Академический Документы
Профессиональный Документы
Культура Документы
O que so as ACLs
Regras organizadas em lista
Filtragem de rotas em protocolos de encaminhamento Manipulao de rotas em protocolos de encaminhamento Validao no acesso a servios de rede
Ao nvel da camada 3 e 4
Manipulao de pacotes
Para classificao e implementao de QoS Para aplicao condicional de mecanismos de NAT Para ajuste de campos dos cabealhos dos protocolos
07-04-2011 ISEL/DEETC/SRT 3
Se todas as validaes da ACE sucedem, executar a aco indicada na ACE e terminar Se no, e se a lista ainda no terminou, passar para a regra seguinte Executar a aco default
07-04-2011
ISEL/DEETC/SRT
A aco por omisso deny Nota: Os datagramas negados geram um ICMP Communication Administratively Prohibited (3/13) de volta a no ser que se tenha activado o no ip unrechables na interface onde est aplicada a ACL.
07-04-2011 ISEL/DEETC/SRT 5
Nome da lista 10 As aces so permit ou deny A ltima regra est a registar o evento (log) A primeira regra aceita datagramas com endereo origem
192.168.146.XXX ou 192.168.147.XXX A WILDCARD diz para a validao ignorar os ltimos 9 bit! 0.0.1.255 => 00000000.00000000.0000 0001.11111111 (binrio)
07-04-2011 ISEL/DEETC/SRT 6
Pergunta?
Se a ACL for aplicada numa interface com o cdigo abaixo, qual a aco executada quando:
Tentar entrar um datagrama na interface com endereos
A) 192.168.150.100 (origem) => 192.168.146.201 (destino) B) 192.168.149.255 (origem) => 192.0.1.1 (destino)
Soluo!
A) 192.168.150.100 (origem) => 192.168.146.201 (destino)
Negado com registo (logging) pela 3 regra
Na introduo da regras
Bits activos na WILDCARD ficam automaticamente inactivos (a zero) no endereo para evitar ambiguidade Regras com validaes iguais so ignoradas (mantida apenas 1)
Actualmente as ACL podem ser identificadas por nomes em vez de nmeros (para a maioria das funes)
Sintaxe exemplo: ip access-list extended XPTO
Quando numeradas
Standard: 1 a 99 ou 1300 a 1399 Extended: 100 a 199 ou 2000 a 2699
S por si no formam firewalls com validao de estado (Statefull packet inspection SPI)
SPI s com Cisco CBAC (Context Based Access Control)
07-04-2011 ISEL/DEETC/SRT 10
07-04-2011
Flags do TCP
syn, ack, rst, fin, urg, psh, established (no syn isolado!) Exemplo: permit tcp any gt 1023 any neq 0 established
Type/Code do ICMP
Numericamente ou baseado em nomes (ex. echo-request = type 8, code 0) Exemplo: permit icmp any any packet-too-big
07-04-2011
ISEL/DEETC/SRT
13
Imagem em:
http://www.cisco.com/application/pdf/paws/8014/acl_wp.pdf
ISEL/DEETC/SRT
15
Quando um datagrama aceite por uma regra que inclua a aco reflect
Gerada uma entrada temporria na ACL reflexiva Com os valores de IP/portos necessrios para receber o trfego de volta
Na ACL usada no sentido contrrio do trfego pode-se evocar a ACL reflexiva com a regra evaluate <lista reflexiva>
ip access-list extended paraInternet permit tcp any any eq 80 reflect trafegoWeb ip access-list extended daInternet evaluate trafegoWeb 07-04-2011 ISEL/DEETC/SRT 16
07-04-2011
ISEL/DEETC/SRT
17
Analisar periodicamente os registos (log) Regras deny devem ser o mais genricas possvel Regras permit devem ser o mais especficas possvel
07-04-2011 ISEL/DEETC/SRT 18
Optimizao/Simplificao
Juntar regras que sejam agregveis
Ex. de blocos de endereamento contguos e de igual dimenso
Aceitar o trfego TCP de ligaes aceites/estabelecidas com regras established prximas da cabea das listas Evitar ACLs reflexivas para geradores de muitas comunicaes distintas
Ex. Para aceitar as respostas aos pedidos DNS ao exterior, prefervel usar ACLs estticas Associar timeout razovel s aces reflect
Reordenao de ACEs
Nem sempre com resultados visveis
IOS tem um frequentemente um optimizador
Com melhores resultados em plataformas no MLS H que garantir que o resultado final da avaliao se mantm
Podem-se trocar regras consecutivas com aco igual Podem-se trocar regras que no se intersectem
07-04-2011
ISEL/DEETC/SRT
20
07-04-2011
ISEL/DEETC/SRT
21
Uso em NAT
Selecciona que trfego pode usar cada regra de NAT
access-list 100 permit ip 192.168.4.0 0.0.1.255 any access-list 101 permit ip 192.168.0.0 0.0.3.255 any ip nat inside source list 100 interface FastEthernet0/0 overload ip nat pool xpto 10.62.74.0 10.62.74.15 prefix-length 1 ip nat inside source list 101 pool xpto
07-04-2011 ISEL/DEETC/SRT 23
Uso em encaminhamento
No ajuste de atributos ou filtragem de rotas
ip access-list standard netsPI permit 192.104.48.0 0.0.0.255 permit 192.68.221.0 0.0.0.255 deny any ! route-map bgp-out permit 10 match ip address netsPI set metric 200 ! router bgp 34827 neighbor 193.136.5.4 route-map bgp-out out
07-04-2011 ISEL/DEETC/SRT 24
Em policy routing
Forar o trfego a seguir um caminho e ignorar tabela de encaminhamento Marcar valores de precedence/DSCP para uso em QoS
ip access-list extended netsViaF permit ip 193.137.220.0 0.0.1.255 any permit ip 193.137.237.0 0.0.0.255 any deny ip any any route-map route-ctrl-red permit 20 match ip address netsViaF set ip precedence routine set ip next-hop 193.136.1.153 ! interface GigabitEthernet0/3 ip policy route-map route-ctrl-red
07-04-2011 ISEL/DEETC/SRT 25
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
07-04-2011
ISEL/DEETC/SRT
27
5 pontos de intercepo
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
07-04-2011
ISEL/DEETC/SRT
28
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
07-04-2011
ISEL/DEETC/SRT
29
tcp 6 110 SYN_SENT src=10.10.64.231 dst=209.197.6.226 sport=3843 dport=27031 packets=1 bytes=52 [UNREPLIED] src=209.197.6.226 dst=10.10.64.231 sport=27031 dport=3843 packets=0 bytes=0 mark=0 use=2 tcp 6 53 TIME_WAIT src=10.10.64.231 dst=75.101.142.9 sport=3770 dport=80 packets=5 bytes=873 src=75.101.142.9 dst=192.68.221.137 sport=80 dport=3770 packets=5 bytes=440 [ASSURED] mark=0 use=2 tcp 6 72513 ESTABLISHED src=192.68.221.105 dst=89.214.80.251 sport=443 dport=49626 packets=2 bytes=2920 [UNREPLIED] src=89.214.80.251 dst=192.68.221.105 sport=49626 dport=443 packets=0 bytes=0 mark=0 use=2 tcp 6 69486 ESTABLISHED src=200.163.2.238 dst=192.104.48.72 sport=3844 dport=80 packets=7 bytes=288 src=192.104.48.72 dst=200.163.2.238 sport=80 dport=3844 packets=1 bytes=48 [ASSURED] mark=0 use=2 tcp 6 368226 ESTABLISHED src=192.104.48.8 dst=125.163.103.161 sport=25 dport=16008 packets=1 bytes=110 [UNREPLIED] src=125.163.103.161 dst=192.104.48.8 sport=16008 dport=25 packets=0 bytes=0 mark=0 use=2 tcp 6 121414 ESTABLISHED src=10.44.17.29 dst=194.42.43.34 sport=1401 dport=443 packets=34 bytes=20295 src=194.42.43.34 dst=192.68.221.133 sport=443 dport=1401 packets=36 bytes=18254 [ASSURED] mark=0 use=2 tcp 6 293 ESTABLISHED src=10.64.10.50 dst=208.43.202.36 sport=50106 dport=80 packets=341 bytes=56504 src=208.43.202.36 dst=192.68.221.135 sport=80 dport=50106 packets=349 bytes=53395 [ASSURED] mark=0 use=2 tcp 6 48 SYN_SENT src=10.43.139.11 dst=190.200.87.76 sport=51546 dport=64694 packets=3 bytes=152 [UNREPLIED] src=190.200.87.76 dst=10.43.139.11 sport=64694 dport=51546 packets=0 bytes=0 mark=0 use=2 tcp 6 327582 ESTABLISHED src=192.68.221.105 dst=81.84.148.189 sport=443 dport=1609 packets=9 bytes=6205 [UNREPLIED] src=81.84.148.189 dst=192.68.221.105 sport=1609 dport=443 packets=0 bytes=0 mark=0 use=2 tcp 6 346597 ESTABLISHED src=213.22.248.19 dst=193.137.100.233 sport=49838 dport=80 packets=7 bytes=352 src=193.137.100.233 dst=213.22.248.19 sport=80 dport=49838 packets=1 bytes=52 [ASSURED] mark=0 use=2
07-04-2011
ISEL/DEETC/SRT
30
Estabelecimento de ligaes
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
Fecho de ligaes
07-04-2011
ISEL/DEETC/SRT
31
07-04-2011
ISEL/DEETC/SRT
33
Em UDP
07-04-2011
ISEL/DEETC/SRT
34
07-04-2011
Comutao de chains (-g) Salta para a chain indicada e no volta Mdulo adicional de verificaes (-m) Usado para carregar mdulos especializados de verificao Por omisso (-P) define a aco por omisso da chain
07-04-2011 ISEL/DEETC/SRT 36
--syn
Equivalente a --tcp-flags SYN,RST,ACK,FIN SYN
--sport port[:port]
Gama de portos origem a validar
--dport port[:port]
Gama de portos destino a validar
--tcp-option number
Valida a existncia de determinada extenso de cabealho TCP
07-04-2011
ISEL/DEETC/SRT
37
07-04-2011
ISEL/DEETC/SRT
38
Netfilter - NAT
Usar o iptables com a opo t nat Pontos de intercepo
PREROUTING POSTROUTING OUTPUT
Netfilter O resto
impossvel falar de todas as alternativas do Netfilter Mesmo grande parte do mencionado atrs tem variantes que tiveram de ficam por mencionar Site oficial: http://www.netfilter.org/
Inclui muita documentao a todos os nveis e referncias para muitos outros locais com tutoriais e HOWTOs
07-04-2011
ISEL/DEETC/SRT
40
state INVALID state RELATED,ESTABLISHED state NEW udp dpt:52412 tcp dpts:52413:52414 tcp dpt:23 state NEW udp spt:67 dpt:68 tcp dpt:80
destination 0.0.0.0/0 0.0.0.0/0 66.132.128.0/17 69.90.136.0/21 62.50.32.0/19 192.168.100.1 192.168.1.0/24 192.168.0.0/16 172.16.0.0/20 10.0.0.0/8 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0
state INVALID
07-04-2011
ISEL/DEETC/SRT
41
Chain SECURITY (0 references) pkts bytes target prot opt 0 0 RETURN tcp -0 0 RETURN tcp -0 0 RETURN udp -0 0 RETURN icmp -0 0 DROP all --
in * * * * *
out * * * * *
tcp flags:0x16/0x02 limit: avg 1/sec burst 5 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 limit: avg 5/sec burst 5 limit: avg 5/sec burst 5
Chain habbo (3 references) pkts bytes target prot opt in 0 0 RETURN all -- * 2 104 REJECT all -- * Chain logaccept (0 references) pkts bytes target prot opt in 0 0 LOG all -- * 0 0 ACCEPT all -- * Chain logdrop (0 references) pkts bytes target prot opt in 0 0 LOG all -- * 0 0 DROP all -- *
out * *
reject-with icmp-net-prohibited
out * *
out * *
07-04-2011
ISEL/DEETC/SRT
42
Chain POSTROUTING (policy ACCEPT 29811 packets, 1884K bytes) pkts bytes target prot opt in out source destination 105K 9418K MASQUERADE all -- * vlan1 !84.90.114.234 0.0.0.0/0 1991 210K MASQUERADE all -- * br0 192.168.1.128/25 192.168.1.128/25 Chain OUTPUT (policy ACCEPT 22615 packets, 1488K bytes) pkts bytes target prot opt in out source Chain VSERVER (1 references) pkts bytes target prot opt 0 0 DNAT tcp -0 0 DNAT udp -9187 606K DNAT tcp -0 0 DNAT tcp -0 0 DNAT udp -0 0 DNAT udp --
destination
in * * * * * *
out * * * * * *
dpt:65530 to:192.168.1.200:65530 dpt:65530 to:192.168.1.200:65530 dpt:65531 to:192.168.1.200:65531 dpt:5001 to:192.168.1.207:5001 dpt:5001 to:192.168.1.207:5001 dpt:6000 to:192.168.1.211:6000
07-04-2011
ISEL/DEETC/SRT
43
Referncias
Netfilter/IPTables
The netfilter.org project
http://www.netfilter.org/