LISTAS DE CONTROLO DE ACESSO

Listas de acesso permitem ao administrador controlar para onde o tráfego

flui. Elas são implementadas tipicamente para restringir o acesso de
utilizadores ou limitar tráfego.

Para facilitar a administração, as listas de acesso foram divididas por tipo,

a cada tipo é associado um número, tudo isso para melhorar a clareza de
como as listas de acesso se apresentam. Dependendo do número
fornecido no início da configuração, o roteador ira limitar as opções de
sintaxe.

ACL Type ACL Number

IP Padrão 1 à 99

IP Extended 100 à 199

AppleTalk 600 à 699

IPX Standard 800 à 899

IPX Extended 900 à 999

IPX SAP 1000 à 1099

Router(config)#access-list access-list-number {permit/deny} {testar-

condições}
O processo de configuração das listas de acesso é dividido em duas partes.

Primeiramente é escrita a lista de acesso propriamente dita. Diferente de

outros comandos, os comandos de lista de acesso devem ser fornecidos
na mesma ordem que você deseja que o roteador aplique os filtros. Isto
quer dizer que o roteador executa uma lista de acesso na ordem em que
ela foi escrita.

Assim que uma correspondência é encontrada o roteador toma a decisão

de encaminhamento correspondente (repassar ou barrar) e não examina
o restante dos comandos da lista de acesso. Sendo assim, você deve
configurar as entradas da lista de acesso começando das regras mais
específicas às mais genéricas.

O segundo passo é aplicar a lista de acesso a uma determinada interface.

Uma lista de acesso pode ser aplicada ao tráfego que entra ou que sai de
uma interface, porém uma lista de acesso pode trabalhar apenas com um
protocolo.

Se você necessitar introduzir qualquer comando em uma lista de acesso

que não seja no final desta, terá que remover toda a lista e configurá-la
novamente introduzindo então o comando adicional.

Para remover uma lista de acesso utilize o comando:

no access list número da lista deacesso

Há dois tipos de listas de listas de acesso IP: padrão e estendia.

Uma lista de controlo de acesso IP padrão filtra os pacotes baseados no

endereço IP de origem. O endereço de origem pode ser de um
determinado host (equipamento) ou de uma rede. Estas listas são
associadas a números no intervalo de 1 a 99, em versões anteriores do
IOS um segundo intervalo estava disponível (1300 – 1999), mas
raramente necessário.

Nesta configuração deve ser mencionada a máscara “wildcard”. Essa

máscara é um valor de 32 bits que informa ao roteador quais bits que
precedem o endereço IP devem ser ignorados.

O comando para definição das listas de acesso IP padrão tem o seguinte

formato:

access-list númerodalista {deny|permit} endereçodeorigem [wildcard]

 O parâmetro permit/deny

 Depois de escrever access-list e escolher o tipo correcto

“access-list-number”, escreva:

“permit ou deny” dependendo da opção que pretendemos

O Parâmetro{test-conditions}

No parâmetro “teste-conditions” da ACL, irá especificar vários

parâmetros dependendo do tipo de ACL.

O comum para muitas ACLs é o endereço de origem (ip mask e

wildcard mask).
 O endereço de origem pode ser uma sub-rede, um conjunto de
endereços ou um único endereço. É também chamada de Ip
mask pois o wildcard mask usa o endereço de origem para testar
os bits.

O wildcard mask diz ao router que bits deve verificar. Por

exemplo:

LISTA DE ACESSO EXTENDIDA

Uma lista de acesso estendida pode filtrar quaisquer outros parâmetros,

é associada aos números entre 100 e 199 e possui o mesmo intervalo
alternativo (1300 – 1999).
O comando para criar uma lista de acesso estendida é:

access-list númerodalista {deny|permit} protocolo endereço-origem

wild-card-origem endereço-destino wildcarddestino

As listas de acesso estendidas baseiam-se seus filtros nos endereços

fonte e destino. Com a opção protocolo pode-se filtrar um tipo
específico de tráfego, de uma fonte específica para um destino
específico. Existem várias opções para a opção protocolo, dentre elas
podemos citar: ICMP, IP, TCP, UDP e IGRP. Também pode ser fornecido o
número do protocolo, 0 – 255.
Topologia de rede - exemplo

Vamos analisar a seguinte topologia de rede.

Topologia de rede
Se pretendermos configurar uma ACL que permita a saída do tráfego
proveniente da rede 192.168.10.0/24 na interface serial do router R1,
podemos fazer da seguinte forma:

ACL para permitir só uma rede

Utilizar uma ACL para controlar o acesso VTY

Vamos agora bloquear as linhas de terminal virtual.

O comando access-class vai limitar as ligações a endereços específicos

determinados pela ACL.

A sintaxe do comando access-class é:

access-class access-list-number {in [vrf-also] | out}

O parâmetro in limita as ligações de entrada e o parâmetro out limita as

ligações de saída.
 Controlar o acesso ao terminal virtual

Neste exemplo permitimos que a rede 192.168.11.0 aceda às linhas vty

de 0 a 4. As restantes redes não têm permissão.

Banners de login

Em algumas situações, pode ser impossível processar utilizadores mal-

intencionados, de forma legal, a menos que tenham sido notificados de
que eles não estão autorizados a utilizar o sistema. Um método para
fornecer essa notificação é colocar essa informação numa mensagem
com o comando de banner de login no IOS.

O comando necessário para colocar um banner de login é:

switch(config)#banner motd #mensagem#

Editar ACLs numeradas

Durante a configuração de uma ACL, as instruções são adicionadas por

ordem.

Não há forma de editar uma ACL, por isso, é recomendável que se

planeiem bem as ACLs.

Para contornar esse obstáculo, podemos realizar o seguinte:

 verificar a configuração em execução

 eliminar a access-list

 voltar a configurar a access-list

Comentar ACLs

A palavra remark serve para comentar a ACL.

Os comentários simplificam a compreensão e a verificação da ACL. Os
comentários são limitados a 100 caracteres.

Comentário na ACLs

Nesta imagem, verificamos que a access-list 20 tem um comentário com

o seguinte texto: Permite o computador da Sofia. À frente do
comentário, a ACL indica que permite o host 192.168.10.1.

ACL nomeada

Podemos nomear as ACLs para mais facilmente as identificarmos.

 Topologia de rede

Se pretendermos configurar uma ACL padrão nomeada, que negue o

tráfego proveniente do host 192.168.11.10 e permita o acesso da rede
192.168.10.0 na saída da interface fa0/0 podemos fazê-lo da seguinte
forma:

ACL nomeada

Editar ACL nomeada

As ACLs nomeadas são mais fáceis de editar.

Podemos utilizar números para inserir regras na ACL nomeada, excluir

regras e modificar a ACL.
Imaginemos que tínhamos criado a seguinte ACL, mas nos tínhamos
esquecido de negar o tráfego do endereço 192.168.10.20/24.

ACL nomeada padrão

Verificando a ACL, identificamos as duas regras, e deveríamos ter outra

regra entre as duas.

Verificação da ACL nomeada padrão

Para resolver a situação, podemos editar a ACL e inserir uma nova regra
na posição 15 (entre a 10 e a 20).

Inserção da regra entre as outras duas

Verificação da ACL
Actividade Laboratorial - ACL padrão

Objectivos

Implementar controlo de tráfego com ACLs

Material necessário

Computadores

2 Switches

1 Router

Cabos de rede

Cabo de console

Prepare a seguinte topologia com os endereços da tabela abaixo.

 Topologia de rede

Máscara de Gateway
Dispositivo Interface Endereço IP
sub-rede padrão

Fa0/0 192.168.1.1 255.255.255.0 -

Router1
Fa0/1 192.168.2.1 255.255.255.0 -

Placa de
PC1 192.168.1.100 255.255.255.0 192.168.1.1
rede

Placa de
PC2 192.168.2.100 255.255.255.0 192.168.2.1
rede

Teste a conectividade entre os computadores.

Configure uma ACL nomeada padrão denominada RedeA que bloqueie o
tráfego da rede 192.168.2.0 /24 na interface fa0/1.

Router1(config)#ip access-list standard RedeA

Router1(config-std-nacl)#deny 192.168.2.0 0.0.0.255

Router1(config-std-nacl)#permit any

Router1(config)#interface fa/0/1

Router1(config-if)#ip access-group RedeA in

Teste a ACL.

Verifique a ACL.

show access-lists
ACLs estendidas

As ACLs estendidas podem ser numeradas de 100 a 199 e de 2000 a

2699 e podem ser nomeadas.

Estas ACLs são mais utilizadas que as ACLs padrão porque fornecem um
intervalo maior de controlo e, por isso, acrescentam mais segurança à
rede.

As ACLs estendidas verificam os endereços IP, o endereço de destino, os

protocolos, números de porta e serviços.

Configurar ACL com portas e serviços

O número da porta na ACL permite particularizar uma aplicação.

Neste exemplo, a ACL 114 permite o tráfego TCP da rede

192.168.20.0/24 na porta 23, 21 e 20.
 Números de porta

Neste exemplo, a ACL 114 permite o tráfego TCP da rede

192.168.20.0/24 dos serviços telnet, ftp e ftp-data.

Serviços

As seguintes operações significam:

eq (equal): igual

neq (not equal): diferente

gt (great): maior que

lt (little): menor que

Configurar ACLs estendidas

A sintaxe do comando da ACL estendida é a seguinte:

access-list access-list-number {deny | permit | remark} protocol source

[source-wildcard]

[operator operand] [port port-number or name] destination [destination-

wildcard] [operator operand] [port port-nunber or name] [established]

Parâmetro Descrição

access-list- Identifica a lista de acesso.

number

Deny Negará o tráfego.

Permit Permitirá o tráfego.

remark Comentário.

protocol Nome ou número de um protocolo de Internet.

icmp, ip, tcp ou udp.
 source Número da rede ou host onde o pacote é originado.

Source- Bits wildcard a aplicar à origem.

wildcard

destination Número da rede ou host para onde o pacote que

está a ser enviado.

Destination Bits wildcard a aplicar ao destino.

wildcard

operator (Opcional) Compara portas de origem ou de destino.

Entre os possíveis operandos estão lt (menor que),
gt (maior que), eq (igual), neq (não igual) e a range
(intervalo).

port (Opcional) O número decimal ou o nome de uma

porta TCP ou UDP.

established (Opcional) Apenas para o protocolo TCP: indica uma

ligação estabelecida.

Sintaxe da ACL estendida

Exemplo

Vamos analisar a seguinte topologia de rede.

Topologia de rede

ACL estendida

A ACL 103 permite o tráfego tcp proveniente da rede 192.168.10.0/24 ir

para qualquer destino, nas portas 80 (HTTP) e 443 (HTTPS).

A ACL 104 permite o tráfego tcp das ligações estabelecidas.

O parâmetro established permite o tráfego bidirecional das sessões
estabelecidas com o protocolo TCP, que, neste caso, tem origem na rede
192.168.10.0/24.
Aplicar a ACL estendida à interface

O tráfego que chega ao Router R1 entra pela interface S0/0/0, sai pela
interface fa0/0 para atingir a rede 192.168.10.0/24.

Aplicar uma ACL a uma interface

Neste exemplo, a ACL 103 e a ACL 104 são aplicadas à interface s0/0/0.
A ACL 103 controla o tráfego de saída e a ACL 104 controla o tráfego de
entrada.
ACLs estendidas nomeadas

Nesta imagem observamos o exemplo de duas ACLs estendidas

nomeadas: SURFING e BROWSING.

ACLs estendidas nomeadas

Para remover uma ACL estendida nomeada, utiliza-se o comando:

no ip access-list extended name

Actividade Laboratorial - ACL Estendida

Objectivos

Implementar controlo de tráfego com ACLs

Equipamento necessário

3 Routers

2 Computadores

Cabos de rede

Cabos de série

Cabos de console

Topologia de rede
 Topologia de rede

Tabela de endereçamento

Dispositivo Interface Endereço Máscara de sub- Gateway

IP rede

R1 S0/0/0 10.1.0.1 255.255.255.252 -

Fa0/0 10.1.1.254 255.255.255.0 -

R2 S0/0/0 10.1.0.2 255.255.255.252 -

S0/0/1 10.3.0.1 255.255.255.252 -

R3 S0/0/1 10.3.0.2 255.255.255.252 -

Fa0/0 10.3.1.254 255.255.255.0 -

 PC1 Placa de 10.1.1.1 255.255.255.0 10.1.1.254
rede

PC2 Placa de 10.3.1.1 255.255.255.0 10.3.1.254

rede

Orientações

Configure os dispositivos:

Configure o nome de host dos routers.

Configure uma senha criptografada ambifeup no modo EXEC

privilegiado.

Configure um banner motd.

Configure uma senha ambifeup para as ligações de console.

Configure uma senha ambifeup para as ligações vty.

Configure endereços IP e máscaras em todos os dispositivos.

O clock rate é de 64000.

Configure o endereçamento IP e gateway padrão nos

computadores.
 Verifique a conectividade com o comando ping.

Configure uma ACL estendida no router R2:

A ACL denomina-se bloqueio.

Deve proibir o tráfego telnet, ftp e ftp-data da rede 10.1.0.0 de

chegar à rede 10.3.1.0.

Deve proibir o tráfego da rede 10.3.1.0 de chegar à rede 10.1.0.0.

Deve permitir o restante tráfego tcp das ligações estabelecidas.