Escolar Documentos
Profissional Documentos
Cultura Documentos
Lista de controle de acesso (ACL, do inglês Access Control List) é uma lista que define as permissões de
acesso De um equipamento ou usuário à um determinado componente ou serviço de um sistema de rede.
As Listas de controle de acesso (ACLs) pode ser utilizado para dois fins nos dispositivos da Cisco: *para filtrar
tráfego;
As listas de acesso são um conjunto de regras, organizados em uma tabela de estado. Cada regra ou linha
em uma lista de acesso fornece uma condição permitir ou negar:
•*Quando usamos uma lista de acesso para filtrar o tráfego, uma instrução de permissão é usada para
tráfego de "permit", enquanto uma instrução deny é usado para "bloquear" o tráfego.
•*Similarmente, quando usamos uma lista de acesso para para tráfego de "Incluir", enquanto uma instrução
deny
.*identificar o tráfego, uma instrução de permissão é usada afirma que o tráfego deve ser verdadeiro/falso.
.*Filtragem de tráfego é o principal uso das listas de acesso. No entanto, existem várias situações em que é
necessário para identificar o tráfego usando ACLs, incluindo:
.*Quanto a filtragem de tráfego, as listas de acesso são aplicadas em interfaces. Como o pacote passa por um
roteador, a linha superior da lista de regras é verificado primeiro e o roteador continua a fazer checagem para
baixo na lista, até que uma correspondência seja encontrada. Quando uma correspondência é feita, o pacote é
permitido ou negado.
*Tipos de listas de acesso.
Numerados e Nomeados. Listas de acesso numeradas são decompostos em várias faixas, cada um dedicado a
um protocolo específico:
1100-1199 Extended 48-bit MAC address access list 1200-1299 IPX summary address access
list
1300-1999 IP standard access list (expanded range) 2000-2699 IP extended access list (expanded
range
Existem dois tipos de listas de acesso Nomeada:
A configuração de ambos as listas de acesso numeradas e Nomeadas serão apresentadas, mas abaixo.
Listas de acesso IP usam as máscaras de tamanho invertido ou wild-card mask para determinar duas coisas:
Mascara de tamanho invertido ou wild-card mask é o oposto de uma máscara de sub-rede, que nos diz que parte de um
endereço é a rede (sub-rede), e que parte de um endereço é o host. As máscaras de tamanho invertido e a inversão das
máscaras de sub-rede
Considere o seguinte endereço e a sua mascara de tamanho Invertido:
Address: 172.16.0.0
Acima corresponde a qualquer endereço que começa por "172.16". Os dois últimos octetos poderia ser qualquer coisa.
Como podemos saber isso?
1.Se um bit é definido Como (0) ou octecto em uma máscara de tamanho invertida é (0), o bit correspondente ou o
numero no endereço deve ser uma correspondência exata ou constante.
2.Se um bit é definido como 1 ou octeto em uma máscara de tamanho invertida e igual a um outro valor decimal
(128,192,224,240,248,252,254,255), o bit correspondente ou numero endereço pode corresponder a qualquer número.
Se quisermos corresponder a um endereço específico com uma máscara de tamanho invertido usando o IP
172.16.1.1, como poderíamos fazê-lo?
Address: 172.16.1.1
Wild Card Mask: 0.0.0.0
A configuração de ambos as listas de acesso numeradas e Nomeadas serão apresentadas, mas abaixo.
Lembre-se de que uma máscara de tamanho invertido quando temos zero (0) na mascara indica que ele deve
corresponder exactamente, e quando temos um outro valor decimal indica que pode corresponder qualquer
outro numero. A máscara de tamanho invertido acima tem todos os octetos definido para 0, O que significa
que deve coincidir com todos os quatros octetos exatamente.
•*usando uma máscara de tamanho invertido com todos os octetos definidos para 0 - 172.16.1.1 0.0.0.0;
•*usando a palavra-chave "host" - host 172.16.1.1 como poderíamos corresponder todos os endereços com
uma máscara de tamanho invertido? Endereço:
A máscara de tamanho invertido de 0.0.255.255 na primeira linha. Isso corresponderá (deny) todos os
hosts na rede 172.18.x.x. A segunda linha usa uma palavra-chave de qualquer (any), que irá corresponder
(Permitir) qualquer outro endereço.
Lembre-se de que devemos ter pelo menos uma instrução de permissão na nossa lista de acesso.
Para aplicar esta lista de acesso, devemos configurar o seguinte no Roteador R1:
Listas de acesso IP estendida funciona com base no endereço IP de origem, endereço IP de destino e número
de porta TCP ou UDP. As listas de acesso estendidas devem ser colocados o mais próximo possível para a rede
de origem:
access-list [100-199] [permit | deny] [protocol] [source address] [wildcard mask] [destination address]
[wildcard mask] [operator [port]] [log]
A primeira linha permite que a rede 172.18.x.x acesse somente a porta 80 no servidor web. A segunda
linha nega que a rede 172.18.x.x tenha acesso a qualquer outra coisa sobre a rede 172.16.x.x. A
terceira linha permite 172.18.x.x acesso a qualquer outra coisa
R2(config)#int loopback0
R2(config-if)#ip access-group 101 in
Conseguimos isso usando um operador de eq, que é a abreviação de igual para igual. Estamos, portanto,
a identificação de host 172.16.10.10 com uma porta que é igual a 80. Podemos usar vários outros
operadores para números de porta:
O exemplo abaixo irá corresponder todas as portas que não igual 443:
Router(config)# access-list 101 permit tcp any host 172.16.10.10 neq 443
Assumindo que ha um WEB SERVER na rede 172.16.x.x com um endereço IP 172.16.10.10. Queremos manter
a via do numero de pacotes permitidos ou negados por cada linha de uma lista de acesso.As
listas de acesso tem um mecanisco de registro para tal finalidade:
R2(config)# access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.10.10 eq 80 log
Nota que adicionamos uma palavra-chave adicional (log) para cada linha da lista de acesso. Durante a
exibição de uma lista de acesso usando o seguinte comando:
Agora vamos ter um contador em cada linha da lista de acesso, indicando o número de pacotes que foram
permitidos ou recusados por essa linha. Essas informações podem ser enviadas para um servidor syslog
Router(config)# logging on
Router(config)# logging 172.18.1.50
O primeiro logging no comando permite captar logs no roteador. O segundo logging serve para apontar os
logs do roteador a um host ou servidor de syslog com ip 172.18.1.50.
Podemos incluir mas detalhes nas informações de logging, incluindo as informações sobre o endereço MAC
de origem do pacote, e qual das interfaces foi recebido um determinado pacote. Para isso, usamos o
argumento de entrada de log abaixo:
A portas específicas do ICMP que um "ping" usa echo. Para bloquear os parâmetros específicos de ICMP,
use uma lista de acesso IP estendida. no Roteador R2.
Router(config)# access-list 102 deny icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 echo
Router(config)# access-list 102 permit icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Router(config)# access-list 102 permit ip any any
A primeira linha apresenta apenas solicitações de eco ICMP (ping). A segunda linha permite que todos
os outros o tráfego ICMP. A terceira linha permite que todos os outros tráfegos IP.
Não se esqueça de aplicá-la a uma interface de roteador R2:
A primeira linha bloqueia a rede 172.18.x.x. A segunda linha permite que todas as outras redes.
Abaixo Mostraremos a aplicação no roteador R1:
R1(config)# line vty 0 4
R1(config-line)# access-class 50 in
As listas de acesso nomeadas nos fornecem duas vantagens sobre listas de acesso numeradas. Em
primeiro lugar, podemos aplicar um nome identificável a uma lista de acesso, para fins de documentação.
Segundo, podemos remover linhas individuais em uma lista de acesso nomeada, o que não é possível com
listas de acesso numeradas
Abaixo a sintaxe para a criação de listas de acesso padrão Nomeadas:
Router(config)# ip access-list standard NAME
Router(config-std-nacl)# deny 172.18.0.0 0.0.255.255
Router(config-std-nacl)# permit any
Abaixo a sintaxe para a criação de listas de acesso Extendida Nomeadas:
Observemos que a configuração real da lista de acesso nomeada é realizado em um modo separado do
roteador:
Router(config-std-nacl)#
Router(config-ext-nacl)#
*Time-Based Access-Lists (Access-Lists baseada em tempo)
O primeiro passo para a criação de uma lista de acesso baseada em tempo, é criar um range de tempo
Router(config)# time-range BLOCKHTTP
O comando acima cria um intervalo de tempo chamado BLOCKHTTP. Próxima passo é especificar um
tempo absoluto, ou um tempo periódica:
#####################################################################
Apenas uma declaração de tempo absoluto é permitido por intervalo de tempo, mas várias
demonstrações de tempo periódica são permitidos. Depois de estabelecer a nossa gama de tempo, temos
de referência em uma lista de acesso: durante a semana das 6:00h às 11:00h.
Router(config)# access-list 102 deny any any eq 80 time-range BLOCKHTTP
Router(config)# access-list 102 permit ip any any
Observe o argumento no fim da lista de acesso (BLOCKHTTP), isto resultara no bloqueio do tráfego HTTP,
mas apenas durante o período de tempo especificado na faixa de tempo. semana das 6:00h às 11:00h.
tipos de listas de accesso em equipamentos Huawei
<HUAWEI> system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
1.1-para negar-mos icmp neste deveremos apenas colocar deny em vez de permit e o comando ficara:
<HUAWEI> system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule deny icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255
2- A filtro abaixo sera uma access-lista nomeada da huawei que negara accesso remoto via telnet do ip
192.168.20.1 para a rede 192.168.30.0/24
<HUAWEI> system-view
[HUAWEI] acl name deny-telnet
[HUAWEI-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.20.1 0
destination 192.168.30 0.0.0.255
3- O filtro abaixo será usado para negar acesso a web nos host 192.168.0.1, 192.168.0.2.
<HUAWEI> system-view
[HUAWEI] acl name no-web-access
[HUAWEI-acl-adv-no-web] description Web access restrictions
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.0.1 0
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.0.2 0
4-A access-list abaixo sera usado para filtrar a base de Mac-address, permita accesso entre o mac
address 0000-0000-0002 como source e mac 0000-0000-0001 como destination
<HUAWEI> system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac
0000-0000-0002 l2-protocol 0x0806
<HUAWEI> system-view
[HUAWEI] acl name deny-vlan10-mac link
[HUAWEI-acl-L2-deny-vlan10-mac] rule deny vlan-id 10 source-mac 00e0-fc01-0000
ffff-ffff-0000