Configurando as Listas de Acesso IP

Documentos relacionados
Capítulo 9: Listas de Controle de Acesso

Configurar IP de uso geral ACL

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Exemplo de configuração do filtro ACL do ponto de acesso

Senhas Telnet, Console e de Portas AUX no Exemplo de Configuração de Roteadores da Cisco

Configurando o NAT Estático e o NAT Dinâmico Simultaneamente

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Este documento requer uma compreensão do ARP e de ambientes Ethernet.

Configurando o PPTP através da PAT para um Microsoft PPTP Server

Gerenciamento e interoperabilidade de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: Firewall, ACLS e VPN

Configurando um Gateway de Último Recurso Usando Comandos IP

Utilização de Números de Porta FTP Não- Padrão com NAT

Exemplo de configuração do ISDN - IP

Configurando IPSec entre três roteadores usando endereços privados

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

GRE sobre o IPsec com o EIGRP a distribuir com um exemplo de configuração do hub e das sites remoto múltiplo

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

RADIUS avançado para clientes PPP de discagem

Packet Tracer Usando Traceroute para Descobrir a Rede

Entendendo o Roteamento Baseado em Política

Função de balanceamento de carga IO NAT para duas conexões ISP

Configurando a autenticação radius por meio de Cisco cache engine

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Especificando um Endereço IP do Próximo Nó para Rotas Estáticas

Como Evitar Loops de Roteamento ao Usar NAT Dinâmico

Pratica de Arquitetura DMZ. Cisco ASA 5505

Policy Routing with Catalyst 3550 Series Switch Configuration Example

Configuração de exemplo utsando o comando ip nat outside source static

Configurando IPSec - Cisco Secure VPN Client para acesso de controle do roteador central

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Laboratório - Uso do Wireshark para examinar uma captura UDP DNS

Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

Laboratório - Projeto e implantação de um esquema de endereçamento de sub-rede IPv4

1. Introdução ao syslog

SEGURANÇA APLICADA MATERIAL 19

Compreendendo e Configurando VLAN Routing e Bridging em um Roteador Usando o Recurso IRB

Configurar o acesso do telnet/ssh ao dispositivo com VRF

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Packet Tracer - definição das configurações iniciais do

Utilizando NAT em redes sobrepostas

Configurando e Testando a sua Rede

Gerenciamento e Interoperabilidade de Redes Prof. João Henrique Kleinschmidt Prática Packet Tracer Configuração de switches e roteadores

Telnet, senhas da Console e Porta AUX no exemplo de configuração dos roteadores Cisco

Como Permitir a Navegação Usando o NetBIOS Over IP

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Permita o acesso ao Internet para o módulo ips ASA 5500-X

Vários protocolos roteados em PVCs ATM utilizando encapsulamento LLC

Compreendendo e configurando o comando ip unnumbered

Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)

Captação VACL para a análise de tráfego granulada com Cisco IOS Software running do Cisco catalyst 6000/6500

Capítulo 9: Listas de Controle de Acesso

Laboratório 1. Laboratório 1

Configuração do Servidor Gateway Firewall e DHCP

Exemplo de Configuração de Ponto de Acesso como Ponte de Grupo de Trabalho

Packet Tracer - Definição das configurações iniciais do switch

Rotas estáticas do implementar para o exemplo de configuração do IPv6

Capítulo 2: Configurar um Sistema Operacional de Rede

Packet Tracer - Configurando ACLs Estendidas - Cenário 1

Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)

Compreendendo o endereço local de link do IPv6

Configurando ACLs de IP Comumente Utilizadas

ACL no exemplo da configuração de controle do Wireless LAN

Laboratório Usando Wireshark para Examinar Quadros Ethernet

X.25 para conversão de TCP

Utilizando os Comandos ping e traceroute Estendidos

Configurando a tradução de endereço de rede: Introdução

Configurando o balanceamento de carga do servidor FTP utilizando IOS SLB

Laboratório - Configuração de endereços IPv6 em dispositivos de rede

Transcrição:

Configurando as Listas de Acesso IP Índice Introdução Pré-requisitos Requisitos Componentes Usados Convenções Conceitos de ACL Máscaras Sumarização sobre ACL ACLs de Processo Definir Portas e Tipos de Mensagem Aplicar ACLs Definir In, Out, Source e Destination Editar ACLs Solução de Problemas Tipos de ACLs de IP Diagrama de rede ACLs Padrão ACLs Estendidas Lock and Key (ACLs Dinâmicas) ACLs Nomeadas de IP ACLs Reflexivas ACLs Baseadas no Período Utilizando Intervalos de Tempo Entradas de ACL IP Comentadas Controle de Acesso Baseado em Contexto Proxy de Autenticação ACLs Turbo ACLs Distribuídas Baseadas no Período ACLs Recebidas ACLs de Proteção de Infra-Estrutura ACLs de Trânsito Informações Relacionadas Introdução Este documento explica como as listas de controle de acesso (ACLs) do IP filtram o tráfego da rede. Também contém descrições breves dos tipos ACL IP, disponibilidade de recurso e um exemplo de uso em uma rede. Acesse a ferramenta Software Advisor (clientes registrados somente) para determinar o suporte de alguns recursos mais avançados da ACL de IP do Cisco IOS. RFC 1700 contém números atribuídos de portas bem conhecidas. RFC 1918 contém alocação de endereço para Internet privada, endereços IP que normalmente não deveriam ser vistos na Internet. Observação: As ACLs também podem ser utilizadas para outros fins além de filtrar tráfego IP; por exemplo, para definir o tráfego para Network Address Translate (NAT) ou criptografia ou para filtrar protocolos não-ip como AppleTalk ou IPX. Uma discussão sobre essas funções está fora do escopo deste documento. Pré-requisitos Requisitos Não existem pré-requisitos específicos para este documento. Os conceitos discutidos estão presentes em Cisco IOS Software Releases 8.3 ou posterior. Isso é observado em cada recurso de lista de acesso. Componentes Usados

Este documento aborda vários tipos de ACLs. Alguns estão presentes desde o Cisco IOS Software Release 8.3 e outros foram introduzidos em versões posteriores. Isso é observado na discussão de cada tipo. As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos. Convenções Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos. Conceitos de ACL Esta seção descreve os conceitos de ACL. Máscaras As máscaras são usadas com os endereços IP nos ACLs de IP para especificar o que deve ser permitido e recusado. As máscaras para a configuração de endereços IP em interfaces começam com 255 e apresentam os valores maiores à esquerda, por exemplo, endereço IP 209.165.202.129 com a máscara 255.255.255.224. As máscaras para ACLs de IP são o inverso, por exemplo, máscara 0.0.0.255. Às vezes, essas máscaras são chamadas de máscaras inversas ou máscaras curinga. Quando o valor da máscara é dividido em binário (0s e 1s), os resultados determinam quais bits do endereço devem ser considerados no processamento do tráfego. Zero (0) indica que os bits do endereço devem ser considerados (correspondência exata) e um (1) significa "não leve em consideração". Esta tabela explica melhor o conceito. Exemplo de máscara endereço de rede (tráfego que deve ser processado) 10.1.1.0 máscara 0.0.0.255 endereço de rede (binário) 00001010.00000001.00000001.00000000 máscara (binária) 00000000.00000000.00000000.11111111 Com base na máscara binária, você pode ver que os primeiros três conjuntos (octetos) devem corresponder exatamente ao endereço binário de rede dado (00001010.00000001.00000001). O último conjunto de números "não é levado em consideração" (.11111111). Portanto, todo tráfego que começa com correspondentes de 10.1.1. desde o último octeto significa "não leve em consideração". Dessa forma, com essa máscara, os endereços de rede entre 10.1.1.1 e 10.1.1.255 (10.1.1.x) são processados. Subtraia a máscara normal de 255.255.255.255 para determinar a máscara inversa ACL. Neste exemplo, a máscara inversa é determinada para o endereço de rede 172.16.1.0 com uma máscara normal de 255.255.255.0. 255.255.255.255-255.255.255.0 (máscara normal) = 0.0.0.255 (máscara inversa) Observe estes equivalentes de ACL. A origem/o caractere geral de origem de 0.0.0.0/255.255.255.255 significa qualquer um. A origem/caractere-curinga de 10.1.1.2/0.0.0.0 é o mesmo que "host 10.1.1.2". Sumarização sobre ACL Observação: Máscaras de sub-rede também podem ser representadas por uma notação de comprimento fixo. Por exemplo, 192.168.10.0/24 representa 192.168.10.0 255.255.255.0. Essa lista descreve como sumarizar uma série de redes em uma rede única para otimização da ACL. Considere estas redes. 192.168.32.0/24 192.168.33.0/24 192.168.34.0/24 192.168.35.0/24 192.168.36.0/24

192.168.37.0/24 192.168.38.0/24 192.168.39.0/24 Os dois primeiros octetos e o último octeto são os mesmos para cada rede. Esta tabela é uma explicação de como sumarizá-los em uma única rede. O terceiro octeto para as redes anteriores podem ser escritos como vistos nesta tabela, de acordo com a posição do bit do octeto e o valor do endereço para cada bit. Decimal 128 64 32 16 8 4 2 1 32 0 0 1 0 0 0 0 0 33 0 0 1 0 0 0 0 1 34 0 0 1 0 0 0 1 0 35 0 0 1 0 0 0 1 1 36 0 0 1 0 0 1 0 0 37 0 0 1 0 0 1 0 1 38 0 0 1 0 0 1 1 0 39 0 0 1 0 0 1 1 1 M M M M M D D D Como os cinco primeiros bits correspondem, as oito redes anteriores podem ser sumarizadas em uma rede (192.168.32.0/21 ou 192.168.32.0 255.255.248.0). Todas as oito combinações possíveis dos três bits de ordem inferior são relevantes para a série de redes em questão. Esse comando define uma ACL que permite essa rede. Se você subtrair 255.255.248.0 (máscara normal) de 255.255.255.255, resulta em 0.0.7.255. access-list acl_permit permit ip 192.168.32.0 0.0.7.255 Considere esse conjunto de redes para obter mais explicação. 192.168.146.0/24 192.168.147.0/24 192.168.148.0/24 192.168.149.0/24 Os dois primeiros octetos e o último octeto são os mesmos para cada rede. Esta tabela é uma explicação de como sumarizá-los. O terceiro octeto para as redes anteriores podem ser escritos como vistos nesta tabela, de acordo com a posição do bit do octeto e o valor do endereço para cada bit. Decimal 128 64 32 16 8 4 2 1 146 1 0 0 1 0 0 1 0 147 1 0 0 1 0 0 1 1 148 1 0 0 1 0 1 0 0 149 1 0 0 1 0 1 0 1

M M M M M??? Diferente do exemplo anterior, você não pode sumarizar essas redes em uma rede única. É necessário um mínimo de duas redes. As redes anteriores podem ser sumarizadas nestas duas redes: Para redes 192.168.146.x e 192.168.147.x, todos os bits correspondem, exceto o último, que é um "não leve em consideração". Esse bit pode ser gravado como 192.168.146.0/23 (ou 192.168.146.0 255.255.254.0). Para redes 192.168.148.x e 192.168.149.x, todos os bits correspondem, exceto o último, que é um "não leve em consideração". Esse bit pode ser gravado como 192.168.148.0/23 (ou 192.168.148.0 255.255.254.0). Essa saída define uma ACL sumarizada das redes acima. access-list 10 permit ip 192.168.146.0 0.0.1.255 access-list 10 permit ip 192.168.148.0 0.0.1.255 ACLs de Processo O tráfego que chega ao roteador é comparado às entradas de ACL baseadas na ordem em que as entradas ocorrem no roteador. São adicionadas novas instruções no final da lista. O roteador continua a procurar até que tenha uma correspondência. Se nenhuma correspondência for encontrada quando o roteador atingir o final da lista, o tráfego será negado. Por esse motivo, deixe as entradas freqüentes no início da lista. Há uma negação implícita para tráfego que não é permitido. Uma ACL de entrada única com apenas uma entrada de negação tem o efeito de negar todo o tráfego. Você deve ter pelo menos uma instrução de permissão em uma ACL ou todo o tráfego será bloqueado. Essas duas ACLs (101 e 102) apresentam o mesmo efeito. access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 deny ip any any Neste exemplo, a última entrada é suficiente. As três primeiras entradas não são necessárias porque o TCP inclui Telnet, e IP inclui TCP, User Datagram Protocol (UDP) e Internet Control Message Protocol (ICMP). access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 Definir Portas e Tipos de Mensagem Além de definir a origem e o destino de ACL, é possível definir as portas, os tipos de mensagem ICMP e outros parâmetros. Uma boa fonte de informações para portas bem conhecidas é o RFC 1700. Os tipos de mensagens ICMP estão explicados em RFC 792. O roteador pode exibir texto descritivo em algumas das portas bem conhecidas. Utilize um? para obter ajuda. access-list 102 permit tcp host 10.1.1.1 host 172.16.1.1 eq? bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514) Durante a configuração, o roteador também converte valores numéricos em valores mais amigáveis. Esse é um exemplo onde você digita o número de tipo da mensagem ICMP e ele faz o roteador converter o número em um nome. access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14 torna-se

access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 timestamp-reply Aplicar ACLs Você pode definir ACLs sem aplicá-las. Mas, as ACLs não têm efeito até que sejam aplicadas à interface do roteador. Convém aplicar a ACL na interface o mais próximo possível da origem do tráfego. Conforme mostrado neste exemplo, quando você tenta bloquear tráfego da origem para o destino, pode aplicar uma ACL de entrada para E0 no roteador A em vez de uma lista de saída para E1 no roteador C. Definir In, Out, Source e Destination O roteador utiliza os termos "in", "out", "source" e "destination" (entrada, saída, origem e destino) como referências. O tráfego do roteador pode ser comparado ao tráfego de uma rodovia. Se você fosse um oficial de trânsito no Rio de Janeiro e quisesse parar um caminhão que viajava de São Paulo para o Espírito Santo, a origem do caminhão seria São Paulo e o destino, Espírito Santo. O bloqueio da estrada poderia ficar na fronteira entre o Rio de Janeiro e o Espírito Santo (out) ou na fronteira entre São Paulo e o Rio de Janeiro (in). Ao consultar um roteador, esses termos apresentam os significados a seguir. Out O tráfego já passou pelo roteador e saiu da interface. A origem é o local onde ele estava, no outro lado do roteador, e o destino é o local para onde ele vai. In O tráfego que chega na interface e, em seguida, passa pelo roteador. A origem é o local onde ele estava e o destino é o local para onde ele vai, do outro lado do roteador. A ACL de entrada (in) tem uma fonte em um segmento da interface para o qual é aplicado e um destino fora de todas as outras interfaces. A ACL de saída (out) tem origem em um segmento de qualquer interface diferente da interface na qual está aplicada e um destino fora da interface à qual é aplicada. Editar ACLs Ao editar uma ACL, você precisará ter muito cuidado. Por exemplo, quando você exclui uma linha específica de uma ACL numerada conforme mostrado aqui, a ACL toda é excluída. router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#access-list 101 deny icmp any any router(config)#access-list 101 permit ip any any router(config)#^z router#show access-list Extended IP access list 101 deny icmp any any permit ip any any router# *Mar 9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#no access-list 101 deny icmp any any router(config)#^z router#show access-list router# *Mar 9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by console Copie a configuração do roteador para um servidor de TFTP ou um editor de texto, como o Bloco de Notas, para editar ACLs numeradas. Em seguida, faça as alterações e copie a configuração de volta no roteador. Também é possível fazer isto. router#configure terminal Enter configuration commands, one per line. router(config)#ip access-list extended test router(config-ext-nacl)#permit ip host 2.2.2.2 host 3.3.3.3 router(config-ext-nacl)#permit tcp host 1.1.1.1 host 5.5.5.5 eq www router(config-ext-nacl)#permit icmp any any

router(config-ext-nacl)#permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain router(config-ext-nacl)#^z 1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l router#show access-list Extended IP access list test permit ip host 2.2.2.2 host 3.3.3.3 permit tcp host 1.1.1.1 host 5.5.5.5 eq www permit icmp any any permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#ip access-list extended test!--- Entrada de ACL excluída router(config-ext-nacl)#no permit icmp any any!--- Entrada de ACL adicionada router(config-ext-nacl)#permit gre host 4.4.4.4 host 8.8.8.8 router(config-ext-nacl)#^z 1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l router#show access-list Extended IP access list test permit ip host 2.2.2.2 host 3.3.3.3 permit tcp host 1.1.1.1 host 5.5.5.5 eq www permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain permit gre host 4.4.4.4 host 8.8.8.8 Todas as exclusões são removidas da ACL e as inclusões são feitas no final da ACL. Solução de Problemas Como eu removo uma ACL de uma interface? Vá para o modo de configuração e digite no na frente do comando access-group, conforme mostrado neste exemplo, para remover uma ACL de uma interface. interface <interface> no ip access-group #in out O que eu faço quando muito tráfego é recusado? Se muito tráfego for recusado, estude a lógica de sua lista ou tente definir e aplicar uma lista adicional mais ampla. O comando show ip accesslists fornece uma contagem de pacotes que demonstra qual entrada de ACL é acessada. A palavra-chave log no final das entradas individuais da ACL mostram o número da ACL e se o pacote foi permitido ou recusado, além de informações específicas sobre a porta. Observação: A palavra-chave log-input existe no Cisco IOS Software Release 11.2 ou posterior, e em determinados softwares com base no Cisco IOS Software Release 11.1 criados especificamente para o mercado de provedor de serviço. Os softwares mais antigos não suportam essa palavra-chave. O uso dessa palavra-chave inclui a interface de entrada e o endereço MAC de origem, quando aplicável. Como depurar o nível do pacote que utiliza um roteador Cisco? Esse procedimento explica o processo de depuração. Antes de começar, certifique-se de que não haja ACLs aplicadas no momento, que exista uma ACL, e que o switching rápido não esteja habilitado. Observação: Tenha muito cuidado ao depurar um sistema com tráfego intenso. Você pode depurar o tráfego específico usando uma ACL. Mas, certifique-se do processo e do fluxo de tráfego. 1. Utilize o comando access-list para capturar os dados desejados. Neste exemplo, a captura de dados é definida para o endereço de destino de 10.2.6.6 ou o endereço de origem de 10.2.6.6. access-list 101 permit ip any host 10.2.6.6

access-list 101 permit ip host 10.2.6.6 any 2. Desative o switching rápido nas interfaces envolvidas. Você vê o primeiro pacote somente se o switching rápido não estiver desabilitado. config interface no ip route-cache 3. 4. 5. 6. Utilize o comando terminal monitor no modo habilitado para exibir a saída do comando debug e as mensagens de erro do sistema do terminal ou sessão atual. Utilize o comando debug ip packet 101 ou debug ip packet 101 detail para começar o processo de depuração. Execute o comando no debug all no modo habilitado e o comando interface configuration para parar o processo de depuração. Reinicie o cache. ip route-cache config interface Tipos de ACLs de IP Esta seção do documento descreve os tipos de ACL. Diagrama de rede ACLs Padrão ACLs padrão são o tipo mais antigo de ACL. Elas existem desde antes do Cisco IOS Software Release 8.3. As ACLs padrão controlam o tráfego por meio da comparação do endereço de origem dos pacotes IP com os endereços configurados nas ACL. Essa é a forma da sintaxe do comando de uma ACL padrão. access-list access-list-number {permit deny} {host source source-wildcard any} Em todas as versões de software, o access-list-number pode ser qualquer número entre 1 e 99. No Cisco IOS Software Release 12.0.1, as ACLs padrão começam a usar números adicionais (1300 a 1999). Esses números adicionais são chamados de ACLs de IP expandidas. O Cisco IOS Software Release 11.2 incluiu a capacidade de usar nome de lista em ACLs padrão. Uma configuração de curinga de origem/origem de 0.0.0.0/255.255.255.255 pode ser especificada como qualquer um. O caractere curinga poderá ser omitido se for zero. Portanto, o host 10.1.1.2 0.0.0.0 corresponde ao host 10.1.1.2. Depois de definida, a ACL deve ser aplicada à interface (entrada ou saída). Em versões anteriores do software, out era o padrão quando nenhuma palavra-chave out ou in era especificada. A direção deverá ser especificada em versões posteriores do software. interface <interface> ip access-group number {in out} Este é um exemplo do uso de uma ACL padrão para bloquear todo o tráfego, exceto aquele de origem 10.1.1.x.

interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 1 in access-list 1 permit 10.1.1.0 0.0.0.255 ACLs Estendidas As ACLs estendidas foram introduzidas no Cisco IOS Software Release 8.3. As ACLs estendidas controlam o tráfego por meio da comparação dos endereços de origem e de destino dos pacotes IP com os endereços configurados na ACL. Essa é o formato da sintaxe do comando de ACLs estendidas. As linhas estão distribuídas aqui considerando o espaço. IP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log log-input] [time-range time-range-name] ICMP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} icmp source source-wildcard destination destination-wildcard [icmp-type [[icmp-type icmp-code] [icmp-message]] [precedence precedence] [tos tos] [log log-input] [time-range time-range-name] TCP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [precedence precedence] [tos tos] [log log-input] [time-range time-range-name] UDP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny permit} udp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [precedence precedence] [tos tos] [log log-input] [time-range time-range-name] Em todas as versões de software, o access-list-number pode ser um número entre 101 e 199. No Cisco IOS Software Release 12.0.1, as ACLs estendidas começam a usar números adicionais (2000 a 2699). Esses números adicionais são referidos como ACLs de IP expandidas. O Cisco IOS Software Release 11.2 incluiu a capacidade de usar nome de lista em ACLs estendidas. O valor 0.0.0.0/255.255.255.255 pode ser especificado como qualquer. Depois de definidas as ACL, devem ser aplicadas à interface (entrada ou saída). Em versões anteriores do software, out era o padrão quando nenhuma palavra-chave out ou in era especificada. A direção deverá ser

especificada em versões posteriores do software. interface <interface> ip access-group {number name} {in out} Essa ACL estendida é utilizada para permitir tráfego na rede 10.1.1.x (interna) e para receber respostas de pings externos ao mesmo tempo em que pings não solicitados são impedidos, sem que todos os outros tipos de tráfego sejam impedidos. interface Ethernet0/1 ip address 172.16.1.2 255.255.255.0 ip access-group 101 in access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo access-list 101 permit ip any 10.1.1.0 0.0.0.255 Observação: Alguns aplicativos, como gerenciamento de redes, exigem pings para obter uma função de manutenção de atividade. Se esse for o caso, convém limitar o bloqueio de pings de entrada ou ser mais granular em IPs permitidos/negados. Lock and Key (ACLs Dinâmicas) Lock and Key, também conhecido como ACLs dinâmicas, foi introduzido no Cisco IOS Software Release 11.1. Esse recurso é dependente de Telnet, autenticação (local ou remota) e ACLs estendidas. A configuração de lock and key tem início com a aplicação de uma ACL estendida para bloquear o tráfego no roteador. Usuários que desejam atravessar o roteador são bloqueados pela ACL estendida até serem conectados pela Telnet com o roteador e autenticados. Em seguida, a conexão Telnet cai e uma ACL dinâmica de entrada única é adicionada à ACL estendida existente. Isso permite tráfego por um determinado período de tempo; expirações ociosas e absolutas são possíveis. Esse é o formato da sintaxe do comando de configuração lock and key com autenticação local. username username password password interface <interface> ip access-group {number name} {in out} A ACL de entrada única nesse comando é dinamicamente adicionada à ACL existente após autenticação. access-list access-list-number dynamic name{permit deny} [protocol] {source source-wildcard any} {destination destination-wildcard any} [precedence precedence][tos tos][established] [log log-input] [operator destination-port destination port] line vty line_range login local Este é um exemplo básico de lock and key. username test password 0 test!--- Dez (minutos) é a expiração ociosa. username test autocommand access-enable host timeout 10 interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 101 in access-list 101 permit tcp any host 10.1.1.1 eq telnet!--- 15 (minutos) é a expiração absoluta. access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

line vty 0 4 login local Depois que o usuário em 10.1.1.2 fizer uma conexão de Telnet para 10.1.1.1, a ACL dinâmica será aplicada. Em seguida, a conexão será descartada e o usuário poderá seguir para a rede 172.16.1.x. ACLs Nomeadas de IP ACLs nomeadas de IP foram introduzidas no Cisco IOS Software Release 11.2. Elas permitem que ACLs padrão e estendidas tenham nomes em vez de números. Esse é o formato da sintaxe do comando de ACLs nomeadas de IP. ip access-list {extended standard} name Este é um exemplo de TCP: permit deny tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [precedence precedence] [tos tos] [log] [time-range time-range-name] Este é um exemplo do uso de uma ACL nomeada para bloquear todo o tráfego, exceto a conexão Telnet do host 10.1.1.2 para o host 172.16.1.1. interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group in_to_out in ip access-list extended in_to_out permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet ACLs Reflexivas As ACLs reflexivas foram introduzidas no Cisco IOS Software Release 11.3. ACLs reflexivas permitem que os pacotes IP sejam filtrados de acordo com as informações de sessão de camada superior. Geralmente são utilizadas para permitir o tráfego de saída e para limitar o tráfego de entrada em resposta às sessões que são originadas dentro do roteador. ACLs reflexivas podem ser definidas apenas com ACLs de IP de nomes estendidos. Não podem ser definidas com ACLs de IP nomeadas padrão ou numeradas, ou com outras ACLs de protocolo. ACLs reflexivas podem ser usadas em conjunto com outras ACLs padrão e estáticas estendidas. Esta é a sintaxe de vários comandos de ACL reflexiva. interface ip access-group {number name} {in out} ip access-list extended name permit protocol any any reflect name [timeoutseconds] ip access-list extended name evaluate name Este é um exemplo da permissão do tráfego externo e interno ICMP, enquanto somente o tráfego TCP iniciado internamente é permitido, outro tráfego é negado. ip reflexive-list timeout 120 interface Ethernet0/1 ip address 172.16.1.2 255.255.255.0 ip access-group inboundfilters in

ip access-group outboundfilters out ip access-list extended inboundfilters permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 evaluate tcptraffic!--- Isso vincula a parte reflexiva da ACL outboundfilters,!--- chamada tcptraffic, à ACL inboundfilters. ip access-list extended outboundfilters permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic ACLs Baseadas no Período Utilizando Intervalos de Tempo ACLs baseadas no período foram introduzidas no Cisco IOS Software Release 12.0.1.T. Embora sejam semelhantes aos ACLs estendidos com relação à função, eles permitem controle de acesso com base no tempo. Um intervalo de tempo é criado e define períodos específicos do dia e da semana, para implementar ACLs baseadas no período. O intervalo de tempo é identificado por um nome e, em seguida, referenciado por uma função. Portanto, as restrições de tempo são impostas na própria função. O intervalo de tempo segue o relógio do sistema do roteador. O relógio do roteador pode ser utilizado, mas o recurso funciona melhor com a sincronização do NTP (Protocolo de Tempo de Rede). Estes são os comandos de ACL baseados em tempo.!--- Define um intervalo de tempo nomeado. time-range time-range-name!--- Define os horários periódicos. periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm!--- Ou, define os horários absolutos. absolute [start time date] [end time date]!--- O intervalo de tempo utilizado na ACL atual. ip access-list name number <extended_definition>time-rangename_of_time-range Neste exemplo, uma conexão de Telnet é permitida de dentro para fora da rede na segunda-feira, na quarta-feira e na sexta-feira durante o horário comercial: interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 101 in access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq telnet time-range EVERYOTHERDAY time-range EVERYOTHERDAY periodic Monday Wednesday Friday 8:00 to 17:00 Entradas de ACL IP Comentadas Entradas de ACL IP comentadas foram introduzidas no Cisco IOS Software Release 12.0.2.T. Os comentários deixam as ACLs mais fáceis de compreender e podem ser utilizados para ACLs de IP padrão ou estendidas. Esta é a sintaxe do comando de ACL de IP com nome comentado. ip access-list {standard extended} name remark remark

Esta é a sintaxe do comando de ACL de IP numerada comentada. access-list access-list-number remark remark Este é um exemplo de como comentar uma ACL numerada. interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip access-group 101 in access-list 101 remark permit_telnet access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet Controle de Acesso Baseado em Contexto O CBAC (Controle de acesso baseado em contexto) foi introduzido no Cisco IOS Software Release 12.0.5.T e requer o conjunto de recursos do Cisco IOS Firewall. O CBAC inspeciona o tráfego que viaja através do firewall para descobrir e gerenciar informações de estado das sessões TCP e UDP. Essa informação é utilizada para criar aberturas temporárias nas listas de acesso do firewall. Configure as listas de ip inspect na direção do fluxo de iniciação do tráfego para permitir o tráfego de retorno e conexões de dados adicionais para sessões permissíveis, sessões originárias da rede interna protegida, para fazer isso. Esta é a sintaxe para CBAC. ip inspect name inspection-name protocol [timeoutseconds] Este é um exemplo do uso de CBAC para inspecionar tráfego externo. A ACL 111 estendida normalmente bloqueia o tráfego de retorno que não seja ICMP sem brechas de abertura de CBAC para tráfego de retorno. ip inspect name myfw ftp timeout 3600 ip inspect name myfw http timeout 3600 ip inspect name myfw tcp timeout 3600 ip inspect name myfw udp timeout 3600 ip inspect name myfw tftp timeout 3600 interface Ethernet0/1 ip address 172.16.1.2 255.255.255.0 ip access-group 111 in ip inspect myfw out access-list 111 deny icmp any 10.1.1.0 0.0.0.255 echo access-list 111 permit icmp any 10.1.1.0 0.0.0.255 Proxy de Autenticação O proxy de autenticação foi introduzido no Cisco IOS Software Release 12.0.5.T. É necessário ter o conjunto de recursos do Cisco IOS Firewall. O proxy de autenticação é usado para autenticar usuários de entrada ou saída ou ambos. Usuários que normalmente são bloqueados por uma ACL podem utilizar uma navegador para passar pelo firewall e autenticar-se em um servidor TACACS+ ou RADIUS. O servidor transmite entradas ACL adicionais até o roteador para permitir que os usuários façam a autenticação. O proxy de autenticação é semelhante à lock and key (ACLs dinâmicas). Estas são as diferenças: Lock and key é acionado por uma conexão de Telnet ao roteador. O proxy de autenticação é acionado pelo HTTP por meio do roteador. O proxy de autenticação precisa utilizar um servidor externo. O proxy de autenticação pode trabalhar com adição de listas dinâmicas múltiplas. Lock and key só pode adicionar uma. O proxy de autenticação tem uma expiração absoluta mas não um intervalo ocioso. O recurso lock and key tem dois. Consulte o Cookbook de Configuração do Cisco Secure Integrated Software para obter exemplos de proxy de autenticação. ACLs Turbo

As ACLs Turbo foram introduzidas no Cisco IOS Software Release 12.1.5.T e são encontradas somente no 7200, 7500 e em outras plataformas de ponta. O recurso turbo ACL foi projetado para processar ACLs de maneira mais eficiente para aprimorar o desempenho do roteador. Utilize o comando access-list compiled para ACLs tubo. Este é um exemplo de uma ACL compilada: access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq ftp access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq syslog access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq ntp Depois definir uma ACL padrão ou estendida, utilize o comando global configuration para compilar.!--- Informe ao roteador para compilar access-list compiled Interface Ethernet0/1 ip address 172.16.1.2 255.255.255.0!--- Aplica à interface ip access-group 101 in O comando show access-list compiled mostra estatísticas sobre a ACL. ACLs Distribuídas Baseadas no Período ACLs distribuídas baseadas no período foram introduzidas no Cisco IOS Software Release 12.2.2.T para implementar ACLs baseadas no período em roteadores da série 7500 habilitados para VPN. Antes da inclusão do recurso de ACL distribuída baseada no período, as ACLs baseadas no período não eram suportadas em placas de linha para roteadores Cisco 7500 Series Routers. Se as ACLs baseadas no período fossem configuradas, elas se comportavam como ACLs normais. Se uma interface em uma placa de linha fosse configurada com ACLs baseadas no período, os pacotes comutados na interface não eram comutados de forma distribuída por meio da placa de linha, mas encaminhados para o processador de rota para processamento. A sintaxe de ACLs distribuídas baseadas no período é a mesma usada para ACLs baseada no período, com a adição dos comandos relativos ao status das mensagens do IPC (Inter Processor Communication) entre o processador da rota e a placa de linha. debug time-range ipc show time-range ipc clear time-range ipc ACLs Recebidas ACLs de recebimento são utilizadas para aumentar a segurança em roteadores Cisco 12000 por meio da proteção do Gigabit Route Processor (GRP) do roteador contra tráfego desnecessário e potencialmente perigoso. As ACLs de recebimento foram incluídas como um waiver especial ao avanço na manutenção do Cisco IOS Software Release 12.0.21S2 e integradas ao 12.0(22)S. Consulte GSR: Listas de Controle de Acesso Recebidas para obter mais informações. ACLs de Proteção de Infra-Estrutura ACLs de infra-estrutura são utilizadas para minimizar o risco e a eficiência do ataque direto infra-estrutura por permissões explícitas de somente tráfego autorizado ao equipamento de infra-estrutura, enquanto permite todos os outros tráfegos de trânsito. Consulte Protegendo Sua Base: Listas de Controle de Proteção de Infra-Estrutura para obter mais informações. ACLs de Trânsito Listas de controle de acesso (ACLs) de trânsito são utilizadas para aumentar a segurança da rede, pois permitem explicitamente apenas o tráfego necessário em sua rede ou redes. Consulte Listas de Controle de Acesso de Trânsito: Filtrando sua Borda para obter mais informações. Informações Relacionadas RFC 1700 RFC 1918

Página de Suporte das Listas de Acesso Página de Suporte do Firewall do IOS Firewall de IOS em Documentação IOS Suporte Técnico e Documentação - Cisco Systems 1992-2014 Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 4 Abril 2008 http://www.cisco.com/cisco/web/support/br/8/85/85488_confaccesslists.html

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback