Listas de Controle de Acesso (Access Control List - ACL)

Listas de acesso (ACLs) s�o condi��es que controlam o acesso de pacotes a

determinados recursos ou redes.

As condi��es da lista de acesso s�o basicamente filtros de pacotes, que estes

s�o comparados, categorizados e executados de acordo com a regra definida.

As regras definidas na lista s�o conhecidas como ACE (Access Control

Entries)

Podem ser aplicadas para an�lise do tr�fego entrante (inbound traffic) e/ou
sainte (outbound traffic) em qualquer tipo de interface ou subinterface.

O Router analisar� todos os pacotes que cruzarem uma interface em que exista
uma ACL configurada na dire��o especificada e tomar� a a��o apropriada.

Tamb�m podem ser usadas como filtros aplicados a protocolos de roteamento e

outros servi�os como NAT.

Listas de acesso podem ser usadas para:

- Permitir ou negar um fluxo de pacotes baseado em sua origem, destino e/ou

protocolo ou aplica��o;

- Proteger o acesso a elementos cr�ticos ou a redes/sub-redes inteiras.

Controlar quais hosts podem gerenciar remotamente um Router atrav�s de conex�o
Telnet ou SSH aplicando a lista de acesso as linhas VTY (access-class)

- Determinar quais fluxos de dados ser�o submetidos a algum tipo de

tratamento adicional, por exemplo NAT ou roteamento;

- Identificar e bloquear tr�fegos nocivos originados externa ou internamente;

- Apenas monitorar o tr�fego com determinadas caracter�sticas e armazenar as

informa��es coletadas em arquivos de registro (logs).

- Controlar quais rotas ou redes podem ou n�o ser anunciadas pelos protocolos
din�micos de roteamento (RIP, OSPF e EIGRP). Conhecidas como listas de
distribui��o.

A L�gica por Tr�s das ACLs

Existem dois tipos de lista de acesso: Standard (Padr�o) e Extended

(Estendida), a diferen�a entre elas s�o os campos examinados no pacote de dados
durante o processo de filtragem:

- ACLs Padr�o (Standard):

Examinam APENAS o campo "Origem" do cabe�alho IP;

- ACLs Estendidas (Extended):

Examinam os campos "Origem" e "Destino" do cabe�alho IP;

Permite tamb�m a filtragem por protocolos e respectivos par�metros,

identific�veis no campo "protocol" do cabe�alho IP, como ICMP (1), OSPF (89), EIGRP
(88), UDP (17), TCP (6) entre outros;
 Permite que sejam definidos filtros alcan�ando at� a camada de
Aplica��o, se usar os protocolos TCP e UDP em conjunto com as portas l�gicas por
eles utilizadas.

Uma vez criada, a lista de acesso deve ser aplicada a uma interface para
analisar o tr�fego que entra ou sai por ela.

- Inbound: os pacotes s�o processados pela lista de acesso assim que

entram pela interface, ANTES do processo de roteamento ocorrer;

- Outbound: os pacotes s�o processados pela lista de acesso AP�S o

processo de roteamento ocorrer, e antes de serem transmitidos pela interface de
sa�da.

Quando um pacote entra ou tenta sair por uma interface que possua uma ACL
configurada, campos no cabe�alho desse pacote ser�o examinados e comparados com as
regras existentes na lista.

Essa compara��o ocorre sequencialmente, com cada linha da lista, seguindo o

modelo "top-down".

O pacote � analisado contra a primeira linha da lista, se houver

correspond�ncia da regra com as informa��es contidas no cabe�alho do pacote, ent�o
a a��o configurada ("permit" ou "deny") � executada e o processo de an�lise �
interrompido.

N�o havendo correspond�ncia, a linha seguinte � usada na compara��o e assim

por diante.

Se at� o fim da lista n�o houver nenhuma correspond�ncia, o pacote ser�

bloqueado, pois as ACLs Cisco seguem a diretriz padr�o: "negue tudo o que n�o for
explicitamente permitido" (DENY ALL) essa regra � sempre a �ltima da lista e n�o
aparece na configura��o.

Regras a serem seguidas durante o processo de cria��o e aplica��o de ACLs:

- Apenas uma lista de acesso pode ser aplicada por vers�o IP, interface ou
dire��o. Em uma mesma interface, logo pode-se ter uma ACL IPv4 no sentido "IN",
outra no sentido "OUT" e adicionalmente pode-se ter ACLs IPv6 "IN" e "OUT" tamb�m;

- As listas devem ser organizadas para que os procedimentos mais espec�ficos

encontrem-se no in�cio delas. Ex: se uma ACL tiver uma regra "permit" na primeira
linha da lista para pacotes originados na rede 10.0.0.0/8 jamais ir� bloquear
pacotes originados na sub-rede 10.10.0.0/16 que por exemplo esteja configurada
depois desta;

- Novas regras sempre ser�o automaticamente adicionadas ao final da ALC

existente, portanto se a inten��o � adicionar uma regra mais espec�fica a uma lista
j� existente, deve-se ter o cuidado de posicionar essa nova regra ANTES de outra
mais abrangente;

- Caso a lista n�o contenha ao menos uma regra "permit", seu efeito ser�
bloquear TODOS os pacotes analisados por ela. Por causa da diretriz padr�o que diz
que "tudo que n�o for explicitamente permitido deve ser negado" ("Deny all")

- Sempre certificar-se que a ACL est� devidamente formatada antes de aplic�-

la a uma interface, uma lista de acesso mal projetada pode bloquear a passagem de
tr�fego vital na rede.

- Lista de acesso filtram o tr�fego que atravessa um Router ou Switch, mas

n�o filtram o tr�fego originado no pr�prio elemento que elas se encontram
configuradas.

Listas de Acesso Numeradas IPv4 Padr�o (Standard Access Lists)

Listas de acesso padr�o (Standard) filtram a rede utilizando exclusivamente o

endere�o IP origem de um pacote.

Podem ser identificadas por n�meros ou nomes.

Os intervalos num�ricos que definem listas padr�o s�o: 1 a 99 e de 1300 a

1999 (intervalo ampliado)

Sintaxe para cria��o de ACL num�rica padr�o:

access-list [n�mero] [permit|deny] [rede|host origem] [wildcard] [log]

Uma forma de incluir um �nico dispositivo na lista de acesso � com a

utiliza��o do par�metro "host"

access-list N�MERO deny host IP

Outra forma seria especificando o endere�o do host como se fosse uma rede com
um �nico elemento, por�m utilizando "Wildcards"

access-list N�MERO deny IP 0.0.0.0

Host � o par�metro padr�o, se executar apenas o comanho "access-list [n�mero]

[permit|deny] [rede|host origem]" o dispositivo entender� como se o par�metro
"host" tivesse sido digitado.

Pode-se usar o par�metro "remark" para incluir descri��o sobre a finalidade

de cada sess�o da ACL.

access-list N�MERO remark Bloqueia o acesso de toda a rede

10.0.0.0
access-list N�MERO deny 10.0.0.0 0.255.255.255

Listas de acesso padr�o fazem a filtragem dos pacotes analizando o endere�o

IP de origem, essas listas devem ser aplicadas o mais pr�ximo poss�vel do destino
do tr�fego, caso sejam aplicadas muito pr�ximas a origem, podem bloquear o acesso a
recursos que deveriam estar liberados.

Wildcard Masking

S�o utilizados em listas de acesso para especificar que parte do endere�o IP

de origem ou de destino deve ser considerada no processo de filtragem.

"Essencialmente" para redes e sub-redes os wildcards seriam representa��es

invertidas das m�scaras de rede.
 Os "0"s nos "wildcards" dizem ao IOS que os bits correspondentes no endere�o
IP informado devem ser identicos para que uma correspond�ncia ocorra.

Enquanto os "1"s informam que qualquer varia��o de bits ("0" ou "1") ser�
considerada como uma correspond�ncia.

Existe um procedimento simples para converter m�scaras de rede em m�scaras

wildcard:

Supondo que devemos transformar a m�scara 255.255.240.0 em wildcard, seguimos

assim:

- Os valores 0 e 255 n�o devem ser alterados, e aqui h� uma troca entre eles
na respresenta��o, o que � 255 passa a ser 0, e o que � 0 passa a ser 255 ficando:
0.0.240.255

- Calcular o n�mero de endere�os de hosts que o valor 240 no terceiro octecto

pode prover. 255.255.240.0 = 16 hosts

- A m�scara wildcard ser� o resultado do n�mero de hosts do endere�o (16

nesse caso) menos 1.

- Logo o Wildcard para a m�scara 255.255.240.0 ser� 0.0.15.255

Listas de Acesso Numeradas IPv4 Estendidas

Essas listas permitem que se filtre a rede n�o apenas observando o endere�o
IP de origem mas tamb�m o endere�o IP de destino, o protocolo e par�metros
adicionais, como n�mero de porta l�gica TCP ou UDP de origem e destino.

Os intervalos num�ricos que definem listas padr�o s�o: 100 a 199 e 2000-2699
(intervalo estendido)

A sintaxe de uma ACL estendida � a seguinte:

access-list [n�mero] [permit|deny] [protocolo] [host/rede origem]

[wildcard] [rede/host destino] [wildcard] [par�metros do protocolo]

Deve-se ter em mente que sempre ao usar ACLs estendidas h� que se especificar
um protocolo para ser usado na filtragem, o mais abrangente dos protocolos sempre
ser� o IP.

Uma regra "permit" ou "deny" usando o protocolo IP sempre ser� mais

abrangente do que usando qualquer outro protocolo, pois este engloba
automaticamente todos os outros protocolos de camada superior.

A recomenda��o para este tipo de lista, � que sejam aplicadas o mais pr�ximo
poss�vel da origem do tr�fego.

Como ACLs estendidas examinam o endere�o IP de origem e destino, pode-se

aplic�-las mais perto da origem e descartar o pacote j� na interface de entrada.
Listas de Acesso IPv4 Nomeadas (Named ACLs)

Utiliza-se de nomes para identificar essas listas e n�o n�meros.

Facilita a caracteriza��o da lista e tamb�m sua fun��o.

Em termo de sintaxe na configura��o das listas seguem o que j� foi visto,

para cri�-las basta seguir os exemplos:

Lista nomeada IPv4 padr�o:

ip access-list standard bloqueia_MKT

deny 172.16.20.0 0.0.0.255
permit any

Lista nomeada IPv4 estendida:

ip access-list extended acesso_DC

permit ip host 172.16.10.100 any
deny tcp any host 172.16.30.8 eq ftp
deny tcp any host 172.16.30.8 eq telnet
permit ip 172.16.10.0 0.0.0.255 any
deny ip any 172.16.30.0 0.0.0.255
permit any any

Para aplicar a ACL numerada a uma interface, a sintaxe � a mesma, s� que ao

inv�s de n�meros usa-se os nomes.

ACLs IPv6

Seguem os mesmos princ�pios e par�metros j� vistos para ACLs IPv4.

Existem algumas diferen�as a serem ressaltadas:

Apenas podem ser criadas no formato nomeado (n�o existe ACL IPv6
numerada);

Existem apenas na forma estendida.

N�o h� "Wildcard", apenas nota��o prefixal que � usada para definir

qual a por��o do endere�o ser� verificada contra as regras da lista.

O comando para se aplicar uma ACL IPv6 � "ipv6 traffic-filter [nome da

lista] [in|out]"