Object Groups para ACLs

comments Seja o primeiro a comentar
Por André Ortega, 06/01/2009 09:42

Assim como nos firewalls, a partir da versão 12.4(20)T, é possível criar nos rotadores Cisco grupos com hosts ou serviços para serem utilizados nas access-list.

Por exemplo, podemos criar um grupo com os servidores FTP e um grupo com os serviços que estes servidores podem acessar. Depois basta utilizá-los nas ACLs.

A grande vantagem dos object groups é que serviços e/ou host podem ser adicionados ou removidos do grupo sem a necessidade de editar a ACL inteira.

Para utilização os object groups temos 3 restrições:
- Suportam apenas IPv4
- Podem ser aplicadas apenas em interfaces layer 3 (interfaces roteadas e interfaces VLANs)
- Os object groups podem ser aplicadas apenas em ACL estendida e nomeada

Exemplo:

BrainworkGW01#conf t

! Grupo com os servidores FTP (FTP_SERVER é o nome do grupo)
! Podemos também definir uma rede ou subnet, ao invés de hosts apenas

BrainworkGW01(config)#object-group network FTP_SERVER
BrainworkGW01(config-network-group)# host 209.165.200.23
BrainworkGW01(config-network-group)# host 209.165.200.24

! Grupo com os serviços/portas utilizados pelos servidores FTP(FTP_SERVICE é o nome do grupo)

BrainworkGW01(config)#object-group service FTP_SERVICE
BrainworkGW01(config-service-group)# tcp eq ftp
BrainworkGW01(config-service-group)# icmp echo
BrainworkGW01(config-service-group)# tcp smtp
BrainworkGW01(config-service-group)# tcp telnet
BrainworkGW01(config-service-group)# udp domain

! ACL extended e named (obrigatório) onde utilizaremos os grupos (ACL_FTP é o nome da access-list)

BrainworkGW01(config)#ip access-list extended ACL_FTP

! Grupos criados anteriormente são utilizados na ACL, onde permitimos que os servidores FTP
! do grupo FTP_SERVER, acessem os serviços definidos no grupo FTP_SERVICE

BrainworkGW01(config-ext-nacl)#permit object-group FTP_SERVICE object-group FTP_SERVER any

! Aplique a ACL na interface desejada (onde estão os servidores FTP, neste exemplo)

BrainworkGW01(config)#int f0/0
BrainworkGW01(config-if)#ip access-group ACL_FTP in

Mais detalhes sobre os object groups podem ser encontrados no site da Cisco.

Até a próxima.

Leia também:


Compartilhe:
  • Print
  • Twitter
  • del.icio.us
  • Google Bookmarks
  • Live
  • email
  • RSS
  • Facebook
  • Technorati
  • MySpace
  • Digg
  • LinkedIn
  • MSN Reporter
  • Netvibes
  • Yahoo! Bookmarks
  • PDF

categories Cisco, Dicas, IOS, Tecnologias, Uteis | tags , , ,

Tema Brainwork 0.2(beta)