Este documento discute as Listas de Controle de Acesso (ACLs) em roteadores. ACLs permitem controlar o tráfego de rede filtrando pacotes com base em regras como um firewall. Existem vários tipos de ACLs, incluindo padrão, estendida e nomeada. As ACLs funcionam comparando atributos de pacotes como endereços IP, portas e protocolos com regras de permitir ou negar.
1. CURSO TÉCNICO DE REDES E INFRAESTRUTURA
ACL - Listas de Controle de Acesso
DOCENTE DONIZETI VIEIRA GOMES – MCSA – MCTS – MCP - LPI – CLA – ISO27002 – DCTS - SECURITY+
2. O que são ACLs?
As Access Control Lists permitem ao administrador de redes controlar
aspectos relacionados a segurança no roteador, permitindo filtrar o
trafego de entrada ou de saída baseando-se em regras como em um
firewall.
As regras de uma ACL podem filtrar os pacotes permitindo ou negando o
trafego de entrada e de saída, ou nos dois sentidos.
Além de ser um recurso de segurança importante, pode ser utilizado para
outros fins como controle de redistribuição de protocolos de
roteamento, NAT, contenção de tráfegos indevidos, etc.
3. Como funcionam as ACLs?
As regras de uma ACL são criadas para permitir PERMIT ou para negar DENY
o trafego. Tudo o que não for permitido estará implicitamente negado
(IMPLICIT DENY)
As regras se baseiam em protocolos da pilha do TCP/IP e também do nível
de aplicação, sendo endereços de origem e/ou destino, portas e
protocolos, além de seus estados (Ex.: stablished)
Protocolos IPV4 e IPV6 (somente Named ACL), protocolos de transporte (TCP
e UDP), números de portas de protocolos e serviços (Ex.: 21,80,443,25,110...)
e protocolos de aplicação (Ex.:TELNET, FTP, HTTP, SMTP...), protocolos de
roteamento (RIP, OSPF, EIGRP ,BGP...) e por mensagens de ICMP.
O sentido da regra é um fator importante, ele pode ser de ENTRADA in e de
SAIDA out
As ACLs são aplicadas à interfaces (Ex.: Fa0/1) e linhas (vty e console)
4. Como funcionam as ACLs?
IMPORTANTE: Sempre devemos nos posicionar dentro do roteador para
entendermos corretamente o sentido de IN e de OUT da ACL.
A posição da ACL na LISTA (sequência) também é importante.
5. Tipos de ACLs
Os tipos de ACLs suportados no IOS dos routers Cisco são:
Standard ACLs ou ACLs padrão
Extended ACLs ou ACLs estendidas
Dynamic (lock and key) ACLs
IP-named ACLs
Reflexive ACLs
Time-based ACLs that use time ranges
Commented IP ACL entries
Context-based ACLs
Authentication proxy
Turbo ACLs
Distributed time-based ACLs
6. Tipos de ACLs mais comuns
ACL padrão – Filtram utilizando o endereço IP de origem
ACL estendida – Filtram tanto pelo IP origem como pelo destino e
também pelos protocolos da camada de transporte (TCP e UDP)
utilizando número de portas
As ACL padrão ou estendida podem utilizar números (numbered) ou
utilizar nomes (named)
Exemplos:
R1# access-list 10 permit 192.168.10.1 - numerada
R3# ip access-list standard Bloquear_WWW - nomeada
7. ACLS Numeradas
As ACLs numeradas possuem os seguintes intervalos de numeração por tipos
padrão ou estendida (protocolo IP):
1-99 - ACL Padrão
100-199 - ACL Estendida
1300-1999 - ACL Padrão (intervalo adicional)
2000-2699 - ACL Estendida (intervalo adicional)
8. Considerações sobre ACLs
Documente e planeje todas suas ACLs, use um editor de textos
Nunca se esqueça do NEGAR IMPLICITO (e oculto) no final das regras
As regras são adicionadas ao fim da lista
Aplique ACLs padrão sempre o mais próximas do destino.
Aplique ACLs estendidas sempre o mais próximo da origem.
ACLs que atravessam o roteador e não tem PERMIT são descartadas
Use comentários em suas ACLs (remark) para facilitar a compreensão
10. Máscaras Coringas – Wildcard Masks
As máscaras coringa ou wildcard masks são utilizadas nas ACLs para
definirmos porções de subredes a redes ou hosts ip, entretanto utilizam um
formato diferenciado da máscara de subredes comum, utilizando-se do 0
ao invés do 1 para definir a porção relativa a subrede, exemplo:
Máscara Coringa
Máscara Comum
11. Sintaxe de comandos de ACLs:
ACL PADRÃO:
Router(config)# access-list [1-99] [permit/deny] [host/rede {wildcard}]
Router (config-if)# ip access-group [1-99] [in/out]
ACL ESTENDIDA:
Router(config)# access-list [100-199] [permit/deny] [protocolo] [host/rede
{wildcard} origem] [host/rede {wildcard} destino] [parâmetros do protocolo]
12. Exemplo de uma ACL Padrão
Permita somente o tráfego da rede de origem 192.168.10.0 ser encaminhado por S0/0/0. O tráfego das redes que não
sejam 192.168.10.0 é bloqueado.
Minha rede
13. Exemplos e Casos: ACL Nomeada
Nomes ao invés de números podem ser mais intuitivos. ACL padrão chamada NO_ACCESS
14. Comentando ACLs
Comentar as ACLs com o comando REMARK é outra forma de deixar mais claro para todos, qual a função da ACL
16. Exemplo de ACL Estendida
Negar TELNET vindo de 192.168.11.0 porém qualquer outro protocolo de qualquer ip é permitido
17. ACLs Complexas
Além das ACL padrão estendida numérica ou nomeada, temos ACL mais especificas que permitem
cenários mais complexos, por exemplo aplicar uma ACL de um determinado tipo de trafego para o setor
de produção de segunda a sexta das 8:00 as 18:00. Este é só um exemplo do poder das ACLs complexas.
18. Exibindo e checando as ACLs
Para visualizar e checar quais as ACLs configuradas no router podemos utilizar alguns
comandos do IOS, sendo importantes também para efetuar troubleshooting. Vejamos:
show access-list – Exibe todas as listas de acesso e seus parâmetros, menos
interfaces.
show access-list 110 – Exibe os parâmetros da lista de acesso 110.
show ip access-list – Exibe as listas de acesso IP configuradas
show ip interface – Exibe quais interfaces possuem ACLs ativas
show running-config - Apresenta as configurações das listas de acesso completas