ACL

Access Control List Ou Lista de Controle de Acesso

ACL

Definio de ACL:

Uma lista de acesso so instrues configuradas manualmente para filtragem de pacotesIP de entrada e sada das interfaces do roteador. teis para o caso de controle de banda (bloqueio deInstant Messeges, acesso restrito a senha para sites ou domniosDNS, etc.).

ACL

ACL

Composio de uma ACL:

composta de regras ou critrios definidos, os quais descartam ou no os pacotes. Por padro, no h lista alguma no roteadorCisco.

ACL

Funo de uma ACL A funo padro de uma lista de acesso para negar pacotes.

Regra implcita Deny All (Nega tudo). Uma lista de acesso contm uma referncia de uma ou maisinterfaces.

ACL

1 Cria-se a ACL. 2 Atribui-se uma ACL uma interface.

Se um dos componentes est faltando, ento a lista de acesso no vai funcionar. Por exemplo, se para a interface for atribuda uma lista de acesso que no existe no roteador, nada ir ocorrer. Em outros casos uma lista de acesso criada, mas no utilizada. Podemos comparar isto a colocar fechaduras em suas portas e portes, mas no fech-los.

ACL

Quando voc estiver criando uma lista de acesso, voc deve estudar muito suas intenes para que esta no oferea um impactonegativosobre o fluxo da rede.

ACL

Uma ACL simplesmente um tipo de recurso disponvel que oferece um nvel bsico de proteo a sua rede. Uma vez que voc entenda como configurar e atribuir uma ACL, outras, mais complexas, sero mais fceis de compreender e desenvolver.

ACL

Critrios da ACL IP: Os critrios de uma ACL so feitos em uma parte de um pacote IP que so inspecionados durante uma sesso. Por exemplo os endereos de origem e destino da camada3, o tipo do protocolo da camada4(TCPou UDP)bem como as portas da camada5 e as aplicaes.

ACL

Uma lista ACL IP padro examina somente o endereo IP de origem, uma poro de qualquer pacote IP. Todas as outras partes do pacote so ignoradas. A direo na qual uma ACL aplicada determina o local dos endereos IP de origem.

ACL

Nmeros das ACLs IP: Uma lista de acesso consiste de trs partes: Um nmero de lista de acesso; Uma ao; Um conjunto de critrios.

ACL

Qualquer nmero entre1e99 pode ser definido como lista de acesso padro. wildcard o contrrio da mscara de sub-rede utilizada para definir uma subredeIP.

ACL
Para calcular apropriadamente uma mscarawildcardpara um endereoIPou subrede em particular, subtraia cada octeto da mscara de rede sub-rede de255. Uma mscara calculada de maneira errada pode produzir resultados incertos. Exemplo de clculo de mscara Endereo IP:172.16.100.1 Mscara de Subrede:255.255.255.255 Mscara Wildcard:0.0.0.0 Critrio:172.16.100.1

ACL
A mscarawildcard0.0.0.255ir permitir qualquer pacoteIPcom o endereo de origem172.16.190.X.

ACL

ACL

O Critrio "any": A palavra-chave any no comando implcito access-list 1 deny any representa a mscara wildcard255.255.255.255. Contudo se houver o comando access-list 1 permit any vai permitir que qualquer pacote IP passe pela ACL.

ACL

A ACL no roteador A possui trs declaraes permit e uma deny. Dois endereos IP de origem e a subrede172.16.190.0so permitidas. Qualquer outro endereo IP nesta rede negado pelo comando invisvel deny any. Neste caso a ACL lista os pacotes permitidos para a Ethernet aonde o roteador A est conectado.

ACL

Atribuio de uma ACL:

ACL

in: trfego entrante na interface. out: trfego sainte na interface. ACLs para o Trfego de Entrada

Uma ACL definida como inbound (entrada) ou outbound (Sada) quando esta atribuda na interface. O padro out.

ACL

ACLs para o Trfego de Sada

Aqui a mesma ACL atribuda como uma ACL out na porta Ethernet. Qualquer pacote venha atravs do roteador para a interface E0, passa pela ACL. A ACL possui uma melhor chance de anlise com os critrios especificados. Enquanto voc estiver desenvolvendo a ACL, voc deve conhecer os vrios endereos de origem existentes em sua rede para que no ocorra nenhuma anormalidade.

ACL

ACL

Aqui, odeny everything utilizado por padro para que, depois de todos os pacotes foram analisados, todos os outros sejam negados.

ACL

Importncia da Seqncia de Listagem A ordem da seqncia das linhas importantssima quando voc estiver criando-as. Como visto aqui a primeira linha permit everything, seguida por uma linha que bloqueia os pacotes laranja. A terceira linha o padrodeny everything. Vamos agora analisar estas trs linhas sequencialmente. A primeira permite que tudo passe pela interface, assim a segunda linha no tem efeito (a de bloquear a passagem dos laranjas). A terceira linha, como j mencionado, o padrodeny everything.

ACL
Exemplo 1:access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 Exemplo 2:access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 deny ip any any

ACL

Alm de definir a origem e o destino do trfego, podemos definir portas de origem e destino, tipos de mensagens ICMP e outros parmentros que ajudam ainda mais a restringir as entradas das listas de acesso que sero aplicadas nas interfaces dos roteadores. Exemplo 3: access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14 - permite todos os tipos de mensagens icmp access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 eco-request - permite apenas um tipo de mensagem icmp

ACL

ACL estendida:A lista de acesso estendida possui maior recursos de verificao. Podemos analisar o IP de origem, o IP de destino, a porta de origem, a porta de destino, os protocolos e alguns outros parmetros. Os nmeros desse tipo de ACL podem ser de 101 a 199, a partir da verso 12.0.1 do IOS foram adicionados os nmeros 2000 a 2699 e a partir da verso 11.2 do IOS podemos identificar uma ACL estendida pelo nome.

ACL
Router(config)# access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo - nega o trfego de ping Router(config)# access-list 101 permit ip any 10.1.1.0 0.0.0.255 permite todo o trfego ip Router(config)# interface Ethernet0/1 Router(config-if)# ip address 172.16.1.2 255.255.255.0 Router(config-if)# ip access-group 101 in

ACL

ACLs Nomeadas: permite que ACLs padro e estendida sejam nomeadas. ip access-list {extended|standard} name

ACL
Router(config)# ip access-list extended Saida Router(config-ext-nacl)# permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet Router(config)# interface Ethernet0/0 Router(config-if)# ip address 10.1.1.1 255.255.255.0 Router(config-if)# ip access-group Saida in

ACL
Dica importante:Sempre copie a ACL para um editor de texto, antes de fazer qualquer alterao e de preferncia faa uma cpia de todas as configuraes do equipamento que voc est editando as regras, para que voc tenha em mos a ltima configurao vlida, caso algum problema ocorra.

ACL
Para remover uma ACL de uma interface: v para o modo de configurao da interface e digite umnona frente do comandoip accessgroup. interface <interface> no ip access-group # in|out O comandoshow ip access-list(nome ou nmero) mostra a contagem de pacotes que esto combinando

ACL

Uma vez implantadas, voc dever mantlas registradas, arquivadas de alguma forma para que haja modo de consult-las depois. No confie em sua memria e utilize-se da boa f documentando-as.