Afinal, o que significa a sigla ACL??? Access Control Lists ou, em bom Português: listas de controle de acesso. OK… mas acesso de quem???

Acesso de pacotes IP, basicamente. Mas como pacotes IP transportam qualquer tipo de informação em uma rede, as ACLs controlam o acesso de TUDO e de TODOS! Quando você tenta acessar um router via Telnet, por exemplo, este acesso nada mais é do que uma série de pacotes IP, certo? Routers (e switches que suportem ACLs) podem permitir ou negar que determinados pacotes o atravessem.

Existem apenas 2 parâmetros quando configuramos uma ACL: PERMIT ou DENY.

Estes parâmetros são seguidos das definições DO QUE se deve permitir (PERMIT) ou negar (DENY). Estas, basicamente, são as opções:

• ANY (tudo)
• HOST [IP do host]
• [subrede + wildcard]
• [protocolo]

Ou seja, podemos especificar desde 1 único host até um determinado protocolo, ou mesmo… TUDO!

Quando se trata de ACLs, os equipamentos Cisco trabalham com o conceito de negar tudo e permitir somente o que lhes for informado. Ou seja, TODA ACL criada em um roteador Cisco termina com um DENY ANY implícito, negando TUDO, à todos. Por este motivo, é preciso ter muito cuidado com a aplicação de uma ACL, pois se ela for mal planejada poderá isolar uma (ou várias) redes de uma só vez, inclusive impedindo o acesso ao router via Telnet, o que o impedirá de reverter a situação.

Uma lista de acesso criada em um equipamento, por si só, não tem efeito algum. Para funcionar, uma ACL precisa ser aplicada. Normalmente aplicamos ACLs à interfaces, mas ACLs podem ser usadas em muitos outros contextos. Por exemplo, para controlar o anúncio de rotas. Mas isso não é assunto para o CCNA.

Para o exame CCNA, apenas 2 tipos de ACL são cobrados: ACL Padrão (standard) e ACL estendida (extended). Existe também a variação, a ACL nomeada, que ao invés de números usa nomes para identifica-la.

ACLs padrão numeradas são identificadas pelo intervalo que vai de 1 à 99. Já as estendidas numeradas são identificadas pelo intervalo que vai de 100 à 199. As nomeadas são definidas pela sintaxe. A diferença básica entre os 2 tipos de ACL é o grau de inspeção do pacote IP, antes de permitir ou negar seu acesso.

ACLs padrão inspecionam apenas o endereço de origem no cabeçalho IP. Por este motivo, devem ser aplicadas sempre o mais próximo do destino possível. ACLs estendidas inspecionam o endereço IP de destino, o endereço IP de origem do pacote IP, além de inspecionar o cabeçalho de segmentos encapsulados no pacote IP. Lembrem-se que o pacote IP encapsula o segmento da camada superior (Transporte, no caso). Este segmentos podem ser UDP ou TCP. ACLs estendidas observam os cabeçalhos destes segmentos para identificar protocolos e aplicações de camadas superiores. Isso é possível pois a camada de Transporte estabelece uma comunicação lógica com a camada de Aplicação por meio das “portas lógicas”. O HTTP, por exemplo, utiliza a porta lógica 80 para esta comunicação. Portanto, sabendo-se o valor desta porta, pode-se manipular o acesso à determinadas aplicações por meio de ACLs, permitindo ou negando fluxos originados ou destinados à aplicações específicas.

Bom tendo-se em mente esta pequena introdução, vamos à configuração de ACLs.

A sintaxe do comando para ACLs numeradas padrão seria:

Router(config)# access-list [1-99] [permit/deny] [any/host {IP} (origem)] [endereço IP / subrede]

Para ACLs estendidas numeradas, teríamos:

Router(config)# access-list [100-199] [permit/deny] [protocolo] [any/host {IP} (origem)] [endereço IP / subrede] [any/host {IP} (destino)] [endereço IP / subrede] [parâmetros adicionais]

Para ACLs nomeadas, o processo não muda, apenas eliminamos o número e substituímos pelo nome escolhido e tipo de ACL:

Router(config)# ip access-list standard [nome da ACL]
Router(config-std-nacl)# [permit/deny] [any/host {IP} (origem)] [endereço IP / subrede]

Router(config)# ip access-list extended [nome da ACL]
Router(config-ext-nacl)# [permit/deny] [protocolo] [any/host {IP} (origem)] [endereço IP / subrede] [any/host {IP} (destino)] [endereço IP / subrede] [parâmetros adicionais]

Estes então seriam os comandos para se criar uma ACL. E quanto à aplicação de uma ACL?

A regra básica diz que somente UMA ACL pode ser aplicada em uma mesma interface e direção, em um determinado router (ou switch). Ou seja, em uma mesma interface você até pode ter mais de uma ACL, desde que em sentidos opostos. Os sentidos possíveis são ilustrados no diagrama abaixo.

(IN) entrante —–> ROUTER ——> sainte (OUT)

O sentido em que uma ACL é aplicada determina qual o sentido do fluxo que deve ser examinado pelo router. Por este motivo, antes de aplicar uma ACL é necessário ter bem claro qual o efeito desejado.

Alguns pontos que devemos saber ANTES de sair criando e aplicando ACLs:

• A análise pelo roteador da ACL aplicada ocorre sempre de forma sequencial, de cima para baixo (top-down). Ou seja, as regras colocadas antes serão analisadas antes.
• Uma vez que a regra testada resulte em positivo, nenhuma outra regra será analisada. Ou seja, se sua ACL tem 100 linhas, porém se o roteador ao comparar um pacote com as regras de sua ACL já der a primeira regra como positiva, nenhuma das outras 99 linhas será examinada e a ação definida (PERMIT ou DENY) será tomada. PORTANTO, lembre-se de sempre colocar as regras mais específicas ANTES, e as mais genéricas DEPOIS. Do contrário, as regras genéricas acabarão anulando as regras mais específicas.
• Lembre-se que, SEMPRE ao final de uma ACL existe uma regra DENY ANY escondida. Ou seja, se você criar uma ACL contendo apenas DENYs, sua ACL terá o mesmo efeito de dar um SHUT DOWN na interface onde ela for aplicada.
• Atenção para o sentido de aplicação da ACL!!!
• Faça sempre que possível um teste de mesa ANTES de aplicar uma ACL, para ter certeza que a mesma possui a lógica imaginada, e que irá funcionar de acordo.
• Nunca remova uma ACL que encontra-se aplicada à uma interface! Primeiro desaplique a ACL, DEPOIS remova-a. Acho que não preciso explicar o porquê disso, certo???

Em teoria, para o exame CCNA, é basicamente isso. Vamos ver 2 pequenos exemplos práticos, para ilustrar o que vimos aqui.

1) ACL standard

Suponha o diagrama acima.

O usuário A não deve ter acesso à rede onde se encontra o computador do usuário B, porém, deve seguir tendo acesso ao servidor de WEB e E-mail. Dados os requisitos, vamos montar a ACL. Como o objetivo aqui é apenas barrar o acesso de um host a um determinado recurso, podemos fazer isso com uma ACL padrão:

Router(config)# access-list 10 deny host 192.168.0.100

Simples, não? Mas… será que acabou? Olhe BEM a ACL criada… o que aconteceria se aplicássemos ela no router, em qualquer sentido e em qualquer interface??? Ela bloquearia TODO O TRÁFEGO, e não apenas o tráfego originado pelo IP 192.168.0.100…! Por que??? Lembra-se do DENY ANY implícito? Olha ele aqui, em vermelho:

Router(config)# access-list 10 deny host 192.168.0.100
Router(config)# access-list 10 deny any

Você não configurou isso, não é mesmo??? Você não pode vê-lo, mas ele está lá… simplesmente acredite

Portanto, devemos incluir a seguinte linha (em verde) em nossa ACL:

Router(config)# access-list 10 deny host 192.168.0.100
Router(config)# access-list 10 permit any

Ou seja, pacotes IP que tenham em seu cabeçalho o endereço de origem 192.168.0.100 serão imediatamente negados. TODOS os outros, serão permitidos.

Agora… onde aplicar esta ACL? Ela, por si só, não faz nada!

Vamos analisar o diagrama. Devemos aplicar uma ACL standard sempre o mais próximo possível do destino. Isso seria a interface E2, no diagrama. Por que não na E0 ou na E1? Pegue a E1, por exemplo. Se aplicássemos a ACL nela bloquearíamos o tráfego com destino ao servidor também. E não é isso que queremos, certo? Eis o porquê.

Agora, em qual sentido devo aplicar? Sainte (OUT) ou entrante (IN)? A análise deve ser feita na interface E2, na direção de saída do router, OUT portanto.

Eis a config completa:

Criar a ACL:

Router(config)# access-list 10 deny host 192.168.0.100
Router(config)# access-list 10 permit any

Aplicar a ACL:

Router(config)# int e2
Router(config-if)# ip access-group 10 out

E se fosse standard nomeada, eis os comandos:

Criar a ACL:

Router(config)# ip access-list standard NOMEDAACL
Router(config-std-nacl)# deny host 192.168.0.100
Router(config-std-nacl)# permit any

Aplicar a ACL:

Router(config)# int e2
Router(config-if)# ip access-group NOMEDAACL out

2) ACL Extended

Suponha o mesmo diagrama que usamos anteriormente, replicado acima para facilitar a nossa vida

O objetivo agora é permitir ao usuário A o acesso a somente o serviço WEB no servidor, e ao usuário B o acesso a somente o serviço de E-mail, no mesmo servidor. Para aumentar o desafio, temos que fazer isso usando apenas 1 ACL, e usando APENAS 3 LINHAS!

Bom, a coisa agora complicou um pouquinho, não é verdade? Teremos que usar IP de origem (hosts) e destino (servidor), além de especificar protocolos e aplicações. Temos de usar uma ACL estendida, portanto. Vamos começar montando nossa ACL.

Router(config)# access-list 100 deny tcp host 192.168.0.100 host 192.168.100.100 eq 110
Router(config)# access-list 100 deny tcp host 192.168.10.100 host 192.168.100.100 eq 80
Router(config)# access-list 100 permit ip any any

Vamos analisar o que fizemos aqui…

Primeiro negamos o acesso do host A (192.168.0.100) ao servidor (191.168.100.100), mas somente ao serviço de E-mail (POP3 = porta TCP 110). Como o serviço de E-mail (POP3) usa o TCP na camada de transporte, este foi o protocolo escolhido logo no início da ACL.

Na sequência, fizemos algo semelhante para o host B (192.168.10.100). Porém, negamos o acesso ao serviço WEB (HTTP = porta TCP 80).

Para finalizar, permitimos o acesso de todo o resto, por todos.

Desta forma, o host A não tem acesso ao serviço de E-mail, mas tem acesso ao serviço HTTP (o permit any any ao final da ACL garante este acesso), e o host B não tem acesso ao serviço WEB, mas tem acesso ao serviço de E-mail. Além disso, garantimos que ambos os hosts podem acessar quaisquer outros recursos existentes na rede, incluindo um ao outro.

A pergunta agora é… onde aplicar esta ACL? As melhores práticas regem que ACLs estendidas devem ser aplicadas o mais próximo da origem possível. Mas neste caso, temos 2 origens: O host A e o host B. Se aplicarmos esta ACL somente na interface E1, por exemplo, estaremos permitindo o acesso total ao servidor pelo host B. Ou seja, se desejarmos seguir as boas práticas, temos de aplicar a ACL nas interfaces E1 e E2, no sentido entrante (IN). Mas isso não faz muito sentido, não é mesmo??? A melhor solução aqui seria aplicar a ACL apenas 1 vez, na interface E0, no sentido sainte (OUT). Desta forma, matamos o problema com apenas 1 aplicação de ACL. Resumindo… apenas siga as melhores práticas para ACLs estendidas SE ELAS FIZEREM SENTIDO!!! Neste caso, elas não fazem.

Portanto, a solução do nosso pequeno problema ficaria assim:

Criação da ACL:

Router(config)# access-list 100 deny tcp host 192.168.0.100 host 192.168.100.100 eq 110
Router(config)# access-list 100 deny tcp host 192.168.10.100 host 192.168.100.100 eq 80
Router(config)# access-list 100 permit ip any any

Aplicação da ACL:

Router(config)# int e0
Router(config-if)# ip access-group 100 out

Para uma ACL estendida nomeada, ficaria:

Criação da ACL:

Router(config)# ip access-list extended NOMEDAACL
Router(config-ext-nacl)# deny tcp host 192.168.0.100 host 192.168.100.100 eq 110
Router(config-ext-nacl)# deny tcp host 192.168.10.100 host 192.168.100.100 eq 80
Router(config-ext-nacl)# permit ip any any

Aplicação da ACL:

Router(config)# int e0
Router(config-if)# ip access-group NOMEDAACL out

Algumas dicas adicionais:

• ANY, quando se trata de ACLs, também pode ser escrito como 0.0.0.0 255.255.255.255
• Quando for especificar uma rede, ao invés de um host, você precisa utilizar o wildcard, que seria uma espécie de máscara de rede invertida. Eis uma regrinha prática para identificar o valor correto do wildcard:

Suponha que você queira permitir o acesso de qualquer pacote que se origine na subrede 192.168.0.100 com máscara 255.255.255.240. Para encontrar o wildcard da máscara 255.255.255.240 basta fazer o seguinte:

• Onde na máscara se lê “255″, escreva “0″
• Onde na máscara se lê “0″, escreva “255″
• Onde for diferente de “0″ e “255″, faça o cálculo “255-x”, onde “x” é o valor diferente.

Em nosso exemplo, o wildcard para a máscara de rede 255.255.255.240 seria 0.0.0.15.

Também é necessário encontrar o endereço de subrede do IP 192.168.0.100 com máscara 255.255.255.240. As redes ocorrem de 16 em 16, portanto, a subrede deste IP seria 192.168.0.96.

Assim sendo, uma ACL que permita o acesso de IPs originados na subrede em questão ficaria:

Router(config)# access-list 10 permit 192.168.0.96 0.0.0.15

Se você não entendeu muito bem esta última parte, aconselho-o a revisar a parte de endereçamento IP

Espero que este tutorial tenha ficado claro!

Um abs e BOA SEMANA para todos!

Marco Filippetti

Popularity: 23% [?]

• Questão CCNA - Access-List
• Tutorial básico sobre VPNs de Camada 2 (L2VPN)
• Hoje é o último dia para inscrição no Curso IPv6 Básico!
• Dynagen - Tutorial básico
• Tutorial sobre o exame CCNA, apresentado pela própria Cisco
• 2 - Perguntas Básicas, Respostas Básicas - TCP/IP
• 4 - Perguntas Básicas, Respostas Básicas - ROTEAMENTO
• Tutorial VLSM (Variable Lenght Subnet Masks)
• IP subnet-zero no exame CCNA
• Segurança Básica do seu Router em 10 Passos
• Lista de Controle de Acesso criadas facilmente - Parte 4
• Plano de estudos para o exame Cisco CCNA
• 1 - Perguntas Básicas, Respostas Básicas - INTERNETWORKING
• 05 - Perguntas Básicas, Respostas Básicas - COMANDOS IOS
• 3 - Perguntas Básicas, Respostas Básicas - GERENCIAMENTO DE REDE

Este post foi postado Sunday, 21 de October de 2007 às 10:09 pm e está em Tutoriais, Exame CCNA. Você pode verificar qualquer resposta a este post através do feed RSS 2.0. Você pode deixar uma resposta, ou fazer um trackback de seu próprio site.