Esta postagem tem mais de 5 anos
5 Mensagens
1
4458
Criação de acl para Bloqueio de SSH no equipamento
Bom dia Antonio,
Conforme conversamos, preciso atender uma demanda da proteus no cliente Brmalls, onde o objetivo é restringir acesso via ssh nos equipamentos, permintindo acesso apenas para o nosso suporte IBM.
Nossa Origem é (ip editado pelo moderador) 192.0.2.124, o acesso deve ser apenas para esse IP e deny nas demais redes.
Estou te enviando a topologia por email.
Obrigado
Carlos Jacomini
IBM
DELL-Antonio M.
196 Mensagens
1
19 de agosto de 2016 12:00
Olá, Carlos!
Boa tarde, tudo bem?
Está ficando excelente.
Apenas um detalhe muito importante. Você tem que dizer a direção da ACL na hora de aplicar (IN ou OUT).
No caso é na entrada por que assim o tráfego nem sequer vai ser roteado.
Então seu script vai ficar assim:
ip access-list SERVERS-MGMT extended
! begin comment
! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do telnet
! end comment
deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 23
deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 23
deny tcp 172.30.22.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 23
deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 23
deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 23
deny tcp 172.30.27.0 0.0.0.255 192.168.100.0 0.0.15.255 eq 23
deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 23
deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 23
deny tcp 172.30.24.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 23
! begin comment
! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do ssh
! end comment
deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 22
deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 22
deny tcp 172.30.22.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 22
deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 22
deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 22
deny tcp 172.30.27.0 0.0.0.255 192.168.100.0 0.0.15.255 eq 22
deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 22
deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 22
deny tcp 172.30.24.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 22
! begin comment
! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do rdp
! end comment
deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 3389
deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 3389
deny tcp 172.30.22.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 3389
deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 3389
deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 3389
deny tcp 172.30.27.0 0.0.0.255 192.168.100.0 0.0.15.255 eq 3389
deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 3389
deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 3389
deny tcp 172.30.24.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 3389
! begin comment
! libera demais trafegos para nao perder acessos validos
! end comment
permit ip any any
exit
interface vlan 22
ip access-group SERVERS-MGMT in
exit
interface vlan 12
ip access-group SERVERS-MGMT in
exit
interface vlan 23
ip access-group SERVERS-MGMT in
exit
exit
copy running-config startup-config
DELL-Antonio M.
196 Mensagens
0
18 de agosto de 2016 09:00
Bom dia, Carlos!
Como vai? Tudo bem?
Olha, primeiramente é bom ver a documentação para confirmar a sintaxe dos comandos de ACL.
Seguem os links para documentação, Carlos:
Muito bem, outro ponto é que agora nos firmwares mais novos além do que você comentou por telefone de ter que usar "IP" antes de "access-list", bom, além disso agora só aceita nome string. Ou seja, não pode mais usar número.
Veja o exemplo abaixo:
ny-fl2-sw03(config)#ip access-list 101 extended
Invalid ACL Name. Name string may include alphabetic, numeric, dash, dot or underscore characters only. Name must start with a letter and the size of the name string must be less than or equal to 31 characters.
Então para o seu caso, se eu entendi bem o que você falou antes, então você precisa
Então, uma forma de fazer isso tendo a VLAN 900 como gerência e a rede da BRMalls sendo 10.20.30.0 /24 por exemplo:
ny-fl2-sw03(config)#ip access-list cento-e-um extended
ny-fl2-sw03(config-ip-acl)#deny tcp 10.20.30.0 0.0.0.255 any eq 22
ny-fl2-sw03(config-ip-acl)#permit ip any any
Daí você aplica na Entrada da VLAN de gerência do switch assim:
ny-fl2-sw03(config)#interface vlan 900
ny-fl2-sw03(config-if-vlan900)#ip access-group cento-e-um in
Espero ter ajudado. Por favor, Carlos, indique se a resposta solucionou sua dúvida.
Abraço! :emotion-15:
DELL-Antonio M.
196 Mensagens
1
18 de agosto de 2016 09:00
Ok, Carlos.
Entendi melhor agora.
Só fui ver o diagrama que você me enviou em privativo depois.
Mas enfim, a lógica da ACL segue a mesma. O detalhe é que você tem serviços e apps rodando nos servidores então não podemos bloquear isso junto.
Então não podemos usar o deny implícito no final para escrever menos linhas de comando.
Ficaria assim, por exemplo:
ip access-group SERVERS-MGMT extended
deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 22
deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 22
deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 22
deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 22
permit ip any any
O exemplo acima é apenas para a porta 22 (ssh). Aí você repete as linhas trocando as portas para 3389 (rdp) , 23 (telnet) , etc.
Espero que agora eu tenha conseguido ajudar melhor.
cjacomin
5 Mensagens
0
18 de agosto de 2016 09:00
Olá Antonio,
Apenas corrigindo o que eu disse, verifiquei com o cliente e no caso é bloquear o acesso somente a vlan de servidores, ou seja apenas IBM deverá ter acesso aos servidores, dar um deny para as redes internas do cliente.
Exemplo: 172.30.2.0/21 e 172.30.22.0/21 deny para 172.30.0.0/24 e 172.30.20.0/24
Obrigado
Carlos Jacomini
IBM
cjacomin
5 Mensagens
2
18 de agosto de 2016 10:00
Olá Antonio,
É exatamente isso!
Para as demais portas eu posso colocar nesse mesmo grupo?
Ou Crio um novo grupo para cada porta?
Exemplo:
ip access-group SERVERS-MGMT-RDP extended
deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 3389
deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 3389
deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 3389
deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 3389
permit ip any any
ip access-group SERVERS-MGMT-TNT extended
deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 23
deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 23
deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 23
deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 23
permit ip any any
Obrigado
DELL-Antonio M.
196 Mensagens
1
18 de agosto de 2016 13:00
Show de bola, Carlos!
Isso de agrupar é bem mais prático. Mas neste caso infelizmente não podemos fazer assim. Isso é por que só pode haver uma ACL por interface por direção.
Isto é, você não pode aplicar mais de uma ACL na entrada de uma interface. Infelizmente routers e switches não são como firewall em que você pode tratar grupos de serviços sendo filtrados nas interfaces.
Então a saída é fazer uma ACL "grandona" com todas as linhas de todos os serviços que você quer negar.
Seria assim então:
ip access-list SERVERS-MGMT extended
! begin comment
! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do telnet
! end comment
deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 23
deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 23
deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 23
deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 23
! begin comment
! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do ssh
! end comment
deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 22
deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 22
deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 22
deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 22
! begin comment
! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do rdp
! end comment
deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 3389
deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 3389
deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 3389
deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 3389
! begin comment
! libera demais trafegos para nao perder acessos validos
! end comment
permit ip any any
E então você aplica essa ACL na interface de entrada o mais próximo possível da origem do tráfego. Isso é de melhores práticas.
Se você puder aplicar a filtragem antes mesmo de rotear esse tráfego, melhor.
Digamos que você vai aplicar no seu Core, então o ideal pelas melhores práticas é aplicar a ACL na interface que recebe o tráfego.
Se você puder, melhor ainda é aplicar nos switches de acesso do brmall. Vai depender de até onde você pode administrar.
cjacomin
5 Mensagens
1
19 de agosto de 2016 10:00
Antonio,
Boa tarde,
Conclui os scripts, segue abeixo:
Caso eu precise liberar somente para alguns hosts especificos seria por exemplo:
permit ip host 172.30.27.10 any ?
ip access-list SERVERS-MGMT extended
! begin comment
! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do telnet
! end comment
deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 23
deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 23
deny tcp 172.30.22.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 23
deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 23
deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 23
deny tcp 172.30.27.0 0.0.0.255 191.168.100.0 0.0.15.255 eq 23
deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 23
deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 23
deny tcp 172.30.24.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 23
! begin comment
! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do ssh
! end comment
deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 22
deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 22
deny tcp 172.30.22.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 22
deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 22
deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 22
deny tcp 172.30.27.0 0.0.0.255 191.168.100.0 0.0.15.255 eq 22
deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 22
deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 22
deny tcp 172.30.24.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 22
! begin comment
! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do rdp
! end comment
deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 3389
deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 3389
deny tcp 172.30.22.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 3389
deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 3389
deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 3389
deny tcp 172.30.27.0 0.0.0.255 191.168.100.0 0.0.15.255 eq 3389
deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 3389
deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 3389
deny tcp 172.30.24.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 3389
! begin comment
! libera demais trafegos para nao perder acessos validos
! end comment
permit ip any any
interface vlan 22
ip access-group SERVERS-MGMT
interface vlan 12
ip access-group SERVERS-MGMT
interface vlan 23
ip access-group SERVERS-MGMT
cjacomin
5 Mensagens
0
19 de agosto de 2016 12:00
Olá Antonio,
É realmente, obrigado!
DELL-Antonio M.
196 Mensagens
0
19 de agosto de 2016 12:00
De nada, Carlos! :emotion-15:
Ah, uma coisa que quase esqueci:
Sempre que quiser liberar um host específico é como você perguntou mesmo.
permit ip host 172.30.27.10 any
O detalhe é que você fazendo assim não vai liberar para um serviço específico apenas.