Criação de acl para Bloqueio de SSH no equipamento

Servidores, Storage & Networking

Servidores, Storage & Networking
Procurando por soluções de negócio mais eficientes? Encontre aqui dicas, tutoriais e respostas para suas dúvidas sobre Servidores, Storage e Redes.

Criação de acl para Bloqueio de SSH no equipamento

Esta pergunta foi respondida DELL-Antonio M

Bom dia Antonio,


Conforme conversamos, preciso atender uma demanda da proteus no cliente Brmalls, onde o objetivo é restringir acesso via ssh nos equipamentos, permintindo acesso apenas para o nosso suporte IBM.

Nossa Origem é (ip editado pelo moderador) 192.0.2.124, o acesso deve ser apenas para esse IP e deny nas demais redes.

Estou te enviando a topologia por email.


Obrigado

Carlos Jacomini

IBM

Resposta verificada
  • Olá, Carlos!

    Boa tarde, tudo bem?

    Está ficando excelente.

    Apenas um detalhe muito importante. Você tem que dizer a direção da ACL na hora de aplicar (IN ou OUT).

    No caso é na entrada por que assim o tráfego nem sequer vai ser roteado.

    Então seu script vai ficar assim:

    ip access-list SERVERS-MGMT extended
    ! begin comment
    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do telnet
    ! end comment
    deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 23
    deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 23
    deny tcp 172.30.22.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 23
    deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 23
    deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 23
    deny tcp 172.30.27.0 0.0.0.255 192.168.100.0 0.0.15.255 eq 23
    deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 23
    deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 23
    deny tcp 172.30.24.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 23
    ! begin comment
    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do ssh
    ! end comment
    deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 22
    deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 22
    deny tcp 172.30.22.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 22
    deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 22
    deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 22
    deny tcp 172.30.27.0 0.0.0.255 192.168.100.0 0.0.15.255 eq 22
    deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 22
    deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 22
    deny tcp 172.30.24.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 22
    ! begin comment
    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do rdp
    ! end comment
    deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 3389
    deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 3389
    deny tcp 172.30.22.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 3389
    deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 3389
    deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 3389
    deny tcp 172.30.27.0 0.0.0.255 192.168.100.0 0.0.15.255 eq 3389
    deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 3389
    deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 3389
    deny tcp 172.30.24.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 3389
    ! begin comment
    ! libera demais trafegos para nao perder acessos validos
    ! end comment
    permit ip any any
    exit
    interface vlan 22
    ip access-group SERVERS-MGMT in
    exit
    interface vlan 12
    ip access-group SERVERS-MGMT in
    exit
    interface vlan 23
    ip access-group SERVERS-MGMT in
    exit
    exit
    copy running-config startup-config

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

Todas as respostas
  • Bom dia, Carlos!

    Como vai? Tudo bem?

    Olha, primeiramente é bom ver a documentação para confirmar a sintaxe dos comandos de ACL.

    Seguem os links para documentação, Carlos:

    Muito bem, outro ponto é que agora nos firmwares mais novos além do que você comentou por telefone de ter que usar "IP" antes de "access-list", bom, além disso agora só aceita nome string. Ou seja, não pode mais usar número.

    Veja o exemplo abaixo:

    ny-fl2-sw03(config)#ip access-list 101 extended


    Invalid ACL Name. Name string may include alphabetic, numeric, dash, dot or underscore characters only. Name must start with a letter and the size of the name string must be less than or equal to 31 characters.

    Então para o seu caso, se eu entendi bem o que você falou antes, então você precisa

    1. Permitir telnet e ssh para gerenciar este switch apenas se o ip de origem for o 192.0.2.124
    2. Permitir outros tráfegos para não perder a gerência

    Então, uma forma de fazer isso tendo a VLAN 900 como gerência e a rede da BRMalls sendo 10.20.30.0 /24 por exemplo:

    ny-fl2-sw03(config)#ip access-list cento-e-um extended
    ny-fl2-sw03(config-ip-acl)#deny tcp 10.20.30.0 0.0.0.255 any eq 22
    ny-fl2-sw03(config-ip-acl)#permit ip any any

    Daí você aplica na Entrada da VLAN de gerência do switch assim:

    ny-fl2-sw03(config)#interface vlan 900

    ny-fl2-sw03(config-if-vlan900)#ip access-group cento-e-um in

    Espero ter ajudado. Por favor, Carlos, indique se a resposta solucionou sua dúvida.

    Abraço! Geeked

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Olá Antonio,

    Apenas corrigindo o que eu disse, verifiquei com o cliente e no caso é bloquear o acesso somente a vlan de servidores, ou seja apenas IBM deverá ter acesso aos servidores,  dar um deny para as redes internas do cliente.

    Exemplo: 172.30.2.0/21 e 172.30.22.0/21 deny para 172.30.0.0/24 e 172.30.20.0/24

    Obrigado

    Carlos Jacomini

    IBM

  • Ok, Carlos.

    Entendi melhor agora.

    Só fui ver o diagrama que você me enviou em privativo depois.

    Mas enfim, a lógica da ACL segue a mesma. O detalhe é que você tem serviços e apps rodando nos servidores então não podemos bloquear isso junto.

    Então não podemos usar o deny implícito no final para escrever menos linhas de comando.

    Ficaria assim, por exemplo:

    ip access-group SERVERS-MGMT extended

    deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 22

    deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 22

    deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 22

    deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 22

    permit ip any any

    O exemplo acima é apenas para a porta 22 (ssh). Aí você repete as linhas trocando as portas para 3389 (rdp) , 23 (telnet) , etc.

    Espero que agora eu tenha conseguido ajudar melhor.

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Olá Antonio,

    É exatamente isso!

    Para as demais portas eu posso colocar nesse mesmo grupo?

    Ou Crio um novo grupo para cada porta?

    Exemplo:

    ip access-group SERVERS-MGMT-RDP extended

    deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 3389

    deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 3389

    deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 3389

    deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 3389

    permit ip any any

    ip access-group SERVERS-MGMT-TNT extended

    deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 23

    deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 23

    deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 23

    deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 23

    permit ip any any

    Obrigado

  • Show de bola, Carlos! Cool

    Isso de agrupar é bem mais prático. Mas neste caso infelizmente não podemos fazer assim. Isso é por que só pode haver uma ACL por interface por direção.

    Isto é, você não pode aplicar mais de uma ACL na entrada de uma interface. Infelizmente routers e switches não são como firewall em que você pode tratar grupos de serviços sendo filtrados nas interfaces.

    Então a saída é fazer uma ACL "grandona" com todas as linhas de todos os serviços que você quer negar.

    Seria assim então:

    ip access-list SERVERS-MGMT extended

    ! begin comment

    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do telnet

    ! end comment

    deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 23

    deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 23

    deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 23

    deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 23

    ! begin comment

    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do ssh

    ! end comment

    deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 22

    deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 22

    deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 22

    deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 22

    ! begin comment

    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do rdp

    ! end comment

    deny tcp 172.30.2.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 3389

    deny tcp 172.30.2.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 3389

    deny tcp 172.30.22.0 0.0.7.255 172.30.0.0 0.0.0.255 eq 3389

    deny tcp 172.30.22.0 0.0.7.255 172.30.20.0 0.0.0.255 eq 3389

    ! begin comment

    ! libera demais trafegos para nao perder acessos validos

    ! end comment

    permit ip any any


    E então você aplica essa ACL na interface de entrada o mais próximo possível da origem do tráfego. Isso é de melhores práticas.

    Se você puder aplicar a filtragem antes mesmo de rotear esse tráfego, melhor.

    Digamos que você vai aplicar no seu Core, então o ideal pelas melhores práticas é aplicar a ACL na interface que recebe o tráfego.

    Se você puder, melhor ainda é aplicar nos switches de acesso do brmall. Vai depender de até onde você pode administrar.

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Antonio,

    Boa tarde,

    Conclui os scripts, segue abeixo:

    Caso eu precise liberar somente para alguns hosts especificos seria por exemplo:

    permit ip host 172.30.27.10 any  ?

    ip access-list SERVERS-MGMT extended

    ! begin comment

    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do telnet

    ! end comment

    deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 23
    deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 23
    deny tcp 172.30.22.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 23

    deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 23
    deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 23
    deny tcp 172.30.27.0 0.0.0.255 191.168.100.0 0.0.15.255 eq 23

    deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 23
    deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 23
    deny tcp 172.30.24.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 23

    ! begin comment

    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do ssh

    ! end comment

    deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 22
    deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 22
    deny tcp 172.30.22.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 22

    deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 22
    deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 22
    deny tcp 172.30.27.0 0.0.0.255 191.168.100.0 0.0.15.255 eq 22

    deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 22
    deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 22
    deny tcp 172.30.24.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 22

    ! begin comment

    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do rdp

    ! end comment

    deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 3389
    deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 3389
    deny tcp 172.30.22.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 3389

    deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 3389
    deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 3389
    deny tcp 172.30.27.0 0.0.0.255 191.168.100.0 0.0.15.255 eq 3389

    deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 3389
    deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 3389
    deny tcp 172.30.24.0 0.0.1.255 191.168.100.0 0.0.15.255 eq 3389

    ! begin comment

    ! libera demais trafegos para nao perder acessos validos

    ! end comment

    permit ip any any



    interface vlan 22
    ip access-group SERVERS-MGMT

    interface vlan 12
    ip access-group SERVERS-MGMT

    interface vlan 23
    ip access-group SERVERS-MGMT

  • Olá, Carlos!

    Boa tarde, tudo bem?

    Está ficando excelente.

    Apenas um detalhe muito importante. Você tem que dizer a direção da ACL na hora de aplicar (IN ou OUT).

    No caso é na entrada por que assim o tráfego nem sequer vai ser roteado.

    Então seu script vai ficar assim:

    ip access-list SERVERS-MGMT extended
    ! begin comment
    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do telnet
    ! end comment
    deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 23
    deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 23
    deny tcp 172.30.22.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 23
    deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 23
    deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 23
    deny tcp 172.30.27.0 0.0.0.255 192.168.100.0 0.0.15.255 eq 23
    deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 23
    deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 23
    deny tcp 172.30.24.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 23
    ! begin comment
    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do ssh
    ! end comment
    deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 22
    deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 22
    deny tcp 172.30.22.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 22
    deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 22
    deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 22
    deny tcp 172.30.27.0 0.0.0.255 192.168.100.0 0.0.15.255 eq 22
    deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 22
    deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 22
    deny tcp 172.30.24.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 22
    ! begin comment
    ! bloqueia conexao vindo das redes do brmall com destino a servidores na porta do rdp
    ! end comment
    deny tcp 172.30.22.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 3389
    deny tcp 172.30.22.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 3389
    deny tcp 172.30.22.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 3389
    deny tcp 172.30.27.0 0.0.0.255 172.30.0.0 0.0.0.255 eq 3389
    deny tcp 172.30.27.0 0.0.0.255 172.30.20.0 0.0.0.255 eq 3389
    deny tcp 172.30.27.0 0.0.0.255 192.168.100.0 0.0.15.255 eq 3389
    deny tcp 172.30.24.0 0.0.1.255 172.30.0.0 0.0.0.255 eq 3389
    deny tcp 172.30.24.0 0.0.1.255 172.30.20.0 0.0.0.255 eq 3389
    deny tcp 172.30.24.0 0.0.1.255 192.168.100.0 0.0.15.255 eq 3389
    ! begin comment
    ! libera demais trafegos para nao perder acessos validos
    ! end comment
    permit ip any any
    exit
    interface vlan 22
    ip access-group SERVERS-MGMT in
    exit
    interface vlan 12
    ip access-group SERVERS-MGMT in
    exit
    interface vlan 23
    ip access-group SERVERS-MGMT in
    exit
    exit
    copy running-config startup-config

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Olá Antonio,

    É realmente, obrigado!

  • De nada, Carlos! Yes Geeked

    Ah, uma coisa que quase esqueci:

    Sempre que quiser liberar um host específico é como você perguntou mesmo.

    permit ip host 172.30.27.10 any

    O detalhe é que você fazendo assim não vai liberar para um serviço específico apenas.

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.