Entrar Ainda não tem acesso?
3
respostas

[Dúvida] Criando filtro ACL

Referente ao curso Redes: construindo um projeto com VLANs, políticas de acesso e conexão com internet, no capítulo Tráfego de rede e atividade Filtrando tráfego

por Murilo De Souza Castro
| 17.3k xp | 3 posts

Pessoal, bom dia! Eu tive um pouco do duvida em relação ao exercício 06 filtrando tráfego.

Considere que um laboratório vinculado a uma universidade desenvolve processadores de computador. Esta instituição utiliza listas de controle de acesso (ACLs) em sua rede para auxiliar no processo de prevenção de vazamento de informações importantes.

Qual seria a melhor estratégia para implementar estas listas de acesso?

Resposta: Configurar uma ACL estendida que bloqueie todo o tráfego de saída para destinos fora da rede do laboratório.
Complemento do resposta: "Uma ACL estendida pode ser configurada para bloquear todo o tráfego de saída para destinos fora da rede do laboratório. Isso pode efetivamente prevenir o vazamento de informações, permitindo que os usuários na rede do laboratório ainda se comuniquem entre si e com os servidores do laboratório."

Conseguem me ajudar com exemplos simples ? Eu fiquei um pouco perdido nessa etapa.

Matricule-se agora e aproveite até 50% OFF

O maior desconto do ano para você evoluir com a maior escola de tecnologia

QUERO APROVEITAR
3 respostas
por Ronaldo Cordeiro Schmidt
| 304.4k xp | 827 posts

Olá amigo.
Vamos tentar entender:
O que está tentando fazer é aplicar uma política de segurança na rede de um laboratório universitário.
Esse laboratório tem processadores em desenvolvimento e precisa evitar que informações confidenciais sejam vazadas para fora da rede.
Como a comunicação dentro da rede do laboratório é importante para os pesquisadores, mas o tráfego de dados para fora (internet ou outras redes) precisa ser bloqueado para garantir a segurança, a ACL será utilizada para gerenciar esse tráfego.
Uma ACL (Access Control List) é uma lista de regras que filtra o tráfego de rede com base em parâmetros como endereço IP, protocolos e portas de origem e destino. Existem dois tipos principais de ACLs:

  • ACL Standard (Simples): Filtros apenas por endereço IP de origem.
  • ACL Extended (Estendida): Filtros por endereço IP de origem e destino, protocolos (TCP, UDP, ICMP), e até portas específicas.

Neste caso, para bloquear o tráfego de saída para destinos fora da rede do laboratório, você usaria uma ACL Estendida, que te dá mais controle.
Vamos considerar o seguinte:

  • Rede do laboratório (VLAN do laboratório): 192.168.10.0/24 (faixa de IPs do laboratório)
  • Rede da Internet: 0.0.0.0/0 (qualquer rede fora da rede do laboratório)

Aqui, queremos garantir que todo tráfego de saída para fora da rede 192.168.10.0/24 seja bloqueado (ou seja, para a Internet).
A ACL estendida pode ser configurada em um roteador ou firewall para filtrar o tráfego. O objetivo é permitir que a comunicação dentro da rede do laboratório continue, mas bloquear qualquer tráfego saindo da rede para fora da faixa de IP definida.
Comando para criar a ACL:

ip access-list extended BLOQUEAR_FUERA_LAB
 deny ip 192.168.10.0 0.0.0.255 any
 permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255

Explicação:

  1. deny ip 192.168.10.0 0.0.0.255 any: Esta regra bloqueia todo o tráfego da rede do laboratório (192.168.10.0/24) para qualquer outro destino (qualquer IP).
  2. permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255: Esta regra permite que o tráfego dentro da rede do laboratório (da rede 192.168.10.0/24 para 192.168.10.0/24) seja livre.

Ou seja, o tráfego interno é permitido, mas qualquer tráfego de saída da rede do laboratório (para qualquer rede fora da faixa de 192.168.10.0/24) será bloqueado.
Agora, você precisa aplicar a ACL na interface que está conectada à rede externa (internet ou outra rede).
Exemplo de comando para aplicar a ACL em uma interface:

interface GigabitEthernet0/1
 ip access-group BLOQUEAR_FUERA_LAB out

Esse comando aplica a ACL BLOQUEAR_FUERA_LAB à interface de saída (de tráfego de saída) GigabitEthernet0/1.
Resumo da Configuração

  • ACL Estendida foi configurada para bloquear todo o tráfego de saída da rede do laboratório.
  • A ACL permite a comunicação interna dentro da rede do laboratório.
  • Aplicação da ACL na interface de saída (conectada ao link para a Internet ou outras redes).

Se você quiser permitir o tráfego interno e bloquear somente o tráfego para a Internet (não para redes internas ou outras redes autorizadas), você precisaria ajustar a ACL para ser mais específica.
Exemplo para bloquear tráfego da rede do laboratório para a Internet, mas permitir para outras redes internas:

ip access-list extended BLOQUEAR_INTERNET
 deny ip 192.168.10.0 0.0.0.255 0.0.0.0 0.255.255.255
 permit ip 192.168.10.0 0.0.0.255 any

Explicando as regras:

  • deny ip 192.168.10.0 0.0.0.255 0.0.0.0 0.255.255.255: Essa regra bloqueia o tráfego de 192.168.10.0/24 para qualquer destino que seja fora da faixa de redes privadas (geralmente qualquer rede da Internet).
  • permit ip 192.168.10.0 0.0.0.255 any: Permite o tráfego dentro da rede do laboratório ou para outras redes internas.

A configuração de uma ACL estendida vai permitir que controle exatamente o tráfego que sai da sua rede e pode ser essencial para evitar vazamentos de dados sensíveis. O bloqueio do tráfego para a Internet garante que, mesmo que os pesquisadores precisem se comunicar dentro da rede, informações confidenciais não sejam enviadas para fora.
Analisa ai e envia um feedback para nós.
Bons estudos.

por Murilo De Souza Castro
| 17.3k xp | 3 posts

Bom dia Ronaldo, obrigado pela detalhada e excelente explicação. Parabéns pelo conhecimento, ajuda e disponibilidade.

por Ronaldo Cordeiro Schmidt
| 304.4k xp | 827 posts

Olá Murilo.
Eu que agradeço seu feedback.
Quando surgir uma duvida pode perguntar.
Bons estudos.