IP Padrão
Objetivos
Neste tutorial
apresentarei o processo de configuração de uma
Lista de Acesso para controlar o tráfego de rede
não desejado, bem como utilizá-las para
implementar um recurso mínimo de segurança no
ambiente. Mostrarei um exemplo fictício de uma
lista padrão apresentada no tutorial “Conceitos
das Listas de Acesso – ACL’s”.
Pré-requisitos:
Conhecer os modos de
configuração de um roteador, salvar um arquivo
de configuração, bem como os conceitos básicos
do protocolo TCP/IP, tais como, endereços de
rede, máscaras de sub-rede, protocolos TCP/UDP e
portas de conexão.
Parte 1 –
Relembrando Conceitos de ACL’s
Os roteadores fornecem uma
filtragem básica de pacotes, como por exemplo, o
bloqueio de acesso a determinados recursos na
internet. Uma ACL nada mais é que uma seqüência
de instruções que permitem ou negam acesso a
determinada rede ou recursos disponíveis noutras
redes.
Não podemos nos esquecer
que toda Lista de Controle de Acesso é
primeiramente criada e depois aplicada a uma
determinada interface do roteador, ao processar
o pacote o roteador verifica as instruções
definidas numa ACL e com base nessas informações
aceita ou recusa o pacote.
Também é muito importante
saber que a partir do momento que criarmos uma
linha de instrução, o equipamento passa a
verificar essa ACL e logo após estará implícito
um deny any no final, por exemplo, digamos que
eu queira liberar o tráfego FTP para uma
determinada rede, se apenas definir essa
instrução o restante do tráfego será negado
justamente por causa da negação implícita no
final da regra. Para solucionar este problema
devemos ter bem definidas todas as condições de
tráfego da rede a ser liberado e especificá-los
em cada linha da ACL.
Caso não seja definida
nenhuma Lista de acesso ao roteador, todo
tráfego que passará nas interfaces será
devidamente liberado a todas redes, tanto de
entrada quanto de saída.
Parte 2 –
Implementando Listas de Acesso IP Padrão
Primeiramente vamos
verificar a configuração das interfaces de nosso
equipamento. Para esse tutorial utilizaremos um
roteador Cisco 1720.
Com o comando show
running-config, teremos a saída:
Pressionamos a barra de
espaço para continuar:
Podemos assim verificar
que existem quatro interfaces seriais
denominadas Serial 0, Serial 1, Serial 2, Serial
3 e uma interface FastEthernet denominada
FastEthernet0.
Vamos desenvolver o
seguinte exemplo:
Atualmente nossa
organização possui quatro conexões de WAN que
interligam quatro filiais denominadas V, X, Y,
Z. Além dessas conexões possuímos uma interface
Fastethernet que conecta os usuários da Rede
Local Matriz.
Nosso objetivo é criar uma
lista de acesso padrão que permita os usuários
da Rede Local acessarem as filiais V, X e Y,
porém não poderão acessar os recursos da filial
Z.
Vamos até a console do
roteador e digitamos os seguintes comandos:
Vejam que o processo de
configuração das listas de acesso acontece no
modo de configuração global do roteador, logo
após do comando access-list devemos definir o
número desta lista. Em nosso exemplo definimos o
número 20, visto que estamos criando uma lista
padrão e o intervalo vai de 1 a 99. Também
devemos definir o endereço da rede que será
negado o acesso que é 192.168.33.0 da rede local
matriz.
Feito isso, precisamos
informar que o restante do tráfego será
liberado, ou seja, nosso objetivo é apenas negar
o acesso da LAN matriz à filial Z. Vejamos
então:
É importante lembrar que o
comando permit any no final está simplesmente
liberando o restante do tráfego que passará por
determinada interface, é como fazer o seguinte:
access-list 20
permit 0.0.0.0 255.255.255.255
Até o momento nossa regra
foi criada, porém ainda não foi definido onde
será aplicada. Nunca esqueçam que primeiro
criamos a regra e logo após aplicamos à
interface. Nesse exemplo devemos aplicar esta
regra na interface Serial 3, pois conforme
abordado nos conceitos de ACL’s, uma lista de
acesso IP padrão é aplicada o mais próximo do
destino, como o destino é a rede Z devemos fazer
a configuração nesta interface.
Com esse comando negamos
que o tráfego da LAN Matriz (192.168.33.0) saia
pela interface Serial 3 (192.168.54.0) da rede
Z.
Conclusão:
Neste tutorial mostrei
como configurar uma Lista de Acesso IP Padrão
através de um exemplo fictício de uma
organização com quatro links seriais e uma
conexão de rede local
Fonte juliobattisti
