«

»

jul 28 2008

Lista de Controle de Acesso criadas facilmente – Parte 1

Qual de vocês não tiveram dificuldade em entender Lista de Controle de Acesso ? As famosas ACL´s. Poucos. E invariávelmente tropeçávamos nos mesmos erros quando fazíamos os testes ou lab´s. Se não fosse a tal máscara wildcard, era onde aplicar a ACL.

Após ler muito sobre elas, e decidir que não poderia deixar de lado tão importante tópico no exame CCNA, afinal, aproximadamente 30% das questões seriam ou sobre elas especificamente ou em torno do assunto mesclado a outros assuntos, quando fui parar no site da Global Knowledge. Por sinal excelente.

Lá, encontrei um artigo entitulado IOS Access Control Lists Made Easy que desmistificou o “bicho-papão” das ACL´s. O autor do artigo, Kurt Patzer, é instrutor da Global e tem 8 anos de estrada na área. Ele foi bastante específico, claro e direto quando tratou as ACL´s. No “white-paper”, ele consegui descomplicar e muito, o que para nós, pobres mortais, estava quase criptografado.

Li o artigo apenas uma vez e foi o necessário para superar mais essa barreira. E espero que seja útil para vocês como foi para mim.

Aqui, vou iniciar uma série de 6 artigos, baseado no original de Kurt.

ok. Menos blá…blá…blá… e vamos ao que interessa.  🙂.

Lista de Controle de Acesso criadas facilmente – Parte 1


Aqui é assumido que diferentes leitores terão diferentes níveis de experiência com as Access Control List (ACL´s). Alguém não terá experiência. Outros terão interesse pelas ACL´s nos ambientes Lab. E ainda outros terão extensa experiência no mundo real com a implementação das ACL´s. O objetivo deste “white-paper” é para ser interessamte para leitores com qualquer nível de experiência em ACL. O novato em ACL deverá adquirir um entendimento e apreciação da definição de uma ACL. E felizmente, o expert em ACL também poderá adquirir um “insight” a mais com este material elucidativo.

O que é ACL ?

Tente definir uma ACL usando somente duas palavras.Você sugeriria  “filtro de pacote” ?!? Esta é a resposta mais comum, e por uma boa razão. É intuitiva porque ela realmente pode ser definida com duas palavras e ela descreve o uso mais comum para as ACLs. O problema com esta definição é que as ACLs podem ser utilizadas para muitos objetivos que não somente filtro de pacotes. Por exemplo, as ACLs podem ser utilizadas para definir qual a fila de pacote entrará quando vocês estiver usando um enfileiramento personalizado ou prioritário. Nos dois casos, os pacotes não são filtrados.

Eles são simplesmente enviados para a frente, para o meio, ou para o final da linha dependendo de um certo critério de avaliação. Outro exemplo é o uso de ACLs para definir tráfego interessante de um link dial-on-demand (sob demanda). Quando aplicada desta maneira, a ACL irá definir o tráfego que é importante o bastante para que o router tire o “telefone do gancho” e pague as taxas pelo seu uso do serviço. Uma vez que uma chamada é feita, é conectada, todo tráfego é permitido através do link, e não somente o tráfego interessante. Se você quer que somente o tráfego interessante atravesse seu link, você deve aplicar uma ACL nesta interface. Um terceiro uso para uma ACL é para referenciar a ACL dentro de um mapa de criptografia onde ela define o tráfego interessante para um túnel IPSec. Quando o mapa crypto é designado para uma interface, nenhum tráfego interessante pode ainda ser permitido através da interface, ele apenas não será encriptado antes de ser encaminhado. Existem dúzias de diferentes maneiras de aplicar as ACL´s  no IOS de um router.

A definição de duas-palavras de uma ACL que eu sugeriria é “classificador de pacote” ou “packet classifier”. Para expandir essa definição, uma ACL contém uma lista de entradas definindo um critério de comparação. Um pacote em um dado momento, as caracteríticas do pacote são comparadas a lista de entradas da ACL em sequência. A classificação associada com a primeira ACL de entrada que coincide com as características do pacote determinará a classificação do pacote. ACLs utilizam os termos “deny” e “permit” para descrever as duas possíveis classes. Infelizmente, esta terminologia ajuda a promover a percepção do “filtro de pacote”. Não pense no “deny” e no “permit” como negar ou permitir a passagem do pacote através do router. Ao contrário, pense nela como permitir e negar a entrada de um pacote dentro de uma certa classificação. Por exemplo, para permitir ou negar este pacote de entrada dentro da classe de pacotes que pertencem a uma fila de alta prioridade..

Quais tipos de ACLs os routers suportam ?

O IOS dos routers suportam muitos tipos de ACLs. Existem ACLS que examinam critérios da Camada 2, tais como valores endereços MAC e LSAP. Existem ACLs que examinam vários protocolos de Camada 3, tais como IPX, AppleTalk, DECnet, e Vines. Existem ACLs que examinam critérios Ipv6. Porém este “white paper” focará naquela mais comum hoje em dia : ACLs que examinam o critério IPv4.

ACLs IP são geralmente quebradas dentro de ACLs IP padrão e extendida. Se ou não uma ACL IP é padrão ou extendida, ela poderá ser definida tanto pelo número quanto pelo nome. Se você escolher por número, o intervalo do número é importante. Originalmente, as ACLs IP Padrão são numeradas entre 1 a 99, enquanto que as ACLs IP Extendidas utilizam números de 100 a 199. Estes intervalos foram expandidos para também incluir  1300 a 1999 para as ACL IP Padrão e  2000 a 2699 para as ACLs IP Extendidas.

ACLs IP Padrão utilizam exatamente um único critério no qual fazem a comparação : O ENDEREÇO IP DE ORIGEM.

Frequentemente isto é exatamente o que é apropriado para usar. Por exemplo, você pode usar a instrução “access-class” para referenciar uma ACL para limitar o acesso as linhas VTY. Neste caso, você está interessado em um único endereço IP de origem.

Você sabe que o endereço IP de destino é do seu próprio roteador, o protocolo é TCP e a porta de destino é a 23 para o Telnet. (Atualmente, neste exemplo ele poderia também ser TCP porta 22 se você tiver configurado o suporte SSH). Outro exemplo para uso de uma ACL IP Padrão é quando elas são referenciadas numa definição de “community string” do protocolo SNMP. Novamente, somente o endereço IP de origem é de interesse, como nós sabemos que o endereço IP de destino é do nosso próprio router e o protocolo é o UDP com porta de destino 161 (SNMP).

As ACLs IP Extendidas permite que você examine todos os cabeçalhos da Camada 3  e 4 dos pacotes IP. Você pode especificar um critério usando tanto o endereço IP de origem quanto o de destino. Você pode especificar o protocolo IP. Com o TCP e UDP, você pode especificar as portas de origem e de destino, e com o ICMP você pode especificar o código e tipo ICMP.

Protocolo Intervalo
IP Padrão => 1 – 99 , 1300-1699
IP estendido Extendida => 100-199 , 2000-2699
Appletalk 600-699
IPX estendido 900-999
Protocolo de anúncio de serviço IPX 1000-1099

Ordem é Importante

Como foi mencionado anteriormente, as entradas ACL são processadas em ordem. Se existirem duas ou mais entradas com critérios que coincidem com que o está no pacote, ele é permitido ou negado na primeira entrada de coincidência que é importante. Devido a isto, você deve colocar entradas mais específicas no topo da ACL. Por exemplo, se você quiser permitir toda a rede 172.16.x.x, mas negar um único endereço desta rede, como 172.16.10.10, você deverá colocar a entrada deny que é mais específica antes da entrada permit que é mais genérica. Outro ponto que deve ter cuidado é a existência implícita de uma instrução “deny tudo mais” no final de cada ACL. O que significa que se não existirem coincidências das entradas anteriores para cada pacote, então a classificação implícita é negar todos os pacotes. Se desejar, este deny implícito pode ser cancelado por uma entrada “permit tudo mais”.


É isso. Aguarde a parte 2.  🙂..Sds.

Márcia Guimarães



Comente usando o Facebook!
0
0

19 comentários

Pular para o formulário de comentário

  1. Minu

    Interessante, bem interessante. ACL foi inclusive nos dias anteriores o assunto no qual mergulhei para absorver os conceitos que caem no CCNA. Veio em boa hora, parabéns!! 😉

    0

    0
  2. rafaelbn

    Marcia,

    Muito legal a iniciativa! Você como colaboradora tá que tá! =)
    Valeu mesmo!

    Abraços

    0

    0
  3. Wederson (CeBoLaRk)

    Saudações,

    Mt bom, aguardemos as próximas “partes”

    0

    0
  4. Rodrigo Freitas

    Excelente POST, parabéns!

    0

    0
  5. CR

    Ótimo tópico!!

    Sem dúvida ACL’s são um capítulo à parte na preparação CCNA e na vida profissional.

    Fico no aguardo das continuações…

    Abs,
    CR.

    0

    0
  6. Rodrigo Falcão

    Excelente Márcia!
    Muito bom ver esse seu gás, sua empolgação!! Continue assim, ajudará muita gente.

    Abrçs!!

    0

    0
  7. Carlos Almeida

    Perfeito!!! Muito Bom!

    0

    0
  8. agmatheus

    Parabéns pelo post, muito bom. No aguardo das próximas “partes”.

    0

    0
  9. Mizael Andrade Reis

    Gostei Marcia.Muito claro e esperamos a 2º parte!!!

    0

    0
  10. Marco Filippetti

    Márcia, como disseram todos antes de mim, excelente escolha de tema! É muito gratificante ver que ter colocado você como colaboradora foi uma decisão mais do que acertada 😀 !

    Pelo que li do restante da “série”, a coisa só tende a melhorar 😉

    Abs e sucesso!

    Marco.

    0

    0
  11. Marcelo Conterato

    Valeu Márcia, para mim, as ACL’s são uma parte bem complicada do conteúdo, muito boa a tua iniciativa de trazer um tema sempre atual.

    Obrigado!

    0

    0
  12. Anderson Rodrigues

    Na minha opinião ACL é o protocolo mais interessante de estudar.
    Valeu pelas dicas Marcia.

    Abraços,
    Anderson

    0

    0
  13. Johnny Vernin

    Muito bom Márcia….

    0

    0
  14. Rodrigo Colen (BH)

    Marcia,
    Parabens, mesmo, muito interessante!!

    Bom, estamos no aguardo da proxima parte!!

    abraço
    Colen

    0

    0
  15. ferrugem

    Muito bom Márcia!!!

    Parabéns pelo post.. Certamente o BLOG e todos nós só temos a ganhar tendo você como colaboradora escritora por aqui… 😀 Muito bom o artigo e as doses homeopáticas só farão bem à todos! 😉 rs

    Como o Marco cita no seu livro, CCNA 4.0, uma lista de acesso que não contenha nenhuma entrada do comando “permit” pode bloquear a interface onde ela (a ACL) for aplicada!!!

    É um assunto bastante interessante.. Parabéns por preparar todos estes posts!!! Tenho certeza que todos vão gostar!!! 😀

    Abraços e, mais uma vez, PARABÉNS!!!

    Ferrugem

    “Juntos somos ainda melhores!!!”

    0

    0
  16. ferrugem

    Agora uma boa notícia à todos aqui do BLOG que gostariam de ter estes arquivos em um único arquivo… Preparei um PDF contendo os 6 artigos muito bem preparados pela Márcia sobre o tema.

    Este arquivo pode ser encontrado na pasta Exames de Certificação/CCNA/Manuais e Resumos do HD do BLOG I entitulado por “Listas de Controle de Acesso criadas facilmente – Márcia Guimarães.rar”.

    Espero que seja útil para vocês!!! O material ficou realmente MUITO BOM! Mais uma vez, PARABÉNS Márcia!!!

    Abraços à todos e bons estudos,
    Ferrugem!!!

    “Juntos somos ainda melhores!!!”

    0

    0
  17. Meire

    Adorei o Blog!! estou fazendo o CCNA modulo 2 e pretendo fazer a certificação ano que vem, e já tirei muitas duvidas neste blog…
    Valeu pela força e pela iniciativa…

    0

    0
  18. Marcia Guimaraes

    Obrigada a todos do blog pelos comentários.

    🙂 :)Isso estimula muito a continuar estudando !!! 🙂 🙂

    0

    0
  19. adrianob

    Muito legal parabéns pelo post gostei muito do tópico.

    Preciso saber de algo o mesmo conceito de ACLs se aplica aos firewall da Cisco “Pix e ASA”?

    Bom Obrigado

    0

    0

Deixe uma resposta