Pular para o conteúdo

Segurança em redes locais III:Criando Time Based ACLs

28 28UTC dezembro 28UTC 2010
tags: , ,

Na segunda parte deste artigo falamos de ARP Poisoning e MITM.

Criar ACLS baseadas em períodos (timers) é uma ferramenta importante para um administrador de sistemas. As empresas hoje enfrentam o problema da ‘socialização do trabalho’. É uma carrada de Hi5favadas e Facebookadas em cima do trabalho que não acaba mais. O ‘salo que é salo’ fica sempre na ultima da hora. Um administrador pode então liberar acesso a Internet apenas a partir do meio dia até as 14:30 e depois das 17:00h até as 8:00 do dia seguinte (um truque para motivar o funcionário a chegar mais cedo).

A Cisco define 3 comandos (viu como é fácil?) para se estabelecer uma time based ACL:

#time-range NOME_DO_PERIODO

(Esse comando acima define um nome a atribuir para um determinado período)

#periodic DIAS_DA_SEMANA hh:mm to DIAS_DA_SEMANA hh:mm

(Esse comando acima define um intervalo em que as ACLs serão aplicadas. Valem nomes de dias da semana tais como Monday, Fryday etc. hh:mm refere-se a horas e minutos.)

Uma outra forma, seria definir um tempo absoluto definindo apenas a data de inicio e data de fim:

#absolute  DATA_DE_INICIO DATA_DE_FIM

Em seguida deve-se definir uma ACL que aplique as regras por nós desejadas. Note que o sucesso das time based ACLs depende mais do nosso conhecimento de regras de ACLs já aqui e aqui discutidas:

#ip access-list NOME|NUMERO <DEFINICAO_EXTENDIDA> NOME_DO_PERIODO

Como é de se supor devem esta lista ser aplicada a uma determinada interface na direcção conveniente.

Suponha que foi pedido que crie uma Time Based ACL que impeça que determinados usuários numa determinada subrede tal como 192.168.1.0/24 tenham as terças e quartas-feiras das 12:30 as 14:00 de cada semana acesso a Internet (Podia ser ao site duma determinada empresa):

#time-range IMPEDEACCESSTW
#periodic Tuesday Wednesday 12:30 to  14:00

#access-list 101 deny ip 192.168.1.0 0.0.0.255 any time-range IMPEDEACCESSTW
#access-list 101 permit ip any any

#interface Ethernetx/x
#ip address 192.168.1.1 255.255.255.0
#ip access-group 101 in

O seguinte exemplo é de um administrador de rede situado na FILIAL 1 pretendendo permitir acesso total a Internet das 07:30 as 08:00 h, das 12:30 as 14:00 h e das 17:30 as 20:00 h todos os dias da semana (um admin cruel):

from → artigos, CCNA Security

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Sair / Alterar )

Imagem do Twitter

You are commenting using your Twitter account. Sair / Alterar )

Foto do Facebook

You are commenting using your Facebook account. Sair / Alterar )

Cancelar

Connecting to %s

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Join 61 other followers