este artigo é o início de uma nova série centrada na segurança de TI, mas focada em garantir redes com listas de controle de acesso, comumente referido como ACLs. Listas de controle de acesso, sua função e implementação adequada são cobertas nos exames da Cisco, mas os conceitos e estratégias de implantação também são cobertos por certificações como segurança + e CISSP., Neste artigo, vamos investigar e definir os diferentes tipos de listas de controle de acesso e examinar alguns conceitos de implantação, especialmente o “por que” nós os usamos e o “quando”. Os futuros artigos vão se concentrar em sua implementação em roteadores da Cisco, projetos específicos para permitir e negar serviços, e aventurar-se no mundo das firewalls.o que são listas de controle de acesso?
ACLs são um filtro de rede utilizado por roteadores e alguns switches para permitir e restringir os fluxos de dados dentro e fora das interfaces de rede., Quando um ACL é configurado em uma interface, o dispositivo de rede analisa os dados que passam através da interface, compara-o com os critérios descritos no ACL, e permite que os dados fluam ou proíbe.por que usamos listas de controle de acesso?
há uma variedade de razões que usamos ACLs. A principal razão é fornecer um nível básico de segurança para a rede. Os ACLs não são tão complexos e em profundidade de proteção como as firewalls, mas eles fornecem proteção em interfaces de velocidade mais alta, onde a velocidade da linha é importante e firewalls pode ser restritiva., ACLs também são usados para restringir atualizações para roteamento a partir de pares de rede e pode ser instrumental na definição de controle de fluxo para o tráfego de rede.
quando usamos listas de controle de acesso?
Como mencionei antes, ACLs para roteadores não são tão complexos ou robustos como firewalls, mas eles oferecem uma quantidade significativa de capacidade de firewall. Como uma rede de TI ou profissional de segurança, a colocação de suas defesas é fundamental para proteger a rede, seus ativos e dados., O SCA deve ser colocado em roteadores externos para filtrar o tráfego contra redes menos desejáveis e protocolos vulneráveis conhecidos.
um dos métodos mais comuns neste caso é a configuração de uma zona tampão DMZ, ou de-militarizada em sua rede. Esta arquitetura é normalmente implementada com dois dispositivos de rede separados.
um exemplo desta configuração é dado na Figura 1.
o router mais exterior fornece acesso a todas as ligações externas da rede., Este router geralmente tem ACLs menos restritivos, mas oferece maiores blocos de acesso de proteção para áreas das tabelas de roteamento globais que você deseja restringir. Este router também deve proteger contra protocolos bem conhecidos que você absolutamente não planeja permitir o acesso dentro ou fora de sua rede. Além disso, ACLs aqui deve ser configurado para restringir o acesso de pares de rede e pode ser usado em conjunto com os protocolos de roteamento para restringir atualizações e a extensão de rotas recebidas de ou enviadas para pares de rede.,
a DMZ é onde a maioria dos profissionais de TI colocam sistemas que precisam de acesso do exterior. Os exemplos mais comuns são servidores web, servidores DNS, e sistemas de acesso remoto ou VPN.
o roteador interno de uma DMZ contém ACLs mais restritivos projetados para proteger a rede interna de ameaças mais definidas. ACLs aqui são muitas vezes configurados com permissão explícita e negar declarações para endereços específicos e serviços de Protocolo.
em que consiste uma lista de controlo de acesso?,
independentemente da plataforma de roteamento que você utiliza, todos têm um perfil semelhante para definir uma lista de controle de acesso.,s e números)
- Exemplos incluem IP, IPX, ICMP, TCP, UDP, NETBIOS e muitos outros
- Estes são normalmente os endereços de e pode ser definido como um discreto único endereço, uma variedade ou sub-rede, ou todos os endereços
- Estas instruções adicionais pedido de funções adicionais quando é encontrada uma correspondência para a instrução., Estas opções variam para cada protocolo, mas uma bandeira comum adicionada às declarações é a funcionalidade de registo que regista qualquer correspondência com a declaração no registo do router
Que tipos de Listas de controlo de acesso existem?
Existem vários tipos de listas de controle de acesso e a maioria é definida para um propósito ou protocolo distinto. Nos roteadores da Cisco, existem dois tipos principais: padrão e estendido. Estes dois tipos são os ACLs mais amplamente utilizados e os que eu vou focar neste e futuros artigos, mas existem alguns ACLs avançados também., Alguns dos ACLs avançados incluem ACLs reflexivos e ACLs dinâmicos e são definidos como segue. ACLs reflexivos, também conhecidos como ACLs de sessão IP, são acionados a partir de um ACL de saída para o tráfego iniciado a partir da rede interna. O router irá identificar este novo fluxo de tráfego e criar uma entrada em um ACL separado para o caminho de entrada. Uma vez que a sessão termina, a entrada na ACL reflexiva é removida.
ACLs dinâmicos ou ACLs de bloqueio e chave são criados para permitir o acesso do utilizador a uma máquina de origem/destino específica através de um processo de autenticação do utilizador., As implementações da Cisco utilizam capacidades de Firewall IOS e não impedem as restrições de segurança existentes.
A implementação de ACLs numa Interface de Router
a colocação e compreensão do fluxo de tráfego é importante para compreender de antemão antes de configurar uma ACL numa interface de router. A compreensão da colocação e do impacto dos SCA são questões frequentes nos exames CCNA e CCNP e os erros na colocação ACL são alguns dos mais comuns que os administradores de rede fazem durante a implementação da segurança. Acredita, acontece a todos nós e não sou imune a esse., A figura 2 fornece um bom exemplo do fluxo de tráfego quando se trata de entrada e saída em uma interface de rede de roteadores.
Como pode ver neste diagrama, o tráfego de entrada da rede para a interface e o fluxo de saída da interface para a rede. Os profissionais da rede de TI e da segurança devem estar muito atentos a este aspecto. O ACLs começa com um endereço de origem primeiro na sua configuração e segundo destino., À medida que você configura um ACL na entrada de uma interface de rede, é importante reconhecer que toda a rede local ou hosts devem ser vistos como fontes aqui, e o oposto exato para a interface de saída.
O que torna isto mais confuso é a implementação de ACLs na interface de um roteador que enfrenta uma rede externa. Olhe para trás para a Figura 1. Nesse exemplo, o lado de entrada vem da rede externa e esses endereços são considerados fontes, enquanto todos os endereços de rede interna são destinos., No lado de saída, seus endereços de rede interna são agora endereços de origem e os endereços externos são agora destinos.
à medida que adiciona portos em ACLs alargados, a confusão pode montar. O melhor conselho que tenho Antes de qualquer implementação é documentar seus fluxos e anotar seus endereços de origem/destino. Vamos cobrir mais dessas implementações mais tarde em artigos de configuração ACL.
resumo
listas de controlo de acesso são um elemento fundamental para garantir a segurança das suas redes e compreender a sua função, sendo essencial uma colocação adequada para alcançar a sua melhor eficácia., O treinamento de certificação abrange SCA e há várias perguntas sobre exames que lhes dizem respeito. Como continuamos nesta série, seria sensato testar alguns dos conceitos em simuladores de rede ou portas de roteadores não usadas para ganhar uma melhor perspectiva usando ACLs e como eles podem ser representados em implementações reais e nos exames.pronto para testar as suas competências em rede informática? Vê como eles se encaixam com esta avaliação do Smarter. Iniciar este teste de rede de computadores agora