Comware – Password-control

A funcionalidade password-control (controle de senha) refere-se a um conjunto de funções fornecidas pelo Switch para controlar senhas de login com base em políticas predefinidas, para a base local de usuários.

Com o password control, o administrador pode configurar o comprimento mínimo da senha, a verificação da composição da senha, a verificação da complexidade da senha, o intervalo da atualização da senha, o prazo para a senha expirar, aviso prévio na expiração da senha pendente, login com uma senha expirada, histórico de senhas, limite de tentativa de login, exibição de senha, gerenciamento de tempo limite de autenticação, tempo de inatividade, etc. Continue reading

RADIUS Change of Authorization (CoA)

Em uma implantação tradicional com AAA utilizando RADIUS, após a autenticação, o Servidor RADIUS apenas assina a autorização como resultado de uma requisição de autenticação.

No entanto, existem muitos casos em que é desejável que hajam alterações sem a exigência do NAS para iniciar a troca de mensagens. Por exemplo, pode haver a necessidade de um administrador da rede ser capaz de encerrar a ‘sessão’ de uma porta autenticada com 802.1x.

Alternativamente, se o usuário alterar o nível de autorização, isto pode exigir que novos atributos de autorização sejam adicionados ou excluídos para o usuário.

Outro exemplo, é a limitação da banda disponível a um usuário após exceder a banda liberada em uma rede wifi, por exemplo.

Para superar essas limitações, vários fabricantes implementaram comandos RADIUS adicionais a fim de permitir que mensagens ‘não solicitadas’ sejam enviada para o NAS . Estes comandos estendidos fornecem suporte para desconectar (disconnect) e mudar de autorização (CoA – Change-of-Authorization).

CoA

Com o avanço da tecnologia e o surgimento de novas demandas, o padrão RADIUS CoA (Change of Authorization) permite ao Servidor iniciar a conversação com o equipamento de rede aplicando comandos:  shut/ no shut, alterar a VLAN, ACL, banda ou então apenas re-autenticar o usuário. As vezes um endpoint pode ser roubado, infectado, ter o anti-virus desabilitado, ultrapassar do limite dos dados disponíveis para navegação ou então ocorrer outros fatores que possam afetar a postura. Nesse caso a rede deve ser capaz de interagir à essas mudanças e atualizar o nível de acesso e autorização para esse dispositivo.

Coa - NAD-ASExemplo

RADIUS Coa - Comutadores

No cenário acima, o cliente (suplicante) inicia a autenticação;  após a troca de certificados e credenciais, o servidor autoriza o usuário enviando uma mensagem RADIUS Access-Accept ao NAD. Uma vez o usuário autenticado, o NAD enviará atualizações de accouting RADIUS para o servidor para atualizá-lo com informações da sessão do usuário: como largura de banda, tempo da sessão etc.

Usando as mensagens de Accounting, o servidor de autenticação  pode correlacionar o MAC e o endereço IP de um usuário com o tempo da conexão.

Se pensarmos em uma rede sem fio, podemos habilitar a desconexão com uma mensagem RADIUS Coa Disconnect-Request para a Controller quando um cliente atingir o limite de 100Mb de trafego.

Referências

https://tools.ietf.org/html/rfc5176

https://tools.ietf.org/html/rfc3576

ClearPass Essentials Student Guide – HP Education Services

Comware – Configurando o 802.1x

O IEEE 802.1X (também chamado de dot1x) é um padrão IEEE RFC 3748 para controle de acesso à rede. Ele prove um mecanismo de autenticação para hosts que desejam conectar-se a um Switch ou Access Point, por exemplo. A funcionalidade é também bastante poderosa para vinculo de VLANs, VLANs Guest e ACL’s dinâmicas. Essas informações são enviadas durante o processo de autenticação utilizando o  RADIUS como servidor. As funcionalidades do 802.1x permitem por exemplo, que caso um computador não autentique na rede, a máquina seja redirecionada para uma rede de visitantes, etc.

O padrão 802.1x descreve como as mensagens EAP são encaminhadas entre um suplicante (dispositivo final, como uma máquina de um usuário) e o autenticador (Switch ou Access Point), e  entre o autenticador e o servidor de autenticação. O autenticador encaminha as informações EAP para o servidor de autenticação pelo protocolo RADIUS.

Uma das vantagens da arquitetura EAP é a sua flexibilidade. O protocolo EAP é utilizado para selecionar o mecanismo de autenticação. O protocolo 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Atualmente ele é definido para redes Ethernet, incluindo o padrão 802.11 para LANs sem fios.

Os dispositivos que compõem a topologia para o funcionamento do padrão 802.1x são:

Suplicante (Supplicant): um suplicante pode ser um host com suporte a 802.1x com software cliente para autenticação, um telefone IP com software com suporte a 802.1x etc.

Autenticador (Authenticator): Dispositivo (geralmente o Switch, AP, etc) no meio do caminho que efetua a interface entre o Autenticador e o Suplicante. O autenticador funciona como um proxy para fazer o relay da informação entre o suplicante e o servidor de autenticação. O Switch recebe a informação de identidade do suplicante via frame EAPoL (EAP over LAN) que é então verificado e encapsulado pelo protocolo RADIUS e encaminhado para o servidor de autenticação. Os frames EAP não são modificados ou examinados durante o encapsulamento. Já quando o Switch recebe a mensagem do RADIUS do Servidor de autenticação, o cabeçalho RADIUS é removido, e o frame EAP é encapsulado no formato 802.1x e encaminhado de volta ao cliente.

Servidor de Autenticação (Authentication Server): O Servidor RADIUS é responsável pelas mensagens de permissão ou negação após validação do usuário. Durante o processo de autenticação o Authentication Server continua transparente para o cliente pois o suplicante comunica-se apenas com o authenticator. O protocolo RADIUS com as extensões EAP são somente suportados pelo servidor de autenticação.

802.1x

  1. O suplicante envia uma mensagem start para o autenticador.
  2. O autenticador envia uma mensagem solicitando um login ao suplicante.
  3. O suplicante responde com o login com as credenciais do usuário ou do equipamento.
  4. O autenticador verifica o quadro EAPoL e encapsula-o no formato RADIUS, encaminhando posteriormente o quadro para o servidor RADIUS.
  5. O servidor verifica as credenciais do cliente e envia uma resposta ao autenticador com a aplicação das políticas.
  6. Baseado ne mensagem da resposta, o autenticador permite ou nega o acesso à rede para a porta do cliente.

Exemplo de Configuração em Switches HP baseados no Comware

Neste, post forneceremos apenas a configuração de um Switch HP com o Comware 5. As configurações do suplicante e do Servidor de autenticação devem ser verificadas na documentação dos seus respectivos SO.

Passo 1: Configure o servidor RADIUS 
 radius scheme <nome do radius scheme>
  primary authentication <ip do servidor> key <chave> 
  ! Configure o IP do servidor RADIUS e a chave 
  user-name-format without-domain
  ! o formato do nome de usuário sem o envio do @dominio 
  nas-ip <endereço IP do Switch> 
  ! O NAS-IP permite forçar o IP para as mensagens trocadas entre o Switch e RADIUS
 quit

Passo 2: Configure o Domínio
domain <nome do domain>
  authentication lan-access radius-scheme <nome do radius scheme>
  authorization lan-access radius-scheme  <nome do radius scheme>
  ! Configurando a autenticação e a autorização do acesso a LAN 
 quit 

Passo 3: Configure o 802.1x globalmente no Switch
dot1x 
dot1x authentication-method eap

Passo 4: Configure o dot1x nas portas do switch
interface GigabitEthernet 1/0/x
   dot1x
   ! A porta utiliza o modo auto do 802.1x e solicita autenticação

cenário comware 802.1x

Referências

CCNP Security SISAS 300-208 Official Cert Guide, Cisco Press 2015, Aaron Woland and Kevin Redmon
http://blog.ccna.com.br/2009/02/25/pr-o-que-e-8021x/
https://tools.ietf.org/html/rfc3748
http://certifiedgeek.weebly.com/blog/hp-comware-and-wired-8021x

Até logo! 🙂

Comware 7 – Autenticação de TACACS com Tac_plus

Galera, durante a criação de um laboratório para testes de autenticação com TACACS de Roteadores MSR com Comware7, utilizamos o Debian com o tac_plus como Servidor.

Segue abaixo os scripts utilizados:

#
# tacacs configuration file
# Pierre-Yves Maunier – 20060713
# /etc/tac_plus.conf
# set the key
key = labcomutadores
accounting file = /var/log/tac_plus.acct
# users accounts
user = student1 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-admin"
       }
}
user = student2 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-operator"	
        }
}

Configuração do Roteador MSR HP

wtacacs scheme tac
primary authentication 192.168.1.10
primary authorization 192.168.1.10
primary accounting 192.168.1.10
! endereço do servidor TACACS
key authentication simple labcomutadores
key authorization simple labcomutadores
key accounting simple labcomutadores
user-name-format without-domain
#
domain tac.com.br
authentication login hwtacacs-scheme tac local
authorization login hwtacacs-scheme tac local
accounting login hwtacacs-scheme tac local
#
domain default enable tac.com.br
#
user-interface vty 0 4
authentication-mode scheme

Até logo

Comware 7: ACL para gerenciamento Telnet

A utilização de listas de acesso (ACL) para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir os hosts que terão permissão de acesso o equipamento.

Os equipamentos com a versão 7 do Comware diferem um pouco na configuração de atribuição de uma ACL  ao acesso Telnet e SSH.

#
acl basic 2000
 rule 0 permit source 192.168.11.1 0
 rule 5 permit source 192.168.11.12 0
 rule 10 permit source 192.168.11.11 0
! ACL com os hosts com permissão de acesso
#
 telnet server enable
 telnet server acl 2000
! Habilitando o serviço Telnet e aplicando  a ACL 2000
#

Para filtrar o acesso via SSH utilize a mesma lógica.

ssh server enable
ssh server acl 2000

Caso o seu switch/roteador não suportar os comandos citados, veja o script citado por esse mesmo blog no post: http://www.comutadores.com.br/acl-para-gerenciamento-telnet-ssh-snmp/

Até logo

Comware 7: Autenticação com FreeRADIUS

A autenticação em Switches e Roteadores para fins de administração dos dispositivos pode ser efetuada com uma base de usuários configurados localmente ou em uma base de usuários remota que pode utilizar servidores RADIUS ou TACACS.

No exemplo abaixo montamos um ‘How to’ com o auxílio do Derlei Dias, utilizando o FreeRADIUS no Slackware para autenticação em um roteador HP VSR1000 que possui como base o Comware 7.

topologia freeRADIUS

Instalando Freeradius no Slackware

1 – Baixe os pacotes do slackbuilds.org e instale normalmente;

2 – Após instalação vá na pasta /etc/raddb/certs e execute o bootstrap;

3 – Usando de forma simples sem base de dados, abra o arquivo /etc/raddb/users;

4 – Adicione na primeira linha: student1   Cleartext-Password := “labhp”
! Usaremos como exemplo o usuário ‘student1’ com a senha ‘labhp’

5 – Depois use o comando a seguir para testar: radtest student1 labhp localhost 0 testing123
! O ‘testing123’ servirá como chave para autenticação entre o Switch/Roteador e o Radius

6 – A resposta deverá ser essa, se a autenticação ocorrer com sucesso:

Sending Access-Request of id 118 to 127.0.0.1 port 1812
User-Name = "student1"
User-Password = "labhp"
NAS-IP-Address = 10.12.0.102
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=118, length=20

7 – Lembre-se que ao inserir usuários no arquivo você deverá reiniciar o RADIUS.

8 – Editar o arquivo clients.conf e permitir a rede que fará acesso ao servidor.

10 – Alguns dispositivos requerem uma configuração especial no clients.conf e no users:

Configuração no RADIUS para Switches/Roteadores HP baseados no Comware7

Arquivo Clients.conf

client ip_do_device/máscara {
        secret          = testing123
}

ou

client vr1000 {
       ipaddr = ip_do_roteador
       secret          = testing123
}

Arquivo users

nome_usuario    Cleartext-Password := "senha"
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=\"network-admin\"",

nome_usuario    Cleartext-Password := "senha"
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=\"network-operator\""

Após ocorrer a autenticação do usuário com sucesso, o servidor RADIUS irá retornar uma das CiscoAVPairs para a autorização da ‘role’ que o usuário deve obter quando autentica no dispositivo. Você pode usar o network-admin, ou o network-operator, ou alguma role criada para RBAC.

Configurando o Comware7

#
interface GigabitEthernet1/0
 ip address 10.12.0.102 255.255.255.0
#
radius scheme rad
 primary authentication 10.12.0.100 key cipher $c$3$5mQHlUeQbVhRKAq3QxxN0NiB0Sc8jbyZFKyc3F0=
 primary accounting 10.12.0.100 key cipher $c$3$Q12zYBjRIkRGeQQL6gYm4wofbMfjDl/Cqalc17M=
 accounting-on enable
 user-name-format without-domain
! É possível enviar o usuário com ou sem o formato @dominio 
nas-ip 10.12.0.102
#
domain bbb
 authentication login radius-scheme rad
 authorization login radius-scheme rad
 accounting login radius-scheme rad
#
 domain default enable bbb
#
user-vty 0 63
authentication-mode scheme

Referências e observações

Após quebrar bastante a cabeça com diversos parâmetros e alguns dias de teste, usamos o documento http://h30499.www3.hp.com/hpeb/attachments/hpeb/switching-a-series-forum/5993/1/Freeradius%20AAA%20Comware%207.pdf como referência que cita a conexão do simulador HCL com FreeRADIUS no Ubuntu. 😉

Comware: Trocando o endereço MAC de uma porta com Port-security habilitado

Galera, quando configuramos o port-security em uma interface Ethernet de um Switch, aquela porta aprenderá o endereço MAC da máquina conectada e não permitirá que outra máquina funcione naquela porta (caso você tenha configurado o aprendizado de apenas um endereço MAC).

Uma vez aprendido o endereço MAC de um host, este não poderá conectar-se em outra porta caso o port-security esteja habilitado.

No post http://www.comutadores.com.br/switches-3com-4800g-port-security/ há mais informações da configuração do port-security.

Logo abaixo segue o exemplo de configuração de um Switch HP 1910 com a porta configurada com port-security:

< HP\v1910_SW04> display current interface giga1/0/8
#
interface GigabitEthernet1/0/8
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security 0040-63c0-aaaa vlan 1
#

Mas há cenários que é preciso trocar uma máquina queimada ou por qualquer outro motivo. Nesse caso ao conectarmos a nova placa de rede ao Switch aparecerá a seguinte mensagem gerada de log, alertando sobre a impossibilidade de comunicação do novo host:

[HP\v1910_SW04]
#Apr 27 07:14:21:820 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN:
 Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is 1, ifOperStatus is 1
#Apr 27 07:14:22:025 2000 HP\v1910_SW04 MSTP/1/PFWD:
 Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has been set to forwarding state!
%Apr 27 07:14:22:225 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/8 link status is UP.
%Apr 27 07:14:22:355 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/8 has been set to forwarding state.
%Apr 27 07:14:22:535 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-IfStatus=Up; Intrusion detected.
%Apr 27 07:14:23:270 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-IfStatus=Up; Intrusion detected.

Trocando o endereço MAC

Para resolver essa questão, desconecte o novo host do Switch para cessar a mensagem de log. Já para remoção do endereço basta copiar a linha que contem o endereço MAC.

[HP\v1910_SW04-GigabitEthernet1/0/8]undo  port-security mac-address security 0040-63c0-aaaa vlan 1
         --- 1 security MAC address(es) deleted. ---

Conecte a nova máquina e espere o Switch aprender o novo endereço MAC (após este iniciar a primeira comunicação com a rede) …

[HP\v1910_SW04]
#Apr 27 07:16:01:290 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN:
 Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is 1, ifOperStatus is 1
#Apr 27 07:16:01:495 2000 HP\v1910_SW04 MSTP/1/PFWD:
 Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has been set to forwarding state!
%Apr 27 07:16:01:705 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/8 link status is UP.
%Apr 27 07:16:01:835 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/8 has been set to forwarding state.
%Apr 27 07:16:02:016 2000 HP\v1910_SW04 PORTSEC/6/PORTSEC_LEARNED_MACADDR: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=1; A new MAC address learned.
#
[HP\v1910_SW04]disp current-configuration interface giga1/0/8
#
interface GigabitEthernet1/0/8
 port-security max-mac-count 1
 port-security port-mode autolearn
 port-security mac-address security 0090-dc05-e94f vlan 1
#

Pronto, a porta está configurada com port-security e vinculará as restrições de endereço MAC como anteriormente.

Até logo.

Comware 7: Alterando a ACL para o modo L3 em uma Interface VLAN.

A dica abaixo foi encontrada enquanto eu navegava no site http://abouthpnetworking.com/2015/02/09/comware7-routed-port-acl-packet-filter-applies-to-switched-traffic/

A configuração de uma ACL para o filtro de pacotes em uma interface VLAN em Switches com o Comware 7, mesmo que seja para fins de roteamento, poderá ter o comportamento de uma VACL (VLAN ACL), isto é, mesmo que o pacote não seja roteado entre VLANs (e o tráfego seja entre máquinas internas), o Switch validará o tráfego com a ACL e dependendo da construção das regras, o pacote poderá ser descartado indesejadamente.

Este comportamento poderá ser controlado com o comando “packet-filter filter route” dentro da interface VLAN. Isto permitirá que o administrador decida se o tráfego será filtrado somente para o tráfego roteado (L3) ou se deixará no modo default, que é o filtro do tráfego L2 + L3.

 

[HP] interface vlan 20
[HP-Vlan-interface20] packet-filter 3003 inbound
! Aplicando  a ACL avançada na interface VLAN
[HP-Vlan-interface20] packet-filter filter route
! Configurando a ACL para somente filtrar o tráfego roteado 
# Caso queira retornar para o modo routed+switched digite comando abaixo.
 [HP-Vlan-interface20] packet-filter filter all

Até logo.

Resumo sobre ACL para Switches e Roteadores baseados no Comware

As ACL (Access Control List) são utilizadas para classificar tráfego para os mais diversos fins, como por exemplo, políticas de filtro de pacotes, QoS e PBR.

Uma ACL pode classificar um tráfego baseando-se no fluxo de dados que entram ou saem de uma interface (porta física, interface VLAN, VLAN, etc).

Na maioria dos casos uma ACL é utilizada para determinar se um pacote será permitido ou descartado em uma porta com as ações PERMIT ou DENY.

Essas ações são seguidas das definições DO QUE se deve permitir (PERMIT) ou negar (DENY). Estas, basicamente, são as principais opções:

ANY (tudo)
[IP do host/rede]
[subrede no formato wildcard]
[protocolo]

Imaginando de maneira prática, os Roteadores e Switches também podem utilizar como referência para classificação de tráfego as informações de cabeçalho de camada 2 (como endereço MAC), camada 3 (campos de cabeçalho IP) e camada 4 ( portas TCP e UDP).

Para uma ACL é possível adicionar diversas regras.  A leitura das regras pelo equipamento é efetuada linha por linha, de cima para baixo; e após a condição ser encontrada (match) o restante das regras não serão mais verificadas. A ordem para satisfazer uma condição, é lida na ordem em que as regras são configuradas.

O blog do CCNA faz o seguinte comentário para a utilização de uma ACL para filtro de pacotes (lembrando que uma ACL pode incluir diversas regras):

A regra básica diz que somente UMA ACL pode ser aplicada em uma mesma interface e direção, em um determinado router (ou switch). Ou seja, em uma mesma interface você até pode ter mais de uma ACL, desde que em sentidos opostos. Os sentidos possíveis são ilustrados no diagrama abaixo.

(IN) entrante —–> ROUTER ——> sainte (OUT)

Tipos de ACL

Os equipamentos baseados no Comware permitem três tipos de ACL:

 

  • Camada 2: Especificam regras baseadas em endereços MAC de origem, destino, VLAN e tipos de protocolo Ethernet.
  • Camada 3(básica): Especificam regras baseadas em endereços IP e rede de origem.
  • Camada 3 (Avançada): Especificam regras baseadas em protocolos de camada 3, redes de origem e destino; e portas de origem e destino.

 

Definindo a ACL

A definição do template para a configuração das Listas de Acesso é baseado pelos números,que a identificam:

  • ACL Básica: número 2000 a 2999
  • ACL Avançada: número de 3000 a 3999
  • ACL de camada 2: número de 4000 a 4999

ACL comware slide

ACL Básica

Baseia-se no endereço de rede de origem para filtrar ou permitir o tráfego.

Imaginando que você deseja filtrar quais máquinas podem efetuar efetuar Read and Write via SNMP em um Switch…

acl number 2100
! Criando a ACL 2100
rule permit source 172.31.1.100 0.0.0.0
! Criando a primeira regra na ACL 2000 permitindo a rede 172.31.1.100
! com 32 bits (máscara de host para somente uma máquina gerenciar o Switch via SNMP)
quit

snmp-agent community write comutadores acl 2100
! Vinculando a ACL 2100 na communty SNMP RW “comutadores”

A regra acima irá permitir o acesso SNMP  somente ao host  172.31.1.100, o restante da rede terá o acesso negado para coleta SNMP nesse equipamento.

Obs: Apesar do exemplo acima ser bem simples, uma ACL básica  também pode ser configurada para filtrar pacotes que entram ou saem do Roteador com a política baseada na rede de origem.

 

ACL Avançada

A diferença entre uma ACL básica e avançada é a forma de relacionamento com as informações no cabeçalho IP. A ACL avançada utiliza os campos de endereço IP de origem e destino, porta e número de protocolo diferenciando pacotes como TCP e UDP.

Alguns parâmetros especiais poderão ser utilizados na construção de uma ACL avançada:

  • Endereço IP de origem
  • Endereço IP de destino
  • Porta de origem
  • Porta de destino
  • Tipo de pacote ICMP
  • Parâmetro SYN do TCP
  • Valor IP Precedence
  • Valor DSCP
  • Valor TOS
  • Fragmentos

Abaixo segue o exemplo de uma ACL avançada criada e aplicada em uma interface do Roteador  HP 6600 para filtro de pacotes na entrada da interface Giga3/2/1

firewall enable slot 3
 !  Habilitando o filtro de pacotes no slot3 do roteador
 firewall default deny slot 3
! Habilitando uma regra de deny implícito após a configuração manual da última regra da ACL 

acl number 3030 name INTERNET-INBOUND
! Criando a ACL 3030 e atribuíndo o nome de "INTERNET-INBOUND"
 rule 10 permit icmp destination 200.200.200.0 0.0.0.255
! permindo os pacotes com o ip dentro do range 200.200.200.0/24 no cabeçalho de destino com wildcard
 rule  deny ip source 10.0.0.0 0.255.255.255
 rule  deny ip source 172.16.0.0 0.15.255.255
 rule  deny ip source 192.168.0.0 0.0.255.255
 rule  deny ip source 127.0.0.0 0.255.255.255
! negando qualquer pacote com ip de origem dentro do range da RFC 1918 
 rule 60 deny ip source 0.0.0.0 0.255.255.255
! negando qualquer pacote com ip de origem como 0.0.0.0
 rule 9999 permit ip
! permitindo qualquer endereço IP de origem e destino
 quit
 #
acl number 3040 name INTERNET-OUTBOUND
 rule  deny ip source 10.0.0.0 0.255.255.255
 rule  deny ip source 172.16.0.0 0.15.255.255
 rule deny ip source 192.168.0.0 0.0.255.255
 rule deny ip destination 224.0.0.0 15.255.255.255
 rule deny ip source 224.0.0.0 15.255.255.255
#
 interface GigabitEthernet3/2/1
 port link-mode route
 firewall packet-filter name INTERNET-INBOUND inbound
 firewall packet-filter name INTERNET-OUTBOUND outbound
! Aplicando a ACL para filtro na entrada e saída de pacotes
 ip address 123.123.123.218 255.255.255.252
 #

Segue um segundo exemplo de ACL avançada mas dessa vez em Switches do modelo 4800

acl number 3000
! Criando a ACL 3000
rule permit ip source 172.31.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
! Criando a primeira regra na ACL 3000 permitindo a rede 172.31.1.0 com 24 bits (máscara
/24) efetuar comunicação IP com a rede 192.168.1.0/24 
rule deny ip source any
! Criando a segunda regra na ACL 3000 negando qualquer rede de origem
quit
#
interface vlan 2
ip address 192.168
packet-filter 3000 inbound
!Aplicando a ACL 2000 para filtro na interface VLAN.

Obs: Para aplicarmos uma ACL em  Portas físicas ou interface VLAN de um Switch é utilizado o comando packet-filter, já para roteadores, comando poderá ser incrementando com a sintaxe “firewall packet-filter….”

A regra acima irá permitir a comunicação IP, da rede 172.31.1.0/24 para a rede 192.168.1.0/24, o restante do tráfego terá o acesso negado.

Se precisarmos utilizar outros parâmetros para match da ACL podermos utilizar o caracter ? após o permit ou deny. Parâmetros como TCP, UDP, ICMP e etc poderão também ser utilizados

O exemplo abaixo exemplifica a utilização de parâmetros de portas TCP para criarmos a regra, como por exemplo permitir o acesso somente a serviços que realmente serão utilizados.

O restante do tráfego será negado, provendo maior segurança e escalabilidade pela utlilização de diversas VLANs.

[4800-acl-adv-3020] rule permit tcp source 172.31.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 destination-port eq 80

ACL de camada 2

As ACL que utilizam parâmetros da camada de enlace do modelo de referencia OSI, poderão ser utilizadas para filtrar baseando-se em campos como ID da VLAN, mascara de endereços MAC (os primeiros bits são reservados para endereço dos fabricantes) , tipos de Protocolos,etc.

acl number 4999
 rule 0 permit type 8868 ffff
 rule 1 permit source 00e0-bb00-0000 ffff-ff00-0000
 rule 2 permit source 0003-6b00-0000 ffff-ff00-0000
 rule 3 permit source 00e0-7500-0000 ffff-ff00-0000
 rule 4 permit source 00d0-1e00-0000 ffff-ff00-0000
 rule 5 permit source 0001-e300-0000 ffff-ff00-0000
 rule 6 permit source 000f-e200-0000 ffff-ff00-0000
 rule 7 permit source 0060-b900-0000 ffff-ff00-0000
 rule 8 deny dest 0000-0000-0000 ffff-ffff-ffff

Obs: a configuração e o tipo de ACL disponivel em cada equipamento pode sofrer pequenas variações ou limitações na configuração. Sempre faça um teste antes de aplicar  a ACL em  um ambiente de produção.

Até logo.

Referência               

http://blog.ccna.com.br/2007/10/21/tutorial-basico-acls-para-o-exame-ccna/

http://blog.ccna.com.br/2012/11/21/wildcards-x-mascaras-de-rede/

 

Leia também

http://www.comutadores.com.br/comware-filtros-de-pacote-aplicados-a-uma-interface-de-vlan-agora-afetam-o-trafego-local-na-vlan/