Oi Edinilson,
N�o precisa comentar quais empresas na lista.
N�o esque�a que esta lista � p�blica.
H� um tipo de ataque, muito efetivo, chamado de engenharia
social.
Da mesma forma, n�o precisa colocar os ips regulares.
Quando se coloca uma lista de acesso em uma interface,
devemos antes de tudo, determinar qual a pol�tica de seguran�a que
ser� adotada.
Por exemplo, h� uma pol�tica que determina explicitar quais os servi�os
que passar�o e negar qualquer outro tipo de acesso. Esta considero a
melhor. � a que voce esta usando. Voce deve lembrar de tudo aquilo
que deve ser permitido, isso d� trabalho.
H� outra, que � o contr�rio.
Voce primeiro nega o que n�o quer e depois deixa passar tudo.
Quando voce executa um permit ip, voce est� deixando passar qualquer
datagrama ip para aquela subrede.
Voce est� abrindo qualquer tipo de conex�o tcp ou udp, haja visto que esses
protocolos est�o encapsulados no ip.
Sim, � uma grande abertura em termos de seguran�a.
A velha regra ser� sempre: o que a extranet vai precisar do lado a para
o lado b e vice-versa. D� trabalho descobrir, mas, compensa no final.
Se voce n�o sabe, loga todas as conex�es que est�o trafegando no link
da extranet e depois tu mesmo ir� refinar a tua lista de acesso e n�o
mais trabalh�-la a n�vel de ip e sim a n�vel de tcp ou udp.
Grato,
"Edinilson J. Santos" wrote:
> Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
>
> Caros amigos da lista,
>
> Temos um cisco 2501 com filtros para bloquear as mais diversas portas
> (31337, 139, etc,etc) algumas a nivel de TCP outras UDP.
> Porem, tenho como ULTIMA regra a linha abaixo, que esta gerando alguns
> problemas recentemente:
>
> access-list 101 deny ip any any log
>
> Essa regra esta bloqueando redes VPN's de algumas empresas, como por exemplo
> a PORTO SEGUROS e outras. Isso me forca a liberar determinada rede com a
> linha:
>
> access-list 101 permit ip 200.230.178.0 0.0.0.255 any log
>
> Pergunto entao: se eu dar PERMIT ao inves de DENY em regra IP, o que poderia
> estar liberando na nossa rede? Isso implicaria em alguma abertura importante
> em termos de seguranca?
>
> Obrigado
>
> Edinilson
>
> ----------------------------------------------
> ATINET-O Provedor Internet de Atibaia e Regiao
> Rua Francisco R. Santos, 54 sala 3
> ATIBAIA/SP Cep: 12940-000
> Tel Voz: (011) 484-0876
> Tel Fax: (011) 7871-2783
> Tel Dados: (011) 7874-2300
> http://www.atinet.com.br
>
> ______________________________________________________________________
--
Kevison Dennys Carrilho Bentes
[EMAIL PROTECTED]
Fone: 55 61 313-8002
Fax: 55 61 245-2558
|
