Listas de Controlo de Acesso (ACLs)



Documentos relacionados
Administração de Sistemas

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

Atividade PT 5.3.4: Configurando ACLs estendidas Diagrama de topologia

Redes IP. M. Sc. Isac Ferreira Telecomunicações e Redes de Computadores: Tecnologias Convergentes

Capítulo 9: Listas de Controle de Acesso

VLAN (Virtual Local Area Network)

Packet Tracer - Configurando ACLs Estendidas - Cenário 1

Handson Policy Based Routing

Nova visão de Listas de Acesso Cisco CBAC e ZPF

Laboratório b Listas de acesso simples e estendidas

Os protocolos de encaminhamento têm como objectivo a construção e manutenção automática das tabelas de encaminhamento.

Listas de Acesso (ACL).

Laboratório b Listas de acesso estendidas para DMZ simples

CISCO PACKET TRACER. Kelvin Lopes Dias Diego dos Passos Silva

ASIST. Orlando Sousa. Aula 4. Subnetting, VLSM Encaminhamento interno dinâmico: RIP v2

Cisco IOS Internetwork Operating System. Serviços de Comunicações IOS Internetwork Operating System

Laboratório a Configuração de listas de acesso padrão

Semestre 4 do CCNA Prova final baseada em habilidades Treinamento do aluno Diretrizes para o instrutor Visão geral e administração da prova

Guia de Laboratório de Redes 1º Laboratório: Introdução

TCP é um protocolo de TRANSMISSÃO, responsável pela confiabilidade da entrega da informação.

INSTRUÇÃO NORMATIVA CONTROLE QUALIDADE DE SERVIÇOS QOS

Formação IPv6 Maputo Moçambique 26 Agosto 29 Agosto 08

ICORLI. INSTALAÇÃO, CONFIGURAÇÃO e OPERAÇÃO EM REDES LOCAIS e INTERNET

O conteúdo Cisco Networking Academy é protegido e a publicação, distribuição ou compartilhamento deste exame é proibida.

Laboratório. Assunto: endereçamento IP e roteamento.

Laboratório - Configuração de NAT dinâmico e estático

Relató rió. Gestão de equipamento activo de rede

Capítulo 4 TCP/IP FIREWALLS.

Laboratório - Configuração de NAT Dinâmico e Estático

Redes de Computadores

FICHA INFORMATIVA E DE TRABALHO MÓDULO REDE LOCAL INSTALAÇÃO

Redes de Computadores. Guia de Laboratório Configuração de Redes

Parte 2 Usando o CLI do Roteador

Rede d s d e d Com o pu p t u ado d r o es Conceitos Básicos M d o e d los o de d Re R de d s:

Laboratório 1.1.4b Configuração do PAT

Actividade 3: Configuração de VLANs

INSTITUTO SUPERIOR DE ENGENHARIA DE LISBOA

Características de Firewalls

CONFIGURAÇÃO DO ACESSO REMOTO PARA HS-DHXX93 E HS-DHXX96

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Vodafone ADSL Station Manual de Utilizador. Viva o momento

O endereço IP (v4) é um número de 32 bits com 4 conjuntos de 8 bits (4x8=32). A estes conjuntos de 4 bits dá-se o nome de octeto.

Laboratório Convertendo RIP v1 para RIP v2

ETI/Domo. Português. ETI-Domo Config PT

Trabalho 3 Firewalls

Trabalho de laboratório sobre ARP

Roteamento e Comutação

ADDRESS RESOLUTION PROTOCOL. Thiago de Almeida Correia

Redes de Computadores. Trabalho de Laboratório Nº2

Formação IPv6 Maputo Moçambique 26 Agosto 29 Agosto 08

Laboratório 1.1.4a Configuração do NAT

Entendendo como funciona o NAT

cio Roteamento Linux

Curso Técnico de Redes de Computadores Disciplina de Fundamentos de Rede

Firewalls. O que é um firewall?

Redes de Computadores

Concurso Público. Prova Prática - parte 2. Técnico Laboratório Informática. Técnico Administrativo em Educação 2014

Procedimentos para Configuração de Redirecionamento de Portas

Administração de Redes Redes e Sub-redes

Laboratório Revisão da Configuração Básica do Roteador com RIP

MANUAL DE INSTALAÇÃO E PROGRAMAÇÃO CONVERSOR - IP / USB / SERIAL RV1

PROJETO INTERDISCIPLINAR I

Diego Ragazzi

Conectando à malha multicast da RNP

Redes. Pablo Rodriguez de Almeida Gross

Laboratório Configurando o Roteamento EIGRP

Relatório do 2º Guião Laboratorial de Avaliação: Encaminhamento de pacotes. Licenciatura: ETI Turma : ETC1 Grupo : rd2_t3_02 Data: 30/10/2009

Alan Menk Santos Redes de Computadores e Telecomunicações. Camada de Aplicação. Camada de Aplicação

Protocolos básicos de LANs IP (primeiro trabalho laboratorial)

Aula prática. Objetivo IPCONFIG. Prof. Leandro Pykosz Informa a configuração atual de rede da máquina;

Exercício 3a Filtros Anti-Spoofing

Revisão. Karine Peralta

Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP

Suporte de NAT para conjuntos múltiplos utilizando mapas de rota

O que é uma firewall? É um router entre uma rede privada e uma rede pública que filtra o tráfego com base num conjunto de regras.

IP significa Internet Protocol. A Internet é uma rede, e assim como ocorre em qualquer tipo de rede, os seus nós (computadores, impressoras, etc.

Prof. Marcelo Cunha Parte 5

Disciplina Fundamentos de Redes. Introdução ao Endereço IP. Professor Airton Ribeiro de Sousa Outubro de 2014

Firewalls. Firewalls

1 INTRODUÇÃO À GERÊNCIA DE REDES...15

Uso do iptables como ferramenta de firewall.

REDES DE COMPUTADORES

INFORMÁTICA FUNDAMENTOS DE INTERNET. Prof. Marcondes Ribeiro Lima

Trabalho de laboratório sobre ARP

Máscaras de sub-rede. Fórmula

Consulte a exposição. Qual declaração descreve corretamente como R1 irá determinar o melhor caminho para R2?

genérico proteção de rede filtragem dos pacotes Sem estado (stateless) no próprio pacote. Com estado (stateful) outros pacotes

ADMINISTRAÇÃO DE REDES I LINUX. Firewall. Frederico Madeira LPIC 1, CCNA fred@madeira.eng.br

Redes de Computadores II INF-3A

Aula pratica 4 Testar Conexões TCP/IP em Redes Industrias Usando os comandos Ping e Net View (1.a Parte)

Trabalho de laboratório sobre DHCP

USO GERAL DOS PROTOCOLOS SMTP, FTP, TCP, UDP E IP

REDES DE COMPUTADORES - I UNI-ANHANGUERA. CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS PROF. MARCIO BALIAN

Notas Técnicas: Configurar Comunicações Versão 1.0 de Português

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft

III WTR do POP-BA III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia Instrutor: Ibirisol Fontes Monitor: Jundaí Abdon.

Transcrição:

ISEP - Administração de Sistemas 2007/2008 1/9 Listas de Controlo de Acesso (ACLs) Permitem filtrar tráfego (efectuam testes aos pacotes de dados. Ex: negam ou permitem em função do endereço ou tipo de tráfego) Permitem restringir a utilização da rede para certos serviços e/ou dispositivos Cada interface do router, pode ter duas listas de acesso por protocolo, uma para entrada e outra para saída de tráfego Não se pode apagar uma linha da ACL (Apenas toda a lista) REGRAS: É efectuado de uma forma sequencial: linha1, linha2, linha3, etc. (Colocar as linhas mais restritivas no topo da lista!) A procura é feita até que uma linha faça matching (as outras linhas serão ignoradas) Existe um deny implícito no fim de todas as listas de acesso (se não for efectuado matching até essa linha, então o pacote de dados será descartado). Tipos de ACLs Standard (1-99, 1300-1999) o Usado para filtrar pacotes de uma dada origem (permite ou nega o tráfego a um conjunto de protocolos baseado no endereço de rede/subrede/máquina) o Devem ser colocadas o mais próximo possível do destino Extended (100-199, 2000-2699) o Usado para filtrar pacotes baseados na sua origem e destino o Filtra pelo tipo de protocolo (Ex: IP, TCP, UDP, etc.) e pelo número da porta o Também permite ou nega o tráfego com mais granularidade o Devem ser colocadas o mais próximo possível da origem

ISEP - Administração de Sistemas 2007/2008 2/9 Nota: Também podem ser utilizados nomes para fazer referência às listas (em substituição dos números) Comandos para manuseamento de ACLs Standard o Acrescentar uma linha a uma lista: access-list número-lista {permit deny} endereço_origem {máscara} {log} o Activar uma lista de acesso numa interface do router (para entrada ou saída ): ip access-group número-lista {in out} Extended o Acrescentar uma linha a uma lista: access-list número-lista {permit deny} protocolo endereço_origem {máscara} endereço-destino {máscara} {log} o Activar uma lista de acesso numa interface do router (para entrada ou saída ): ip access-group número-lista {in out} Listas com nome o ip access-list standard extended nome_lista (depois colocar as linhas necessárias para a lista) o Activar uma lista de acesso numa interface do router (para entrada ou saída ): ip access-group nome-lista {in out} Remoção de uma lista de acesso: o no access-list número-lista

ISEP - Administração de Sistemas 2007/2008 3/9 o no ip access-group número-lista in out (remove uma ACL de uma interface) Comandos para consulta de listas: o show ip interfaces o show access-lists [número] o show ip access-list [número] Máscaras nas ACLs São utilizadas para identificar os intervalos de endereços IP. Funcionam de forma contrária às máscaras de subrede (Cada 0 deve fazer matching, cada 1 deve ser ignorado). Para calcular a máscara da lista faz-se o seguinte: Identificar o valor decimal de cada byte da máscara de subrede Subtrair a 255 o valor encontrado Exemplo: Obter a máscara utilizada numa lista para a máscara de subrede 255.255.248.0 Primeiro byte: 255-255=0 Segundo byte: 255-255=0 Terceiro byte: 255-248=7 Quarto byte: 255-0=255 A máscara a utilizar na lista será: 0.0.7.255 Nota: Atente aos valores obtidos: Máscara da subrede (255.255.248.0): 11111111.11111111.11111000.00000000 Máscara da lista (0.0.7.255): 00000000.00000000.00000111.11111111 Exemplos de Listas Standard

ISEP - Administração de Sistemas 2007/2008 4/9 Exemplo 1: Cria uma lista de acesso que permite todo o tráfego excepto da rede 10.0.0.0. A lista é aplicada à interface Ethernet0. Router(config)#access-list 1 deny 10.0.0.0 0.255.255.255 Router(config)#access-list 1 permit any Router(config)#interface Ethernet0 Router(config-if)#ip access-group 1 out Exemplo 2: Rejeita todo o tráfego excepto da máquina 10.12.12.14 e aplica a lista à interface Serial0 Router(config)#access-list 2 permit 10.12.12.16 Router(config)#interface Serial0 Router(config-if)#ip access-group 2 in Exemplo 3: Restringir o acesso via telnet ao router Numa ligação via telnet ao router, este associa a ligação com uma linha para terminal virtual (VTY). Por defeito suporta 5 telnets (0-4). Router(config)# access-list 99 permit 192.168.1.0 0.0.0.255 Router(config)# line vty 0 4 Router(config-line)# access-class 99 in Neste exemplo, apenas é permitido tráfego da rede 192.168.1.0/24 Exemplos de Listas Extended Exemplo 1: Não encaminha tráfego TCP de qualquer host da rede 10.0.0.0 para a rede 11.12.0.0. Aplica a lista à interface Serial0 Router(config)#access-list 111 deny tcp 10.0.0.0 0.255.255.255 11.12.0.0 0.0.255.255

ISEP - Administração de Sistemas 2007/2008 5/9 Router(config)#access-list 111 permit ip any any Router(config)#int Serial0 Router(config-if)#ip access-group 111 in Exemplo 2: Esta lista impede todos os telnets do host 192.168.1.25 Router(config)# access-list 102 deny tcp host 192.168.1.25 any eq 23 Router(config)# access-list 102 permit tcp any any Exemplo 3: Qual o objective deste exemplo? Router(config)# access-list 101 permit tcp host 199.199.199.1 host 200.200.200.1 eq dns Router(config)# access-list 101 permit udp any host 200.200.200.1 eq dns Router(config)# access-list 101 permit tcp any host 200.200.200.2 eq www Router(config)# access-list 101 permit icmp any 200.200.200.0 0.0.0.255 Router(config)# access-list 101 permit tcp any host 200.200.200.3 eq smtp Router(config)# access-list 101 permit udp host 201.201.201.2 host 201.201.201.1 eq rip Router(config)# interface Ethernet0 Router(config-if)# ip address 201.201.201.1 255.255.255.0 Router(config-if)# ip access-group 101 in Exemplo de ACL com nome Router(config)# ip access-list extended fica_de_fora Router(config-ext-acl)# permit tcp

ISEP - Administração de Sistemas 2007/2008 6/9 any 172.16.0.0 0.0.255.255 established log Router(config-ext-acl)# permit udp any host 172.16.1.1 eq dns log Router(config-ext-acl)# permit tcp 172.17.0.0 0.0.255.255 host 176.16.1.2 eq telnet log Router(config-ext-acl)# permit icmp any 176.16.0.0 0.0.255.255 echo-reply log Router(config-ext-acl)# deny ip any any log Router(config)# interface Ethernet0 Router(config-if)# ip access-group fica_de_fora Exercícios 1- Considere a seguinte figura:

ISEP - Administração de Sistemas 2007/2008 7/9 a) Verifique as configurações e teste a conectividade entre todos os pcs. b) Através da utilização de ACLs, configure a rede de modo a que o PC1 não consiga aceder a todas as máquinas da rede 192.168.1.0/24. Aplique a lista construída à interface mais adequada. c) Teste a conectividade de modo a confirmar a configuração da alínea anterior. 2- Considere a seguinte figura: a) Configure os routers: Clock rate 56000 em ambos os routers Router0: fa0/0 172.16.10.1/24 Router0: s0/0 192.168.4.5/30 Router1: fa0/0 172.30.10.1/24 Router1: s0/0 192.168.4.6/30 b) Configure os PCs (IP e default gateway): PC0 172.16.10.5/24 PC1 172.16.10.6/24 PC2 172.30.10.20/24 PC3 172.30.10.21/24 c) Configure RIP V2 de modo a que exista conectividade entre todas as redes. Teste a conectividade de/para todas as máquinas.

ISEP - Administração de Sistemas 2007/2008 8/9 d) Utilizando ACLs, faça com que o PC2 não consiga efectuar TELNET para a interface série do Router0, mas permita que o PC2 o faça para a interface fa0/0 do mesmo router. Aplique a ACL no local mais adequado. Teste a configuração. 3- Considere a figura do exercício 2. a) Remova a ACL criada no exercício anterior da interface onde a aplicou. b) Remova a ACL do exercício anterior do router onde a aplicou c) Crie a ACL com nome Limita_Acesso. Essa ACL deve: Negar pings da rede 172.30.10.0/24 para a interface Fa0/0 do Router0 e para a rede 172.16.10.0/24; Permitir TELNET da rede 172.30.10.0/24 para a interface Fa0/0 do Router0, mas negue todos os outros TELNETS com origem nessa rede Permita o resto do tráfego.aplique a ACL no local mais adequado. Teste a configuração. 4- Faça o exercício: CCNA2\ Skillbuilder_NACLs\ CCNA2 Skills Activity lab handout_nacl.doc 5- Considere a seguinte figura da página seguinte. a) Configure todo o sistema de modo a que exista conectividade entre todas as redes. Utilize RIP V2. b) Configure o sistema de modo a satisfazer os seguintes requisitos: A subrede 172.16.1.0/24 não aceita pings do exterior A subrede 172.16.1.0/24 não aceita tráfego da subrede 192.168.3.0/25 Apenas as máquinas 192.168.2.5 e 192.168.1.6 acedem ao servidor de jogos A rede 192.168.2.0 acede ao servidor http Na rede 192.168.1.0 apenas a máquina 192.168.1.6 não acede ao servidor http

ISEP - Administração de Sistemas 2007/2008 9/9 Apenas a rede 192.168.1.0 acede ao servidor ftp A impressora apenas pode ser utilizada por máquinas que se encontrem em 192.168.2.0/24 e 192.168.3.0/25 Referências: IBM Redbook : TCP/IP Tutorial and Technical Overview http://www.redbooks.ibm.com/abstracts/gg243376.html Internetworking Technology Handbook http://www.cisco.com/en/us/tech/tk1330/tsd_technology_support_technical_reference_book091 86a00807594e5.html Access Control Lists and IP Fragments http://www.cisco.com/warp/public/105/acl_wp.html

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback