Exploration Accessing WAN Chapter5 - Cópia

Listas de Controle de Acesso
(Access Control Lists ACLs)
Acessando a WAN Captulo 5
Version 4.0
2006 Cisco Systems, Inc. All rights reserved.
Cisco Public
Objetivos
Explicar como as ACLs so utilizadas para proteger a

rede corporativa de uma filial de mdio porte
Configurar os diversos tipos e ACLs na rede

corporativa de uma filial de mdio porte
Verificar e monitorar as ACLs configuradas e

identificar e solucionar problemas
Descrever as ACLs complexas na rede corporativa de

uma filial de mdio porte, incluindo configurar as
ACLs dinmicas, reflexivas e temporizadas,
verificando e solucionando problemas de ACLs
complexas, alm de explicar advertncias
Cisco Public
Introduo
Segurana de rede um assunto enorme, e grande
parte dele est alm do escopo deste curso
No entanto, uma das habilidades mais importantes das
quais um administrador de rede precisa dominar as
listas de controle de acesso (ACLs)
Os administradores utilizam as ACLs a fim de parar o
trfego ou permitir apenas o trfego especificado
enquanto interrompe todo o restante do trfego em
suas redes
Os designers de rede utilizam firewalls para proteger

redes do uso no autorizado. Os firewalls so solues
em hardware ou software que aplicam polticas de
segurana de rede
Cisco Public
Introduo
Uma ACL uma lista sequencial de instrues de
permisso ou negao que se aplicam a endereos ou
protocolos de camada superior
As ACLs fornecem uma forma eficiente de controlar o

trfego dentro e fora da sua rede
Pode-se configurar as ACLs para todos os protocolos
de rede roteados
A razo mais importante para configurar as ACLs
fornecer segurana para a sua rede
Cisco Public
Utilizando as ACLs para Proteger Redes

Uma Conversa TCP
As ACLs permitem controlar o trfego dentro e fora da sua
rede
Esse controle pode ser to simples quanto permitir ou negar

hosts de rede ou endereos
As ACLs tambm podem ser configuradas para controlar o
trfego da rede com base na porta TCP utilizada
Importante conhecer o funcionamento do TCP!!!

Ver animao
5.1.1
Cisco Public

Uma Conversa TCP
O segmento de dados TCP tambm identifica a porta
correspondente ao servio solicitado
Cisco Public

Filtragem de Pacote
A filtragem de pacote controla o acesso a uma rede,
analisando os pacotes de entrada e de sada e transmitindo
ou paralisando-os com base em critrios informados
Um roteador funciona como um filtro de pacote ao
encaminhar ou negar pacotes de acordo com as regras de
filtragem
A ACL uma lista sequencial de instrues de permisso ou

negao
A decises de "permitir" ou "negar" pode ser feitas com base
em:
Endereo IP de origem/destino
Tipo de mensagem ICMP
Porta de origem TCP/UDP
Porta de destino TCP/UDP

Cisco Public

Filtragem de Pacote (Exemplo)
S permita acesso Web para usurios da rede A
Negue acesso Web para usurios da rede B, mas permita a
eles todos os demais acessos
Cisco Public

O que ACL?
um script de configurao de roteador que controla se
permite ou nega a passagem a pacotes com base nos
critrios encontrados no cabealho de pacote
Tambm so utilizadas para selecionar tipos de trfego a ser
analisado, encaminhado ou processado de outras formas
Na medida em que cada pacote passa por uma interface com
uma ACL associada, a ACL verificada de cima para
baixo, uma linha por vez, procurando um padro
correspondente ao pacote de entrada
Cisco Public

O que ACL?
Diretrizes para utilizar ACLs:
Utilize as ACLs em roteadores de firewall colocados entre as
suas redes interna e externa, como a Internet
Utilize as ACLs em um roteador colocado entre duas partes da
sua rede para controlar o trfego que entra ou sai de uma
determinada parte da sua rede interna
Configure as ACLs em roteadores de borda (roteadores situados

nas extremidades das suas redes)
Configure as ACLs para cada protocolo de rede configurado nas
interfaces do roteador de borda. Voc pode configurar as ACLs
em uma interface para filtrar o trfego de entrada, o trfego de
sada ou ambos
Cisco Public
10

O que ACL?
Os trs Ps
Cisco Public
11

Operao da ACL
As ACLs definem o conjunto de regras que do controle
adicional para pacotes que entram por interfaces de entrada,
pacotes retransmitidos pelo roteador e pacotes que saem
pelas interfaces de sada do roteador
As ACLs no funcionam em pacotes com origem no
prprio roteador
As ACLs so configuradas para se aplicar ao trfego de

entrada ou ao trfego de sada.
ACLs de entrada os pacotes de entrada so processados
antes de serem roteados para a interface de sada. Uma ACL de
entrada ser eficiente porque evita a sobrecarga das pesquisas
de roteamento se o pacote for descartado. Se for permitido pelos
testes, o pacote ser processado para roteamento
ACLs de sada os pacotes de entrada so roteados para a
interface de sada e, em seguida, processados pela ACL de
sada
Cisco Public
12

Operao da ACL de entrada
Cisco Public
13

Operao da ACL de sada
Cisco Public
14

A ACL e o roteamento e os processos ACL em um
roteador
Ao final de toda lista de acesso, h uma instruo
implcita do critrio "negar todo o trfego"
Ver item
5.1.4 (2)
Cisco Public
15

Tipos de ACL
ACLs padro
Possibilita permitir ou negar trfego baseado nos endereos IP
de origem
O destino do pacote e as portas envolvidas no importam
ACLs estendidas
Filtram pacotes IP com base em vrios atributos, por exemplo,
tipo de protocolo, endereo IP de origem, endereo IP de destino,
portas TCP e UDP de origem, portas TCP e UDP de destino e
informaes do tipo de protocolo opcionais para maior
granularidade de controle
Cisco Public
16

Funcionamento da ACL padro
Uma ACL padro uma coleo sequencial de condies
para permitir e negar que se aplicam a endereos IP
As duas tarefas principais envolvidas na utilizao das ACLs

so as seguintes:
Etapa 1. Criar uma lista de acesso, especificando um nmero da
lista de acesso ou nome e condies de acesso
Etapa 2. Aplicar a ACL a interfaces ou linhas de terminal
Ver item
5.1.6
Cisco Public
17

Numerando e Nomeando ACLs
Utilizar ACLs numeradas um mtodo efetivo para
determinar o tipo de ACL em redes menores com trfego
definido de maneira mais homognea
No entanto, um nmero no informa a finalidade da ACL. Por
essa razo voc pode utilizar um nome para identificar uma
ACL Cisco
Cisco Public
18

Onde colocar a ACL
A localizao apropriada de uma ACL para filtrar trfego
indesejvel faz a rede operar com mais eficincia
O posicionamento correto da ACL pode reduzir o trfego

desnecessrio
Toda ACL deve ser colocada onde tenha o maior impacto em
termos de eficincia. As regras bsicas so:
Localize as ACLs estendidas mais prximas da origem do
trfego negado. Dessa forma, o trfego indesejvel filtrado sem
atravessar a infraestrutura de rede.
Como as ACLs padro no especificam endereos de destino,
coloque-as o mais prximo possvel do destino
Cisco Public
19

Onde colocar a ACL
ACL Padro
ACL Estendida
Cisco Public
20

Diretrizes gerais para criar ACLs
A utilizao das ACLs exige ateno a detalhes e muito
cuidado
Equvocos podem sair caros em termos de indisponibilidade,

identificao e soluo de problemas e um servio de rede
ruim
Antes de comear a configurar uma ACL, o planejamento
bsico obrigatrio
Atividade
5.1.9 (2)
Cisco Public
21
Configurando ACL Padro

Inserindo instrues de critrio
Lembre-se de que, ao entrar no roteador, o trfego
comparado com instrues ACL com base na ordem em que
ocorrem as entradas no roteador
O roteador continua processando as instrues ACL at que
haja uma correspondncia
Por essa razo, voc deve ter a entrada ACL mais utilizada
na parte superior da lista
Se nenhuma correspondncia for encontrada quando o
roteador chegar ao final da lista, o trfego ser negado
Deve-se ter pelo menos uma instruo de permisso em uma

ACL, ou todo o trfego ser bloqueado
Cisco Public
22

Lgica da ACL padro
Os pacotes que chegam por Fa0/0 so verificados em
relao aos seus endereos de origem:
access-list 2 deny host 192.168.10.1
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
Se forem permitidos, os pacotes sero roteados pelo roteador

para uma interface de sada. Se no forem permitidos, os
pacotes sero ignorados na interface de entrada.
Cisco Public
23

Lgica da ACL padro
access-list 2 deny host 192.168.10.1

access-list 2 deny 192.168.0.0 0.0.255.255
Cisco Public
24

Configurando uma ACL Padro
Para configurar ACLs padro numeradas em um roteador
Cisco, deve-se primeiro criar a ACL padro e ativar a ACL em
uma interface
O comando no modo de configurao global access-list
define uma ACL padro com um nmero no intervalo de 1 a
99 e de 1300 a 1999
A sintaxe completa do comando ACL padro a seguinte:

R1(config)#access-list access-list-number [deny | permit |
remark] source [source-wildcard] [log]
Por exemplo, para criar uma ACL numerada designada 10

que permitisse a rede 192.168.10.0 /24, voc digitaria:
R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255
Cisco Public
25

Verificando a ACL configurada
Removendo uma ACL
Cisco Public
26

Documentando uma ACL com comentrio
Cada comentrio limitado a 100 caracteres
Cisco Public
27

Mscara Curinga
uma string de dgitos binrios que informam ao roteador
que partes do nmero da sub-rede observar
Embora no tenham nenhuma relao funcional com

mscaras de sub-rede, as mscaras curinga fornecem uma
funo semelhante
A mscara determina a proporo de um endereo IP de
origem ou de destino a ser aplicada correspondncia de
endereo
Os nmeros 1 e 0 na mscara identificam como tratar os bits
de endereo IP correspondentes
No entanto, eles so utilizados para fins diferentes, seguindo
regras diferentes no caso da mscara curinga
Cisco Public
28

Mscara Curinga
As mscaras curinga utilizam as seguintes regras para
comparar 1s e 0s binrios:
Bit da mscara curinga 0 comparar o valor do bit
correspondente no endereo
Bit da mscara curinga 1 ignorar o valor do bit correspondente
no endereo
Cisco Public
29

Mscara Curinga
Exemplo
Cisco Public
30

Mscara Curinga
Exemplo
Cisco Public
31

Mscara Curinga
Ainda que voc possa obter o mesmo resultado com duas
instrues, como:
R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
muito mais eficiente configurar a mscara curinga como:

Ser que a diferena realmente significativa quanto a

eficincia?
Cisco Public
32

Mscara Curinga
Mas quando voc considera se quis comparar a rede 192.168.16.0 a
192.168.31.0 da seguinte forma:


Voc pode ver que a configurao da seguinte mscara curinga a

torna mais eficiente: R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255
Cisco Public
33

Palavras-chave de mscara curinga
Trabalhar com representaes decimais de bits de mscara
curinga binrios pode ser entediante
Para simplificar essa tarefa, as palavras-chave host e any

ajudam a identificar as utilizaes mais comuns da mscara
curinga
A opo host substitui a mscara 0.0.0.0. Essa mscara
informa que todos os bits de endereo IP devem
corresponder ou apenas um host correspondente
A opo any substitui o endereo IP e a mscara
255.255.255.255. Essa mscara diz para ignorar todo o
endereo IP ou aceitar qualquer endereo.
Cisco Public
34

Cisco Public
35

Cisco Public
36

Aplicando ACL padro na interface
A ACL padro vinculada a uma interface utilizando-se o
comando ip access-group:
Router(config-if)#ip access-group {access-list-number | accesslist-name} {in | out}
Para remover uma ACL de uma interface, primeiro digite o
comando no ip access-group na interface e, em seguida, o
comando global no access-list para remover toda a ACL
Cisco Public
37

Cisco Public
38

Cisco Public
39

Aplicando ACL para controle de acesso a VTY
Restringir o acesso a VTY uma tcnica que permite definir
quais endereos IP tm permisso de acesso Telnet ao
processo EXEC do roteador
Pode-se restringir qual estao de trabalho gerencia o seu
roteador com uma ACL e uma instruo access-class para
as suas linhas VTY
Pode-se utilizar essa tcnica com SSH para melhorar ainda

mais a segurana do acesso administrativo
Cisco Public
40

Editando ACLs numeradas
Durante a configurao de uma ACL, as instrues so
adicionadas na ordem em que so inseridas no final da ACL
No entanto, no h nenhum recurso de edio interno que

permita editar uma alterao em uma ACL
No pode-se inserir ou excluir linhas de maneira seletiva
altamente recomendvel que qualquer ACL seja criada em

um editor de texto, como o Bloco de Notas
Em relao a uma ACL existente, voc poderia utilizar o
comando show running-config para exibir a ACL, copiar e
col-la no editor de texto, fazer as alteraes necessrias e
recarreg-la
Cisco Public
41

Suponhamos que o endereo IP de host tenha sido digitado
incorretamente. Em vez do host 192.168.10.100, deveria ter
sido o host 192.168.10.11. Aqui esto as etapas para editar e
corrigir a ACL 20:
Etapa 1. Exibir a ACL utilizando o comando show running-config.
Etapa 2. Realar a ACL, copiar e col-la para o Bloco de Notas

da Microsoft. Edite a lista conforme exigido. Quando a ACL for
exibida corretamente no Bloco de Notas da Microsoft, realce-a e
copie.
Etapa 3. No modo de configurao global, desabilite a lista de

acesso utilizando o comando no access-list 20. Do contrrio, as
novas instrues seriam adicionadas ACL existente. Em
seguida, cole a nova ACL na configurao do roteador
Cisco Public
42

Aqui esto as etapas para editar e corrigir a ACL 20:
Cisco Public
43

Comentando ACLs
Cisco Public
44

Criando ACLs nomeadas padro
Nomear uma ACL facilita a compreenso de sua funo
Por exemplo, uma ACL para negar FTP poderia se chamar
NO_FTP
Quando voc identifica a sua ACL com um nome em vez de
um nmero, o modo de configurao e a sintaxe do comando
so um pouco diferentes
Etapa 1. Comeando no modo de configurao global, utilizar o
comando ip access-list para criar uma ACL nomeada. Os
nomes de ACL so alfanumricos, devendo ser exclusivos e no
comear com um nmero
Etapa 2. No modo de configurao da ACL nomeada, utilizar as

instrues permit ou deny para especificar uma ou mais
condies e determinar se um pacote foi encaminhado ou
ignorado
Etapa 3. Retornar ao modo EXEC privilegiado com o comando
end.
Cisco Public
45

Sintaxe
Cisco Public
46

Exemplo
Cisco Public
47

Monitorando e verificando ACLs
Cisco Public
48

Editando ACLs nomeadas
As ACLs nomeadas tm uma grande vantagem sobre as
ACLs numeradas por serem mais fceis de editar
As ACLs IP nomeadas permitem excluir entradas individuais

em uma ACL especfica
Pode-se usar nmeros de sequncia para inserir instrues
em qualquer lugar da ACL nomeada
Atividade
5.2.8 (2)
Cisco Public
49
Configurando ACL Estendida

Testando pacotes com ACLs estendidas
Para obter um controle de filtragem de trfego mais preciso,
voc pode utilizar ACLs estendidas numeradas de 100 a 199
e de 2.000 a 2.699
As ACLs estendidas tambm podem ser nomeadas e
verificam os endereos do pacote de origem, o endereo de
destino, protocolos e nmeros de porta
Ver item
5.3.1 (1)
Cisco Public
50

Utilizando o nmero de porta apropriado, voc pode
especificar um aplicativo atravs da especificao do nmero
de porta ou o nome de uma porta bem conhecida
Operaes lgicas podem ser utilizadas, como igual (eq),
diferente (neq), maior que (gt) e menor que (lt).
Cisco Public
51

Cisco Public
52

Configurando uma ACL estendida
Cisco Public
53

Configurando uma ACL estendida (Exemplo)
Cisco Public
54

Aplicando ACL estendida a uma interface
Cisco Public
55

Cisco Public
56

Cisco Public
57

Criando ACLs estendidas nomeadas
Os comandos para criar uma ACL nomeada so diferentes
para ACLs padro e estendidas
Etapa 1. No modo de configurao global, utilizar o comando ip

access-list extended name para definir uma ACL estendida
nomeada
Etapa 2. No modo de configurao da ACL nomeada, especificar

as condies que voc deseja permitir ou negar
Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua

ACL com o comando show access-lists [number | name]
Etapa 4. Como opo e etapa recomendada, salvar as suas

entradas no arquivo de configurao com o comando copy
running-config startup-config
Para remover uma ACL estendida nomeada, utilize o

comando no modo de configurao global no ip access-list
extended name
Cisco Public
58

Criando ACLs estendidas nomeadas
Atividade
5.3.4 (2)
Cisco Public
59
Configurar ACLs Complexas

Tipos de ACLs complexas
As ACLs padro e estendidas podem se tornar a base para
ACLs complexas, que fornecem funcionalidade adicional
ACL Complexa
Descrio
ACLs dinmicas
(lock -and-key)
Os usurios que desejam atravessar o roteador

so bloqueados at utilizarem Telnet para se
conectar ao roteador e serem autenticados
ACLs reflexivas
Permite o trfego de sada e limita o trfego de

entrada em relao a sesses com origem dentro
do roteador
ACLs baseada em
tempo
Permite o controle de acesso baseado na hora do

dia e da semana
Cisco Public
60

ACLs Dinmicas
O lock-and-key um recurso de segurana de filtragem de
trfego que utiliza ACLs dinmicas, s vezes conhecidas
como ACLs lock-and-key
O lock-and-key s est disponvel para trfego IP
As ACLs dinmicas dependem da conectividade Telnet, da
autenticao (local ou remota) e das ACLs estendidas
A configurao da ACL dinmica comea com a aplicao de
uma ACL estendida para bloquear trfego no roteador
Os usurios que desejam atravessar o roteador so
bloqueados pela ACL estendida at utilizarem Telnet para se
conectar ao roteador e serem autenticados
A conexo Telnet descartada, e uma ACL dinmica de
entrada nica adicionada ACL estendida existente
Isso permite o trfego durante um perodo especfico

Cisco Public
61

Quando utilizar ACLs dinmicas
Algumas razes comuns para utilizar as ACLs dinmicas so
as seguintes:
Quando voc quiser que um usurio remoto especfico ou grupo
de usurios remotos acesse um host dentro da sua rede, ao
mesmo tempo em que conectam nos hosts remotos via Internet
Lock-and-key autentica o usurio e permite acesso limitado pelo
seu roteador de firewall a um host ou sub-rede durante um
perodo finito
Quando voc deseja que um subconjunto de hosts em uma rede
local acesse um host em uma rede remota protegida por um
firewall
Com lock-and-key, voc s pode habilitar o acesso ao host
remoto para o conjunto desejado de hosts locais
Lock-and-key exige que os usurios se autentiquem por meio de
um servidor AAA, TACACS+ ou outro servidor de segurana
antes de permitir a seus hosts acessar os hosts remotos
Cisco Public
62

Benefcios de ACLs dinmicas
As ACLs dinmicas tm os seguintes benefcios de
segurana em relao a ACLs padro e estendidas estticas:
Utilizao de um mecanismo de desafio para autenticar usurios
individuais
Gerenciamento simplificado em grandes redes interconectadas
Em muitos casos, a reduo do volume do processamento do
roteador obrigatrio para ACLs
Reduo da oportunidade para invases rede por hackers
Criao de acesso de usurio dinmico por um firewall, sem
comprometer outras restries de segurana configuradas
Cisco Public
63

Exemplos de ACL dinmica
Cisco Public
64

ACLs Reflexivas
Foram o trfego de resposta do destino de um pacote de
sada conhecido recente a ir para a origem desse pacote de
sada
Isso d mais
controle sobre
o trfego no
qual voc tem
permisso na
sua rede e
aumenta os
recursos das
listas de
acesso
estendidas
Cisco Public
65

ACLs Reflexivas
Os administradores de rede utilizam ACLs reflexivas para
permitir trfego IP para sesses com origem em sua rede
enquanto negam trfego IP para sesses com origem fora da
rede
Essas ACLs permitem ao roteador gerenciar trfego de
sesso dinamicamente
O roteador examina o trfego de sada e, quando v uma

nova conexo, adiciona uma entrada a uma ACL temporria
para permitir respostas
As ACLs reflexivas no so aplicadas diretamente a uma
interface, mas so "aninhadas" em uma ACL IP nomeada
estendida que se aplicada interface.
As ACLs reflexivas s podem ser definidas com ACLs IP
nomeadas estendidas
Cisco Public
66

Benefcios de ACLs reflexivas
As ACLs reflexivas tm os seguintes benefcios:
Ajudam a proteger a sua rede contra hackers de rede e podem
ser includas em uma defesa de firewall
Fornecem um nvel de segurana contra spoofing e
determinados ataques DoS.
As ACLs reflexivas so muito mais difceis de falsificar porque
mais critrios de filtro devem corresponder para que um pacote
tenha permisso. Por exemplo, os endereos de origem e de
destino e os nmeros de porta, e no apenas os bits ACK e RST,
so verificados
Simples de utilizar e, em comparao com ACLs bsicas,
fornecem maior controle sobre quais pacotes entram na sua rede
Cisco Public
67

Configurao de ACLs reflexivas
Cisco Public
68

ACLs baseadas no tempo
As ACLs baseadas em tempo so semelhantes a ACLs
estendidas em termos de funo, mas permitem o controle de
acesso com base na hora
Para implementar ACLs baseadas em hora, voc cria um
intervalo que define horas especficas do dia e da semana
Voc identifica o intervalo com um nome e se refere a ele por
uma funo
As restries de hora so impostas na prpria funo
As ACLs baseadas em tempo tm muitos benefcios, como:
Oferece ao administrador de rede mais controle sobre a
permisso ou a negao de acesso a recursos
Permite aos administradores de rede controlar mensagens de
registro em log
Cisco Public
69

Exemplo de ACL baseada em tempo
No exemplo, uma conexo Telnet permitida da rede interna
para a rede externa s segundas, quartas e sextas durante o
horrio comercial.
Etapa 1. Definir o intervalo para implementar a ACL e dar a ela
um nome EVERYOTHERDAY
Etapa 2. Aplicar o intervalo ACL
Etapa 3. Aplicar a ACL interface
Cisco Public
70

Exemplo de ACL baseada em tempo
Cisco Public
71

Identificao e soluo de problemas (Erro 1)
Cisco Public
72

Cisco Public
73

Cisco Public
74

Cisco Public
75

Atividade
5.4.5 (2),
5.5.1 (2),
5.5.2 (2),
5.6.1 (3)
Cisco Public
76
Resumo
Uma lista de acesso (ACL) :
Uma srie de condies de permio e negao usados para
filtrar o trfego
ACL Padro
Identificada pelos nmero 1 - 99 e 1300 - 1999
Filtra o trfego baseado no endereo IP de origem
ACL Estendida
Identificada pelos nmero 100 -199 & 2000 - 2699
Filtra o trfego baseado em
Endereo IP de origem
Endereo IP de destino
Protocolo
Nmero de porta
Cisco Public
77
Resumo
ACL Nomeada
Usada com o IOS 11.2 ou superior
Pode ser usada com ACL padro ou estendida
ACLs usam mscaras curingas

Descrita como o inverso da mscara de sub-rede
Razo
0 verificar o bit
1 ignorar o bit
Cisco Public
78
Resumo
Implementando ACLs
1 criar a ACL
2 aplicar a ACL em uma interface
ACL padro aplicada mais prxima do destino
ACL estendida aplicada mais prxima da origem
Use os comandos abaixo para verificar problemas no

uso de ACL
Show access-list
Show interfaces
Show run
Cisco Public
79
Resumo
Complex ACL
Dynamic ACL
Reflexive ACL
Time based ACL
Cisco Public
80
Cisco Public
81

Exploration Accessing WAN Chapter5 - Cópia

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Exploration Accessing WAN Chapter5 - Cópia

Загружено:

Авторское право:

Доступные форматы

Listas de Controle de Acesso

(Access Control Lists ACLs)

Acessando a WAN Captulo 5

2006 Cisco Systems, Inc. All rights reserved.

Explicar como as ACLs so utilizadas para proteger a

Configurar os diversos tipos e ACLs na rede

Verificar e monitorar as ACLs configuradas e

Descrever as ACLs complexas na rede corporativa de

2006 Cisco Systems, Inc. All rights reserved.

Os designers de rede utilizam firewalls para proteger

As ACLs fornecem uma forma eficiente de controlar o

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

Esse controle pode ser to simples quanto permitir ou negar

Importante conhecer o funcionamento do TCP!!!

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

A ACL uma lista sequencial de instrues de permisso ou

Porta de destino TCP/UDP

Utilizando as ACLs para Proteger Redes

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

Configure as ACLs em roteadores de borda (roteadores situados

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

As ACLs so configuradas para se aplicar ao trfego de

Utilizando as ACLs para Proteger Redes

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

As duas tarefas principais envolvidas na utilizao das ACLs

Etapa 2. Aplicar a ACL a interfaces ou linhas de terminal

Utilizando as ACLs para Proteger Redes

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

O posicionamento correto da ACL pode reduzir o trfego

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

2006 Cisco Systems, Inc. All rights reserved.

Utilizando as ACLs para Proteger Redes

Equvocos podem sair caros em termos de indisponibilidade,

Configurando ACL Padro

Deve-se ter pelo menos uma instruo de permisso em uma

2006 Cisco Systems, Inc. All rights reserved.

Configurando ACL Padro

Se forem permitidos, os pacotes sero roteados pelo roteador

2006 Cisco Systems, Inc. All rights reserved.

Configurando ACL Padro

access-list 2 deny host 192.168.10.1

Configurando ACL Padro

A sintaxe completa do comando ACL padro a seguinte:

Por exemplo, para criar uma ACL numerada designada 10

2006 Cisco Systems, Inc. All rights reserved.