Object Groups para ACLs

by André Ortega / terça-feira, 06 janeiro 2009 / Published in Cisco, Network

Assim como nos firewalls, a partir da versão 12.4(20)T, é possível criar nos rotadores Cisco grupos com hosts ou serviços para serem utilizados nas access-list.

Por exemplo, podemos criar um grupo com os servidores FTP e um grupo com os serviços que estes servidores podem acessar. Depois basta utilizá-los nas ACLs.

A grande vantagem dos object groups é que serviços e/ou host podem ser adicionados ou removidos do grupo sem a necessidade de editar a ACL inteira.

Para utilização os object groups temos 3 restrições:
– Suportam apenas IPv4
– Podem ser aplicadas apenas em interfaces layer 3 (interfaces roteadas e interfaces VLANs)
– Os object groups podem ser aplicadas apenas em ACL estendida e nomeada

Exemplo:

BrainworkGW01#conf t

! Grupo com os servidores FTP (FTP_SERVER é o nome do grupo)
! Podemos também definir uma rede ou subnet, ao invés de hosts apenas

BrainworkGW01(config)#object-group network FTP_SERVER
BrainworkGW01(config-network-group)# host 209.165.200.23
BrainworkGW01(config-network-group)# host 209.165.200.24

! Grupo com os serviços/portas utilizados pelos servidores FTP(FTP_SERVICE é o nome do grupo)

BrainworkGW01(config)#object-group service FTP_SERVICE
BrainworkGW01(config-service-group)# tcp eq ftp
BrainworkGW01(config-service-group)# icmp echo
BrainworkGW01(config-service-group)# tcp smtp
BrainworkGW01(config-service-group)# tcp telnet
BrainworkGW01(config-service-group)# udp domain

! ACL extended e named (obrigatório) onde utilizaremos os grupos (ACL_FTP é o nome da access-list)

BrainworkGW01(config)#ip access-list extended ACL_FTP

! Grupos criados anteriormente são utilizados na ACL, onde permitimos que os servidores FTP
! do grupo FTP_SERVER, acessem os serviços definidos no grupo FTP_SERVICE

BrainworkGW01(config-ext-nacl)#permit object-group FTP_SERVICE object-group FTP_SERVER any

! Aplique a ACL na interface desejada (onde estão os servidores FTP, neste exemplo)

BrainworkGW01(config)#int f0/0
BrainworkGW01(config-if)#ip access-group ACL_FTP in

Mais detalhes sobre os object groups podem ser encontrados no site da Cisco.

Até a próxima.

Relacionado

Tagged under: Access-list, ACL, Grupos, Object Group

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.