Primeiras aulas do curso Redes parte 3: defina as listas de controle e políticas de acesso de usuários

Redes parte 3: defina as listas de controle e políticas de acesso de usuários

Listas de acesso (ACL) - Introdução

Olá, pessoal! Vamos dar uma introdução sobre o que veremos na terceira parte do curso de Redes.

Antes de tudo, se você ainda não fez a Parte 1 e nem a Parte 2, recomendamos que você as faça primeiro, pois iremos continuar o mesmo projeto das partes anteriores.

Teremos agora novas requisições dos diretores da empresa Multillidae, onde precisaremos configurar políticas de acesso para que somente os gerentes de finanças e de vendas tenham permissão de acessar o servidor Server-PT Server0.

Por sua vez, os funcionários de venda e de finanças não terão permissão de acesso.

Depois, iremos realizar a tradução desses endereços IPs privados na rede interna para o endereço público, sendo ele o endereço IP que conseguimos nos comunicar com a internet.

Realizaremos a tradução desses endereços privados para os públicos, e estabelecer a comunicação com o roteador do provedor da rede de serviços.

Até as próximas aulas!!

Listas de acesso (ACL) - Implementando servidor

Usando as subredes, conseguimos trabalhar de uma forma mais eficiente com os endereços IPs.

Imagine que temos um novo dia de reunião na empresa, e os diretores disseram que será implementado um servidor interno na empresa, com uma condição...

Esse servidor só poderá ser acessado pelo Gerente de Finanças e pelo Gerente de Vendas. Os demais funcionários desses setores em questão, não terão acesso ao mesmo.

Arquitetura do servidor com acesso para gerentes financas e vendas

A primeira etapa é colocar o servidor no projeto. Para isso, vamos acessar a opção End Devices, e clicaremos na terceira opção e arrastamos:

Servidor

Depois, iremos conectar esse servidor em uma das portas do Switch, utilizando o cabo direto (4 opção).

Clicando em "FastEthernet0", escolhemos a porta FastEthernet0/7. Assim como fizemos com o setor de vendas e de finanças, criaremos uma VLAN para os servidores.

Clicando no Switch 2950-24, na aba "CLI", vamos configurar uma VLAN respectiva para os servidores, pois no futuro, pode ser que os diretores queiram adquirir outros servidores, e assim, eles já vão ficar isolados em uma VLAN respectiva deles.

Para fazer essa configuração, entraremos no modo privilegiado, e depois no modo de configuração:

>
>enable
#configure terminal

Agora, precisaremos criar uma VLAN respectiva para os servidores. Como já utilizamos a VLAN 10 para o setor de vendas, e a VLAN 20 para o setor de finanças, utilizaremos a VLAN 30 para seguir a ordem de 10 em 10.

#vlan 30
#name SERVIDORES
#^Z

Utilizamos o comando "Ctrl + Z", para utilizar o comando para ver como estão atribuídas as VLANs nesse switch.

#show vlan brief

É mostrado que nesse VLAN, temos a VLAN 10, 20 e 30. Só que a VLAN 30 que criamos agora não tem nenhuma interface configurada nele. Precisamos configurar a FastEthernet0/7 para que essa interface trabalhe com a VLAN 30, a VLAN respectiva aos servidores.

VLAN  Name                Status    Ports
----- ------------------  --------  -------------------------------
1     default             active    Fa0/2, Fa0/3, Fa0/4, Fa0/7
                                    Fa0/9...
                                    Fa0/13...
                                    Fa0/17...  
                                    Fa0/21...
10    VENDAS              active    
20    FINANCAS            active    
30    SERVIDORES          active    
1002  fddi-default        active    
1003  token-ring-default  active    
1004  fddinet-default     active    
1005  trnet-default       active    
#configure terminal
#interface fastEthernet 0/7

A primeira etapa é mudar a forma que essa porta irá trabalhar, dizer que ela está conectada no dispositivo final.

#switchport mode access

Agora precisamos falar qual a VLAN que está conectada a essa interface:

#switchport access vlan 30

Quando fazemos isso, a porta do switch cai momentaneamente para que ela possa se reconfigurar com as informações da VLAN 30. Usaremos o comando #show vlan brief:

VLAN  Name                Status    Ports
----- ------------------  --------  -------------------------------
1     default             active    Fa0/2, Fa0/3, Fa0/4, Fa0/8
                                    Fa0/9...
                                    Fa0/13...
                                    Fa0/17...  
                                    Fa0/21...
10    VENDAS              active    
20    FINANCAS            active    
30    SERVIDORES          active    Fa0/7
1002  fddi-default        active    
1003  token-ring-default  active    
1004  fddinet-default     active    
1005  trnet-default       active    

Então, aqui podemos ver que a interface Fa0/7 está vinculado a VLAN 30 em SERVIDORES.

Vamos configurar o 1841Router1 para que ele tenha também uma subinterface que seja vinculada à VLAN 30.

Clicando no roteador, na aba "CLI", colocaremos alguns comandos:

>enable
#configure terminal

Depois, criaremos uma subinterface para a VLAN 30:

#interface fa0/0.3

Agora diremos que a VLAN 30 estará vinculada a ela:

Router(config-subif)#encapsulation dot1Q 30

Legal! Configuraremos agora os endereços IPs. O primeiro será um endereço estático.

Anteriormente, estavamos trabalhando com a subrede 172.16.2.128 que foi alocado para o setor de finanças. Agora, iremos utilizar a terceira sub-rede dessa imagem, para alocar o setor de SERVDORES. (Lembrando que não podemos atribuir a nenhuma máquina ou interface, o endereço 172.16.3.0, e nem o endereço IP referente ao broadcast):

Lista de enderecos

Router(config-subif)#ip address 172.16.3.1 255.255.255.128

Esse é o primeiro endereço IP disponível no intervalo, e a máscara de subrede 255.255.255.128 que foi atribuída para o setor de finanças.

Depois de atribuir esse endereço a essa máscara de subrede, colocaremos no servidor, o endereço IP que esteja dentro da subrede.

Clicando no Server-PT Server0, colocaremos o IP estático 172.16.3.2, a máscara de subrede 255.255.255.128, o gateway 172.16.3.1 que é o valor que foi configurado na subinterface.

Atribuicao de endereco IP

Veremos agora se conseguimos pingar o servidor para o roteador em Command Prompt:

SERVER>ping 172.16.3.1

Muito bem! A sub interface criada estaticamente para a VLAN 30 e o endereço IP configurado estaticamente pro servidor!

Não podemos nos esquecer que os outros switches, também precisam passar informações da VLAN 30, caso algum usuário queira acessar o servidor Server-PT Server0. Entretanto a VLAN 30 ainda não foi configurada nesses switches.

Switches a serem configurados para conversar com a VLAN 30

Clicando no switch da esquerda, na aba "CLI", criaremos a VLAN 30 nesse switch:

>enable
>configure terminal
#vlan 30
#name SERVIDORES

Faremos o mesmo para o Switch da direita:

>enable
#configure terminal
#vlan 30
#name SERVIDORES

Vamos estilizar o nosso servidor para mostrar uma página de domínio próprio da Multillidae, para que o gerente de finanças e o gerente de vendas poderem acessar o servidor com uma página mais estilizada.

Na aba "Services", em "HTTP", clicamos na opção (edit) em index.html, e vamos colocar um código HTML:

<html>
    <h1>Servidor Multillidae</h1>
    <br>
    <input type="text" placeholder="Nome">
    <br>
    <input type="password" placeholder="Senha">
    <br>
    <button type="submit">Logar</button>
</html>

Em seguida, clicaremos em "Save". Isso irá deixar um pouco mais claro para o gerente de finanças ou o de vendas, para que eles façam o login sem problemas.

Veremos se conseguimos acessar a página desse servidor interno da empresa.

Em "Ger. Financas", clicaremos na aba "Desktop", e depois no ícone "Web Browser", e colocamos o endereço IP do servidor configurado.

URL: 172.16.3.2

Tela de login do gerente de financas

Veremos se somente o gerente de Finanças está acessando ou se outros usuários estão também acessando. No "Ger. Vendas", faremos os mesmos passos do gerente de finanças.

Este gerente também consegue ter acesso. Pela requisição dos diretores, os funcionários de vendas e de finanças, não devem acessar esse servidor.

Clicando no "Web Browser" de "Func. Finanças" e de "Func. Vendas", e colocando o mesmo endereço IP, também aparecerão a tela de login, isso quer dizer que eles também estão tendo acesso ao servidor.

Isso quer dizer que ainda não temos o sucesso total. Já implementamos o servidor, o isolamos na sua VLAN respectiva, entretanto TODOS os funcionários estão conseguindo acessar à página do login interno da Multillidae.

Na próxima etapa, veremos como podemos evitar que outros funcionários acessem essa página.

Listas de acesso (ACL) - Conhecendo as listas de acesso

Apesar de ter implementado e configurado o servidor na empresa, entretanto, temos um problema onde os funcionários não podem ter acesso ao servidor, exceto os gerentes de Finanças e Vendas. Acontece que todos estão tendo acesso à esse servidor.

Para que nós podemos realizar essa etapa, precisamos entender mais detalhadamente sobre os protocolos que são executados por debaixo dos panos. Alterando o modo de Realtime para Simulation, conseguiremos visualizar melhor esses protocolos.

No "Ger. Finanças", colocaremos no computador dele o endereço IP do servidor 172.16.3.2, e perceba que quando colocamos esse endereço IP do servidor, teremos o protocolo TCP, ou seja, ainda não temos o protocolo HTTP. Mas por quê?

O responsável pelo transporte da informação é o protocolo TCP. Vamos entender como esse protocolo funciona e como ele possibilita o transporte da informação.

O que acontece é que, quando queremos acessar uma página que está no servidor, o protocolo TCP iniciará um processo de sincronização, ou seja, o computador mandará um pacote de informação, pedindo para o servidor que ele quer realizar a sincronização. O servidor, por sua vez, irá receber esse pedido de sincronização por parte do computador e irá retornar que ele está apto a receber a comunicação.

Diagrama protocolo TCP

Quando o computador recebe essa confirmação do servidor, ele devolve para o servidor, a resposta ACK (Acknowledgement), dizendo que ele também está apto a receber a comunicação, e a partir desse momento, a transferência de dados se inicia.

retransmissao do pacote de informacao com acknowlegdement

No protocolo TCP, dizemos que ele realiza a transferência da informação de uma forma confiável. Vamos supor que durante o processo de transferência de dados do computador para o servidor, ocorre a perda de um pacote. Essa perda será detectada pelo servidor, e ele pedirá que a informação perdida seja transmitida novamente por quem enviou. Então, a transferência confiável se dá pelo fato de haver várias retransmissões dos pacotes que são perdidos durante a comunicação, pois caso algum pacote seja perdido, ocorrerá essas retransmissões.

Agora, veremos se conseguimos identificar esses pacotes de sincronização e acknowledgement em nosso projeto.

No painel de simulação, clicaremos no pacote TCP que está saindo do computador, para identificar alguns dados:

pacote tcp no painel de simulacao

E encontramos essa informação:

informacao pdu no gerente de financas

Aqui, está dizendo que o computador do gerente de finanças, está mandando um pacote de sincronização para o endereço 172.16.3.2, onde esse endereço IP é do servidor Server-PT Server0.

O computador do Gerente de Finanças irá mandar o pacote até o servidor, que será mandado para o switch principal, que será passado para o roteador, pois o servidor e o computador estão em redes diferentes, e por isso é necessário realizar o roteamento entre as VLANs. O roteador será responsável por esse roteamento, passando a informação novamente para o switch principal, e que este mandará para o servidor.

O servidor vai ver que tem um dispositivo querendo iniciar a sincronização, que é o gerente de finanças. Então, ele vai indicar que ele está apto a receber essa informações.

Se clicarmos no último pacotinho TCP, veremos que esse dispositivo (Ger. Finanças), recebeu uma resposta de que a sincronização pode ser estabelecida do dispositivo 172.16.3.2 que é o servidor.

Uma vez que temos essa resposta de que a sincronização por parte do equipamento remoto (servidor) pode ser estabelecida, começaremos a mandar o pacote referente ao protocolo HTTP.

Junto com o protocolo HTTP, vamos mandar a informação que o computador entendeu o recado, que o servidor está apto a receber essa sincronização, e daremos o acknowlegdement para ele, assim ele sabe que o computador entendeu.

Então, quem faz essa etapa inicial de comunicação, é o protocolo TCP. Uma vez que a conexão foi estabelecida, teremos a transferência dos protocolos HTTP, para que a página do servidor apareça no browser do Gerente de Finanças.

Uma vez que já entendemos melhor como que trabalha esse protocolo TCP, vamos tentar entender como conseguiremos filtrar essas informações, para garantir que somente o Gerente de Finanças e o Gerente de Vendas acessem o servidor.

Isso será obtido através do conceito de uma tecnologia chamada Lista de Acessos!!!

A lista de acesso fica no roteador:

Lista de acessos no roteador

O roteador com a lista de acessos, ficará comparando os tráfegos que chegam ao roteador, e vai verificar se existe alguma compatibilidade daquele tráfego que esteja presente na lista. Se não tiver nenhuma compatibilidade, será negado e não será possível que o tráfego siga adiante.

A nossa próxima etapa é justamente configurar o roteador, para que ele verifique os tráfegos através dos protocolos, quem é que está fazendo essa requisição, para que a partir daí, a gente consiga filtrar os endereços IPs que permitimos acesso, e os que não permitimos acesso ao servidor.

Sobre o curso Redes parte 3: defina as listas de controle e políticas de acesso de usuários

O curso Redes parte 3: defina as listas de controle e políticas de acesso de usuários possui 100 minutos de vídeos, em um total de 25 atividades. Gostou? Conheça nossos outros cursos de Redes em DevOps, ou leia nossos artigos de DevOps.

Matricule-se e comece a estudar com a gente hoje! Conheça outros tópicos abordados durante o curso:

Aprenda Redes acessando integralmente esse e outros cursos, comece hoje!

Plus

  • Acesso a TODOS os cursos da plataforma

    Mais de 1200 cursos completamente atualizados, com novos lançamentos todas as semanas, em Programação, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.

  • Alura Challenges

    Desafios temáticos para você turbinar seu portfólio. Você aprende na prática, com exercícios e projetos que simulam o dia a dia profissional.

  • Alura Cases

    Webséries exclusivas com discussões avançadas sobre arquitetura de sistemas com profissionais de grandes corporações e startups.

  • Certificado

    Emitimos certificados para atestar que você finalizou nossos cursos e formações.

  • Alura Língua (incluindo curso Inglês para Devs)

    Estude a língua inglesa com um curso 100% focado em tecnologia e expanda seus horizontes profissionais.

12X
R$85
à vista R$1.020
Matricule-se

Pro

  • Acesso a TODOS os cursos da plataforma

    Mais de 1200 cursos completamente atualizados, com novos lançamentos todas as semanas, em Programação, Front-end, UX & Design, Data Science, Mobile, DevOps e Inovação & Gestão.

  • Alura Challenges

    Desafios temáticos para você turbinar seu portfólio. Você aprende na prática, com exercícios e projetos que simulam o dia a dia profissional.

  • Alura Cases

    Webséries exclusivas com discussões avançadas sobre arquitetura de sistemas com profissionais de grandes corporações e startups.

  • Certificado

    Emitimos certificados para atestar que você finalizou nossos cursos e formações.

  • Alura Língua (incluindo curso Inglês para Devs)

    Estude a língua inglesa com um curso 100% focado em tecnologia e expanda seus horizontes profissionais.

12X
R$120
à vista R$1.440
Matricule-se
Conheça os Planos para Empresas

Acesso completo
durante 1 ano

Estude 24h/dia
onde e quando quiser

Novos cursos
todas as semanas