Redes IP M. Sc. Isac Ferreira isac.colares@estacio.br Telecomunicações e Redes de Computadores: Tecnologias Convergentes
Lista de Controle de Acesso (ACL) Uma ACL, no contexto dos produtos Cisco, é um recurso do IOS que permite filtrar determinados pacotes, exatamente como um firewall faria, porém de uma maneira muito mais simplificada e com menos recursos. A utilização de ACLs permite filtrar tentativas de conexões indo/vindo de/para hosts específicos.
Lista de Controle de Acesso (ACL) Pode-se bloquear completamente um determinado protocolo antes de tal requisição entrar na sua rede ou sair dela, por exemplo. É necessário que se estabeleça um controle de quais tipos de pacotes podem passar de uma rede para outra; quais hosts externos podem se comunicar com os nossos; quais são os hosts confiáveis para nos enviar atualizações de rotas, etc.
Lista de Controle de Acesso (ACL) Roteadores (e também alguns outros tipos de dispositivos) são capazes de fazer um filtro básico dos pacotes que passam por ele. Isto chama-se ACL Access Control Lists (Listas de Controle de Acesso).
Lista de Controle de Acesso (ACL) Obedecida de forma sequêncial a cada instrução; Aplicada a cada interface e sentido do tráfego; Última linha do filtro está sempre negando serviços implicitamente; Filtra hosts ou redes (usando máscara curinga); Posicionamento correto é o mais próximo da origem do tráfego.
Tipos de ACLs ACLs standard Esta é a lista mais básica, com menos funcionalidades. Filtram apenas através do endereço IP de origem. Os números de identificação deste tipo de ACL vão de 1 a 99 e de 1300 a 1999.
Tipos de ACLs ACLs extended Além de filtrarem através dos endereços de IP de origem e destino, também permitem que se filtre o tráfego através de portas e protocolos. Os números de identificação deste tipo de ACL vão de 100 a 199 e de 2000 a 2699.
ACLs named Tipos de ACLs ACLs named (ou nomeadas) têm as mesmas características que ACLs extended, e permitem que você use um nome mais intuitivo para a ACL como permite_dp_out, nega_ti_in, etc. Este tipo de ACL também oferece modos de edição mais avançados facilitando a vida do administrador. Os nomes utilizados para identificar este tipo de ACL não podem conter espaços ou pontuação e devem começar com uma letra.
Tipos de ACLs Remark Utilizada para nomear uma regra Exemplo: access-list 1 remark Permitindo o host do chefe
Fluxos de Dados Não basta apenas criar uma ACL para que o tráfego passe a ser corretamente filtrado. É preciso definir a direção e a interface onde esta ACL será aplicada. Mas como assim direção? Existem duas direções de tráfego em roteadores:
Fluxos de Dados inbound Todo o tráfego vindo da rede e entrando no roteador através de uma de suas interfaces de roteamento. outbound Todo o tráfego saindo de alguma interface do roteador e indo para a rede.
Fluxos de Dados
Wildcard Masks Neste tipo de máscara, um bit 0 quer dizer que o octeto tem que casar exatamente e um bit 1 é ignorado (pode ser qualquer coisa). Ou seja, exatamente o contrário do que se faz quando se usa uma máscara de sub-rede normal. Porém, o valor dos bits continua o mesmo: da esquerda para a direita eles valerão 128, 64, 32, 16, 8, 4, 2, 1, respectivamente.
Wildcard Masks Exemplo 01 Digamos que seja necessário bloquear o acesso da rede 192.168.0.0 com máscara 255.255.255.0. Usando-se wildcard, ficaria: 0.0.0.255. Os três primeiros 0s indicam que é obrigatório que 192.168.0 esteja presente no endereço IP do pacote sendo analisado. O.255 indica que naquele octeto qualquer número é válido.
Wildcard Masks Exemplo 02 Digamos que seja necessário permitir o acesso da sub-rede 192.168.0.0 com máscara 255.255.255.252. Usando-se wildcard, ficaria: 0.0.0.3. Quais IPs terão acesso?
Wildcard Masks Exercício proposto 01 Qual a Wildmask card para bloquear apenas um IP?
Wildcard Masks Exercício proposto 02 Digamos que seja necessário permitir o acesso da sub-rede 192.168.0.8 com máscara 255.255.255.248. Usando-se wildcard, ficaria... E quais os IPs teriam acesso permitido?
ACL standard Exercício Prático: bloquear o IP 192.168.1.34 No roteador 2911, digite os comandos abaixo: enable configure terminal access-list 1 deny 192.168.1.34 0.0.0.0
ACL standard 1: ACLs standard têm que ser numeradas de 1 a 99 ou de 1300 a 1999. (Escolhida aleatoriamente) deny: esta é a ação que será tomada com o pacote que casar com a regra da ACL. Neste caso, o pacote será negado pelo roteador. 192.168.1.34 0.0.0.0: este é o IP de origem e a wildcard mask, que neste caso casa apenas com este host específico.
ACL estendida numerada Criando a ACL estendida numerada como 101 router(config)# access-list 101 permit tcp host 10.1.1.2 host 10.2.2.2 eq 80 router(config)# access-list 101 permit icmp host 10.1.1.2 host 10.2.2.2 router(config)# access-list 101 permit ip host 10.1.1.1 host 10.2.2.2 Entrando na interface mais próxima da origem do tráfego a ser filtrado router(config)# interface FastEthernet0/0 Aplicando a ACL na interface desejada router(config-if)# ip access-group 101 in Visualizando acessos pela lista de acesso router# show access-lists 101
ACL estendida numerada Criando a ACL estendida nomeada como RedesIP router(config)# ip access-list extended RedesIP router(config)# permit tcp host 10.1.1.2 host 10.2.2.2 eq 80 router(config)# permit icmp host 10.1.1.2 host 10.2.2.2 router(config)# permit ip host 10.1.1.5 10.2.2.0 0.0.0.255 Entrando na interface mais próxima da origem do tráfego a ser filtrado router(config)# interface FastEthernet0/0 Aplicando a ACL na interface desejada router(config-if)# ip access-group RedesIP in Visualizando acessos pela lista de acesso router# show access-lists RedesIP
Obrigado! Dúvidas? Até a próxima! SEGURANÇA EM AMBIENTES LINUX