Segurança : Dispositivos de segurança Cisco PIX 500 Series

Utilizando os comandos nat, global, static, conduit, e access-list e Redirecionamento (Encaminhamento) de Porta em PIX

7 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (24 Outubro 2008) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Diagrama de rede
Configuração Inicial
Permitir Acesso Externo
     Permissão de Acesso de Alguns Hosts Internos a Redes Externas
     Permissão de Acesso de Hosts Internos Remanescentes a Redes Externas
     Permissão de Acesso de Hosts Internos a DMZ sem Conversão
     Restrição de Acesso de Hosts Internos a Redes Externas
Permissão de Acesso de Hosts Não Confiáveis na sua Rede Confiável
     Uso de Canalizadores em Versões do Software PIX 4.4.5 e Superior
     Uso de ACLs em Versões do Software PIX 5.0.1 e Superior
Desabilitar NAT
Redirecionamento (Encaminhamento) de Porta com Estática
     Diagrama de Rede - Redirecionamento (Encaminhamento) de Porta
     Configuração PIX Parcial - Redirecionamento (Encaminhamento) de Porta
NAT Externo
     Diagrama de Rede - NAT Externo
     Configuração de PIX Parcial – NAT Externo
Solução de Problemas
Informações a Serem Coletadas se um Caso de TAC for Aberto
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Para maximizar a segurança ao implementar o Cisco Secure PIX Firewall, é importante entender o modo como os pacotes são transferidos de/para interfaces de segurança superiores, a partir das interfaces de segurança inferiores, usando os comandos nat, global, static e conduit ou os comandos access-list e access-group das versões 5.0 e superiores do software PIX. Este documento explica as diferenças entre esses comandos e como configurar o redirecionamento (encaminhamento) da porta no software PIX versão 6.0 e o recurso externo NAT (Network Address Translation) adicionado no software PIX versão 6.2.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Usados

As informações neste documento se baseiam nas versões de software a seguir:

  • Software Cisco Secure PIX Firewall versões 4.4.5 e posterior

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Diagrama de rede

28b.gif

Configuração Inicial

Os nome das interfaces são:

  • nameif ethernet0 outside security0

  • nameif ethernet1 dentro da security100

Permitir Acesso Externo

O acesso externo descreve as conexões de um nível de segurança de interface mais alto para um nível mais baixo. Isso inclui conexões de dentro para fora, dentro de DMZs (Zonas Desmilitarizadas) e de DMZs para fora. Esse acesso também pode incluir conexões de um DMZ para outro, desde que a interface da origem da conexão tenha um nível de segurança mais alto que a interface do destino. Para confirmar isso, analise a configuração "nameif" no PIX.

Existem duas políticas exigidas para permitir acesso externo. A primeira é um método de conversão. Essa conversão pode ser uma conversão estática que utiliza o comando static ou uma conversão dinâmica que utiliza uma regra global/nat. O outro requisito de acesso externo se aplicará se houver uma Lista de controle de acesso (ACL) presente, o que gerará a necessidade de permitir o acesso do host de origem ao host de destino por meio do protocolo e da porta específicos. Por padrão, não há restrições de acesso às conexões externas por meio do PIX. Isso significa que, se não houver ACL configurada para a interface de origem, por padrão, a conexão externa terá permissão se houver um método de conversão configurado.

Estas seções fornecem exemplos de configurações no método de conversão e no método de restrição de acesso externo com o uso de uma ACL.

Permissão de Acesso de Alguns Hosts Internos a Redes Externas

Esta configuração fornece acesso externo a todos os hosts na subrede 10.1.6.0/24. Os comandos nat e global devem ser usados para realizar isso:

  1. Define o grupo interno a ser incluído para NAT.

                      nat (inside) 1 10.1.6.0 255.255.255.0
                   
  2. Especificar um pool de endereços na interface externa para o qual os hosts definidos na instrução NAT são traduzidos.

                      global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0 
                   

Agora os hosts internos podem acessar as redes externas. Quando hosts internos iniciam uma conexão com o exterior, eles são convertidos em um endereço do pool global. Observe que os endereços são atribuídos a partir do pool global com base no primeiro que chega e no primeiro que é convertido, começando pelo endereço na posição mais inferior desse pool. Por exemplo, se o host 10.1.6.25 for o primeiro a iniciar uma conexão externa, ele recebe o endereço 175.1.1.3. O próximo host recebe 175.1.1.4 e assim por diante. Esta conversão não é estática e expira após um período de inatividade definido pelo comando timeout xlate hh:mm:ss .

Permissão de Acesso de Hosts Internos Remanescentes a Redes Externas

O problema é que há mais hosts internos do que endereços externos. Para permitir que todos os hosts tenham acesso externo, utilizamos a port address translation (PAT). Se um endereço for especificado na instrução global, esse endereço será convertido em porta. O PIX permite uma conversão de porta por interface, e essa conversão suporta até 65.535 objetos xlate ativos para o endereço global único. Conclua estas etapas:

  1. Define o grupo interno a ser incluído para PAT. (Utilizando 0 0 seleciona-se todos os hosts internos.)

                      nat (inside) 1 10.1.6.0 255.255.255.0
                   
  2. Especificar o endereço global a ser usado para PAT.

                      global (outside) 1 175.1.1.65
                   

Há alguns detalhes a serem considerados ao usar PAT.

  • Os endereços IP especificados para PAT não podem estar em outro pool de endereços global.

  • A PAT não funciona com aplicativos H.323, servidores de nome de cachê e PPTP (Point-to-Point Tunneling Protocol). PAT funciona com DNS (serviço de nome de domínio), FTP e FTP passivo, HTTP, email, RPC, rshell, Telnet, filtragem de URL e traceroute externo.

  • Não use PAT quando aplicativos de multimídia precisarem ser executados através de firewall. Os aplicativos multimídia podem entrar em conflito com os mapeamentos de porta fornecidos pelo PAT.

  • Na versão 4.2(2) do software PIX, o recurso PAT não funciona com os pacotes de dados de IP que chegam em ordem inversa. Este problema foi corrigido na versão 4.2(3).

  • Os endereços IP no pool de endereços globais especificados com o comando global requerem entradas de DNS reverso para assegurar que todos os endereços de rede externa estejam acessíveis através do PIX. Para criar mapeamentos invertidos de DNS, use um registro DNS Pointer (PTR) no arquivo de mapeamento para endereçar ao nome de cada endereço global. Sem as entradas de PTR, os sites podem experimentar conectividade lenta ou intermitente à Internet e as solicitações de FTP falham constantemente.

    Por exemplo, se um endereço IP global for 175.1.1.3 e o nome do domínio para o firewall PIX for pix.caguana.com, o registro PTR seria:

    3.1.1.175.in-addr.arpa. IN PTR
    pix3.caguana.com
    4.1.1.175.in-addr.arpa. IN PTR
    pix4.caguana.com & so on.

Permissão de Acesso de Hosts Internos a DMZ sem Conversão

Apesar de as configurações mostradas anteriormente neste documento utilizarem os comandos nat e global para permitir o acesso de hosts da rede interna a hosts em uma interface DMZ traduzindo os endereços de origem dos hosts internos, às vezes esta conversão não é desejada. Entretanto, quando um host em uma interface PIX Firewall inicia a conexão com um host em outra interface, o PIX deve ter uma forma de traduzir o endereço IP do host em si. Mesmo que não seja necessário que o endereço IP seja traduzido, a conversão deve ocorrer. Portanto, para permitir que os hosts internos acessem os hosts no DMZ, deve ser configurada uma conversão que na verdade não traduzirá nada.

Pressuponha que os hosts na rede interna de 10.1.6.0/24 precisem acessar os hosts na rede DMZ de 172.22.1.0/24:

  1. Crie uma conversão estática entre a rede interna e o DMZ que não traduza os endereços internos.

                      static (inside,dmz) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
                   
  2. Crie uma conversão estática para permitir que um host interno acesso o DMZ sem traduzir o endereço do host.

                      static (inside,dmz) 10.1.6.100 10.1.6.100
                   

    Observação: O PIX adiciona automaticamente uma máscara de rede de 255.255.255.255.

Restrição de Acesso de Hosts Internos a Redes Externas

Se houver um método de conversão definido para o host de origem, e nenhuma ACL estiver definida para a interface PIX, a conexão externa terá permissão por padrão. Entretanto, em alguns casos pode ser necessário restringir o acesso externo com base na origem, destino, protocolo e/ou porta. Isto pode ser feito no momento da configuração da ACL com o comando access-list e aplicando o mesmo à interface PIX de origem de conexão com o comando access-group. ACLs PIX apenas são aplicadas na direção de entrada. As ACLs estão disponíveis no código da versão 5.0.1 do PIX ou mais recente. Códigos anteriores utilizam instruções "outbound" e "apply", descritas na referência de comandos PIX.

Este é um exemplo que permite acesso externo HTTP (Protocolo de transporte de hipertexto) para uma sub-rede, contudo nega todo o acesso externo ao HTTP de outros hosts e autoriza todo o tráfego IP para todos.

  1. Defina a ACL.

                      access-list acl_outbound permit tcp 10.1.6.0 255.255.255.0 any eq www
    access-list acl_outbound deny tcp any any eq www
    access-list acl_outbound permit ip any any
                   

    Observação: Os ACLs de PIX são diferentes dos ACLs nos roteadores Cisco IOS pois o PIX não usa uma máscara de caractere geral como o Cisco IOS. Isto usa uma máscara de sub-rede regular na definição de ACL. Assim como ocorre com os roteadores Cisco IOS, o PIX ACL tem um "deny all" implícito ao final da ACL.

  2. Aplique a ACL à interface interna.

                      access-group acl_outbound in interface inside
                   

Permissão de Acesso de Hosts Não Confiáveis na sua Rede Confiável

A maior parte das empresas precisa permitir o acesso de hosts não confiáveis a recursos em sua rede confiável, como em um servidor de web interno, um exemplo simples. Por padrão, o PIX nega conexões de hosts externos a hosts internos. Use os comandos static e conduit para permitir a conexão. Nas versões de software PIX 5.0.1 e superiores, os comandos access-list eaccess-group estão disponíveis além dos comandos conduit.

As canalizações ou os ACLs fazem sentido para um PIX de duas interfaces. As canalizações são baseadas em direção. Elas possuem um conceito de dentro e fora. Com um PIX de duas interfaces, a canalização permite o tráfego de fora para dentro. Diferentemente das canalizações, os ACLs são aplicados a interfaces com o comando access-group. Esse comando associa a ACL à interface para examinar o tráfego que está fluindo em uma determinada direção.

Em contraste com os comandos nat e global, que permitem a saída de hosts internos, o comando static cria uma conversão bidirecional que permite a saída de hosts internos e a entrada de hosts externos caso sejam criadas as canalizações adequadas ou sejam adicionados grupos/ACLs (software PIX versão 5.0.1 ou posterior).

Nos exemplos de configurações de PAT mostrados anteriormente neste documento, se um host externo tentasse se conectar ao endereço global, ele poderia ser usado por milhares de hosts internos. O comando staticcria um mapeamento um a um. O comando conduit ou access-list define que tipo de conexão é permitido em um host interno e sempre é necessário quando um host de segurança inferior se conecta a um host de segurança superior. O comando conduit ou access-list se baseia em porta e protocolo. Ele pode ser bastante permissivo ou restritivo, dependendo do que o administrador de sistema deseja atingir.

O diagrama de rede deste documento ilustra o uso desses comandos para configurar o PIX de modo a permitir que qualquer host não confiável se conecte ao servidor de Web interno e que o seguinte host não confiável, 199.199.199.24, tenha acesso a um serviço de FTP na mesma máquina.

Uso de Canalizadores em Versões do Software PIX 4.4.5 e Superior

Conclua estas etapas para as versões 4.4.5 e superiores do software PIX usando canalizações.

  1. Defina uma conversão de endereço estática para o servidor de web interno para um endereço externo/global.

                      static (inside,outside) 175.1.1.254 10.200.1.254
                   
  2. Defina quais hosts podem se conectar a quais portas em seu servidor de web/FTP.

                      conduit permit tcp host 175.1.1.254 eq www any
    conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24
                   

Nas versões 5.0.1 e posterior do software PIX, os ACLs com grupos de acesso podem ser usados em vez das canalizações. Canais ainda estão disponíveis, mas uma decisão deve ser tomada no sentido de usar canais ou ACLs. Não é aconselhável combinar ACLs e canalizações na mesma configuração. Se ambos estiverem configurados, os ACLs predominam sobre os canalizadores.

Uso de ACLs em Versões do Software PIX 5.0.1 e Superior

Conclua estas etapas para as versões 5.0.1 e superiores do software PIX usando ACLs.

  1. Defina uma conversão de endereço estática para o servidor de web interno para um endereço externo/global.

                      static (inside, outside) 175.1.1.254 10.200.1.254
                   
  2. Defina quais hosts podem se conectar a quais portas em seu servidor de web/FTP.

                      access-list 101 permit tcp any host 175.1.1.254 eq www
    access-list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp
                   
  3. Aplique a ACL à interface externa.

                      access-group 101 in interface outside
                   

Observação: Cuidado ao implementar estes comandos. Se o comando conduit permit ip any any ou access-list 101 permit ip any any for implementado, qualquer host na rede não confiável poderá acessar qualquer host na rede confiável utilizando IP contanto que haja uma conversão ativa.

Desabilitar NAT

Se tiver um endereço público na rede interna, e você quiser que os hosts internos sejam enviados para fora sem conversão, desative a NAT. Também é necessário alterar o comando static.

Usando o exemplo deste documento, o comando nat é alterado, conforme mostrado a seguir:

            nat (inside) 0 175.1.1.0 255.255.255.0 
         

Utilize estes comandos se usar ACLs no software PIX versões 5.0.1 e posteriores:

            access-list 103 permit ip 175.1.1.0 255.255.255.0 any
nat (inside) 0 access-list 103
         

Este comando desabilita o NAT para a rede 175.1.1.0. O comando static do servidor de web é alterado conforme mostrado a seguir:

            static (inside, outside) 175.1.1.254 175.1.1.254
         

Este comando define a canalização do servidor da Web.

            conduit permit tcp host 175.1.1.254 eq www any
         

Utilize estes comandos se usar ACLs no software PIX versões 5.0.1 e posteriores:

            access-list 102 permit tcp any host 175.1.1.254 eq www
access-group 102 in interface outside
         

Observe a diferença entre usar o nat 0 com especificação rede/máscara em vez de usar uma ACL que usa uma rede/máscara que permite apenas a iniciação de conexões do lado de dentro. O uso de ACLs permite o início de conexões por tráfego de entrada ou saída. As interfaces de PIX devem estar em sub-redes diferentes para evitar problemas de alcançabilidade.

Redirecionamento (Encaminhamento) de Porta com Estática

No PIX 6.0, o recurso de Redirecionamento (Encaminhamento) de Porta foi adicionado para permitir que os usuários externos se conectem a um determinado endereço IP/porta e que o PIX redirecione o tráfego para o servidor interno adequado. O comando static foi modificado. O endereço compartilhado pode ser um endereço exclusivo, um endereço PAT de saída compartilhado ou compartilhado com a interface externa.

Observação: Estes comandos estão em duas linhas devido a limitações de espaço.

            static [(internal_if_name, external_if_name)]
{global_ip|interface}
local_ip [netmask mask] [max_conns [emb_limit
[norandomseq]]]
         
            static [(internal_if_name, external_if_name)] {tcp|udp}
{global_ip|interface}
global_port local_ip local_port [netmask mask] [max_conns
[emb_limit [norandomseq]]]
         

Estes são os redirecionamentos de porta da rede de exemplo:

  • Usuários externos direcionam requisições Telnet a um endereço IP exclusivo172.18.124.99. que o PIX redireciona para 10.1.1.6.

  • Os usuários externos direcionam solicitações de FTP para endereços IP exclusivos 172.18.124.99, que o PIX redireciona para 10.1.1.3.

  • Os usuários externos direcionam as solicitações de Telnet para o endereço PAT 172.18.124.208, o qual é redirecionado pelo PIX para 10.1.1.4.

  • Os usuários externos direcionam requisições de Telnet para o endereço IP externo de PIX 172.18.124.216, que o PIX redireciona para 10.1.1.5.

  • Os usuários externos direcionam requisições de HTTP para o endereço IP externo de PIX 172.18.124.216, que o PIX redireciona para 10.1.1.5.

  • Usuários externos direcionam solicitações de porta 8080 HTTP para o endereço PAT 172.18.124.208, cujo PIX redireciona para a porta 80 10.1.1.7

Este exemplo também bloqueia o acesso de alguns usuários do interior para o exterior com a ACL 100. Esta etapa é opcional. Todo o tráfego é permitido no sentido de saída sem a ACL no lugar.

Diagrama de Rede - Redirecionamento (Encaminhamento) de Porta

28-02.gif

Configuração PIX Parcial - Redirecionamento (Encaminhamento) de Porta

Esta configuração parcial ilustra o uso do redirecionamento de porta estático.

Configuração PIX Parcial - Redirecionamento (Encaminhamento) de Porta

fixup protocol ftp 21

                     !--- O uso de uma ACL externa é opcional.
                  
access-list 100 permit tcp 10.1.1.0 255.255.255.128 any eq www
access-list 100 deny tcp any any eq www
access-list 100 permit tcp 10.0.0.0 255.0.0.0 any
access-list 100 permit udp 10.0.0.0 255.0.0.0 host 172.18.124.100 eq domain

access-list 101 permit tcp any host 172.18.124.99 eq telnet
access-list 101 permit tcp any host 172.18.124.99 eq ftp
access-list 101 permit tcp any host 172.18.124.208 eq telnet
access-list 101 permit tcp any host 172.18.124.216 eq telnet
access-list 101 permit tcp any host 172.18.124.216 eq www
access-list 101 permit tcp any host 172.18.124.208 eq 8080

ip address outside 172.18.124.216 255.255.255.0
ip address inside 10.1.1.2 255.255.255.0

global (outside) 1 172.18.124.208
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3
   ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5
   www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7
   www netmask 255.255.255.255 0 0

                     !--- O uso de uma ACL externa é opcional.
                  
access-group 100 in interface inside
access-group 101 in interface outside

NAT Externo

No PIX 6.2 e posterior, a NAT e a PAT podem ser aplicadas ao tráfego a partir de uma interface externa (menos segura) para uma interface interna (mais segura). Algumas vezes isto é chamado de NAT bidirecional.

O NAT/PAT externo é semelhante ao NAT/PAT interno, mas a conversão de endereço é aplicada aos endereços de hosts que residem nas interfaces externas (menos seguras) do PIX. Para configurar o NAT externo dinâmico, especifique os endereços a serem convertidos na interface menos segura e especifique um ou mais endereços globais na interface interna (mais segura). Para configurar NAT externo estático, use o comando static para especificar o mapeamento um para um.

Depois que o NAT externo for configurado, quando um pacote chegar na interface externa (menos segura) do PIX, o PIX tentará localizar um xlate (entrada de conversão de endereço) existente no banco de dados de conexões. Se não houver nenhum xlate, ele pesquisará a política NAT da configuração em execução. Se uma política NAT for localizada, um xlate será criado e inserido no banco de dados. Em seguida, o PIX regrava o endereço de origem no endereço global ou mapeado e transmite o pacote na interface interna. Com o xlate estabelecido, os endereços de quaisquer pacotes subseqüentes podem ser rapidamente convertidos por meio da consulta de entradas no banco de dados das conexões.

Diagrama de Rede - NAT Externo

28-01.gif

No exemplo:

  • Dispositivo 10.100.1.2 para NAT para 209.165.202.135 ao sair

  • Dispositivo 209.165.202.129 para NAT para 10.100.1.3 ao chegar

  • Outros dispositivos na rede 10.100.1.x para a NAT em endereços no pool 209.165.202.140-209.165.202.141 ao sair

  • A conectividade do dispositivo 209.165.202.129 para o dispositivo 10.100.1.2 com o dispositivo 209.165.202.129 enxergando o dispositivo interno como 209.165.202.135 se o dispositivo 10.100.1.2 enxergando o tráfego de 209.165.202.129 como vindo de 10.100.1.3 (por causa do NAT externo)

Acesso permitido a todos os dispositivos 209.165.202.x usando ACLs ou canalizações.

Configuração de PIX Parcial – NAT Externo

Configuração de PIX Parcial – NAT Externo

ip address outside 209.165.202.130 255.255.255.224
ip address inside 10.100.1.1 255.255.255.0
global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0 0 0
static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0
static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 0 0
conduit permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0

                     !--- Ou, no lugar das canalizações, deixamos as instruções de estática mas temos o seguinte.
                  
access-list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0
access-group 101 in interface outside

Solução de Problemas

Esta seção fornece informações que podem ser usadas para solucionar problemas da configuração.

  • Se você utilizar pings ICMP para testar uma conversão configurada, os pings provavelmente retornarão falha e podem criar a impressão de que a conversão não está funcionando. Por padrão, o PIX bloqueia as mensagens ICMP contra interfaces de segurança mais baixa para interfaces de segurança mais alta. Isto ocorre mesmo que a mensagem de erro seja em resposta a um ping iniciado internamente. Como resultado, certifique-se de utilizar outro método, como Telnet, para verificar a configuração.

  • Após fazer alterações a regras de conversão no PIX, recomenda-se que o comando clear xlate seja executado. Isto garante que as conversões antigas não interfiram com as configuradas recentemente e façam com que elas não operem corretamente.

  • Após configurar ou alterar as conversões estáticas entre servidores internamente ou no DMZ externamente, pode ser necessário limpar o cache do ARP do roteador do gateway ou outro dispositivo do próximo nó.

Informações a Serem Coletadas se um Caso de TAC for Aberto

Se você ainda precisar de assistência após seguir as etapas de solução de problemas mencionadas acima e quiser abrir um caso com o TAC Cisco, certifique-se de incluir as informações a seguir para solucionar problemas do Firewall PIX.

  • Descrição de problema e detalhes relevantes de topologia

  • Solucione os problemas antes de abrir o caso

  • Saída do comando show tech-support

  • Saída do comando show log após execução com o comando logging buffered debugging ou captura do console que demonstre o problema (se disponível)

Anexe os dados de coleta ao seu caso em formato de texto simples, não zipado (.txt). Você pode anexar informações carregando-as com o uso da ferramenta Case Query (clientes registrados somente) . Se você não conseguir acessar a ferramenta Case Query, é possível enviar as informações em um anexo de e-mail para attach@cisco.com com o número do caso na linha de assunto da mensagem.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 12496