Gerenciamento e interoperabilidade de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: Firewall, ACLS e VPN

Transcrição

1 Gerenciamento e interoperabilidade de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: Firewall, ACLS e VPN 1 Configuração de firewall em um servidor Configure a rede abaixo e teste a conectividade da rede. Configure as seguintes regras de firewall em cada servidor: Servidor 1: Todos os computadores das redes e podem ter acesso ao servidor web e ping. Os computadores da rede não podem ter acesso ao servidor web, mas podem fazer ping no servidor. Servidor 2: Todos os computadores das redes e podem ter acesso ao servidor web e ping. Dos computadores da rede , apenas o PC4 ( ) pode ter acesso (web e ping). Servidor 3: Todos os computadores das redes e podem ter acesso ao servidor web e ping, exceto o PC 4 ( ). Os computadores da rede não podem ter acesso a nenhum serviço do servidor. Obs: na configuração do firewall é preciso inserir a wildcard mask (máscara curinga). Ex: para uma regra referente à rede a wildcard mask é Para uma regra referente a um host específico (ex: ) a wildcard mask é Teste a rede para ver se as configurações de firewall nos servidores estão funcionando corretamente.

2 2 Configuração de ACLs no roteador As ACLS (Access Control Lists) são listas de controle de acesso que podem ser configuradas em um roteador. Existem dois tipos de ACLs: padrão e estendida. As listas padrão são mais simples e são numeradas de 1 a 99. Os filtros em listas padrão são baseados no endereço de origem. As listas estendidas têm mais recursos e permitem filtragens mais sofisticadas, sendo numeradas a partir de 100. Para verificar as ACLs configuradas: show access-lists (mostra ACLs disponíveis) As regras a serem criadas em listas estendidas têm o seguinte padrão: access-list [número lista] [deny, permit ou remark] [protocolo] [endereço de origem] [wildcard mask] [endereço de destino] [wildcard mask] Protocolos que podem ser usados: ip, tcp, udp, icmp, esp, ospf, etc. Exemplos de regras: Negar tráfego udp da rede para o host : access-list 100 deny udp Permitir tráfego tcp de qualquer host para a rede : access-list 100 permit tcp any Permitir tráfego tcp de qualquer host para a porta 80 do host access-list 100 permit tcp any eq 80 Permitir qualquer tráfego ip: access-list 100 ip any any Veja que é possível acrescentar várias regras em uma mesma lista (número 100 nos exemplos anteriores). Porém é importante adicionar as regras na sequência correta, pois elas são aplicadas aos pacotes na ordem que são inseridas. Por exemplo, se uma regra que negue qualquer tipo de tráfego seja a primeira da lista, todas as demais não surtirão nenhum efeito. O padrão do IOS é aplicar como última regra a negação de qualquer tipo de tráfego. Após a configuração da lista, é preciso escolher em qual interface de rede ela será aplicada. Selecionar interface: int f0/1 (seleciona interface FastEthernet0/1) ip access-group 100 in (aplica a ACL 100 ao tráfego de entrada da interface) ou ip access-group 100 out (aplica a ACL 100 ao tráfego de saída da interface) Use show access-list para ver as regras (e matches de tráfego) e show running-config para ver as listas aplicadas as interfaces.

3 Crie a rede abaixo no Packet Tracer e verifique a conectividade da rede. Habilite os serviços Web e NTP nos servidores. Aplique as seguintes configurações no roteador usando ACLs. Teste a efetividade das regras e verifique os matches de tráfego nas ACLs. - Permitir acesso da rede ao servidor web da rede Permitir ping da rede para a rede , exceto para o servidor - Permitir acesso do host ao servidor NTP da rede Negar o restante do tráfego da rede para a rede Negar acesso da rede ao servidor web da rede Permitir ping da rede para a rede , inclusive para o servidor - Negar acesso da rede ao servidor NTP da rede Permitir o restante do tráfego da rede para a rede

4 3 Configuração de VPN (Virtual Private Networks) Neste exercício será configurada uma VPN com IPsec para o tráfego entre duas LANs. O tráfego da VPN IPsec irá passar por outra rede (roteador R2) que não tem conhecimento da VPN. O IPsec é um protocolo que provê transmissão segura de informações em redes desprotegidas. O IPsec atua na camada de rede, protegendo e autenticando pacotes IP entre os dispositivos, como roteadores neste exemplo. Monte a rede da figura abaixo, configurando os endereços de rede indicados na tabela e os parâmetros de segurança IPsec/ISAKMP (Internet Security Association and Key Management Protocol), usado para estabelecer associações de segurança (SA) e chaves de criptografia. Utilize os roteadores Insira um módulo HWIC- 2T (duas portas seriais) na interface física dos roteadores (aba Physical é necessário desligar o roteador para inserir o módulo). Tabela de endereços IP: Dispositivo Interface Endereço IP Máscara Gateway default PC-A FastEthernet PC-B FastEthernet PC-C FastEthernet R1 GigabitEthernet 0/ Serial 0/1/0 R2 GigabitEthernet 0/0 Serial 0/1/0 Serial 0/1/1 R3 GigabitEthernet 0/0 Serial 0/1/

5 Parâmetros de política fase 1 ISAKMP: Parâmetros R1 R3 Método de distribuição Manual ou ISAKMP ISAKMP ISAKMP de chaves Algoritmo de DES, 3DES ou AES AES AES criptografia Algoritmo hash MD5 ou SHA-1 SHA-1 SHA-1 Método de autenticação Chaves pré-compartilhadas ou RSA Chave précompartilhada Chave précompartilhada Troca de chaves Grupo DH 1, 2 ou 5 DH 2 DH 2 Tempo de vida de uma segundos ou menos SA Chave ISAKMP aula aula Parâmetros de política fase 2 IPsec: Parâmetros R1 R3 Nome de Transform set VPN-SET VPN-SET Criptografia ESP esp-aes esp-aes Autenticação ESP esp-sha-hmac esp-sha-hmac Endereço IP do host Tráfego criptografado access-list 110 (origem destino ) access-list 110 (origem destino ) Nome Crypto Map VPN-MAP VPN-MAP Estabelecimento de SA ipsec-isakmp ipsec-isakmp 1) Teste a conectividade da rede. É necessária a configuração de endereços IP e roteamento (ex:rip) para que as redes se comuniquem. 2) Habilitar módulo de segurança securityk9 A licença do pacote de tecnologia de segurança precisa ser habilitada. Digite o comando show version no roteador 1 para verificar se a licença está ativada. Se estiver ativada, na linha security irá aparecer securityk9. Caso contrário, irá aparecer none e é preciso ativar o módulo. Aceite a licença, salve a configuração e reinicie o roteador: R1(config)# license boot module c1900 technology-package securityk9 R1(config)# end R1# copy running-config startup-config R1# reload Faça o mesmo para o roteador 3. 3) Configurar parâmetros de segurança no roteador 1. Configure uma ACL 110 para identificar tráfego da LAN de R1 para a LAN de R3. Este tráfego dará o gatilho para que a VPN IPsec seja implementada sempre que houver tráfego entre as LANs R1 e R3. Todo outro tráfego não será encriptado.. R1(config)# access-list 110 permit ip

6 Configure as propriedades da fase 1 ISAKMP no roteador 1 de acordo com a tabela apresentada anteriormente. R1(config)# crypto isakmp policy 10 R1(config-isakmp)# encryption aes R1(config-isakmp)# authentication pre-share R1(config-isakmp)# group 2 R1(config-isakmp)# exit R1(config)# crypto isakmp key aula address Configure as propriedades da fase 2 IPsec no roteador 1 de acordo com a tabela apresentada anteriormente. R1(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac R1(config)# crypto map VPN-MAP 10 ipsec-isakmp R1(config-crypto-map)# description VPN conexao com R3 R1(config-crypto-map)# set peer R1(config-crypto-map)# set transform-set VPN-SET R1(config-crypto-map)# match address 110 R1(config-crypto-map)# exit Configure o crypto map na interface de saída: R1(config)# interface S0/1/0 R1(config-if)# crypto map VPN-MAP 4) Configurar parâmetros de segurança no roteador 3 Siga os mesmos passo da configuração do roteador 1: configuração da ACL, propriedades ISAKMP da fase 1 e 2 e configuração do crypto map na interface de saída. Altere apenas os endereços IP e interface quando necessário. Ex: na ACL, o tráfego tem o sentido inverso. 5) Verificar o funcionamento da rede IPsec. Digite o comando show crypto ipsec sa no roteador R1. O número de pacotes encapsulados, encriptados, desencapsulados e desencriptados deve ser 0 (zero). Faça um ping do PC-C para o PC-A e verifique novamente o número de pacotes IPsec. O número de pacotes deve aumentar. Faça um ping do PC-B para o PC-A e verifique o número de pacotes IPsec. Agora o número não deve mudar, já que o tráfego entre estas redes não usa a VPN.