1 00:00:00,750 --> 00:00:01,480 Bem vindo de volta. 2 00:00:01,560 --> 00:00:05,580 Meu nome é David Bumble s. c. onze mil e vinte e três. 3 00:00:05,580 --> 00:00:07,980 E nesta seção vamos ver as listas de X-ists. 4 00:00:08,100 --> 00:00:12,540 Gostaria de mostrar a você como implementar segurança usando listas de controle de acesso, que 5 00:00:12,540 --> 00:00:17,100 são um dos blocos de construção mais básicos para implementar a segurança na rede Cisco. 6 00:00:17,100 --> 00:00:22,440 Hoje em dia existem várias maneiras de implementar a segurança, mas as listas de acesso são uma das mais 7 00:00:22,590 --> 00:00:25,020 fundamentais e muitas das novas tecnologias são baseadas nelas. 8 00:00:25,020 --> 00:00:30,060 Portanto, é importante que você tenha uma boa compreensão de como as listas de acesso funcionam e como implementá-las. 9 00:00:31,520 --> 00:00:34,130 Então, podemos olhar para o propósito das listas de controle de acesso. 10 00:00:34,220 --> 00:00:37,090 Eu gostaria de mostrar como eles estão ligados a interfaces. 11 00:00:37,170 --> 00:00:40,190 Eles estão ligados ou recebidos. 12 00:00:40,190 --> 00:00:45,740 Gostaria de mostrar a você vários topos de listas de acesso, incluindo listas numeradas de X-ists, 13 00:00:46,070 --> 00:00:50,670 listas de X-ists, bem como listas de controle de acesso estendidas ou ACLC. 14 00:00:50,960 --> 00:00:57,710 Eu gostaria de explicar o que uma mesquita de cartão selvagem faz e como você pode combinar sub-redes de 15 00:00:57,710 --> 00:01:00,680 hosts individuais todos os hosts alterando a mesquita curinga. 16 00:01:00,680 --> 00:01:07,620 Eu também gostaria de explicar ACLC reflexivo e dinâmico baseado em htan Agora antes de entrar em uma discussão de listas 17 00:01:07,620 --> 00:01:09,700 de controle de acesso ou ACLC. 18 00:01:09,900 --> 00:01:12,750 Vamos rever algumas das informações cobertas no gelo no curso D1. 19 00:01:13,200 --> 00:01:17,310 Você não poderá implementar o ACL sem um bom entendimento dos protocolos. 20 00:01:17,310 --> 00:01:23,130 Números de porta e outras opções estão disponíveis na pilha do protocolo TCAP Ah-Q e em outros protocolos. 21 00:01:23,130 --> 00:01:29,130 Se você tê-los em execução em sua rede, veja como um exemplo, se temos um PC conectado a um 22 00:01:29,130 --> 00:01:36,630 servidor e o PC se conecta usando HGP e que o tráfego é o mesmo através do roteador de rede, verá um pacote com 23 00:01:36,630 --> 00:01:42,890 um endereço de origem de 10 1 1 1 com o número da porta de origem maior que 1023. 24 00:01:43,050 --> 00:01:45,870 Então, neste exemplo digamos 1024. 25 00:01:45,870 --> 00:01:51,900 Neste caso, porque você está usando o UDP, ele vai para o número de porta 80, portanto, o endereço IP de 26 00:01:51,900 --> 00:01:56,410 destino é 10 1 para 1 e o número da porta de destino é 80. 27 00:01:56,490 --> 00:02:01,890 Agora, com a direção das listas de acesso, é de grande importância nesta interface. 28 00:02:01,890 --> 00:02:08,780 O rato está recebendo o pacote de entrada, mas nesta interface o pacote está sendo transmitido de saída. 29 00:02:08,790 --> 00:02:11,810 É importante que você olhe para isso do ponto de vista mais desordenado. 30 00:02:11,940 --> 00:02:16,190 O pacote chega de entrada e é enviado de saída. 31 00:02:16,200 --> 00:02:21,570 Então, em outras palavras, se você configurar uma lista de acesso de saída na aparência, isso não 32 00:02:21,570 --> 00:02:24,020 afetaria o tráfego do PC para o servidor. 33 00:02:24,240 --> 00:02:29,230 Porque eu estou na lista de acesso só verifica o tráfego de saída do ponto de vista budista. 34 00:02:29,520 --> 00:02:34,950 Portanto, se você configurou uma Lista de Controle de Acesso de entrada no lado esquerdo, os pacotes teriam 35 00:02:34,950 --> 00:02:39,960 que passar pela lista de controle de saída antes de serem permitidos e, novamente, se você configurá-la 36 00:02:39,960 --> 00:02:45,870 na lista de Controle de Acesso nessa interface, o tráfego teria que passar pela lista de acesso será permitido pela 37 00:02:45,870 --> 00:02:46,660 lista de acesso. 38 00:02:46,680 --> 00:02:48,410 Caso contrário, o tráfego será descartado. 39 00:02:49,460 --> 00:02:55,130 Quando o serviço desde o tráfego em resposta, o endereço de origem será agora dez um para um com 40 00:02:55,130 --> 00:03:03,240 uma porta de origem de 80 e o endereço IP de destino será 10 1 1 1 e o número de porta de destino será 1024. 41 00:03:03,260 --> 00:03:09,500 Neste caso, uma lista de acesso de saída nesta interface entrará em vigor todo o tráfego do servidor para 42 00:03:09,500 --> 00:03:13,630 o PC, porque o tráfego está saindo do ponto de vista do roteador. 43 00:03:13,880 --> 00:03:19,220 Portanto, uma saída configurada excelente e essa interface teriam corrigido esse tráfego e esse tráfego teria que 44 00:03:19,220 --> 00:03:25,490 passar pelo critério definido na lista de acesso antes de ser permitido pelo mesmo token. Uma lista de acesso de 45 00:03:25,520 --> 00:03:30,410 entrada nessa interface afetaria o tráfego e o tráfego teria para passar os critérios definidos nessa 46 00:03:30,410 --> 00:03:31,980 lista de controle de acesso. 47 00:03:33,110 --> 00:03:34,640 Sim outro exemplo. 48 00:03:34,790 --> 00:03:39,320 Este MacBook está telnetting para mudar um através do roteador. 49 00:03:39,560 --> 00:03:43,960 Então, para argumentar, vamos supor que o MacBook escolha a porta 50000. 50 00:03:44,030 --> 00:03:49,460 O endereço de origem de todos os quadros do MacBook para o switch seria 10 um a um com 51 00:03:49,460 --> 00:03:51,100 a porta de origem de 50000. 52 00:03:51,140 --> 00:03:56,260 O destino seria 10 1 para 1 com o número de porta de destino 23. 53 00:03:56,540 --> 00:04:02,750 Então, mais uma vez, do ponto de vista dele, ele está recebendo quadros nesta interface com uma espécie 54 00:04:02,750 --> 00:04:08,720 de fonte em uma fonte para cinquenta mil e está transmitindo esses pacotes para fora dessa interface com 55 00:04:08,720 --> 00:04:09,790 os mesmos detalhes. 56 00:04:10,530 --> 00:04:17,640 Pacotes enviados em resposta a partir do switch de um endereço de origem de 10 1 para 1 porta de origem de 23 e um 57 00:04:17,670 --> 00:04:22,080 endereço IP de destino de 10 1 1 1 a porta de destino de 50000. 58 00:04:22,080 --> 00:04:28,170 Mais uma vez, é importante que você entenda seus protocolos e números de portas, pois 59 00:04:28,590 --> 00:04:35,130 sem esse entendimento, você não conseguirá configurar o ACLC e sempre verificar a direção do tráfego 60 00:04:35,130 --> 00:04:40,990 para determinar se um excesso deve ser proibido de entrar ou sair em interfaces específicas. 61 00:04:41,050 --> 00:04:45,470 Você é alguns exemplos de alguns protocolos TZP conhecidos com os números de porta relevantes. 62 00:04:45,710 --> 00:04:55,760 Se o DP usa a porta 21 para controle e 24 dados telnet usa a porta 23, o shell doentio usa a porta 22. 63 00:04:56,210 --> 00:04:56,930 Está vazio. 64 00:04:56,930 --> 00:05:00,710 Use a porta 25 HVD Pease da porta 80. 65 00:05:00,930 --> 00:05:03,020 O POP 3 usa a porta 1 1 0. 66 00:05:03,160 --> 00:05:05,910 Porta de SS Elissa, 443. 67 00:05:06,050 --> 00:05:12,190 Então, esses são exemplos de alguns números de porta TZP bem conhecidos que você deve lembrar para o mundo real. 68 00:05:12,230 --> 00:05:19,520 Apenas google meus números de porta para ver uma lista da Internet atribuir números de 30 números de porta. 69 00:05:19,520 --> 00:05:24,540 O I on é responsável pelos números das portas e determina a alocação. 70 00:05:24,650 --> 00:05:27,520 Como exemplo, basta digitar os números de porta 71 00:05:30,280 --> 00:05:35,730 e seu primeiro hit será uma lista de números de tribunal e eles explicam muito bem. 72 00:05:36,630 --> 00:05:44,890 Sobre os números de porta bem conhecidos, números de porta registrados e números de porta dinâmicos e privados. 73 00:05:45,130 --> 00:05:52,060 Então, como um exemplo, se você simplesmente fizer uma pesquisa ou um telnet, verá o número de porta que o telnet usa. 74 00:05:52,170 --> 00:05:57,180 Ele tem uma boa lista se você não tiver certeza de quais números de porta são usados ​​por protocolos específicos. 75 00:05:58,130 --> 00:06:02,080 Aqui está um exemplo de protocolos que usam o UDP e eles contam com números de porta. 76 00:06:02,110 --> 00:06:12,570 Então, como um exemplo, o DHP usa o número de porta 67 e 68 da porta Tease Pease 69 e como um MP usa a porta 161. 77 00:06:12,860 --> 00:06:19,440 Mais uma vez na mesma lista no Ayana você poderia fazer uma busca por protocolos específicos e 78 00:06:19,440 --> 00:06:23,490 há um exemplo de DNS TFT é um caso especial. 79 00:06:23,640 --> 00:06:28,600 É apenas a parte número 53 que usa o TCAP e o UDP. 80 00:06:28,710 --> 00:06:30,980 Então, tanto para fins de estudo quanto para o mundo real. 81 00:06:31,020 --> 00:06:36,370 Lembre-se de que protocolos como o telnet usam a porta 23 e dizem aos usuários o TZP. 82 00:06:36,630 --> 00:06:43,190 Considerando que, por exemplo, a DFT usa a porta 69 usando o UDP. 83 00:06:43,200 --> 00:06:48,240 Agora, por que você usaria o ACLC até o momento em que estivéssemos habilitando o acesso entre diferentes 84 00:06:48,240 --> 00:06:54,210 partes da rede? Nenhuma interface de shutting está se classificando no roteamento do Bil'in configurando protocolos de roteamento como o seu 85 00:06:54,210 --> 00:06:58,710 trabalho que você sabe que o SPF permitirá o acesso em toda a rede . 86 00:06:58,710 --> 00:07:04,010 No entanto, talvez você não queira que todos possam acessar todas as partes da rede. 87 00:07:04,020 --> 00:07:06,670 Isso é especialmente verdadeiro quando você se conecta à Internet. 88 00:07:06,930 --> 00:07:11,370 Você não quer necessariamente que todos na Internet possam acessar seus servidores corporativos ou sua 89 00:07:11,370 --> 00:07:12,100 rede corporativa. 90 00:07:12,240 --> 00:07:17,640 Portanto, as listas de acesso são uma das primeiras linhas de defesa a impedir ou negar o tráfego de uma parte da rede para 91 00:07:17,640 --> 00:07:22,270 outra, de modo que elas possam ser usadas para permitir ou negar o tráfego em movimento por meio de um roteador. 92 00:07:22,520 --> 00:07:28,810 Então, como um exemplo, podemos permitir que este MacBook tenha acesso à Internet, que podemos negar o 93 00:07:28,810 --> 00:07:31,810 tráfego da Internet para o nosso ambiente corporativo. 94 00:07:31,930 --> 00:07:37,780 Assim, permitiríamos ou negaríamos o tráfego por interface e, assim, negaríamos o tráfego em movimento 95 00:07:37,780 --> 00:07:39,040 através do roteador. 96 00:07:39,180 --> 00:07:44,240 Você poderia colocar uma senha em uma linha telefônica Viti em um roteador para forçar um nível de segurança. 97 00:07:44,260 --> 00:07:49,350 No entanto, você pode dizer que somente as sub-redes administrativas Wayne, uma vez que esta máquina em 98 00:07:49,350 --> 00:07:55,470 uma sub-rede administrativa, tem permissão para acessar as linhas Viti enquanto esta máquina não tem permissão para acessar as linhas 99 00:07:55,470 --> 00:07:56,510 de cabo BT. 100 00:07:56,610 --> 00:08:02,900 Neste caso, a lista de acesso não permitirá o tráfego telnet ou S-sh para as linhas Viti Why 101 00:08:02,910 --> 00:08:03,750 no roteador. 102 00:08:04,110 --> 00:08:10,590 Portanto, em vez de ter apenas uma linha de defesa, você implementa duas linhas de defesa, permitindo apenas certas 103 00:08:10,590 --> 00:08:16,860 sub-redes para as linhas Etowah, além de colocar uma senha nas linhas da BT sempre que se trata 104 00:08:16,860 --> 00:08:17,490 de segurança. 105 00:08:17,490 --> 00:08:23,080 Você tem que pensar no risco dependente do risco de implementar mais segurança. 106 00:08:23,160 --> 00:08:28,170 Nesse caso, você pode considerar alto o risco de os usuários acessarem o equipamento de rede. 107 00:08:28,440 --> 00:08:36,490 Assim, você permite que apenas algumas sub-redes se conectem às linhas BT ou ao roteador ou switch. 108 00:08:36,530 --> 00:08:41,380 Então, mais uma vez com a nossa ACL, todos os pacotes podem ser transmitidos para todas as partes da rede. 109 00:08:41,600 --> 00:08:43,610 E isso pode não ser desejável. 110 00:08:43,670 --> 00:08:48,670 Então você pode querer impedir que certas partes da rede tenham acesso a outras partes da rede. 111 00:08:48,680 --> 00:08:54,020 A ideia aqui é que você está começando a implementar a segurança bloqueando partes da 112 00:08:54,350 --> 00:09:00,380 rede para que elas não possam ser acessadas por todos os indivíduos dentro e fora de sua organização. 113 00:09:01,270 --> 00:09:07,520 ACLC Como não usei apenas para permitir ou negar tráfego, eles também podem ser usados ​​para 114 00:09:08,210 --> 00:09:13,060 classificação ao configurar uma VPN básica ou rede privada virtual entre dois sites. 115 00:09:13,250 --> 00:09:17,090 Você precisa informar ao roteador qual tráfego precisa ser criptografado. 116 00:09:17,210 --> 00:09:23,000 Talvez você não queira que todo o tráfego criptografado de sua LAN local, porque você pode 117 00:09:23,000 --> 00:09:31,400 querer tráfego da sua LAN local para um servidor da Internet para ser enviado sem criptografia, mas o tráfego de sua LAN local para 118 00:09:31,400 --> 00:09:37,880 o terreno do outro lado do túnel VPN precisa ser criptografado você cria uma lista de acesso determinando 119 00:09:37,880 --> 00:09:39,330 qual tráfego é interessante. 120 00:09:39,380 --> 00:09:41,340 Em outras palavras, precisa ser criptografado. 121 00:09:41,630 --> 00:09:48,660 O que o tráfego não é interessante em outras palavras, não precisa ser criptografado O ACL também 122 00:09:48,660 --> 00:09:55,470 pode ser usado na redistribuição onde você está tomando rotas de um protocolo de roteamento e redistribuindo-as 123 00:09:55,470 --> 00:09:58,250 ou bombeando-as para outro protocolo de roteamento. 124 00:09:58,260 --> 00:10:04,680 Então você pode não querer que o OSPF aprenda sobre todas as suas 125 00:10:04,680 --> 00:10:11,890 rotas GOP e, portanto, você pode usar listas de controle de acesso para limitar ou 126 00:10:11,950 --> 00:10:17,770 permitir que determinadas rotas sejam redistribuídas. para ser traduzido e quais pacotes 127 00:10:17,770 --> 00:10:20,080 não precisam ser traduzidos. 128 00:10:20,350 --> 00:10:24,670 Assim, você criaria uma lista em excesso permitindo que apenas certas sub-redes permitissem 129 00:10:24,670 --> 00:10:31,180 que pacotes fossem traduzidos. Os pacotes negados pela lista de acesso não teriam acesso negado ou descartados, mas não 130 00:10:31,210 --> 00:10:39,070 seriam traduzidos usando a tradução ou a rede do endereço de rede ao usar o ACLC para permitir ou negar pacotes movendo-se através 131 00:10:39,070 --> 00:10:40,050 de um roteador. 132 00:10:40,270 --> 00:10:42,020 Existem dois passos principais. 133 00:10:42,490 --> 00:10:49,240 Então, primeiramente, no modo de configuração global, você cria a lista de acesso usando a lista de acesso 134 00:10:49,240 --> 00:10:51,320 comum e depois preenchendo várias opções. 135 00:10:51,370 --> 00:10:58,120 Portanto, o comando de acesso é usado para criar a lista de acesso e, em seguida, você aplica a lista de 136 00:10:58,150 --> 00:11:02,110 acesso de entrada e saída em uma interface usando o Grupo de Acesso. 137 00:11:02,120 --> 00:11:02,890 Vamos lá. 138 00:11:03,220 --> 00:11:06,980 Então, acesse esse comando para criar o grupo de acesso da lista em excesso. 139 00:11:06,990 --> 00:11:09,350 Vamos ligar a lista de acesso. 140 00:11:09,490 --> 00:11:13,330 E quando você liga, especifica entrada ou saída. 141 00:11:13,330 --> 00:11:17,240 Em outras palavras, determinar a direção que a lista de acesso está vinculada. 142 00:11:17,380 --> 00:11:22,370 É importante observar que uma ACL não entra em vigor até ser aplicada em algum lugar. 143 00:11:22,390 --> 00:11:27,700 Portanto, se você tiver listas de acesso na configuração em execução de um roteador e elas não tiverem 144 00:11:27,700 --> 00:11:29,160 sido aplicadas, não haverá efeito. 145 00:11:29,170 --> 00:11:35,530 Existem duas etapas para criar a lista de acesso e, em seguida, aplicá-la de alguma forma, por exemplo, no 146 00:11:35,530 --> 00:11:35,870 Fosset. 147 00:11:35,880 --> 00:11:38,830 Não é sério Zera. 148 00:11:38,890 --> 00:11:46,180 Então mais uma vez o Imraan ACLC é aplicado de entrada em uma interface que o ICL será processado antes que 149 00:11:46,180 --> 00:11:47,490 o tráfego seja roteado. 150 00:11:47,500 --> 00:11:54,610 Em outras palavras, se o ICL negar o tráfego e o tráfego for descartado, o roteador não terá que 151 00:11:54,610 --> 00:12:00,450 processar os pacotes procurando em sua tabela de escrita e determinando a interface de saída. 152 00:12:00,490 --> 00:12:06,120 O pacote será descartado ou descartado antes que o mecanismo de apodrecimento precise processá-los. 153 00:12:06,250 --> 00:12:11,650 Se eles forem permitidos, eles serão processados ​​para gravação e o roteador determinará a 154 00:12:11,650 --> 00:12:12,950 interface de saída. 155 00:12:13,150 --> 00:12:18,250 Se descartado, não há sobrecarga adicional no roteador porque o roteador não precisa fazer 156 00:12:18,250 --> 00:12:24,160 uma pesquisa na tabela de escrita para determinar a interface de saída normal, se o tráfego 157 00:12:24,160 --> 00:12:31,380 for permitido. O processo de gravação fará a consulta da tabela de escrita para determinar a interface de saída sem 158 00:12:31,410 --> 00:12:32,270 que ACLC. 159 00:12:32,530 --> 00:12:38,920 O apodrecimento é executado primeiro e, em seguida, o pacote é direcionado para uma interface de saída e, em seguida, com 160 00:12:38,920 --> 00:12:41,210 base na ACL, os pacotes serão permitidos. 161 00:12:41,350 --> 00:12:48,490 Em outras palavras, transmitida ou negada, é mais eficiente vincular uma lista de acesso a 162 00:12:48,490 --> 00:12:53,820 uma interface, porque os pacotes descartados ou negados não precisarão ser processados. 163 00:12:53,850 --> 00:12:56,040 Enquanto o processo de escrita no roteador. 164 00:12:56,350 --> 00:13:03,220 Se uma ACL é aplicada de saída, o Rada ainda tem que processar todos os pacotes que podem então ser 165 00:13:03,280 --> 00:13:05,700 negados ou descartados na interface de saída. 166 00:13:05,800 --> 00:13:11,540 Então, quando possível, vincule a entrada do ACLC nas interfaces, e não na saída. 167 00:13:11,740 --> 00:13:18,860 Ou o processamento mais eficiente de uma lista de acesso é uma lista sequencial de instruções em que os pacotes são avaliados 168 00:13:19,250 --> 00:13:21,560 desde a primeira instrução até a última. 169 00:13:21,560 --> 00:13:24,510 Em outras palavras, há o processamento descendente. 170 00:13:24,710 --> 00:13:30,680 Se um pacote for correspondido por uma instrução individual na lista de acesso, esse pacote será 171 00:13:30,890 --> 00:13:36,730 permitido ou negado, dependendo de a palavra-chave de permissão ou negação ser usada nessa instrução específica. 172 00:13:37,550 --> 00:13:41,890 Todas as linhas restantes da lista de acesso são ignoradas para esse pacote específico. 173 00:13:42,140 --> 00:13:48,350 Portanto, em outras palavras, assim que houver uma correspondência em uma linha, todas as linhas restantes serão ignoradas 174 00:13:48,350 --> 00:13:55,320 se o tráfego não corresponder a essa linha ou instrução específica e, em seguida, a próxima linha na ACL será verificada. 175 00:13:55,430 --> 00:14:00,920 Então Nexxus list é uma lista sequencial de declarações e o Rada irá checar desde a primeira linha 176 00:14:00,920 --> 00:14:03,030 até a última até obter uma correspondência. 177 00:14:03,350 --> 00:14:04,710 Assim que houver uma partida. 178 00:14:04,910 --> 00:14:06,720 Todas as linhas subseqüentes são ignoradas. 179 00:14:06,980 --> 00:14:12,260 Se não houver correspondência para nenhuma instrução na ACL, o pacote é descartado devido ao que é chamado 180 00:14:12,260 --> 00:14:16,030 de denie implícito no final, no final de cada lista de acesso. 181 00:14:16,050 --> 00:14:22,610 Há uma negação implícita, o que significa que, se você não for explicitamente permitido por uma lista de acesso, 182 00:14:22,610 --> 00:14:30,470 estará implicitamente negado que todo o tráfego não permitido em algum lugar dessa lista de acesso com o uso de uma instrução 183 00:14:30,620 --> 00:14:32,150 de permissão será descartado. 184 00:14:32,150 --> 00:14:37,300 Isso significa, portanto, que você deve ter pelo menos uma declaração de permissão de alguma forma na lista de prática. 185 00:14:37,370 --> 00:14:39,730 Caso contrário, você também pode desconectar o cabo. 186 00:14:39,740 --> 00:14:44,180 Agora existem dois topos principais de listas de acesso nos quais nos concentramos neste curso. 187 00:14:44,180 --> 00:14:51,500 A primeira é uma ACL padrão e a segunda é uma ACL padrão ACL estendida, apenas verifica os endereços 188 00:14:51,500 --> 00:14:52,450 IP de origem. 189 00:14:52,580 --> 00:14:59,360 Eles não verificam números de portas individuais ou protocolos individuais que permitem ou negam todo o conjunto 190 00:14:59,360 --> 00:15:04,640 de protocolos com base no endereço IP de origem ou na rede de origem. 191 00:15:04,640 --> 00:15:11,180 Nada mais no endereço IP de origem ou na rede de origem pode ser especificado. A verificação ACLC 192 00:15:11,180 --> 00:15:17,890 estendida no endereço de origem e de destino permite que você permita ou negue protocolos e aplicativos específicos. 193 00:15:17,900 --> 00:15:25,460 Em outras palavras, você pode permitir ou negar com base em IP TZP UDP ICMP e muitos outros protocolos e também pode permitir ou negar 194 00:15:25,460 --> 00:15:31,700 com base nos números de porta de origem e nas listas de acesso estendidas de números de porta de destino, eles 195 00:15:31,700 --> 00:15:35,540 são muito mais granulares e tendem a ser usados ​​em o mundo real. 196 00:15:35,780 --> 00:15:40,540 Mas, para completar, precisamos cobrir as listas de acesso padrão e estendido neste curso.