Laboratório 11.2.3b Listas de acesso estendidas para DMZ simples



Documentos relacionados
Laboratório b Listas de acesso simples e estendidas

Atividade PT 5.3.4: Configurando ACLs estendidas Diagrama de topologia

Laboratório a Configuração de listas de acesso padrão

Laboratório 1.1.4b Configuração do PAT

Laboratório 1.1.4a Configuração do NAT

Laboratório Configurando o Roteamento EIGRP

Listas de Controlo de Acesso (ACLs)

Laboratório Convertendo RIP v1 para RIP v2

Laboratório Configurando a Autenticação OSPF

Laboratório Verificando Configurações de VLANs.

Laboratório Configurando o Processo de Roteamento OSPF

Redes IP. M. Sc. Isac Ferreira Telecomunicações e Redes de Computadores: Tecnologias Convergentes

Laboratório Verificando a Configuração Básica de EIGRP

Capítulo 9: Listas de Controle de Acesso

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

Este documento é propriedade exclusiva da Cisco Systems, Inc. É concedida permissão para cópia e impressão deste documento para distribuição não

1. DHCP a. Reserva de IP

Laboratório Configurando o roteamento Inter-VLAN

Administração de Sistemas

Semestre 4 do CCNA Prova final baseada em habilidades Treinamento do aluno Diretrizes para o instrutor Visão geral e administração da prova

Packet Tracer - Configurando ACLs Estendidas - Cenário 1

IPTABLES. Helder Nunes

Roteamento e Comutação

Listas de Acesso (ACL).

ALTERNATIVA PARA CONEXÃO VIA INTERNET DE IP MASCARADO A IP REAL

Suporte de NAT para conjuntos múltiplos utilizando mapas de rota

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

Segurança de Redes. Firewall. Filipe Raulino

2 de maio de Remote Scan

Laboratório Revisão da Configuração Básica do Roteador com RIP

Administração do Windows Server 2003

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

Configuração do Servidor DHCP no Windows Server 2003

Aula Prática Roteador

Laboratório Usando ping e tracert a partir de uma Estação de Trabalho

UNIVERSIDADE FEDERAL DE PELOTAS

Aula pratica 4 Testar Conexões TCP/IP em Redes Industrias Usando os comandos Ping e Net View (1.a Parte)

Firewalls. Firewalls

Nova visão de Listas de Acesso Cisco CBAC e ZPF

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Uso do iptables como ferramenta de firewall.

AULA 7: SERVIDOR DHCP EM WINDOWS SERVER

Aula Prática Wi-fi Professor Sérgio Teixeira

Entendendo como funciona o NAT

SISTEMAS OPERACIONAIS LIVRES GERENCIAMENTO DE SERVIÇOS NO WINDOWS. Professor Carlos Muniz

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

Laboratório - Exploração do FTP

Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede

IMPORTAR OU EXPORTAR CERTIFICADOS E CHAVES PRIVADAS

CONCEITOS INICIAIS. Agenda A diferença entre páginas Web, Home Page e apresentação Web;

III WTR do POP-BA III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia Instrutor: Ibirisol Fontes Monitor: Jundaí Abdon.

Lab - Configurando o Firewall do Windows 7

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

MANUAL DE CONFIGURAÇÃO

Como acessar o novo webmail da Educação? Manual do Usuário. 15/9/2009 Gerencia de Suporte, Redes e Novas Tecnologias Claudia M.S.

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Ajuda das opções Fiery 1.3 (cliente)

FileMaker Pro 13. Utilização de uma Conexão de Área de Trabalho Remota com o FileMaker Pro 13

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft

Configurando o IIS no Server 2003

Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

Guia de Configuração das Funções de Digitalização

Capítulo 2. Laboratório 2.1. Introdução ao Packet Tracer, Roteadores, Switches e Inicialização

FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

GUIA DE CONFIGURAÇÃO SERVIDOR DHCP

Administração de Sistemas Operacionais

Capítulo 5: Roteamento Inter-VLANS

Rede de Computadores

Segurança em Sistemas de Informação

Firewall. Qual a utilidade em instalar um firewall pessoal?

Capítulo 3: Implementar a segurança por meio de VLANs

Firewalls. O que é um firewall?

Laboratório - Identificação e Solução de Problemas de Configuração de VLAN

LABORATÓRIO WIRESHARK: DNS

DarkStat para BrazilFW

11 - Q34826 ( FCC DPE - SP - Oficial de Defensoria Pública / Noções de Informática / Internet e intranet; )

Conceitos de relação de confiança

Lab - Configurando o Firewall do Windows Vista

Laboratório - Configuração de NAT Dinâmico e Estático

Passo 1: Abra seu navegador e digite Passo 2: Na tela que surgir, clique em Get Started.

Configurando o DDNS Management System

Componentes de um sistema de firewall - I

BEM-VINDO AO dhl PROVIEW

Network Services Location Manager. Guia para os administradores de rede

Procedimentos para Configuração de Redirecionamento de Portas

Como configurar s nos celulares. Ebook. Como configurar s no seu celular. W3alpha - Desenvolvimento e hospedagem na internet


IP significa Internet Protocol. A Internet é uma rede, e assim como ocorre em qualquer tipo de rede, os seus nós (computadores, impressoras, etc.

Laboratório - Configuração de NAT dinâmico e estático

A IMPORTÂNCIA DE FIREWALL S PARA AMBIENTES CORPORATIVOS

Omega Tecnologia Manual Omega Hosting

TCEnet. Manual Técnico. Responsável Operacional das Entidades

Aula prática. Objetivo IPCONFIG. Prof. Leandro Pykosz Informa a configuração atual de rede da máquina;

cio Roteamento Linux

ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais

Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles:

Transcrição:

Laboratório 11.2.3b Listas de acesso estendidas para DMZ simples Objetivo Situação Neste laboratório, será explorado o uso de listas de acesso estendidas para criação de uma Zona Desmilitarizada (DMZ). A BMTC é uma pequena empresa de fabricação localizada em Gadsden. Ela decidiu promover seus produtos pela internet. Para isso, a primeira exigência é divulgar os produtos para clientes 275-294 CCNA 2: Roteadores e Roteamento, Conc. Básicos v 3.1 - Laboratório 11.2.3b Copyright 2003, Cisco Systems, Inc.

potenciais, distribuindo resumos, relatórios e depoimentos sobre seus produtos. As exigências futuras seriam serviços de e-mail, FTP, DNS e comércio eletrônico on-line. Eles contrataram você para desenvolver e configurar uma infra-estrutura segura para atender às exigências de rede internas e externas sem afetar a responsabilidade fiscal, ou seja, "faça uma rede segura, mas mantendo os custos baixos. Após uma análise cuidadosa, foi proposta a criação de uma arquitetura de segurança com duas camadas, consistindo em uma zona de rede corporativa e uma DMZ. A zona de rede corporativa comportaria servidores privados e clientes internos. A DMZ comportaria apenas um servidor externo, que forneceria serviços de W eb. Apesar de o uso de apenas um servidor criar um único ponto de falha, o serviço é somente informacional, não sendo considerado crítico. Eles gostaram da proposta e assinaram um contrato para dar prosseguimento. Etapa 1 Configurações básicas do roteador e do host a. Interconecte os roteadores e hosts conforme mostra o diagrama. Configure as informações básicas, como nome do host, interfaces de roteador e protocolos de roteamento. Consulte o diagrama e as tabelas como referência. As configurações de cada roteador devem ser similares a: GAD#show running-config <Output Omitted> hostname GAD interface FastEthernet0 ip address 10.1.1.1 255.255.255.0 interface Serial0 ip address 172.16.1.2 255.255.255.0 interface FastEthernet1 ip address 10.10.10.1 255.255.255.0 router rip network 11.0.0.0 network 172.16.0.0 GAD# ISP#show running-config <Output Omitted> hostname ISP interface FastEthernet0 ip address 172.16.2.1 255.255.255.0 interface Serial0 ip address 172.16.1.1 255.255.255.0 router rip network 172.16.0.0 ISP# b. Configure os hosts com as informações adequadas, de acordo com o que já foi definido. 276-294 CCNA 2: Roteadores e Roteamento, Conc. Básicos v 3.1 - Laboratório 11.2.3b Copyright 2003, Cisco Systems, Inc.

c. Para que o laboratório seja mais realista, o software do servidor de web deve ser instalado no servidor host. Alguns exemplos são Microsoft IIS e Microsoft Personal Web Server (Windows 98). Também é possível usar outros softwares, como o TinyWeb Server (http: /www.ritlabs.com/tinyweb/). Caso o TinyWeb Server seja usado, é recomendável instalar também o TinyBox (http: /people.freenet.de/ralph.becker/tinybox/), que é o front-end de interface com o usuário do TinyWeb Server. Não se esqueça de criar uma página padrão index.html. A página da web deve incluir uma mensagem como Olá, Mundo. Salve a página de acordo com as instruções do software do servidor de web. d. Antes de aplicar qualquer tipo de lista de acesso, é importante verificar o acesso entre os sistemas. [ ]Para isso, use o comando ping em cada sistema para todos os sistemas e roteadores. Todos os hosts devem ser capazes de acessar os outros pelo comando ping. Pode ser necessário aplicar a solução de problemas caso o ping não funcione com algumas interfaces. Sempre verifique as conexões das camadas físicas, já que elas costumam apresentar mais problemas de conectividade. Em seguida, verifique as interfaces dos roteadores. Verifique se eles não estão desligados, se não foram configurados incorretamente e se o RIP foi configurado adequadamente. Por fim, lembre-se de que além dos endereços IP válidos, os hosts devem ter gateways padrão especificados. e. No host A, abra um navegador, como o Windows Explorer ou o Netscape Navigator, e digite o endereço do servidor de web no campo correspondente. [ ]Verifique o acesso de cada host ao servidor de web. O host A exibe a página index.html? O host B exibe a página index.html? Ambos os hosts devem conseguir exibir a página index.html no navegador. Solucione o problema, conforme o necessário. f. Agora que a infra-estrutura já está instalada, passaremos à etapa de segurança de internetwork. Etapa 2 Proteger a rede corporativa a. A zona da rede corporativa comporta servidores privados e clientes internos. Nenhuma outra rede deve ter acesso a ela. b. Configure uma lista de acesso estendida para proteger a rede corporativa. A proteção começa pela especificação do tráfego autorizado a sair da rede. Apesar de parecer estranho inicialmente, isso fica mais claro quando se sabe que a maioria dos hackers é formada por empregados internos. A primeira lista de acesso especifica que redes têm acesso externo. GAD#conf terminal Digite os comandos de configuração, um por linha. Conclua com CNTL/Z. GAD(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 any GAD(config)#access-list 101 277-294 CCNA 2: Roteadores e Roteamento, Conc. Básicos v 3.1 - Laboratório 11.2.3b Copyright 2003, Cisco Systems, Inc.

A primeira linha define que a lista de acesso 101 autorizará somente usuários válidos da empresa na rede 10.10.10.0 a passarem pelo roteador. A segunda linha é dispensável, já que o comando "deny all" (negar todos) está implícito, mas ela foi adicionada para fins de leitura. c. Agora é preciso aplicar a lista de acesso à interface da rede corporativa. GAD(config)#interface fa1 GAD(config-if)#ip access-group 101 in d. Agora é preciso testar as listas de acesso. Todos os hosts devem ser capazes de acessar qualquer local pelo comando ping. e. Em seguida, configure uma lista de acesso estendida de saída na interface da rede corporativa. O tráfego de entrada da rede será originado da internet ou da DMZ. Por isso, o tráfego autorizado a entrar na empresa deve ser limitado. f. A primeira questão a ser abordada é verificar se somente o tráfego originado pela rede corporativa está autorizado a retornar a ela. GAD(config)#access-list 102 permit tcp any any established A palavra-chave established nesta linha permite somente tráfego TCP originado na rede 10.10.10.0. g. Para facilitar o gerenciamento e a solução de problemas de rede, também se decidiu permitir a entrada de ICMP na rede. Isso fará com que os hosts internos possam receber mensagens ICMP (mensagens ping, por exemplo). GAD(config)#access-list 102 permit icmp any any echo-reply GAD(config)#access-list 102 permit icmp any any unreachable A primeira linha permite somente que comandos ping bem sucedidos retornem à rede corporativa. A segunda linha permite que mensagens de comandos ping malsucedidos sejam exibidas. h. Neste ponto, não há interesse em nenhum outro tráfego na rede corporativa. Por isso, digite: GAD(config)#access-list 102 i. Por fim, a lista de acesso precisa ser aplicada à porta FastEthernet da rede corporativa. GAD(config)#interface fa 1 GAD(config-if)#ip access-group 102 out 278-294 CCNA 2: Roteadores e Roteamento, Conc. Básicos v 3.1 - Laboratório 11.2.3b Copyright 2003, Cisco Systems, Inc.

j. Lembre-se de que a interface pode suportar uma lista de acesso de entrada e uma de saída. Para verificar isto, use o comando show interface fa1. A saída do comando deverá confirmar que a lista de acesso de saída é a 102 e que a lista de acesso de entrada é a 101. k. Use o comando show access-lists para verificar a sintaxe das listas. A saída deve ser: GAD#show access-lists extended IP access list 101 permit ip 10.10.10.0 0.0.0.255 any Extended IP access list 102 permit tcp any any established permit icmp any any echo-reply permit icmp any any unreachable As listas de acesso podem ter que ser excluídas e inseridas novamente, caso haja discrepâncias entre a saída anterior e a configuração. l. Agora, as listas de acesso devem ser testadas. O host A deve ser capaz de acessar qualquer local pelo comando ping. No entanto, nenhum outro host poderá ter acesso ao Host A utilizando o comando ping. m. No host A, abra um navegador, como o Windows Explorer ou o Netscape Navigator, e digite o endereço do servidor de web no campo correspondente. [ ] Verifique se o host A continua tendo acesso ao servidor de web. O host A exibe a página index.html? n. O host A deve continuar conseguindo exibir a página index.html no navegador. Solucione o problema, conforme o necessário. o. A rede corporativa interna agora está segura. A próxima etapa é garantir a segurança da rede DMZ. Etapa 3 Proteger a rede DMZ a. A DMZ comportará apenas um servidor externo, que fornecerá serviços de Web. Outros serviços, como e-mail, FTP e DNS, serão implementados futuramente. Apesar de o uso de apenas um servidor criar um único ponto de falha, o serviço é somente informacional, não sendo considerado crítico. b. Configure uma lista de acesso estendida para proteger a rede DMZ. Assim como foi feito para a rede corporativa, especifique qual tráfego pode sair da rede e aplique-o à interface. GAD#conf terminal Digite os comandos de configuração, um por linha. Conclua com CNTL/Z. GAD(config)#access-list 111 permit ip 10.1.1.0 0.0.0.255 any 279-294 CCNA 2: Roteadores e Roteamento, Conc. Básicos v 3.1 - Laboratório 11.2.3b Copyright 2003, Cisco Systems, Inc.

GAD(config)#access-list 111 GAD(config)#interface fa0 GAD(config-if)#ip access-group 111 in c. Agora, teste as listas de acesso. O host A deve ser capaz de acessar qualquer local pelo comando ping. No entanto, nenhum host externo poderá ter acesso ao Host A utilizando o comando ping. d. Em seguida, é preciso determinar uma lista de acesso estendida de saída para especificar qual tráfego pode entrar na rede DMZ. O tráfego de entrada da rede DMZ será originado da internet ou da rede corporativa que demanda serviços de Web. e. Configure uma lista de acesso estendida de saída para especificar as solicitações de Web com autorização para entrar na rede. GAD(config)#access-list 112 permit tcp any host 10.1.1.10 eq www Esta linha irá permitir a entrada de serviços destinados ao servidor de Web na rede DMZ. Que comando deve ser digitado para permitir a entrada de solicitações DNS na rede DMZ? Que comando deve ser digitado para permitir a entrada de solicitações de e-mail na rede DMZ? Que comando deve ser digitado para permitir a entrada de solicitações de FTP na rede DMZ? f. Para fins de gerenciamento, pode ser útil autorizar os usuários corporativos a usar o comando ping com o servidor de Web. No entanto, os usuários de internet não devem ter esse privilégio. Acrescente uma linha à lista de acesso, para permitir que somente os usuários corporativos ICMP acessem a rede DMZ. GAD(config)#access-list 112 permit icmp 10.10.10.0 0.0.0.255 host 10.1.1.10 Esta linha autoriza somente hosts da rede corporativa a usar o comando ping com o servidor de Web. Apesar de a configuração poder ser mais restritiva em relação às opções ICMP, isso não é visto como necessário. g. Outros serviços podem vir a ter acesso autorizado à rede DMZ. No entanto, neste ponto, não há interesse em nenhum outro tráfego na rede DMZ. Por isso, digite: GAD(config)#access-list 112 280-294 CCNA 2: Roteadores e Roteamento, Conc. Básicos v 3.1 - Laboratório 11.2.3b Copyright 2003, Cisco Systems, Inc.

h. Aplique a lista de acesso de saída à porta FastEthernet da rede DMZ. GAD(config)#interface fa 0 GAD(config-if)#ip access-group 112 out i. Use o comando show-access-lists para verificar a sintaxe das listas. A saída deve ser: GAD#show access-lists Extended IP access list 101 permit ip 10.10.10.0 0.0.0.255 any (70 matches) Extended IP access list 102 permit tcp any any established (8 matches) permit icmp any any echo-reply (12 matches) permit icmp any any unreachable (4 matches) Extended IP access list 111 permit ip 10.1.1.0 0.0.0.255 any (59 matches) Extended IP access list 112 permit tcp any host 10.1.1.10 eq www (29 matches) permit icmp 10.10.10.0 0.0.0.255 host 10.1.1.10 (4 matches) (14 matches) As listas de acesso podem ter que ser excluídas e inseridas novamente, caso haja discrepâncias entre a saída anterior e a configuração. j. As listas devem ser testadas. k. Somente o host A deve ser capaz de acessar qualquer local pelo comando ping. Em cada host, abra um navegador, como o Windows Explorer ou o Netscape Navigator, e digite o endereço do servidor de web no campo correspondente. [ ] Verifique se os hosts continuam tendo acesso ao servidor de web. O host A exibe a página index.html? O host B exibe a página index.html? Ambos os hosts devem conseguir exibir a página index.html no navegador. Solucione o problema, conforme o necessário. l. A rede DMZ agora está segura. Em seguida, é preciso configurar a interface externa, para impedir práticas de spoofing e de hackers. Etapa 4 Impedir spoofing a. As redes estão cada vez mais vulneráveis a ataques de usuários externos. Hackers, crackers e script kiddies são termos usados para descrever vários indivíduos que tentam, de forma mal - intencionada, invadir redes ou impossibilitá-las de responder a solicitações legítimas (ataques de negação de serviço - DoS). Isso representa um problema para os usuários da internet. 281-294 CCNA 2: Roteadores e Roteamento, Conc. Básicos v 3.1 - Laboratório 11.2.3b Copyright 2003, Cisco Systems, Inc.

b. As práticas desses hackers são bastante conhecidas. Um método comum é tentar forjar endereços IP válidos de origem interna. Essa prática é normalmente conhecida como spoofing. c. Para impedir o spoofing, decidiu-se configurar uma lista de acesso que dificulta o spoofing de hosts de internet em endereços de rede internos. Três endereços IP de origem que os hackers tentam forjar são endereços internos válidos (ex.: 10.10.10.0), endereços de loopback (ex.:127.x.x.x) e endereços multicast (ex.: 224.x.x.x 239.x.x.x). d. Configure uma lista de acesso de entrada para dificultar o spoofing de endereços internos por usuários externos e aplique-a à interface serial 0. GAD(config)#access-list 121 deny ip 10.10.10.0 0.0.0.255 any GAD(config)#access-list 121 deny ip 127.0.0.0 0.255.255.255 any GAD(config)#access-list 121 deny ip 224.0.0.0 31.255.255.255 any GAD(config)#access-list 121 permit ip any any GAD(config)#interface serial 0 GAD(config-if)#ip access-group 121 in A primeira linha impedirá que usuários externos forjem um endereço IP de origem válido. A segunda linha impedirá o uso da faixa de endereços de loopback. A terceira linha impedirá que hackers usem a faixa de endereços multicast (ex.: 224.0.0.0 239.255.255.255) para criar tráfego interno desnecessário. e. Use o comando show-access-lists para verificar a sintaxe das listas. A saída deve ser: GAD#show access-lists GAD#show access-lists Extended IP access list 101 permit ip 10.10.10.0 0.0.0.255 any (168 matches) Extended IP access list 102 permit tcp any any established (24 matches) permit icmp any any echo-reply (28 matches) permit icmp any any unreachable (12 matches) Extended IP access list 111 permit ip 10.1.1.0 0.0.0.255 any (122 matches) Extended IP access list 112 permit tcp any host 10.1.1.10 eq www (69 matches) permit icmp 10.10.10.0 0.0.0.255 host 10.1.1.10 (12 matches) (22 matches) Extended IP access list 121 deny ip 10.10.10.0 0.0.0.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 224.0.0.0 31.255.255.255 any permit ip any any (47 matches) As listas de acesso podem ter que ser excluídas e inseridas novamente, caso haja discrepâncias entre a saída anterior e a configuração. f. Por fim, teste se ainda há conectividade. 282-294 CCNA 2: Roteadores e Roteamento, Conc. Básicos v 3.1 - Laboratório 11.2.3b Copyright 2003, Cisco Systems, Inc.

Somente o host A deve ser capaz de acessar qualquer local pelo comando ping. g. Em cada host, abra um navegador, como o Windows Explorer ou o Netscape Navigator, e digite o endereço do servidor de web no campo correspondente. [ ] Verifique se os hosts continuam tendo acesso ao servidor de web. O host A exibe a página index.html? O host B exibe a página index.html? Ambos os hosts devem conseguir exibir a página index.html no navegador. Solucione o problema, conforme o necessário. h. A rede BMTC agora está segura. Observação: Esse laboratório é uma solução básica, que contribui para a segurança da rede. Ele não pretende, de forma alguma, ser uma solução completa. Para garantir a devida proteção das redes da empresa, devem ser implementados dispositivos específicos, como o Cisco PIX. Da mesma forma, recursos avançados, como a tradução de endereços de rede (NAT) e opções de listas de acesso avançadas como listas reflexivas e listas baseadas no conteúdo (CBAC) são fortemente recomendadas e estão fora do escopo da certificação CCNA. Por fim, é recomendável que os administradores de rede mantenham uma relação estreita com os provedores, para obterem ajuda quando a segurança da rede estiver comprometida. Etapa 5 Documentar a ACL a. A documentação deve ser criada como parte do gerenciamento de rede como um todo. Use o arquivo de texto criado na configuração e acrescente comentários. Esse arquivo também deve conter a saída dos comandos show access-list eshow ip interface. b. O arquivo deve ser salvo com outros documentos da rede. Ele deve ser nomeado de acordo com a função e a data de implementação. c. Após a conclusão, apague a configuração de inicialização dos roteadores, remova e guarde os cabos e o adaptador. Faça logoff e desligue o roteador. 283-294 CCNA 2: Roteadores e Roteamento, Conc. Básicos v 3.1 - Laboratório 11.2.3b Copyright 2003, Cisco Systems, Inc.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback