Cisco: ACLs com established

Neste post vou demonstrar o funcionamento do parâmetro established em ACLs nos equipamentos Cisco.

Ao fazer uso do established você está indicando uma ligação estabelecida para o protocolo TCP. Esta ligação pode ser considerada como o tráfego TCP originado pela rede interna, não a partir de uma rede externa, possuindo o ACK ou RST no bit.

Utilizaremos a rede abaixo para demonstrar o funcionamento deste parâmetro.

acl_established_01

Esta rede foi configurada no Cisco Packer Tracer e está disponível para download.

Através do roteador R1 existe duas redes, uma LAN interna e uma DMZ que possui acesso externo.

Os hosts da LAN interna acessam o servidor SRV4 (10.10.10.10) da rede externa na porta 80 e 443.

A DMZ recebe conexões externas na porta 80 do SRV2 (192.168.2.10) e na porta 21 do SRV3 (192.168.2.11).

Com estas informações iremos configurar as ACLs no R1.

enable
configure terminal
!
ip access-list extended IN-block
permit tcp any 192.168.2.0 0.0.0.255 eq 80
permit tcp any 192.168.2.0 0.0.0.255 eq 21
!
interface f0/0
ip access-group IN-block in

Após aplicar esta restrição o ambiente externo consegue acessar apenas a porta 80 e 21 da rede DMZ.

Porém ao mesmo tempo removemos o acesso da rede LAN interna a rede externa (SRV4), sendo que não está configurado restrição de saída. O acesso está sendo barrado no retorno da conexão, pois apenas está permitido a entrada (IN) para a rede 192.168.2.0.

Então para resolvermos esse problema, sem fazer uso do established, acrescentaremos mais duas ACLs

ip access-list extended IN-block
permit tcp any eq 80 192.168.1.0 0.0.0.255
permit tcp any eq 443 192.168.1.0 0.0.0.255

Elas estão permitindo que o retorno da conexão com a porta de origem 80 e 443 para a rede 192.168.1.0 sejam liberados.

Agora o acesso está funcionando, porém com uma brecha de segurança, que permite o acesso ao host SRV0 (192.168.1.14) através da rede externa.

Estarei encaminhando através  do host externo PC4 (10.10.10.11) um pacote na porta 80 do SRV0 (192.168.1.14) fazendo com que a porta de origem para está conexão seja a 443.

acl_established_02

Reparem que a comunicação foi estabelecida com sucesso.

acl_established_03

Para sanar este problema iremos fazer o uso do established.

ip access-list extended IN-block
no permit tcp any eq 80 192.168.1.0 0.0.0.255
no permit tcp any eq 443 192.168.1.0 0.0.0.255
permit tcp any eq 80 192.168.1.0 0.0.0.255 established
permit tcp any eq 443 192.168.1.0 0.0.0.255 established

Reparem que agora a comunicação através da rede externa não foi mais estabelecida ao SRV0 (192.168.1.14).

acl_established_04

E o acesso do hosts da LAN interna (192.168.1.0) a rede externa (10.10.10.0) permanece funcionando.

acl_established_05

E assim finalizamos mais um post.

Tags: