FIREWALL - ACL's

Firewall - ACL

Alguns Roteadores possuem uma função secundaria ou um serviço de restrições ou bloqueios para acesso a Redes Externa e Interna, como estou estudando para o CCNA, falaremos expecificamente dos produtos CISCO.

Os Roteadores Cisco possuem essa função, e atravez de regras podemos habilitar e desabilar o trafego de entrada ou saída.
No caso dos roteadores da Cisco, temos dois tipos de regras, a Standard e Extended.

Standard = Politicas de 1 a 99
Extended = Politicas de 100 a 199

A regra Standard atua na Camada 3 e a Extended na camada 4 da Tabela OSI.

Teremos por objetivo, inserir regras de acesso nos roteadores RTA e RTB de forma que o PC0 tenha acesso ou restrição ao Server0.
Abaixo um exemplo de como configurar e habilitar essa função.

Abaixo segue a imagem da rede.


















Nesse exemplo trabalharemos com o access-list 100

Para facilitar a compreenção, vamos apenas trabalhar com o Roteador RTA.
Regras a Inserir:

Bloqueio ao HTTP do Computador PC0 ao Servidor SERVER0
Permitir o Computador PC0 usar o comando Ping para o Servidor SERVER0

Com um duplo clique no Roteador RTA, vamos selecionar a aba CLI.
Um Roteador virtual foi carregado, agora vamos acessar o modo privilegiado.

RTA>enable

Digitar senha cisco

O prompt mudou de > para # o que indica que estamos no modo privilegiado.
Com o Comando Config Terminal, acessamos o modo de configuração Global.

access-list 100 permit tcp host 172.16.28.200 host 10.128.64.3 eq www

Definir em qual interface a regra será aplicada, nesse caso na serial 0/0
No modo de configuração global, digitar

RTA(config)# interface serial 0/0
RTA(config-if)#ip access-group 100 out

Executar o comando PING do PC0 para o SERVER0.

Duplo Clique no PC0, na aba desktop escolher o Web Browser.
Digitar no endereço 10.128.64.3

Abrir o Command Prompt e executar o comando ping para o endereço 10.128.64.3

Houve sucesso no acesso ao www pois a regra inserida é especifica para esse acesso.
Ja o Ping, apareceu destino inalcançado devido a função FIREWALL.
Agora vamos habilitar o PC0 fazer Ping's para o SERVER0.

Inserir a seguinte regra:

access-list 100 permit icmp host 172.16.28.200 host 10.128.64.3

Abrindo o Prompt do PC0 e executando um Ping, é encontrado esse ip e respondido, diferente de anteriormente que o destino era inalcançado.

Devemos complementar a regra de forma inteligente pois muitas regras carregam o processamento do Roteador podendo causar lentidão na conexão.

Perimetro de Redes

Perimetro de Rede

Primeiro, vamos definir o que é Firewall.

Firewall (Parede de Fogo), Software ou Hardware (Appliance) que cria um Isolamente entre duas redes que a principio são interligadas.Esse Isolamento é definido por Politicas e Regras de Acesso.
Alguns Roteadores possuem essa Função Secundária,que no caso da Cisco, podemos aplicar essas regras para as camadas 3(Network) e 4(Transporte) do Modelo OSI.

Em uma Rede Interna (Inside), temos acessos esclusivos a recursos e serviços , como a internet é uma rede aberta, devemos isolar o acesso externo (Outside), usando um Firewall. Podemos também criar uma Zona Des-militarizada, onde publicaremos para o acesso externo, serviços e informações, evitando acessos indevidos a rede interna.

Abaixo Segue um Exemplo.
















Nesse Exemplo, A Internet (Representada pela nuvem) encontra uma primeira barreira (Firewall), onde será barrado e direcionado a Zona Des-Militarizada (DMZ). Nessa Zona existe poucas ou nenhuma regra de acesso, tornando Vulnerável aos Ataques e Invasões. Em seguida temos nosso primeiro Firewall onde concede ou bloqueia acessos que não condizem com sua Lista de Regras.

Após o Router, temos um segundo Firewall criando uma segunda camada, isolando a Rede Externa da Rede Interna. Conforme citado acima, temos alguns equipamentos que possuem essa função secundária.

Em Resumo, Perimetro de Rede é uma separação lógica dos Equipamentos ou Sistemas que podem ou não ficar expostos para a Internet. Atribuimos a DMZ como uma Área de Livre Acesso, onde a informação fica disponível para Internet.
Usamos o Firewall (Hardware ou Software), para isolar uma Zona Interna da Zona Externa (Internet).

Sumarização de Rotas

Sumarização de Rotas - Tabela de Roteamento

Em uma Rede WAN/LAN, existem roteadores responsáveis pelo encaminhamento das informações, para os outros roteadores. No caso de existir muitas rotas parecidas na tabela de Roteamento destes Roteadores, possivelmente teremos alguma perda de performance (lentidão entre os roteadores), pois conforme a extensão dessa lista vai determinar o tempo de acesso.

A Sumarização (Abreviação das Rotas), foi criado visando diminuir ao Maxímo essa tabela de consulta, otimizando o tempo de encaminhamento de um roteador ao outro.

No Exemplo abaixo temos nossa Matriz e as 3 Filiais,












IP Matriz - 10.35.22.1

IP Filial 1 - 192.168.5.200
IP Filial 2 - 192.168.7.23
IP Filial 3 - 192.168.29.74

Repare que o Roteador da Matriz tem Acesso aos das Filiais, onde vamos aplicar a Sumarização.
Vamos Converter os IP's das Filiais em Binário.

11000000.10101000.00000101.11001000
11000000.10101000.00000111.00010111
11000000.10101000.00011101.01001010

Dos 32 Bits que compões o endereço 19 deles são iguais

11000000.10101000.000

Completando o restante desse endereço com 0, teremos um endereço resumido:
11000000.10101000.00000000.00000000
Convertendo pra Decimal teremos o Endereço: 192.168.0.0/19

De 3 endereços podemos inserir apenas um que atende os 3 roteadores.

Sub Redes - VLSM

Sub-Redes

Antes de falarmos deste assunto devemos afirmar que:

Uma Máscara de subrede (Subnet Mask) é composto por 32 bit's divididos em 4 grupos de 8 bit's onde são repesentados em valores decimal.

Os Valores variam de 0 (endereço de rede) à 255 (endereço de broadcast).

Um Endereço IP é formado por duas partes, Network ID (Identificação de Rede) e Host ID (Identificação de Host's).

Temos 3 classes de Redes

Classe A - Máscara: 255.0.0.0 (IP 1 - 126)

Classe B - Máscara: 255.255.0.0 (IP 128 - 191)

Classe C - Máscara: 255.255.255.0 (IP 192 - 223)


Exemplo: 10.0.0.1

Network ID = 10 (identificaçÃo do endereço de Rede)
Host ID = 0.0.1 (numero de host que compões a Rede, que nesse caso pode ter o total de 16.777.124)

Calculo para o numeros de Host.

A fórmula para determinar o número de Host.

2*-2= Numero de Host
(Base 2 Elevado pela Quantidades de Bit's)

Onde * é a Quantidade de bit's em 0.

Uma outra forma de indicar a Máscara de Rede a ser usada, é inserir /CIDR.

10.0.0.0/8 (Máscara: 255.0.0.0)

100.100.0.0/16 (Máscara: 255.255.0.0)

200.200.200.0/24 (Máscara: 255.255.255.0)

VLSM

Uma forma de "Customizar" e "Organizar" a quantidade de Host que será ligado em uma Rede, é alterando o CIDR.

Exemplo Prático.
Qual a Máscara de Rede e a Quantidades de IP que será atribuida para o endereço abaixo.

192.168.0.0/30

Para a resolução desse problema, Subtraimos o CIDR da Quantidade de Bit's que compões a Máscara.

32-30 = 2 Bit's

Determinemos o Numeros de Host.

2²-2 = 4 - 2 = 2 Host's

Deteminemos a Máscara Usada.

256 - 4 = 252 (255.255.255.252)

Exemplificando Máscara em Binário.

11111111.11111111.11111111.11111100 onde o último octeto representa o numero 252 em decimal.


Exemplo Prático 2.

A Rede 10.4.7.0/23 possui quantos Host, qual a Máscara para ser usada nesse caso ?

Vamos subtrair o CIDR da quantidade total de Bit's.

32 - 23 = 9 Bit's

2^9 - 2 = 512 - 2 = 510 Bit's

Máscara a ser Usada.

256 - 9 = 247 (255.255.255.247)

Binário.

11111111.11111111.11111111.11110111

Dividindo uma Rede.

Através desse metodo, conseguimos dividir uma rede, alocando um numero X de Host conforme a necessidade.

Imagine uma rede com 4 roteadores onde o Roteador A possui 5 Host's, B possui 17 Host's, C possui 25 Host's e o D possui 31 Host's.

Rede 192.168.0.0

A = 05
B = 17
C = 25
D = 31

Para resolver esse problema vamos analizar essa tabela.

A resposta certa é

A = /29
B = /27
C = /27
D = /26

192.168.0.0/29
192.168.0.8/27
192.168.0.40/27
192.168.0.104/26

Essas Máscaras são as mais próximas das quantidades de Host's, Porém uma Boa Prática é Igualar as Máscaras e escolher uma que tenha sobra de Host's visando um futuro Upgrade.
Nesse Caso o CIDR a ser escolhido é o /26

Então ficaria:

A = 192.168.0.0/26
B = 192.168.0.64/26
C = 192.168.0.128/26
D = 192.168.0.192/26

Nesse Caso teremos 62 host's para cada rede.

Existe um outro jeito de assimilar essas divisões.

Uma rede /24 equivale a 256 IP's, assim uma rede /24 equivale a 2 redes /25 (128 IP's), que equivale a 4 redes /26 (64 IP's), que equivale a 8 redes /27 (32 IP's), que equivale a 16 redes /28 (16 IP's), que equivale a 32 redes /29 (8 IP's) e que equivale a 64 redes /30 (4 IP's).

Dessa forma, usando essa analogia para o problema acima, apenas dividindo o 256 por 4 ja temos o resultado que seria 64 IP's (/26).

Apenas para demonstrar essa equivalência.

/24(IP's 256) = 2 > /25(IP's 128) = 4 > /26(IP's 64)8 > /27(IP's 32) = 16 > /28(IP's 16) = 32 > /29(IP's 8) = 64 > /30(IP's 4).

Da mesma forma, podemos afirmar que uma rede /23 (512 IP's) equivale a 2 Redes /24 (256 IP's) e assim por diante.

Daniel Medeiros.

Apresentação - Cisco CCNA - ICND1 / ICND2

Iniciamos no dia 16/01/2010 o ICND1 (640-822) na IMPACTA com o Foco de obter o CCNA, particulamente achei interessante a abordagem, pois apesar de ser tratar de produtos CISCO, o foco deste curso acaba sendo a tecnologia em si.

Pode-se diser que estamos para nos tornar especialistas em TCP-IP!

Começamos o ICND2 (640-616) no dia 27/02/2010.

Vamos ver o que nos Aguarda !!!