Tema acessvel CISCO

Pgina 1 de 30

Alternar idioma para English | Pesquisar | Glossrio ndice do curso: 5 ACLs

Selecionar

CCNA Exploration - Acessando a WAN

5 ACLs
5.0 Introduo
5.0.1 Introduo Pgina 1: Segurana de rede um assunto enorme, e grande parte dele est alm do escopo deste curso. No entanto, uma das habilidades mais importantes das quais um administrador de rede precisa dominar as listas de controle de acesso (ACLs). Os administradores utilizam as ACLs a fim de parar o trfego ou permitir apenas o trfego especificado enquanto interrompe todo o restante do trfego em suas redes. Este captulo inclui uma oportunidade para desenvolver o seu domnio de ACLs com uma srie de lies, atividades e exerccios de laboratrio. Os designers de rede utilizam firewalls para proteger redes do uso no autorizado. Os firewalls so solues em hardware ou software que aplicam polticas de segurana de rede. Considere uma trava na porta de um quarto dentro de um edifcio. A trava s permite que usurios autorizados com uma chave ou carto de acesso abram a porta. Da mesma forma, um firewall filtra pacotes no autorizados ou potencialmente perigosos para que no entrem na rede. Em um roteador Cisco, voc pode configurar um firewall simples que fornea recursos de filtragem de trfego bsicos utilizando ACLs. Uma ACL uma lista sequencial de instrues de permisso ou negao que se aplicam a endereos ou protocolos de camada superior. As ACLs fornecem uma forma eficiente de controlar o trfego dentro e fora da sua rede. Voc pode configurar as ACLs para todos os protocolos de rede roteados. A razo mais importante para configurar as ACLs fornecer segurana para a sua rede. Este captulo explica como utilizar ACLs padro e estendidas como parte de uma soluo em segurana e ensina como configur-las em um roteador Cisco. Dicas, consideraes, recomendaes e diretrizes gerais sobre como utilizar ACLs so includas. Exibir meio visual

5.1 Utilizando a ACLs para proteger redes s

5.1.1 Uma conversa TCP Pgina 1: As ACLs permitem controlar o trfego dentro e fora da sua rede. Esse controle pode ser to simples quanto permitir ou negar hosts de rede ou endereos. No entanto, as ACLs tambm podem ser configuradas para controlar o trfego da rede com base na porta TCP utilizada. Para compreender como uma ACL funciona com o TCP, permita-nos observar o dilogo que ocorre durante uma conversa TCP quando voc faz o download de uma pgina da Web no seu computador. Quando voc solicita dados de um servidor Web, o IP cuida da comunicao entre o PC e o servidor. O TCP cuida da comunicao entre o seu navegador (aplicativo) e o software do servidor de rede. Quando voc envia um email, observa uma pgina da Web ou faz o download de um arquivo, o TCP responsvel por dividir os dados em pacotes IP para que eles sejam enviados, alm de montar os

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 2 de 30

dados a partir dos pacotes quando eles chegam. O processo TCP muito semelhante a uma conversa na qual dois ns em uma rede concordam em transmitir dados entre um e o outro. Lembre-se de que o TCP fornece um servio de fluxo de bytes confivel, orientado conexo. O termo orientado a conexo significa que os dois aplicativos que utilizam o TCP devem estabelecer uma conexo TCP para que eles possam trocar dados. TCP um protocolo em full duplex, o que significa que cada conexo TCP d suporte a um par de fluxos de bytes, cada um com fluxo em uma direo. O TCP inclui um mecanismo de controle de fluxo para cada fluxo de bytes que permite ao receptor limitar quantos dados o remetente pode transmitir. O TCP tambm implementa um mecanismo de controle de congestionamento. Clique no boto Reproduzir na figura para exibir a animao. A animao mostra como ocorre uma conversa TCP/IP. Os pacotes TCP so marcados com flags que denotam sua finalidade: SYN inicia (sincroniza) a sesso; ACK uma confirmao (ACK) de que o pacote aguardado foi recebido e FIN encerra a sesso. SYN/ACK confirma que a transferncia foi sincronizada. Entre os segmentos de dados TCP esto o protocolo de nvel mais alto necessrio ao direcionamento dos dados de aplicativo para o aplicativo correto. Clique no boto Nmeros de porta TCP/UDP na figura. O segmento de dados TCP tambm identifica a porta correspondente ao servio solicitado. Por exemplo, HTTP a porta 80, SMTP a porta 25 e FTP a porta 20 e 21. A figura mostra exemplos de portas UDP e TCP. Clique nos botes da figura para explorar portas TCP/UDP. Exibir meio visual

5.1.2 Filtragem de pacote Pgina 1: A filtragem de pacote, s vezes chamada de filtragem de pacote esttica, controla o acesso a uma rede, analisando os pacotes de entrada e de sada e transmitindo ou paralisando-os com base em critrios informados. Um roteador funciona como um filtro de pacote ao encaminhar ou negar pacotes de acordo com as regras de filtragem. Quando um pacote chega ao roteador de filtragem de pacote, o roteador extrai determinadas informaes do cabealho do pacote e toma decises de acordo com as regras do filtro quanto possibilidade do pacote ser transmitido ou descartado. A filtragem de pacote funciona na camada de rede do modelo de referncia OSI ou na camada de Internet do TCP/IP. Por ser um dispositivo da Camada 3, um roteador de filtragem de pacote utiliza regras para determinar se deve permitir ou negar trfego com base nos endereos IP de origem e de destino, na porta de origem e na porta de destino, alm do protocolo do pacote. Essas regras so definidas utilizando-se listas de controle de acesso ou ACLs. Lembre-se de que uma ACL uma lista sequencial de instrues de permisso ou negao que se aplicam a endereos IP ou protocolos de camada superior. A ACL pode extrair as seguintes informaes do cabealho do pacote, test-lo em relao s suas regras e tomar decises "permitir" ou "negar" com base em:
z z

Endereo IP de origem Endereo IP de destino

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 3 de 30

Tipo de mensagem ICMP

A ACL tambm pode extrair informaes de camada superior e test-las em relao s suas regras. Entre as informaes da camada superior esto:
z z

Porta de origem TCP/UDP Porta de destino TCP/UDP

Clique nos botes da figura para obter uma viso geral de como uma ACL permite ou nega um pacote. Embora as animaes exibam a filtragem de pacote que ocorre na Camada 3, preciso observar que a filtragem tambm poderia ocorrer na Camada 4. Exibir meio visual

Pgina 2: Exemplo de filtragem de pacote Para compreender o conceito de como um roteador utiliza a filtragem de pacote, imagine que um segurana foi colocado diante de uma porta fechada. As instrues do segurana so para permitir apenas as pessoas cujos nomes esto em uma lista para passar pela porta. O segurana est filtrando as pessoas com base nos critrios da presena de seus nomes na lista autorizada. Por exemplo, voc poderia dizer, "S permita acesso Web para usurios da rede A. Negue acesso Web para usurios da rede B, mas permita a eles todos os demais acessos". Consulte a figura para examinar o caminho de deciso utilizado pelo filtro de pacote para realizar essa tarefa. Para esse cenrio, o filtro de pacote observa todos os pacotes da seguinte forma:
z z

Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele ter permisso para passar. Todos os demais acessos so negados para esses usurios. Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele ser bloqueado. No entanto, todos os demais acessos so permitidos.

Este apenas um simples exemplo. Voc pode configurar vrias regras para ainda permitir ou negar servios a usurios especficos. Voc tambm pode filtrar pacotes no nvel de porta utilizando uma ACL estendida, abordada na Seo 3. Exibir meio visual

5.1.3 O que ACL? Pgina 1: ACL um script de configurao de roteador que controla se um roteador permite ou nega a passagem a pacotes com base nos critrios encontrados no cabealho de pacote. As ACLs esto entre os objetos mais utilizados no software IOS Cisco. As ACLs tambm so utilizadas para selecionar tipos de trfego a ser analisado, encaminhado ou processado de outras formas. Na medida em que cada pacote passa por uma interface com uma ACL associada, a ACL verificada de cima para baixo, uma linha por vez, procurando um padro correspondente ao pacote

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 4 de 30

de entrada. A ACL aplica uma ou mais polticas de segurana corporativas, aplicando uma regra de permisso ou negao para determinar o destino do pacote. As ACLs podem ser configuradas para controlar o acesso a uma rede ou sub-rede. Por padro, um roteador no tem nenhuma ACL configurada e, por isso, no filtra o trfego. O trfego que entra no roteador roteado de acordo com a tabela de roteamento. Se voc no utilizar as ACLs no roteador, todos os pacotes que puderem ser roteados pelo roteador passaro pelo roteador at o prximo segmento de rede. Aqui esto algumas diretrizes para utilizar ACLs:
z z z

Utilize as ACLs em roteadores de firewall colocados entre as suas redes interna e externa, como a Internet. Utilize as ACLs em um roteador colocado entre duas partes da sua rede para controlar o trfego que entra ou sai de uma determinada parte da sua rede interna. Configure as ACLs em roteadores de borda (roteadores situados nas extremidades das suas redes). Isso fornece um buffer muito bsico da rede externa ou entre uma rea menos controlada da sua prpria rede e uma rea mais confidencial da sua rede. Configure as ACLs para cada protocolo de rede configurado nas interfaces do roteador de borda. Voc pode configurar as ACLs em uma interface para filtrar o trfego de entrada, o trfego de sada ou ambos.

Clique no boto ACLs em um roteador na figura. Os trs Ps Uma regra geral para aplicar as ACLs em um roteador pode ser lembrada, basta memorizar os trs Ps. Voc pode configurar uma ACL por protocolo, por direo, por interface:
z z

Uma ACL por protocolo para controlar o fluxo de trfego em uma interface, uma ACL deve ser definida para cada protocolo habilitado na interface. Uma ACL por direo as ACLs controlam o trfego em uma direo por vez em uma interface. Duas ACLs separadas devem ser criadas para controlar os trfegos de entrada e de sada. Uma ACL por interface as ACLs controlam o trfego de uma interface, por exemplo, Fast Ethernet 0/0.

Escrever ACLs pode ser uma tarefa desafiante e complexa. Cada interface pode ter vrios protocolos e direes definidas. O roteador no exemplo tem duas interfaces configuradas para IP, AppleTalk e IPX. Esse roteador pode exigir 12 ACLs separadas: uma ACL para cada protocolo, duas para cada direo e duas para o nmero de portas. As ACLs executam as seguintes tarefas:
z

Limitam o trfego da rede para aumentar o desempenho da rede. Por exemplo, se a poltica corporativa no permitir trfego de vdeo na rede, as ACLs que bloqueiam o trfego de vdeo podero ser configuradas e aplicadas. Isso reduziria muito a carga de rede e aumentaria o desempenho da rede. Fornecer controle de fluxo do trfego. As ACLs podem restringir a entrega das atualizaes de roteamento. Se as atualizaes no forem obrigatrias por conta das condies de rede, a largura de banda ser preservada. Fornea um nvel bsico de segurana para o acesso rede. As ACLs podem permitir a um

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 5 de 30

z z z

host acessar uma parte da rede e impedir outro host de acessar a mesma rea. Por exemplo, o acesso rede de recursos humanos pode ser restringido para selecionar os usurios. Decida que tipos de trfego encaminhar ou bloquear nas interfaces do roteador. Por exemplo, uma ACL pode permitir trfego de email, mas bloqueia todo o trfego de Telnet. Controle as reas que um cliente pode acessar em uma rede. Os hosts na tela para permitir ou negar acesso a servios de rede. As ACLs podem permitir ou negar a um usurio o acesso a tipos de arquivo, como FTP ou HTTP.

As ACLs inspecionam pacotes de rede com base em critrios, como endereo de origem, endereo de destino, protocolos e nmeros de porta. Alm de permitir ou negar trfego, uma ACL pode classificar o trfego para habilitar o processamento por prioridades na linha. Esse recurso semelhante a ter uma passagem VIP para um show ou evento esportivo. A passagem VIP oferece privilgios a convidados selecionados no oferecidos a proprietrios de entradas, como poder entrar em uma rea restrita e ser escoltado at seus assentos. Exibir meio visual

5.1.4 Operao ACL Pgina 1: Como as ACLs funcionam As ACLs definem o conjunto de regras que do controle adicional para pacotes que entram por interfaces de entrada, pacotes retransmitidos pelo roteador e pacotes que saem pelas interfaces de sada do roteador. As ACLs no funcionam em pacotes com origem no prprio roteador. As ACLs so configuradas para se aplicar ao trfego de entrada ou ao trfego de sada.
z

ACLs de entrada os pacotes de entrada so processados antes de serem roteados para a interface de sada. Uma ACL de entrada ser eficiente porque evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se for permitido pelos testes, o pacote ser processado para roteamento. ACLs de sada os pacotes de entrada so roteados para a interface de sada e, em seguida, processados pela ACL de sada.

As instrues ACL funcionam em ordem sequencial. Elas avaliam pacotes em relao ACL, de cima para baixo, uma instruo por vez. A figura mostra a lgica de uma ACL de entrada. Se o cabealho de um pacote corresponder a uma instruo ACL, as demais instrues na lista sero ignoradas e o pacote ser permitido ou negado conforme determinao da instruo correspondente. Se o cabealho de um pacote no corresponder a uma instruo ACL, o pacote ser testado em relao prxima instruo da lista. Esse processo de comparao continua at o trmino da lista. Uma instruo includa no final abrange todos os pacotes para os quais as condies no se mostraram verdadeiras. Essa condio de teste final corresponde a todos os demais pacotes e resultados em uma instruo "negar". Em vez de continuar dentro ou fora de uma interface, o roteador ignora todos esses pacotes restantes. Essa instruo final costuma ser conhecida como "negar qualquer instruo implicitamente" ou "negar todo o trfego". Por conta dessa instruo, uma ACL deve ter pelo menos uma instruo de permisso; do contrrio, a ACL bloqueia todo o trfego. Voc pode aplicar uma ACL a vrias interfaces. No entanto, talvez s haja uma ACL por protocolo,

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 6 de 30

direo e interface. Clique no boto ACLs de sada na figura. A figura mostra a lgica de uma ACL de sada. Para que um pacote seja encaminhado para uma interface de sada, o roteador verifica a tabela de roteamento para ver se o pacote pode ser roteado. Se no puder ser roteado, o pacote ser ignorado. Em seguida, o roteador verifica se a interface de sada agrupada em uma ACL. Os exemplos de operao de ACL de sada so os seguintes:
z z

Se a interface de sada no for agrupada em uma ACL de sada, o pacote ser enviado diretamente para a interface de sada. Se a interface de sada for agrupada em uma ACL de sada, o pacote no ser enviado pela interface de sada at ser testado pela combinao de instrues ACL associadas a essa interface. Com base nos testes ACL, o pacote permitido ou negado.

Para listas de sada, "permitir" significa enviar o pacote para o buffer de sada e "negar" significa descart-lo. Exibir meio visual

Pgina 2: A ACL e o roteamento e os processos ACL em um roteador A figura mostra a lgica do roteamento e dos processos ACL em um roteador. Quando um pacote chega a uma interface do roteador, o processo do roteador o mesmo, independentemente das ACLs serem utilizadas ou no. medida que um quadro entra em uma interface, o roteador verifica se o destino do endereo da Camada 2 de destino corresponde ao seu ou se o quadro de broadcast. Se o endereo do quadro for aceito, as informaes do quadro sero removidas e o roteador verificar se h uma ACL na interface de entrada. Se houver uma ACL, o pacote agora ser testado em relao s instrues na lista. Se o pacote corresponder a uma instruo, ele ser aceito ou rejeitado. Se for aceito na interface, o pacote ser verificado em relao s entradas da tabela de roteamento para determinar a interface de destino e comutado para essa interface. Em seguida, o roteador verifica se a interface de destino tem uma ACL. Se houver uma ACL, o pacote ser testado em relao s instrues na lista. Se corresponder a uma instruo, o pacote ser aceito ou rejeitado. Se no houver nenhuma ACL ou o pacote for aceito, o pacote ser encapsulado no novo protocolo da Camada 2 e encaminhado pela interface para o prximo dispositivo. A instruo implcita do critrio "Negar todo o trfego" Ao final de toda lista de acesso, h uma instruo implcita do critrio "negar todo o trfego". Ela tambm conhecida s vezes como a instruo "deny any implcito". Por isso, se no corresponder a nenhuma das entradas ACL, um pacote ser bloqueado automaticamente. "negar todo o trfego" implcito o comportamento padro das ACLs, no podendo ser alterado. Existe uma advertncia chave associada a esse comportamento "negar tudo": para a maioria dos

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 7 de 30

protocolos, se definir uma lista de acesso de entrada para a filtragem de trfego, voc dever incluir instrues de critrios da lista de acesso explcitas para permitir atualizaes de roteamento. Se no fizer, voc poder efetivamente perder a comunicao com a interface quando as atualizaes de roteamento forem bloqueadas pela instruo implcita "negar todo o trfego" ao final da lista de acesso. Exibir meio visual

5.1.5 Tipos de ACLs Cisco Pgina 1: H dois tipos de ACLs Cisco, padro e estendida. ACLs padro As ACLs padro permitem a voc permitir ou negar trfego de endereos IP de origem. O destino do pacote e as portas envolvidas no importam. O exemplo permite todo o trfego da rede 192.168.30.0/24. Por conta da "negar tudo" implcita ao final, todo os demais trfegos so bloqueados com essa ACL. As ACLs padro so criadas no modo de configurao global. Clique no boto ACL estendida na figura. ACLs estendidas As ACLs estendidas filtram pacotes IP com base em vrios atributos, por exemplo, tipo de protocolo, endereo IP de origem, endereo IP de destino, portas TCP e UDP de origem, portas TCP e UDP de destino e informaes do tipo de protocolo opcionais para maior granularidade de controle. Na figura, a ACL 103 permite trfego com origem em qualquer endereo na rede 192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). As ACLs estendidas so criadas no modo de configurao global. Os comandos para ACLs so explicados nos prximos tpicos. Exibir meio visual

5.1.6 Como uma ACL padro funciona Pgina 1: Uma ACL padro uma coleo sequencial de condies para permitir e negar que se aplicam a endereos IP. O destino do pacote e as portas envolvidas no so abordados. O processo de deciso est mapeado na figura. O software IOS Cisco testa endereos em relao s condies individualmente. A primeira correspondncia determina se o software aceita ou rejeita o endereo. Como o software para de testar condies depois da primeira correspondncia, a ordem das condies essencial. Se nenhuma condio corresponder, o endereo ser rejeitado. As duas tarefas principais envolvidas na utilizao das ACLs so as seguintes: Etapa 1. Criar uma lista de acesso, especificando um nmero da lista de acesso ou nome e condies de acesso. Etapa 2. Aplicar a ACL a interfaces ou linhas de terminal. Exibir meio visual

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 8 de 30

5.1.7 Numerando e nomeando ACLs Pgina 1: Utilizar ACLs numeradas um mtodo efetivo para determinar o tipo de ACL em redes menores com trfego definido de maneira mais homognea. No entanto, um nmero no informa a finalidade da ACL. Por essa razo, comeando pelo IOS Cisco release 11.2, voc pode utilizar um nome para identificar uma ACL Cisco. A figura sumariza a regra para designar as ACLs numeradas e as ACLs nomeadas. Em relao a ACLs numeradas, caso voc esteja se perguntando por que os nmeros de 200 a 1.299 so ignorados, porque esses nmeros so utilizados por outros protocolos. Este curso s aborda ACLs IP. Por exemplo, os nmeros de 600 a 699 so utilizados por AppleTalk, e os nmeros de 800 a 899 so utilizados por IPX. Exibir meio visual

5.1.8 Onde colocar ACLs Pgina 1: A localizao apropriada de uma ACL para filtrar trfego indesejvel faz a rede operar com mais eficincia. As ACLs podem agir como firewalls para filtrar pacotes e eliminar o trfego indesejvel. Onde voc coloca as ACLs pode reduzir o trfego desnecessrio. Por exemplo, o trfego a ser negado em um destino remoto no deve utilizar recursos de rede ao longo da rota at esse destino. Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficincia. As regras bsicas so:
z z

Localize as ACLs estendidas mais prximas da origem do trfego negado. Dessa forma, o trfego indesejvel filtrado sem atravessar a infraestrutura de rede. Como as ACLs padro no especificam endereos de destino, coloque-as o mais prximo possvel do destino.

Consideremos um exemplo de onde colocar as ACLs na nossa rede. A interface e o local de rede se baseiam naquilo que voc deseja que a ACL faa. Na figura, o administrador deseja impedir o trfego com origem na rede 192.168.10.0/24 de chegar rede 192.168.30.0/24. Uma ACL na interface de sada de R1 tambm nega a R1 a possibilidade de enviar trfego a outros locais. A soluo colocar uma ACL padro na interface de entrada de R3 a fim de parar todo o trfego do endereo de origem 192.168.10.0/24. Uma ACL padro s atende s necessidades porque se preocupa com os endereos IP de origem. Clique no boto ACL estendida na figura. Considere que os administradores s podem colocar as ACLs em dispositivos que eles controlem. Por isso, o local deve ser determinado dentro do contexto de at onde o controle do administrador de rede se estende. Nesta figura, o administrador das redes 192.168.10.0/24 e 192.168.11.0/24 (conhecidas como Dez e Onze, respectivamente, neste exemplo) deseja negar o trfego Telnet e FTP de Onze para a rede 192.168.30.0/24 (Trinta, neste exemplo). Ao mesmo tempo, outro trfego deve ter permisso para deixar Dez.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 9 de 30

H vrias formas de fazer isso. Uma ACL estendida em R3 que bloqueasse Telnet e FTP em Onze realizaria a tarefa, mas o administrador no controla R3. Alm disso, essa soluo ainda permite ao trfego indesejado cruzar toda a rede apenas para ser bloqueado no destino. Isso afeta a eficincia geral da rede. Uma soluo utilizar uma ACL estendida de sada que especifique os endereos de origem e de destino (Onze e Trinta, respectivamente) e diga "O trfego Telnet e FTP de Onze no pode ir para Trinta". Coloque essa ACL estendida na porta de sada S0/0/0 de R1. Uma desvantagem dessa soluo que esse trfego de Dez tambm estaria sujeito a algum processamento por parte da ACL, embora o trfego Telnet e FTP seja permitido. A melhor soluo se aproximar da origem e colocar uma ACL estendida na interface de entrada Fa0/2 de R1. Isso assegura que pacotes de Onze no entram em R1 e, subsequentemente, no podem cruzar Dez ou mesmo entrar em R2 ou R3. O trfego com outros endereos de destino e portas ainda permitido em R1. Exibir meio visual

5.1.9 Diretrizes gerais para criar ACLs Pgina 1: Prticas recomendadas ACL A utilizao das ACLs exige ateno a detalhes e muito cuidado. Equvocos podem sair caros em termos de indisponibilidade, identificao e soluo de problemas e um servio de rede ruim. Antes de comear a configurar uma ACL, o planejamento bsico obrigatrio. A figura apresenta diretrizes que formam a base de uma lista de prticas recomendadas da ACL. Exibir meio visual

Pgina 2: Exibir meio visual

5.2 Configurando ACLs padro

5.2.1 Inserindo instrues de critrios Pgina 1: Antes de comear a configurar uma ACL padro, revisaremos conceitos importantes da ACL abordados na Seo 1. Lembre-se de que, ao entrar no roteador, o trfego comparado com instrues ACL com base na ordem em que ocorrem as entradas no roteador. O roteador continua processando as instrues ACL at que haja uma correspondncia. Por essa razo, voc deve ter a entrada ACL mais utilizada na parte superior da lista. Se nenhuma correspondncia for encontrada quando o roteador chegar ao final da lista, o trfego ser negado porque as ACLs tm uma negao implcita para todo o trfego que no atenda a nenhum dos critrios testados. Uma ACL nica com apenas uma entrada de negao tem o efeito de negar todo o trfego. Voc deve ter pelo menos uma instruo de permisso em uma ACL, ou todo o trfego ser bloqueado.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 10 de 30

Por exemplo, as duas ACLs (101 e 102) na figura tm o mesmo efeito. A rede 192.168.10.0 teria permisso para acessar a rede 192.168.30.0, mas 192.168.11.0, no. Exibir meio visual

5.2.2 Configurando uma ACL padro Pgina 1: Lgica da ACL padro Na figura, os pacotes que chegam por Fa0/0 so verificados em relao aos seus endereos de origem: access-list 2 deny host 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255 Se forem permitidos, os pacotes sero roteados pelo roteador para uma interface de sada. Se no forem permitidos, os pacotes sero ignorados na interface de entrada. Exibir meio visual

Pgina 2: Configurando ACLs padro Para configurar ACLs padro numeradas em um roteador Cisco, voc deve primeiro criar a ACL padro e ativar a ACL em uma interface. O comando no modo de configurao global access-list define uma ACL padro com um nmero no intervalo de 1 a 99. O software IOS Cisco release 12.0.1 estendeu esses nmeros, permitindo de 1300 a 1999 fornecer um mximo de 799 ACLs padro possveis. Esses nmeros adicionais so conhecidos como ACLs IP expandidas. A sintaxe completa do comando ACL padro a seguinte: Router(config)#access-list access-list-number [deny | permit | remark] source [source-wildcard] [log] A sintaxe completa do comando da ACL padro para filtrar um determinado host a seguinte: Router(config)#access-list access-list-number [deny | permit] source [log] A figura fornece uma explicao detalhada da sintaxe de uma ACL padro. Por exemplo, para criar uma ACL numerada designada 10 que permitisse a rede 192.168.10.0 /24, voc digitaria: R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 11 de 30

Clique no boto Remover ACL na figura. A forma no desse comando remove uma ACL padro. Na figura, a sada do comando show accesslist exibe as ACLs atuais configuradas no roteador R1. Para remover a ACL, o comando no modo de configurao global no access-list utilizado. A emisso do comando show access-list confirma se a lista de acesso 10 foi removida. Clique no boto Comentrio na figura. Normalmente, os administradores criam ACLs e compreendem perfeitamente todas as finalidades de cada instruo dentro da ACL. No entanto, quando uma ACL for revista mais tarde, talvez no seja to bvia quanto j foi. A palavra-chave remark utilizada na documentao e facilita muito a compreenso das listas de acesso. Cada comentrio limitado a 100 caracteres. A ACL na figura, embora bastante simples, utilizada para fornecer um exemplo. Durante a reviso da ACL na configurao, o comentrio tambm exibido. O prximo tpico explica como utilizar a mscara curinga para identificar redes especficas e hosts. Exibir meio visual

5.2.3 Mscara curinga ACL Pgina 1: Mascaramento curinga Entre as instrues ACLs esto mscaras, tambm chamadas de mscaras curinga. Mscara curinga uma string de dgitos binrios que informam ao roteador que partes do nmero da sub-rede observar. Embora no tenham nenhuma relao funcional com mscaras de sub-rede, as mscaras curinga fornecem uma funo semelhante. A mscara determina a proporo de um endereo IP de origem ou de destino a ser aplicada correspondncia de endereo. Os nmeros 1 e 0 na mscara identificam como tratar os bits de endereo IP correspondentes. No entanto, eles so utilizados para fins diferentes, seguindo regras diferentes. As mscaras curinga e de sub-rede tm 32 bits e utilizam 1s e 0s binrios. As mscaras de sub-rede utilizam 1s e 0s binrios para identificar a rede, a sub-rede e a poro de host de um endereo IP. As mscaras curinga utilizam 1s e 0s binrio para filtrar endereos IP individuais ou grupos e permitir ou negar acesso a recursos com base em um endereo IP. Definindo mscaras curinga com cuidado, voc pode permitir ou negar um ou vrios endereos IP As mscaras curinga e de sub-rede so diferentes quanto forma com que comparam 1s e 0s binrios. As mscaras curinga utilizam as seguintes regras para comparar 1s e 0s binrios:
z z

Bit da mscara curinga 0 comparar o valor do bit correspondente no endereo Bit da mscara curinga 1 ignorar o valor do bit correspondente no endereo

A figura explica como mscaras curinga diferentes filtram endereos IP. Ao observar o exemplo, lembre-se de que o 0 binrio significa uma correspondncia e que o 1 binrio significa ignorar. Nota: as mscaras curinga costumam ser conhecidas como mscaras inversas. A razo que, diferentemente de uma mscara de sub-rede na qual o 1 binrio igual a uma correspondncia e 0

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 12 de 30

binrio, no, o inverso verdadeiro. Clique no boto Exemplo de mscara curinga na figura. Utilizando uma mscara curinga A tabela na figura mostra os resultados da aplicao de uma mscara curinga 0.0.255.255 a um endereo IP de 32 bits. Lembre-se de que um 0 binrio indica um valor correspondente. Exibir meio visual

Pgina 2: Mscaras curinga correspondentes a sub-redes IP O clculo da mscara curinga pode ser um pouco confuso inicialmente. A figura fornece trs exemplos de mscaras curinga. O primeiro exemplo que a mscara curinga estipula de que todo bit no IP 192.168.1.1 deve corresponder exatamente. A mscara curinga equivale mscara de sub-rede 255.255.255.255. No segundo exemplo, a mscara curinga estipula que qualquer coisa corresponder. A mscara curinga equivale mscara de sub-rede 0.0.0.0. No terceiro exemplo, a mscara curinga estipula que corresponder a qualquer host dentro da rede 192.168.1.0 /24. A mscara curinga equivale mscara de sub-rede 255.255.255.0. Esses exemplos foram bastante simples e diretos. No entanto, o clculo de mscaras curinga pode ficar um pouco mais difcil. Clique no boto Mscara curinga 2 na figura. Os dois exemplos na figura so mais complicados do que os trs ltimos que voc exibiu. No exemplo 1, os dois primeiros octetos e os quatro primeiros bits do terceiro octeto devem corresponder exatamente. Os ltimos quatro bits no terceiro octeto e o ltimo octeto podem ser qualquer nmero vlido. Isso resulta em uma mscara que verifica de 192.168.16.0 a 192.168.31.0 O Exemplo 2 mostra uma mscara curinga que corresponde aos dois primeiros octetos, e o bit menos significativo no terceiro octeto. O ltimo octeto e os sete primeiros bits no terceiro octeto podem ser qualquer nmero vlido. O resultado uma mscara que permitiria ou negaria todos os hosts de sub-redes mpares dentro da rede principal 192.168.0.0. O clculo das mscaras curinga pode ser difcil, mas voc pode fazer isso facilmente, subtraindo a mscara de sub-rede de 255.255.255.255. Clique no boto Exemplo 1 na figura. Por exemplo, suponhamos que voc queira permitir o acesso a todos os usurios da rede 192.168.3.0. Subtraia a mscara de sub-rede, que 255.255.255.0 de 255.255.255.255, conforme a indicao na figura. A soluo produz a mscara curinga 0.0.0.255. Clique no boto Exemplo 2 na figura. Agora suponhamos que voc queira permitir o acesso rede para os 14 usurios da sub-rede 192.168.3.32 /28. Como a mscara da sub-rede IP 255.255.255.240, use 255.255.255.255 e

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 13 de 30

subtraia da mscara de sub-rede 255.255.255.240. Desta vez, a soluo produz a mscara curinga 0.0.0.15. Clique no boto Exemplo 3 na figura. Neste terceiro exemplo, suponhamos que voc queira apenas comparar as redes 192.168.10.0 e 192.168.11.0. Novamente, voc usa 255.255.255.255 e subtrai a mscara de sub-rede normal, que, neste caso, seria 255.255.254.0. O resultado 0.0.1.255. Ainda que voc possa obter o mesmo resultado com duas instrues, como: R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.11.0 0.0.0.255 muito mais eficiente configurar a mscara curinga como: R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255 Isso pode no parecer mais eficiente, mas quando voc considera se quis comparar a rede 192.168.16.0 a 192.168.31.0 da seguinte forma: R1(config)# access-list 10 permit 192.168.16.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.17.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.18.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.19.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.21.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.22.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.23.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.24.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.25.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.26.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.27.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.28.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.29.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.30.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.31.0 0.0.0.255 Voc pode ver que a configurao da seguinte mscara curinga a torna mais eficiente: R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255 Exibir meio visual

Pgina 3: Palavras-chave de mscara curinga Trabalhar com representaes decimais de bits de mscara curinga binrios pode ser entediante. Para simplificar essa tarefa, as palavras-chave host e any ajudam a identificar as utilizaes mais comuns da mscara curinga. Essas palavras-chave eliminam a entrada de mscaras curinga durante a identificao de um host especfico ou rede. Elas tambm facilitam a leitura de uma ACL, fornecendo dicas visuais sobre a origem ou destino dos critrios.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 14 de 30

z z

A opo host substitui a msc 0.0.0.0. Essa msc informa que todos os bits de ara ara endereo IP devem c orresponder ou apenas um host c orrespondente. A opo any substitui o endereo IP e a msc 255.255.255.255. Essa msc diz para ara ara ignorar todo o endereo IP ou ac eitar qualquer endereo.

Exemplo 1: Processo de mscara curinga com um nico endereo IP No exemplo, em vez de inserir 192.168.10.10 0.0.0.0, voc pode utilizar host 192.168.10.10. Exemplo 2: Processo de mscara curinga com a correspondncia de qualquer endereo IP No exemplo, em vez de inserir 0.0.0.0 255.255.255.255, voc pode utilizar a palavra-c have any sozinha. Exibir meio visual

Pgina 4: As palavras-chave any e host Nesta figura, temos dois exemplos. O Exemplo 1 est exibindo c omo utilizar a opo any para substituir 0.0.0.0 para o endereo IP c uma msc c om ara uringa 255.255.255.255. O Exemplo 2 est exibindo c omo utilizar a opo host para substituir a msc c ara uringa. Exibir meio visual

5.2.4 Aplicando ACLs padro a interfaces Pgina 1: Procedimentos de configurao da ACL padro Depois de ser c onfigurada, a ACL padro vinc ulada a uma interfac utilizando-se o c e omando ip access-group: Router(c onfig-if)#ip access-group {access-list-number | access-list-name} {in | out} Para remover uma ACL de uma interfac primeiro digite o c e, omando no ip access-group na interfac e, em seguida, o c e omando global no access-list para remover toda a ACL. A figura lista as etapas e a sintaxe para c onfigurar e aplic uma ACL padro numerada em um ar roteador. Clique no boto Exemplo 1 na figura para obter um exemplo de uma ACL que permita uma nic a rede. Essa ACL s permite ao trfego da rede de origem 192.168.10.0 ser enc aminhado por S0/0/0. O trfego das redes que no sejam 192.168.10.0 bloqueado. A primeira linha identific a ACL c a omo lista de ac esso 1. Ela permite o trfego c orrespondente aos parmetros selec ionados. Nesse c aso, o endereo IP e a msc c ara uringa que identific a rede de am origem so 192.168.10.0 0.0.0.255. Lembre-se de que h uma instruo negar tudo implc ita equivalente ao adic ionar a linha access-list 1 deny 0.0.0.0 255.255.255.255.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 15 de 30

O comando de configurao da interface ip access-group 1 out vincula a ACL 1 interface Serial 0/0/0 como um filtro de sada. Por isso, a ACL 1 s permite a hosts da rede 192.168.10.0 /24 sair do roteador R1. Ela nega qualquer outra rede, inclusive a rede 192.168.11.0. Clique no boto Exemplo 2 na figura para obter um exemplo de uma ACL que negue um host especfico. Essa ACL substitui o exemplo anterior, mas tambm bloqueia o trfego de um endereo especfico. O primeiro comando exclui a verso anterior da ACL 1. A prxima instruo da ACL nega o host de PC1 localizado em 192.168.10.10. Qualquer outro host na rede 192.168.10.0 /24 permitido. Mais uma vez, as instrues negar implcitas correspondem a todas as demais redes. A ACL novamente reaplicada interface S0/0/0 em uma direo de sada. Clique no boto Exemplo 3 na figura para obter um exemplo de uma ACL que negue um host especfico e permita algumas sub-redes. Essa ACL substitui o exemplo anterior, mas ainda bloqueia o trfego do PC1 de host. Ela tambm permite a todo o outro trfego de rede local sair do roteador R1. Os dois primeiros comandos so iguais aos do exemplo anterior. O primeiro comando exclui a verso anterior da ACL 1 e a prxima instruo da ACL nega o host de PC1 localizado em 192.168.10.10. A terceira linha nova e permite todos os hosts das redes 192.168.x.x /16. Isso agora significa que todos os hosts da rede 192.168.10.0 /24 ainda correspondem, mas agora os hosts da rede 192.168.11.0, tambm. A ACL novamente reaplicada interface S0/0/0 em uma direo de sada. Por isso, ambas as redes locais conectadas ao roteador R1 podem deixar a interface S0/0/0 com exceo do host de PC1. Exibir meio visual

Pgina 2: Utilizando uma ACL para controlar o acesso VTY A Cisco recomenda a utilizao de SSH em conexes administrativas para roteadores e switches. Se a imagem do software IOS Cisco em seu roteador no d suporte a SSH, voc pode melhorar parcialmente a segurana das linhas administrativas, restringindo o acesso a VTY. Restringir o acesso a VTY uma tcnica que permite definir quais endereos IP tm permisso de acesso Telnet ao processo EXEC do roteador. Voc pode controlar qual estao de trabalho administrativa ou rede gerencia o seu roteador com uma ACL e uma instruo access-class para as suas linhas VTY. Voc tambm pode utilizar essa tcnica com SSH mais melhorar ainda mais a segurana do acesso administrativo. O comando access-class no modo de configurao da linha restringe conexes de entrada e de sada entre um VTY especfico (em um dispositivo Cisco) e os endereos em uma lista de acesso. As listas de acesso padro e estendida se aplicam a pacotes que percorrem um roteador. Elas no foram projetadas para bloquear pacotes com origem dentro do roteador. Por padro, uma ACL estendida de Telnet de sada no impede sesses Telnet iniciadas por roteador.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 16 de 30

A filtragem do trfego Telnet normalmente considerada uma funo da ACL IP estendida porque filtra um protocolo de nvel mais alto. No entanto, como voc est utilizando o comando accessclass para filtrar sesses Telnet de entrada ou de sada pelo endereo de origem e aplicar filtragem a linhas VTY, voc pode utilizar instrues ACL padro para controlar acesso a VTY. A sintaxe do comando access-class : access-class access-list-number {in [vrf-also] | out} O parmetro in restringe conexes de entrada entre um dispositivo Cisco e os endereos na lista de acesso, e o parmetro out restringe conexes de sada entre um determinado dispositivo Cisco e os endereos na lista de acesso. Um exemplo que permite VTY 0 e 4 mostrado na figura. Por exemplo, a ACL na figura configurada para permitir a redes 192.168.10.0 e 192.168.11.0 acessar VTYs de 0 a 4. Todas as demais redes tm acesso negado a VTYs. O seguinte deve ser considerado durante a configurao das listas de acesso em VTYs:
z

As restries idnticas devem ser definidas em todos os VTYs, porque um usurio pode tentar se conectar a um deles.

Exibir meio visual

5.2.5 Editando ACLs numeradas Pgina 1: Editando ACLs numeradas Durante a configurao de uma ACL, as instrues so adicionadas na ordem em que so inseridas no final da ACL. No entanto, no h nenhum recurso de edio interno que permita editar uma alterao em uma ACL. Voc no pode inserir ou excluir linhas de maneira seletiva. altamente recomendvel que qualquer ACL seja criada em um editor de texto, como o Bloco de Notas da Microsoft. Isso permite a voc criar ou editar a ACL e, em seguida, col-la no roteador. Em relao a uma ACL existente, voc poderia utilizar o comando show running-config para exibir a ACL, copiar e col-la no editor de texto, fazer as alteraes necessrias e recarreg-la. Por exemplo, suponhamos que o endereo IP de host na figura tenha sido digitado incorretamente. Em vez do host 192.168.10.100, deveria ter sido o host 192.168.10.11. Aqui esto as etapas para editar e corrigir a ACL 20: Etapa 1. Exibir a ACL utilizando o comando show running-config. O exemplo na figura utiliza a palavra-chave include para exibir apenas as instrues ACL. Etapa 2. Realar a ACL, copiar e col-la para o Bloco de Notas da Microsoft. Edite a lista conforme exigido. Quando a ACL for exibida corretamente no Bloco de Notas da Microsoft, realce-a e copie. Etapa 3. No modo de configurao global, desabilite a lista de acesso utilizando o comando no access-list 20. Do contrrio, as novas instrues seriam adicionadas ACL existente. Em seguida, cole a nova ACL na configurao do roteador.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 17 de 30

Deve-se mencionar que durante a utilizao do comando no access-list, nenhuma ACL est protegendo a sua rede. Alm disso, lembre-se de que, se cometer um erro na nova lista, voc ter que desabilit-la e identificar e solucionar o problema. Nesse caso, mais uma vez, a sua rede no tem nenhuma ACL durante o processo de correo. Exibir meio visual

Pgina 2: Comentando ACLs Voc pode utilizar a palavra-chave remark para incluir comentrios sobre entradas em qualquer ACL padro ou estendida. Os comentrios simplificam a compreenso e a verificao da ACL. Cada linha de comentrio limitada a 100 caracteres. O comentrio pode ficar antes ou depois de uma instruo permit ou deny. Voc deve manter a consistncia quanto ao local onde coloca o comentrio para que fique claro o que cada um descreve em relao a instrues permit ou deny. Por exemplo, seria confuso ter alguns comentrios antes das instrues permit ou deny associadas e outros depois. Para incluir um comentrio sobre as ACLs padro ou estendida numeradas por IP, utilize o comando de configurao global access-list access-list number remark remark. Para remover o comentrio, utilize a forma no desse comando. No primeiro exemplo, a ACL padro permite o acesso estao de trabalho que pertence a Jones e nega acesso estao de trabalho que pertence a Smith. Para uma entrada em uma ACL nomeada, utilize o comando de configurao remark. Para remover o comentrio, utilize a forma no desse comando. O segundo exemplo mostra uma ACL nomeada estendida. Lembre-se da definio anterior de ACLs estendidas, de que elas so utilizadas para controlar nmeros de porta especficos ou servios. No segundo exemplo, o comentrio diz que a estao de trabalho de Jones no tem permisso para utilizar Telnet de sada. Exibir meio visual

5.2.6 Criando ACLs nomeadas padro Pgina 1: Nomear uma ACL facilita a compreenso de sua funo. Por exemplo, uma ACL para negar FTP poderia se chamar NO_FTP. Quando voc identifica a sua ACL com um nome em vez de um nmero, o modo de configurao e a sintaxe do comando so um pouco diferentes. A figura mostra as etapas para criar uma ACL nomeada padro. Etapa 1. Comeando no modo de configurao global, utilizar o comando ip access-list para criar uma ACL nomeada. Os nomes de ACL so alfanumricos, devendo ser exclusivos e no comear com um nmero. Etapa 2. No modo de configurao da ACL nomeada, utilizar as instrues permit ou deny para especificar uma ou mais condies e determinar se um pacote foi encaminhado ou ignorado. Etapa 3. Retornar ao modo EXEC privilegiado com o comando end. Clique no boto Exemplo na figura.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 18 de 30

Na figura, a sada do comando da tela mostra os comandos utilizados para configurar uma ACL nomeada padro no roteador R1, a interface Fa0/0 que nega ao host 192.168.11.10 acesso rede 192.168.10.0. Usar maisculas em nomes da ACL no obrigatrio, mas os destaca durante a exibio da sada do comando running-config. Exibir meio visual

5.2.7 Monitorando e verificando ACLs Pgina 1: Quando voc concluir a configurao de uma ACL, utilize os comandos show do IOS Cisco para verificar a configurao. Na figura, o exemplo superior mostra a sintaxe do IOS Cisco para exibir o contedo de todas as ACLs. O exemplo inferior mostra o resultado da emisso do comando show access-lists no roteador R1. Os nomes de ACL em maisculas, VENDAS e ENG, se destacam na sada do comando na tela. Lembre-se de que voc comeou configurando as ACLs inicialmente; voc quis implementar as polticas de segurana da sua organizao. Agora que voc verificou se as ACLs esto configuradas conforme desejado, a prxima etapa confirmar se as ACLs funcionam conforme planejado. As diretrizes discutidas anteriormente nesta seo sugerem que voc configure as ACLs em uma rede de teste e implemente as ACLs testadas na rede de produo. Embora uma discusso sobre como preparar um cenrio de teste da ACL esteja alm do escopo deste curso, voc precisa saber que confirmar se as suas ACLs funcionam conforme o planejado pode ser um processo complexo e demorado. Exibir meio visual

5.2.8 Editando ACLs nomeadas Pgina 1: As ACLs nomeadas tm uma grande vantagem sobre as ACLs numeradas por serem mais fceis de editar. Comeando pelo software IOS Cisco release 12.3, as ACLs IP nomeadas permitem excluir entradas individuais em uma ACL especfica. Voc pode usar nmeros de sequncia para inserir instrues em qualquer lugar da ACL nomeada. Se estiver utilizando uma verso anterior do software IOS Cisco, voc s poder adicionar instrues na parte inferior da ACL nomeada. Como pode excluir entradas individuais, voc pode modificar a sua ACL sem ter que excluir e, em seguida, reconfigurar toda a ACL. O exemplo na figura mostra uma ACL aplicada interface S0/0/0 de R1. Ela restringiu o acesso ao servidor Web. Observando este exemplo, voc pode ver duas coisas que ainda no viu neste curso: Clique no boto Sada do roteador na figura.
z z

Na primeira sada do comando show, voc pode ver que a ACL nomeada WEBSERVER tem trs linhas numeradas que indicam regras de acesso para o servidor Web. Conceder acesso a outra estao de trabalho na lista requer apenas a insero de uma linha numerada. No exemplo, a estao de trabalho com o endereo IP 192.168.11.10 est sendo adicionada. A sada do comando show verifica se a nova estao de trabalho agora tem permisso.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 19 de 30

Exibir meio visual

Pgina 2: As ACLs padro so scripts de configurao de roteador que controlam se um roteador permite ou nega pacotes com base no endereo de origem. Esta atividade vai ensinar a definir critrios de filtragem, configurar as ACLs padro, aplicar as ACLs a interfaces de roteador e verificar e testar a implementao da ACL. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

5.3 Configurando ACLs estendidas

5.3.1 ACLs estendidas Pgina 1: Testando pacotes com ACLs estendidas Para obter um controle de filtragem de trfego mais preciso, voc pode utilizar ACLs estendidas numeradas de 100 a 199 e de 2.000 a 2.699, fornecendo um total de 800 ACLs estendidas possveis. As ACLs estendidas tambm podem ser nomeadas. As ACLs estendidas so mais utilizadas que as ACLs padro porque fornecem um intervalo maior de controle e, por isso, acrescentam sua soluo de segurana. Assim como as ACLs padro, as ACLs estendidas verificam os endereos do pacote de origem, mas tambm verificam o endereo de destino, protocolos e nmeros de porta (ou servios). Isso proporciona um nmero maior de critrios nos quais a ACL se baseia. Por exemplo, uma ACL estendida pode permitir trfego de email simultaneamente de uma rede para um destino especfico enquanto nega transferncias de arquivos e navegao na Web. A figura mostra o caminho de deciso lgico utilizado por uma ACL estendida criada para filtragem com base nos endereos de origem e de destino, no protocolo e nos nmeros de porta. Neste exemplo, a ACL filtra primeiro o endereo de origem e, em seguida, a porta e o protocolo da origem. Em seguida, ela filtra o endereo de destino, a porta e o protocolo do destino e toma uma deciso final de permitir ou negar. Lembre-se de que, como as entradas so processadas em ACLs uma depois da outra, uma deciso 'No' no necessariamente equivale a 'Negar'. Na medida em que voc passa pelo caminho de deciso lgico, observe que um 'No' significa ir para a prxima entrada at que todas as entradas sejam testadas. Somente quando todas as entradas foram processadas que a deciso 'Permitir' ou 'Negar' finalizada. A prxima pgina fornece um exemplo de uma ACL estendida. Exibir meio visual

Pgina 2:

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 20 de 30

Testando portas e servios A possibilidade de filtrar com base no protocolo e no nmero da porta permite criar ACLs estendidas muito especficas. Utilizando o nmero de porta apropriado, voc pode especificar um aplicativo, configurando o nmero de porta ou o nome de uma porta bem conhecida. A figura mostra alguns exemplos de como um administrador especifica um nmero de porta TCP ou UDP, colocando-o no final da instruo da ACL estendida. Operaes lgicas podem ser utilizadas, como igual (eq), diferente (neq), maior que (gt) e menor que (lt). Clique no boto Portas na figura. A figura mostra como gerar uma lista dos nmeros de porta e palavras-chave que voc pode utilizar enquanto cria uma ACL utilizando R1(config)#access-list 101 permit tcp any eq ? . Exibir meio visual

5.3.2 Configurando ACLs estendidas Pgina 1: As etapas procedurais para configurar as ACLs estendidas so iguais a ACLs padro: voc primeiro cria a ACL estendida e s ento a ativa em uma interface. No entanto, a sintaxe do comando e os parmetros so mais complexos para dar suporte aos recursos adicionais fornecidos por ACLs estendidas. A figura mostra a sintaxe do comando comum para ACLs estendidas. O campo de rolagem fornece detalhes das palavras-chave e dos parmetros. Na medida em que avana neste captulo, h explicaes e exemplos que ampliaro ainda mais a sua compreenso. Clique no boto Configurando ACLs estendidas na figura. A figura mostra um exemplo de como voc poderia criar uma ACL estendida especfica para as suas necessidades de rede. Neste exemplo, o administrador de rede precisa restringir o acesso Internet para permitir apenas a navegao no site. A ACL 103 se aplica ao trfego que deixa a rede 192.168.10.0 e a ACL 104 ao trfego que chega rede. A ACL 103 atende primeira parte do requisito. Ela permite ao trfego proveniente de qualquer endereo na rede 192.168.10.0 ir para qualquer destino, estando sujeito limitao do trfego chegar apenas at as portas 80 (HTTP) e 443 (HTTPS). A natureza de HTTP exige que esse trfego volte na rede, mas o administrador de rede quer restringir esse trfego a trocas HTTP nos sites solicitados. A soluo em segurana deve negar qualquer outro trfego que chega at a rede. A ACL 104 faz isso bloqueando todo o trfego de entrada, exceto pelas conexes estabelecidas. HTTP estabelece conexes que comeam pela solicitao original e passam pela troca de mensagens ACK, FIN e SYN. Observe que o exemplo utiliza o parmetro established. Esse parmetro permite a respostas trafegar com origem na rede 192.168.10.0 /24 e retornar entrada em s0/0/0. Uma correspondncia ocorrer se o datagrama TCP tiver os bits ACK ou de redefinio (RST) definidos, o que indica que o pacote pertence a uma conexo existente. Com o parmetro established, o roteador permitir apenas ao trfego estabelecido voltar e bloquear todos os demais trfegos. Exibir meio visual

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 21 de 30

5.3.3 Aplicando ACLs estendidas a interfaces Pgina 1: Nos diga como configurar uma lista de acesso estendida, aproveitando o exemplo anterior. Lembrese de que ns queremos permitir aos usurios navegar em sites seguros e no seguros. Primeiro considere se o trfego que voc deseja filtrar est entrando ou saindo. A tentativa de acessar sites na Internet trfego saindo. Receber emails na Internet trfego entrando na empresa. No entanto, durante a considerao de como aplicar uma ACL a uma interface, entrar e sair ganham significados diferentes, dependendo do ponto de vista. No exemplo da figura, R1 tem duas interfaces. Ela tem uma porta serial, S0/0/0, e uma porta Fast Ethernet, Fa0/0. O trfego de Internet que chega entra pela interface S0/0/0, mas sai pela interface Fa0/0 para alcanar PC1. O exemplo aplica a ACL interface serial em ambas as direes. Clique no boto Negar FTP na figura. Este um exemplo da negao de trfego FTP na sub-rede 192.168.11.0 para a sub-rede 192.168.10.0, mas que permite todo o trfego restante. Observe a utilizao de mscaras curinga. Lembre-se de que, como o FTP exige as portas 20 e 21, voc precisa especificar ambas eq 20 e eq 21 para negar FTP. Com ACLs estendidas, voc pode escolher utilizar nmeros de porta como os do exemplo ou chamar uma porta bem conhecida pelo nome. Em um exemplo anterior de uma ACL estendida, as instrues foram anotadas da seguinte forma: access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data Observe que para FTP, ftp e ftp-data devem ser mencionados. Clique no boto Negar Telnet na figura. Este exemplo nega trfego Telnet de 192.168.11.0, mas permite todo o trfego IP restante de qualquer outra origem para qualquer destino de entrada em Fa0/1. Observe a utilizao das palavras-chave any, o que significa de qualquer lugar para qualquer lugar. Exibir meio visual

5.3.4 Criando ACLs estendidas nomeadas Pgina 1: Voc pode criar ACLs estendidas nomeadas basicamente da mesma forma como criou ACLs padro nomeadas. Os comandos para criar uma ACL nomeada so diferentes para ACLs padro e estendidas. Comeando no modo EXEC privilegiado, siga estas etapas para criar uma ACL estendida utilizando nomes. Etapa 1. Comeando no modo de configurao global, utilizar o comando ip access-list extended name para definir uma ACL estendida nomeada.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 22 de 30

Etapa 2. No modo de configurao da ACL nomeada, especificar as condies que voc deseja permitir ou negar. Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comando show accesslists [number | name]. Etapa 4. Como opo e etapa recomendada, salvar as suas entradas no arquivo de configurao com o comando copy running-config startup-config. Para remover uma ACL estendida nomeada, utilize o comando no modo de configurao global no ip access-list extended name. A figura mostra a verso nomeada da ACL criada anteriormente. Exibir meio visual

Pgina 2: As ACLs estendidas so scripts de configurao de roteador que controlam se um roteador permite ou nega pacotes com base no endereo de origem ou de destino, bem como protocolos ou portas. As ACLs estendidas do mais flexibilidade e granularidade do que as ACLs padro. Esta atividade vai ensinar a definir critrios de filtragem, configurar as ACLs estendidas, aplicar as ACLs a interfaces de roteador, e verificar e testar a implementao da ACL. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

5.4 Configurar ACLs complexas

5.4.1 O que so ACLs complexas? Pgina 1: Tipos de ACLs complexas As ACLs padro e estendidas podem se tornar a base para ACLs complexas, que fornecem funcionalidade adicional. A tabela na figura sumariza as trs categorias de ACLs complexas. Exibir meio visual

5.4.2 ACLs dinmicas Pgina 1: O que so ACLs dinmicas? O lock-and-key um recurso de segurana de filtragem de trfego que utiliza ACLs dinmicas, s vezes conhecidas como ACLs lock-and-key. O lock-and-key s est disponvel para trfego IP. As ACLs dinmicas dependem da conectividade Telnet, da autenticao (local ou remota) e das ACLs estendidas.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 23 de 30

A configurao da ACL dinmica comea com a aplicao de uma ACL estendida para bloquear trfego no roteador. Os usurios que desejam atravessar o roteador so bloqueados pela ACL estendida at utilizarem Telnet para se conectar ao roteador e serem autenticados. A conexo Telnet descartada, e uma ACL dinmica de entrada nica adicionada ACL estendida existente. Isso permite o trfego durante um perodo especfico; timeouts ociosos e absolutos so possveis. Quando utilizar ACLs dinmicas Algumas razes comuns para utilizar as ACLs dinmicas so as seguintes:
z

Quando voc quiser que um usurio remoto especfico ou grupo de usurios remotos acesse um host dentro da sua rede, ao mesmo tempo em que conectam nos hosts remotos via Internet. Lock-and-key autentica o usurio e permite acesso limitado pelo seu roteador de firewall a um host ou sub-rede durante um perodo finito. Quando voc deseja que um subconjunto de hosts em uma rede local acesse um host em uma rede remota protegida por um firewall. Com lock-and-key, voc s pode habilitar o acesso ao host remoto para o conjunto desejado de hosts locais. Lock-and-key exige que os usurios se autentiquem por meio de um servidor AAA, TACACS+ ou outro servidor de segurana antes de permitir a seus hosts acessar os hosts remotos.

Benefcios de ACLs dinmicas As ACLs dinmicas tm os seguintes benefcios de segurana em relao a ACLs padro e estendidas estticas:
z z z z z

Utilizao de um mecanismo de desafio para autenticar usurios individuais. Gerenciamento simplificado em grandes redes interconectadas. Em muitos casos, a reduo do volume do processamento do roteador obrigatrio para ACLs. Reduo da oportunidade para invases rede por hackers. Criao de acesso de usurio dinmico por um firewall, sem comprometer outras restries de segurana configuradas.

Na figura, o usurio em PC1 um administrador que exige acesso backdoor rede 192.168.30.0 /24 localizada no roteador R3. Uma ACL dinmica foi configurada para permitir a FTP e HTTP acesso no roteador R3, mas apenas por um tempo limitado. Exibir meio visual

Pgina 2: Exemplos de ACL dinmica Considere um requisito para que um administrador de rede em PC1 obtenha acesso peridico rede (192.168.30.0 /24) pelo roteador R3. Para facilitar esse requisito, uma ACL dinmica configurada na interface serial S0/0/1 no roteador R3. Embora uma descrio detalhada da configurao para uma ACL dinmica esteja alm do escopo deste curso, til revisar as etapas de configurao. Clique no boto Config na figura para exibir um exemplo de uma configurao de ACL dinmica.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 24 de 30

Passe o mouse sobre cada Etapa na figura para revisar as etapas de configurao da ACL dinmica. Exibir meio visual

5.4.3 ACLs reflexivas Pgina 1: O que so ACLs reflexivas? As ACLs reflexivas foram o trfego de resposta do destino de um pacote de sada conhecido recente a ir para a origem desse pacote de sada. Isso d mais controle sobre o trfego no qual voc tem permisso na sua rede e aumenta os recursos das listas de acesso estendidas. Os administradores de rede utilizam ACLs reflexivas para permitir trfego IP para sesses com origem em sua rede enquanto negam trfego IP para sesses com origem fora da rede. Essas ACLs permitem ao roteador gerenciar trfego de sesso dinamicamente. O roteador examina o trfego de sada e, quando v uma nova conexo, adiciona uma entrada a uma ACL temporria para permitir respostas. As ACLs reflexivas contm apenas entradas temporrias. Essas entradas so criadas automaticamente quando uma nova sesso IP comea, por exemplo, com um pacote de sada, e as entradas so removidas automaticamente quando a sesso termina. As ACLs reflexivas fornecem uma forma de filtragem de sesso mais real que uma ACL estendida utilizando o parmetro established apresentado anteriormente. Embora sejam semelhantes em termos conceituais ao parmetro established, as ACLs reflexivas tambm funcionam com UDP e ICMP, que no tm bits ACK ou RST. A opo established tambm no funciona com aplicativos que alteram dinamicamente a porta de origem do trfego de sesso. A instruo permit established s verifica bits ACK e RST, e no endereos de origem e destino. As ACLs reflexivas no so aplicadas diretamente a uma interface, mas so "aninhadas" em uma ACL IP nomeada estendida que se aplicada interface. As ACLs reflexivas s podem ser definidas com ACLs IP nomeadas estendidas. Elas no podem ser definidas com ACLs numeradas ou nomeadas padro ou com outras ACLs de protocolo. As ACLs reflexivas podem ser utilizadas com outras ACLs estendidas estticas e padro. Benefcios de ACLs reflexivas As ACLs reflexivas tm os seguintes benefcios:
z z

Ajudam a proteger a sua rede contra hackers de rede e podem ser includas em uma defesa de firewall. Fornecem um nvel de segurana contra spoofing e determinados ataques DoS. As ACLs reflexivas so muito mais difceis de falsificar porque mais critrios de filtro devem corresponder para que um pacote tenha permisso. Por exemplo, os endereos de origem e de destino e os nmeros de porta, e no apenas os bits ACK e RST, so verificados. Simples de utilizar e, em comparao com ACLs bsicas, fornecem maior controle sobre quais pacotes entram na sua rede.

Exibir meio visual

Pgina 2:

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 25 de 30

Exemplo de ACL reflexiva A figura mostra um exemplo no qual o administrador precisa de uma ACL reflexiva que permita trfego de sada e de entrada ICMP, enquanto permite apenas trfego TCP iniciado dentro da rede. Suponhamos que todo o restante do trfego seja negado. A ACL reflexiva aplicada interface de sada de R2. Clique no boto Config na figura. Embora a configurao completa de ACLs reflexivas esteja alm do escopo deste curso, a figura mostra um exemplo das etapas obrigatrias para configurar uma ACL reflexiva. Passe o mouse sobre cada Etapa na figura para revisar as etapas de configurao da ACL reflexiva. Exibir meio visual

5.4.4 ACLs baseada no tempo Pgina 1: O que so ACLs baseadas em tempo? As ACLs baseadas em tempo so semelhantes a ACLs estendidas em termos de funo, mas permitem o controle de acesso com base na hora. Para implementar ACLs baseadas em hora, voc cria um intervalo que define horas especficas do dia e da semana. Voc identifica o intervalo com um nome e se refere a ele por uma funo. As restries de hora so impostas na prpria funo. As ACLs baseadas em tempo tm muitos benefcios, como:
z z

Oferece ao administrador de rede mais controle sobre a permisso ou a negao de acesso a recursos. Permite aos administradores de rede controlar mensagens de registro em log. As entradas ACL podem registrar o trfego em log em determinadas horas do dia, mas no constantemente. Por isso, os administradores podem simplesmente negar acesso sem analisar os muitos logs gerados durante horrios de pico.

Exibir meio visual

Pgina 2: Exemplo de ACL baseada em tempo Embora os detalhes da configurao completa de ACLs baseadas em tempo estejam alm do escopo deste curso, o seguinte exemplo mostra as etapas obrigatrias. No exemplo, uma conexo Telnet permitida da rede interna para a rede externa s segundas, quartas e sextas durante o horrio comercial. Clique no boto Config na figura. Etapa 1. Definir o intervalo para implementar a ACL e dar a ela um nome EVERYOTHERDAY, neste caso. Etapa 2. Aplicar o intervalo ACL.

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 26 de 30

Etapa 3. Aplicar a ACL interface. O intervalo depende do relgio de sistema do roteador. O recurso funciona melhor com a sincronizao Network Time Protocol (NTP), mas o relgio do roteador pode ser utilizado. Exibir meio visual

5.4.5 Identificao e soluo de problemas de ACL comuns Pgina 1: A utilizao dos comandos show descritos anteriormente revela a maioria dos erros ACL mais comuns antes que eles causem problemas na sua rede. Felizmente, voc est utilizando um bom procedimento de teste para proteger a sua rede de erros durante o estgio de desenvolvimento da sua implementao de ACL. Ao observar uma ACL, verifique-a em relao s regras aprendidas sobre como criar ACLs corretamente. A maioria dos erros ocorre porque essas regras bsicas so ignoradas. Na verdade, os erros mais comuns so inserir instrues ACL na ordem errada e no aplicar critrios apropriados s suas regras. Vejamos uma srie de problemas comuns e as solues. Clique em cada exemplo medida que l essas explicaes. Clique no boto Erro n 1 na figura. O host 192.168.10.10 no tem nenhuma conectividade com 192.168.30.12. Voc consegue ver o erro na sada do comando show access-lists? Soluo observar a ordem das instrues ACL. O host 192.168.10.10 no tem nenhuma conectividade telnet com 192.168.30.12 por conta da ordem da regra 10 na lista de acesso. Como o roteador processa as ACLs de cima para baixo, a instruo 10 nega o host 192.168.10.10, logo, a instruo 20 no processada. As instrues 10 e 20 devem ser invertidas. A ltima linha permite todo o restante do trfego no TCP em IP (ICMP, UDP etc.). Clique no boto Erro n 2 na figura. A rede 192.168.10.0 /24 no pode utilizar TFTP para se conectar rede 192.168.30.0 /24. Voc consegue ver o erro na sada do comando show access-lists? Soluo a rede 192.168.10.0 /24 no pode utilizar TFTP para se conectar rede 192.168.30.0 /24 porque TFTP utiliza o protocolo de transporte UDP. A instruo 30 na lista de acesso 120 permite todo o restante do trfego TCP. Como utiliza UDP, o TFTP negado implicitamente. A instruo 30 deve ser ip any any. Essa ACL funcionar se for aplicada a Fa0/0 de R1 ou S0/0/1 de R3, ou S0/0/0 ou R2 na direo de entrada. No entanto, com base na regra sobre como colocar as ACLs estendidas mais prximas da origem, a melhor opo est em Fa0/0 de R1 porque ela permite filtrar trfego indesejvel sem atravessar a infraestrutura de rede. Clique no boto Erro n 3 na figura. A rede 192.168.10.0 /24 pode utilizar Telnet para se conectar a 192.168.30.0 /24, mas essa conexo no deve ser permitida. Analise a sada do comando show access-lists e veja se voc consegue

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 27 de 30

encontrar uma soluo. Onde voc aplicaria essa ACL? Soluo a rede 192.168.10.0 /24 pode utilizar Telnet para se conectar rede 192.168.30.0 /24, porque o nmero da porta Telnet na instruo 10 da lista de acesso 130 est listado na posio errada. Atualmente, a instruo 10 nega qualquer origem com um nmero de porta que seja igual Telnet que tenta estabelecer uma conexo com qualquer endereo IP. Se quiser negar trfego de entrada Telnet em S0/0/1, voc deve negar o nmero de porta de destino que seja igual a Telnet, por exemplo, deny tcp any any eq telnet. Clique no boto Erro n 4 na figura. O host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, mas essa conexo no deve ser permitida. Analise a sada do comando show access-lists. Soluo o host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, porque no h regras que neguem o host 192.168.10.10 ou sua rede como a origem. A instruo 10 da lista de acesso 140 nega a interface do roteador da qual o trfego sairia. No entanto, como esses pacotes saem do roteador, eles tm um endereo de origem 192.168.10.10, e no o endereo da interface do roteador. Assim como na soluo do Erro 2, essa ACL deve ser se aplicada Fa0/0 de R1 na direo de entrada. Clique no boto Erro n 5 na figura. O host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10, mas essa conexo no deve ser permitida. Observe a sada do comando show access-lists e procure o erro. Soluo o host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10 porque a direo na qual a lista de acesso 150 aplicada a uma interface em R2 est incorreta. A instruo 10 nega o endereo de origem 192.168.30.12, mas esse endereo s seria a origem se o trfego fosse de sada em S0/0/0 ou de entrada em S0/0/1. Exibir meio visual

Pgina 2: Exibir meio visual

5.5 Laboratrios do captulo

5.5.1 Listas de controle de acesso bsico Pgina 1: Uma parte essencial da segurana de rede poder controlar que tipo de trfego est sendo permitido para alcanar a sua rede e de onde esse trfego est vindo. Este laboratrio ensinar como configurar listas de controle de acesso bsicas e estendidas e atingir essa meta. Exibir meio visual

Pgina 2: Esta atividade uma variao do Laboratrio 5.5.1. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 28 de 30

concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamento real. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

5.5.2 Listas de controle de acesso avanado Pgina 1: No laboratrio Lista de controle de acesso bsica, voc configurou listas de controle de acesso bsicas e estendidas pela primeira vez como uma medida de segurana da rede. Neste laboratrio, tente configurar a maior segurana de rede possvel sem consultar o laboratrio Bsico. Isso permitir a voc avaliar o quanto aprendeu no laboratrio Bsico. Quando necessrio, verifique o seu trabalho utilizando o laboratrio Bsico ou a resposta fornecida por seu instrutor. Exibir meio visual

Pgina 2: Esta atividade uma variao do Laboratrio 5.5.2. O Packet Tracer pode no suportar todas as tarefas especificadas no laboratrio prtico. Esta atividade no deve ser considerada equivalente concluso do laboratrio prtico. O Packet Tracer no substitui um experimento em laboratrio prtico com equipamento real. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

5.5.3 Identificao e soluo de problemas de listas de controle de acesso Pgina 1: Voc trabalha para um provedor de servios regional que recentemente passou por vrias falhas na segurana. O seu departamento foi solicitado a proteger os roteadores de borda do cliente para que apenas os PCs de gerenciamento local possam acessar as linhas VTY. Para resolver esse problema, voc configurar as ACLs em R2 de forma que as redes diretamente conectadas a R3 no consigam se comunicar com redes diretamente conectadas a R1, mas ainda assim permitam todo o restante do trfego. Exibir meio visual

5.6 Resumo do captulo

5.6.1 Sumarizao

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 29 de 30

Pgina 1: ACL um script de configurao de roteador que utiliza filtragem de pacote para controlar se um roteador permite ou nega a passagem a pacotes com base nos critrios encontrados no cabealho de pacote. As ACLs tambm so utilizadas para selecionar tipos de trfego a serem analisados, encaminhados ou processados de outras formas. As ACLs esto entre os objetos mais utilizados no software IOS Cisco. H tipos diferentes de ACLs padro, estendida, nomeada e numerada. Neste captulo, voc aprendeu a finalidade de cada um desses tipos de ACL e onde elas precisam ser colocadas na sua rede. Voc aprendeu a configurar as ACLs em interfaces de entrada e de sada. Os tipos de ACL especiais, dinmicas, reflexivas e baseadas em tempo, foram descritas. Foram realadas as diretrizes e as prticas recomendadas para desenvolver ACLs funcionais e efetivas. Com o conhecimento e as habilidades aprendidas neste captulo, agora voc pode configurar ACLs padro, estendidas e complexas, alm de verificar, identificar e solucionar problemas dessas configuraes com confiana, mas com cuidado. Exibir meio visual

Pgina 2: Exibir meio visual

Pgina 3: Nesta atividade, voc demonstrar a sua capacidade de configurar ACLs que aplicam cinco polticas de segurana. Alm disso, voc ir configurar o roteamento PPP e OSPF. Os dispositivos j esto configurados com endereamento IP. So fornecidas instrues detalhadas na atividade, bem como no link do PDF abaixo. Instrues da atividade (PDF) Clique no cone do Packet Tracer para obter mais detalhes. Exibir meio visual

5.7 Teste do captulo

5.7.1 Teste do captulo Pgina 1: Exibir meio visual

Ir para a prxima Ir para a anterior Ir para a parte superior

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011

Tema acessvel CISCO

Pgina 30 de 30

All contents copyright 2007-2009 Cisco Systems, Inc. | Traduzido por Cisco Networking Academy. Sobre

http://curriculum.netacad.net/virtuoso/servlet/org.cli.delivery.rendering.servlet.CCServlet... 13/06/2011