cinco primeiros bits correspondem, as oito redes anteriores podem ser sumarizadas em uma rede ( /21 ou ). Todas as oito combinações possíveis dos três bits de ordem inferior são relevantes para a série de redes em questão. Esse comando define uma ACL que permite essa rede. Se você subtrair (máscara normal) de , resulta em access-list acl_permit permit ip Considere esse conjunto de redes para obter mais explicação / / / /24 Os dois primeiros octetos e o último octeto são os mesmos para cada rede. Esta tabela é uma explicação de como sumarizá-los. O terceiro octeto para as redes anteriores podem ser escritos como vistos nesta tabela, de acordo com a posição do bit do octeto e o valor do endereço para cada bit. Decimal

4 M M M M M??? Diferente do exemplo anterior, você não pode sumarizar essas redes em uma rede única. É necessário um mínimo de duas redes. As redes anteriores podem ser sumarizadas nestas duas redes: Para redes x e x, todos os bits correspondem, exceto o último, que é um "não leve em consideração". Esse bit pode ser gravado como /23 (ou ). Para redes x e x, todos os bits correspondem, exceto o último, que é um "não leve em consideração". Esse bit pode ser gravado como /23 (ou ). Essa saída define uma ACL sumarizada das redes acima. access-list 10 permit ip access-list 10 permit ip ACLs de Processo O tráfego que chega ao roteador é comparado às entradas de ACL baseadas na ordem em que as entradas ocorrem no roteador. São adicionadas novas instruções no final da lista. O roteador continua a procurar até que tenha uma correspondência. Se nenhuma correspondência for encontrada quando o roteador atingir o final da lista, o tráfego será negado. Por esse motivo, deixe as entradas freqüentes no início da lista. Há uma negação implícita para tráfego que não é permitido. Uma ACL de entrada única com apenas uma entrada de negação tem o efeito de negar todo o tráfego. Você deve ter pelo menos uma instrução de permissão em uma ACL ou todo o tráfego será bloqueado. Essas duas ACLs (101 e 102) apresentam o mesmo efeito. access-list 101 permit ip access-list 102 permit ip access-list 102 deny ip any any Neste exemplo, a última entrada é suficiente. As três primeiras entradas não são necessárias porque o TCP inclui Telnet, e IP inclui TCP, User Datagram Protocol (UDP) e Internet Control Message Protocol (ICMP). access-list 101 permit tcp host host eq telnet access-list 101 permit tcp host host access-list 101 permit udp host host access-list 101 permit ip Definir Portas e Tipos de Mensagem Além de definir a origem e o destino de ACL, é possível definir as portas, os tipos de mensagem ICMP e outros parâmetros. Uma boa fonte de informações para portas bem conhecidas é o RFC Os tipos de mensagens ICMP estão explicados em RFC 792. O roteador pode exibir texto descritivo em algumas das portas bem conhecidas. Utilize um? para obter ajuda. access-list 102 permit tcp host host eq? bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514) Durante a configuração, o roteador também converte valores numéricos em valores mais amigáveis. Esse é um exemplo onde você digita o número de tipo da mensagem ICMP e ele faz o roteador converter o número em um nome. access-list 102 permit icmp host host torna-se

5 access-list 102 permit icmp host host timestamp-reply Aplicar ACLs Você pode definir ACLs sem aplicá-las. Mas, as ACLs não têm efeito até que sejam aplicadas à interface do roteador. Convém aplicar a ACL na interface o mais próximo possível da origem do tráfego. Conforme mostrado neste exemplo, quando você tenta bloquear tráfego da origem para o destino, pode aplicar uma ACL de entrada para E0 no roteador A em vez de uma lista de saída para E1 no roteador C. Definir In, Out, Source e Destination O roteador utiliza os termos "in", "out", "source" e "destination" (entrada, saída, origem e destino) como referências. O tráfego do roteador pode ser comparado ao tráfego de uma rodovia. Se você fosse um oficial de trânsito no Rio de Janeiro e quisesse parar um caminhão que viajava de São Paulo para o Espírito Santo, a origem do caminhão seria São Paulo e o destino, Espírito Santo. O bloqueio da estrada poderia ficar na fronteira entre o Rio de Janeiro e o Espírito Santo (out) ou na fronteira entre São Paulo e o Rio de Janeiro (in). Ao consultar um roteador, esses termos apresentam os significados a seguir. Out O tráfego já passou pelo roteador e saiu da interface. A origem é o local onde ele estava, no outro lado do roteador, e o destino é o local para onde ele vai. In O tráfego que chega na interface e, em seguida, passa pelo roteador. A origem é o local onde ele estava e o destino é o local para onde ele vai, do outro lado do roteador. A ACL de entrada (in) tem uma fonte em um segmento da interface para o qual é aplicado e um destino fora de todas as outras interfaces. A ACL de saída (out) tem origem em um segmento de qualquer interface diferente da interface na qual está aplicada e um destino fora da interface à qual é aplicada. Editar ACLs Ao editar uma ACL, você precisará ter muito cuidado. Por exemplo, quando você exclui uma linha específica de uma ACL numerada conforme mostrado aqui, a ACL toda é excluída. router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#access-list 101 deny icmp any any router(config)#access-list 101 permit ip any any router(config)#^z router#show access-list Extended IP access list 101 deny icmp any any permit ip any any router# *Mar 9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#no access-list 101 deny icmp any any router(config)#^z router#show access-list router# *Mar 9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by console Copie a configuração do roteador para um servidor de TFTP ou um editor de texto, como o Bloco de Notas, para editar ACLs numeradas. Em seguida, faça as alterações e copie a configuração de volta no roteador. Também é possível fazer isto. router#configure terminal Enter configuration commands, one per line. router(config)#ip access-list extended test router(config-ext-nacl)#permit ip host host router(config-ext-nacl)#permit tcp host host eq www router(config-ext-nacl)#permit icmp any any

6 router(config-ext-nacl)#permit udp host eq domain router(config-ext-nacl)#^z 1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l router#show access-list Extended IP access list test permit ip host host permit tcp host host eq www permit icmp any any permit udp host eq domain router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#ip access-list extended test!--- Entrada de ACL excluída router(config-ext-nacl)#no permit icmp any any!--- Entrada de ACL adicionada router(config-ext-nacl)#permit gre host host router(config-ext-nacl)#^z 1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l router#show access-list Extended IP access list test permit ip host host permit tcp host host eq www permit udp host eq domain permit gre host host Todas as exclusões são removidas da ACL e as inclusões são feitas no final da ACL. Solução de Problemas Como eu removo uma ACL de uma interface? Vá para o modo de configuração e digite no na frente do comando access-group, conforme mostrado neste exemplo, para remover uma ACL de uma interface. interface <interface> no ip access-group #in out O que eu faço quando muito tráfego é recusado? Se muito tráfego for recusado, estude a lógica de sua lista ou tente definir e aplicar uma lista adicional mais ampla. O comando show ip accesslists fornece uma contagem de pacotes que demonstra qual entrada de ACL é acessada. A palavra-chave log no final das entradas individuais da ACL mostram o número da ACL e se o pacote foi permitido ou recusado, além de informações específicas sobre a porta. Observação: A palavra-chave log-input existe no Cisco IOS Software Release 11.2 ou posterior, e em determinados softwares com base no Cisco IOS Software Release 11.1 criados especificamente para o mercado de provedor de serviço. Os softwares mais antigos não suportam essa palavra-chave. O uso dessa palavra-chave inclui a interface de entrada e o endereço MAC de origem, quando aplicável. Como depurar o nível do pacote que utiliza um roteador Cisco? Esse procedimento explica o processo de depuração. Antes de começar, certifique-se de que não haja ACLs aplicadas no momento, que exista uma ACL, e que o switching rápido não esteja habilitado. Observação: Tenha muito cuidado ao depurar um sistema com tráfego intenso. Você pode depurar o tráfego específico usando uma ACL. Mas, certifique-se do processo e do fluxo de tráfego. 1. Utilize o comando access-list para capturar os dados desejados. Neste exemplo, a captura de dados é definida para o endereço de destino de ou o endereço de origem de access-list 101 permit ip any host

7 access-list 101 permit ip host any 2. Desative o switching rápido nas interfaces envolvidas. Você vê o primeiro pacote somente se o switching rápido não estiver desabilitado. config interface no ip route-cache Utilize o comando terminal monitor no modo habilitado para exibir a saída do comando debug e as mensagens de erro do sistema do terminal ou sessão atual. Utilize o comando debug ip packet 101 ou debug ip packet 101 detail para começar o processo de depuração. Execute o comando no debug all no modo habilitado e o comando interface configuration para parar o processo de depuração. Reinicie o cache. ip route-cache config interface Tipos de ACLs de IP Esta seção do documento descreve os tipos de ACL. Diagrama de rede ACLs Padrão ACLs padrão são o tipo mais antigo de ACL. Elas existem desde antes do Cisco IOS Software Release 8.3. As ACLs padrão controlam o tráfego por meio da comparação do endereço de origem dos pacotes IP com os endereços configurados nas ACL. Essa é a forma da sintaxe do comando de uma ACL padrão. access-list access-list-number {permit deny} {host source source-wildcard any} Em todas as versões de software, o access-list-number pode ser qualquer número entre 1 e 99. No Cisco IOS Software Release , as ACLs padrão começam a usar números adicionais (1300 a 1999). Esses números adicionais são chamados de ACLs de IP expandidas. O Cisco IOS Software Release 11.2 incluiu a capacidade de usar nome de lista em ACLs padrão. Uma configuração de curinga de origem/origem de / pode ser especificada como qualquer um. O caractere curinga poderá ser omitido se for zero. Portanto, o host corresponde ao host Depois de definida, a ACL deve ser aplicada à interface (entrada ou saída). Em versões anteriores do software, out era o padrão quando nenhuma palavra-chave out ou in era especificada. A direção deverá ser especificada em versões posteriores do software. interface <interface> ip access-group number {in out} Este é um exemplo do uso de uma ACL padrão para bloquear todo o tráfego, exceto aquele de origem x.

8 interface Ethernet0/0 ip address ip access-group 1 in access-list 1 permit ACLs Estendidas As ACLs estendidas foram introduzidas no Cisco IOS Software Release 8.3. As ACLs estendidas controlam o tráfego por meio da comparação dos endereços de origem e de destino dos pacotes IP com os endereços configurados na ACL. Essa é o formato da sintaxe do comando de ACLs estendidas. As linhas estão distribuídas aqui considerando o espaço. IP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log log-input] [time-range time-range-name] ICMP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} icmp source source-wildcard destination destination-wildcard [icmp-type [[icmp-type icmp-code] [icmp-message]] [precedence precedence] [tos tos] [log log-input] [time-range time-range-name] TCP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [precedence precedence] [tos tos] [log log-input] [time-range time-range-name] UDP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} udp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [precedence precedence] [tos tos] [log log-input] [time-range time-range-name] Em todas as versões de software, o access-list-number pode ser um número entre 101 e 199. No Cisco IOS Software Release , as ACLs estendidas começam a usar números adicionais (2000 a 2699). Esses números adicionais são referidos como ACLs de IP expandidas. O Cisco IOS Software Release 11.2 incluiu a capacidade de usar nome de lista em ACLs estendidas. O valor / pode ser especificado como qualquer. Depois de definidas as ACL, devem ser aplicadas à interface (entrada ou saída). Em versões anteriores do software, out era o padrão quando nenhuma palavra-chave out ou in era especificada. A direção deverá ser

9 especificada em versões posteriores do software. interface <interface> ip access-group {number name} {in out} Essa ACL estendida é utilizada para permitir tráfego na rede x (interna) e para receber respostas de pings externos ao mesmo tempo em que pings não solicitados são impedidos, sem que todos os outros tipos de tráfego sejam impedidos. interface Ethernet0/1 ip address ip access-group 101 in access-list 101 deny icmp any echo access-list 101 permit ip any Observação: Alguns aplicativos, como gerenciamento de redes, exigem pings para obter uma função de manutenção de atividade. Se esse for o caso, convém limitar o bloqueio de pings de entrada ou ser mais granular em IPs permitidos/negados. Lock and Key (ACLs Dinâmicas) Lock and Key, também conhecido como ACLs dinâmicas, foi introduzido no Cisco IOS Software Release Esse recurso é dependente de Telnet, autenticação (local ou remota) e ACLs estendidas. A configuração de lock and key tem início com a aplicação de uma ACL estendida para bloquear o tráfego no roteador. Usuários que desejam atravessar o roteador são bloqueados pela ACL estendida até serem conectados pela Telnet com o roteador e autenticados. Em seguida, a conexão Telnet cai e uma ACL dinâmica de entrada única é adicionada à ACL estendida existente. Isso permite tráfego por um determinado período de tempo; expirações ociosas e absolutas são possíveis. Esse é o formato da sintaxe do comando de configuração lock and key com autenticação local. username username password password interface <interface> ip access-group {number name} {in out} A ACL de entrada única nesse comando é dinamicamente adicionada à ACL existente após autenticação. access-list access-list-number dynamic name{permit deny} [protocol] {source source-wildcard any} {destination destination-wildcard any} [precedence precedence][tos tos][established] [log log-input] [operator destination-port destination port] line vty line_range login local Este é um exemplo básico de lock and key. username test password 0 test!--- Dez (minutos) é a expiração ociosa. username test autocommand access-enable host timeout 10 interface Ethernet0/0 ip address ip access-group 101 in access-list 101 permit tcp any host eq telnet! (minutos) é a expiração absoluta. access-list 101 dynamic testlist timeout 15 permit ip

10 line vty 0 4 login local Depois que o usuário em fizer uma conexão de Telnet para , a ACL dinâmica será aplicada. Em seguida, a conexão será descartada e o usuário poderá seguir para a rede x. ACLs Nomeadas de IP ACLs nomeadas de IP foram introduzidas no Cisco IOS Software Release Elas permitem que ACLs padrão e estendidas tenham nomes em vez de números. Esse é o formato da sintaxe do comando de ACLs nomeadas de IP. ip access-list {extended standard} name Este é um exemplo de TCP: permit deny tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [precedence precedence] [tos tos] [log] [time-range time-range-name] Este é um exemplo do uso de uma ACL nomeada para bloquear todo o tráfego, exceto a conexão Telnet do host para o host interface Ethernet0/0 ip address ip access-group in_to_out in ip access-list extended in_to_out permit tcp host host eq telnet ACLs Reflexivas As ACLs reflexivas foram introduzidas no Cisco IOS Software Release ACLs reflexivas permitem que os pacotes IP sejam filtrados de acordo com as informações de sessão de camada superior. Geralmente são utilizadas para permitir o tráfego de saída e para limitar o tráfego de entrada em resposta às sessões que são originadas dentro do roteador. ACLs reflexivas podem ser definidas apenas com ACLs de IP de nomes estendidos. Não podem ser definidas com ACLs de IP nomeadas padrão ou numeradas, ou com outras ACLs de protocolo. ACLs reflexivas podem ser usadas em conjunto com outras ACLs padrão e estáticas estendidas. Esta é a sintaxe de vários comandos de ACL reflexiva. interface ip access-group {number name} {in out} ip access-list extended name permit protocol any any reflect name [timeoutseconds] ip access-list extended name evaluate name Este é um exemplo da permissão do tráfego externo e interno ICMP, enquanto somente o tráfego TCP iniciado internamente é permitido, outro tráfego é negado. ip reflexive-list timeout 120 interface Ethernet0/1 ip address ip access-group inboundfilters in

11 ip access-group outboundfilters out ip access-list extended inboundfilters permit icmp evaluate tcptraffic!--- Isso vincula a parte reflexiva da ACL outboundfilters,!--- chamada tcptraffic, à ACL inboundfilters. ip access-list extended outboundfilters permit icmp permit tcp reflect tcptraffic ACLs Baseadas no Período Utilizando Intervalos de Tempo ACLs baseadas no período foram introduzidas no Cisco IOS Software Release T. Embora sejam semelhantes aos ACLs estendidos com relação à função, eles permitem controle de acesso com base no tempo. Um intervalo de tempo é criado e define períodos específicos do dia e da semana, para implementar ACLs baseadas no período. O intervalo de tempo é identificado por um nome e, em seguida, referenciado por uma função. Portanto, as restrições de tempo são impostas na própria função. O intervalo de tempo segue o relógio do sistema do roteador. O relógio do roteador pode ser utilizado, mas o recurso funciona melhor com a sincronização do NTP (Protocolo de Tempo de Rede). Estes são os comandos de ACL baseados em tempo.!--- Define um intervalo de tempo nomeado. time-range time-range-name!--- Define os horários periódicos. periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm!--- Ou, define os horários absolutos. absolute [start time date] [end time date]!--- O intervalo de tempo utilizado na ACL atual. ip access-list name number <extended_definition>time-rangename_of_time-range Neste exemplo, uma conexão de Telnet é permitida de dentro para fora da rede na segunda-feira, na quarta-feira e na sexta-feira durante o horário comercial: interface Ethernet0/0 ip address ip access-group 101 in access-list 101 permit tcp eq telnet time-range EVERYOTHERDAY time-range EVERYOTHERDAY periodic Monday Wednesday Friday 8:00 to 17:00 Entradas de ACL IP Comentadas Entradas de ACL IP comentadas foram introduzidas no Cisco IOS Software Release T. Os comentários deixam as ACLs mais fáceis de compreender e podem ser utilizados para ACLs de IP padrão ou estendidas. Esta é a sintaxe do comando de ACL de IP com nome comentado. ip access-list {standard extended} name remark remark

12 Esta é a sintaxe do comando de ACL de IP numerada comentada. access-list access-list-number remark remark Este é um exemplo de como comentar uma ACL numerada. interface Ethernet0/0 ip address ip access-group 101 in access-list 101 remark permit_telnet access-list 101 permit tcp host host eq telnet Controle de Acesso Baseado em Contexto O CBAC (Controle de acesso baseado em contexto) foi introduzido no Cisco IOS Software Release T e requer o conjunto de recursos do Cisco IOS Firewall. O CBAC inspeciona o tráfego que viaja através do firewall para descobrir e gerenciar informações de estado das sessões TCP e UDP. Essa informação é utilizada para criar aberturas temporárias nas listas de acesso do firewall. Configure as listas de ip inspect na direção do fluxo de iniciação do tráfego para permitir o tráfego de retorno e conexões de dados adicionais para sessões permissíveis, sessões originárias da rede interna protegida, para fazer isso. Esta é a sintaxe para CBAC. ip inspect name inspection-name protocol [timeoutseconds] Este é um exemplo do uso de CBAC para inspecionar tráfego externo. A ACL 111 estendida normalmente bloqueia o tráfego de retorno que não seja ICMP sem brechas de abertura de CBAC para tráfego de retorno. ip inspect name myfw ftp timeout 3600 ip inspect name myfw http timeout 3600 ip inspect name myfw tcp timeout 3600 ip inspect name myfw udp timeout 3600 ip inspect name myfw tftp timeout 3600 interface Ethernet0/1 ip address ip access-group 111 in ip inspect myfw out access-list 111 deny icmp any echo access-list 111 permit icmp any Proxy de Autenticação O proxy de autenticação foi introduzido no Cisco IOS Software Release T. É necessário ter o conjunto de recursos do Cisco IOS Firewall. O proxy de autenticação é usado para autenticar usuários de entrada ou saída ou ambos. Usuários que normalmente são bloqueados por uma ACL podem utilizar uma navegador para passar pelo firewall e autenticar-se em um servidor TACACS+ ou RADIUS. O servidor transmite entradas ACL adicionais até o roteador para permitir que os usuários façam a autenticação. O proxy de autenticação é semelhante à lock and key (ACLs dinâmicas). Estas são as diferenças: Lock and key é acionado por uma conexão de Telnet ao roteador. O proxy de autenticação é acionado pelo HTTP por meio do roteador. O proxy de autenticação precisa utilizar um servidor externo. O proxy de autenticação pode trabalhar com adição de listas dinâmicas múltiplas. Lock and key só pode adicionar uma. O proxy de autenticação tem uma expiração absoluta mas não um intervalo ocioso. O recurso lock and key tem dois. Consulte o Cookbook de Configuração do Cisco Secure Integrated Software para obter exemplos de proxy de autenticação. ACLs Turbo

13 As ACLs Turbo foram introduzidas no Cisco IOS Software Release T e são encontradas somente no 7200, 7500 e em outras plataformas de ponta. O recurso turbo ACL foi projetado para processar ACLs de maneira mais eficiente para aprimorar o desempenho do roteador. Utilize o comando access-list compiled para ACLs tubo. Este é um exemplo de uma ACL compilada: access-list 101 permit tcp host host eq telnet access-list 101 permit tcp host host eq ftp access-list 101 permit udp host host eq syslog access-list 101 permit udp host host eq tftp access-list 101 permit udp host host eq ntp Depois definir uma ACL padrão ou estendida, utilize o comando global configuration para compilar.!--- Informe ao roteador para compilar access-list compiled Interface Ethernet0/1 ip address !--- Aplica à interface ip access-group 101 in O comando show access-list compiled mostra estatísticas sobre a ACL. ACLs Distribuídas Baseadas no Período ACLs distribuídas baseadas no período foram introduzidas no Cisco IOS Software Release T para implementar ACLs baseadas no período em roteadores da série 7500 habilitados para VPN. Antes da inclusão do recurso de ACL distribuída baseada no período, as ACLs baseadas no período não eram suportadas em placas de linha para roteadores Cisco 7500 Series Routers. Se as ACLs baseadas no período fossem configuradas, elas se comportavam como ACLs normais. Se uma interface em uma placa de linha fosse configurada com ACLs baseadas no período, os pacotes comutados na interface não eram comutados de forma distribuída por meio da placa de linha, mas encaminhados para o processador de rota para processamento. A sintaxe de ACLs distribuídas baseadas no período é a mesma usada para ACLs baseada no período, com a adição dos comandos relativos ao status das mensagens do IPC (Inter Processor Communication) entre o processador da rota e a placa de linha. debug time-range ipc show time-range ipc clear time-range ipc ACLs Recebidas ACLs de recebimento são utilizadas para aumentar a segurança em roteadores Cisco por meio da proteção do Gigabit Route Processor (GRP) do roteador contra tráfego desnecessário e potencialmente perigoso. As ACLs de recebimento foram incluídas como um waiver especial ao avanço na manutenção do Cisco IOS Software Release S2 e integradas ao 12.0(22)S. Consulte GSR: Listas de Controle de Acesso Recebidas para obter mais informações. ACLs de Proteção de Infra-Estrutura ACLs de infra-estrutura são utilizadas para minimizar o risco e a eficiência do ataque direto infra-estrutura por permissões explícitas de somente tráfego autorizado ao equipamento de infra-estrutura, enquanto permite todos os outros tráfegos de trânsito. Consulte Protegendo Sua Base: Listas de Controle de Proteção de Infra-Estrutura para obter mais informações. ACLs de Trânsito Listas de controle de acesso (ACLs) de trânsito são utilizadas para aumentar a segurança da rede, pois permitem explicitamente apenas o tráfego necessário em sua rede ou redes. Consulte Listas de Controle de Acesso de Trânsito: Filtrando sua Borda para obter mais informações. Informações Relacionadas RFC 1700 RFC 1918

14 Página de Suporte das Listas de Acesso Página de Suporte do Firewall do IOS Firewall de IOS em Documentação IOS Suporte Técnico e Documentação - Cisco Systems Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 4 Abril