«

»

jul 29 2008

Lista de Controle de Acesso criadas facilmente – Parte 2

Olá !

Doses homeopáticas de ACLs fazem bem a saúde, então veremos a 2a parte do artigo.

Prontos ?!? Vamos lá.  🙂

.

Lista de Controle de Acesso criadas facilmente – Parte 2


.

O Cenário

Considere a rede projetada na figura 1. Nós temos 4 engenheiros. Suas estações utilizam os endereços IP de 172.16.100.4 até 172.16.100.7 Também temos 2 servidores de engenharia.Eles utilizam os endereços IP 172.16.101.163 até 172.16.101.179. Os engenheiros utilizam três aplicações TCP entre suas estações e os servidores: telnet, FTP e X Windows. O objetivo é escrever as entradas ACL que coincidam com estas aplicações das estações da engenharia para os servidores de engenharia. Nós queremos ser cuidadosos para coincidir exatamente este tráfego, nem mais nem menos.

Cenário da ACL

Figura 1: A rede utilizada no cenário ACL

Um método para coincidir exatamente que é desejado, é explicitamente listar cada possibilidade de combinação. Isto é ter cada entrada que permita telnet de 172.16.100.4 para 172.16.101.163, e outra para permitir telnet de 172.16.100.5 para 172.16.101.163, e continuar listando cada possível combinação origem de protocolo, endereço e porta. Isto pode ser um tédio, e pode produzir um grande número de entradas. Quantas entradas seriam necessárias para este cenário ? O método geral para determinar isto é multiplicar o número de endereços de origem específicos pelo número total de endereços de destino e novamente pelo número total de portas de destino. No nosso caso qual seria ? Nós temos 4 endereços IP de origem e 2 endereços IP de destino, porém quantas portas de destino TCP ? Temos 3 aplicações, porém algumas utilizam múltiplas portas. O FTP mesmo utiliza a porta 21 como canal de controle, e a porta 20 como canal de dados ( nota : isto é diferente se você utilizar o modo passivo FTP, porém vamos nós ater ao modo padrão FTP para o nosso exemplo). O X Windows utiliza as portas 6000 e 6001 (novamente, isto poderia mudar diferentes instalações do X Windows, porém vamos nos ater ao uso das portas 6000 e 6001). Isso significa que podemos exasutivamente listar todas as possíveis combinações usando a seguinte fórmula :

4   x    2   x   5  =  40 entradas  ( 4 endereços de origem  x  2 endereços de destino x 5 portas )

Além do fato de sermos preguiçosos e não podermos digitar 40 entradas diferentes, existem questões de performance em risco. O router tem que sequencialmente processar cada entrada da ACL até encontrar uma entrada coincidente. A maioria das entradas na ACL significa, na média, mais processamento por pacote. O pior caso seria se o engenheiro que geralmente mais trabalhasse, utilizasse um protocolo em particular no servidor e a entrada que coincidisse com este tráfego fosse a de número 40 na ACL, ou seja, a última na lista !! Nesse caso, 39 entradas seriam processadas antes que uma coincidisse com cada pacote daquele engenheiro “workaholic”.

Assim, usando sua experiência com ACLs, como você reduziria o número de entradas necessárias para esta especificação ? Aqueles de vocês que são mais velhos devem lembrar de um game chamado “Name That Tune”. Aqui, vamos jogar o “Name That ACL”, onde o objetivo é especificar uma ACL com menor número de linhas. Antes de continuar a ler, pense sobre quantas linhas você poderia reduzir a definição da ACL.  Pensou ?  Agora, guarde sua resposta… 😉

Mostrarei a você como especificar exatamente o tráfego desejado, nem mais, nem menos, em apenas 3 linhas. Para fazer isto, teremos de agrupar os endereços IP de origem, os endereços IP de destino, e as portas TCP. Nós utilizaremos o conceito de máscaras coringa ou wildcard para agrupar todos os quatro engenheiros dentro de um único grupo. Nós também utilizaremos a máscara wildcard para agrupar todos os servidores de engenharia em um único grupo. E finalmente, utilizaremos intervalos de portas para agrupar as portas TCP dentro de três grupos separados. Com este agrupamento, ele ficará com 1 x 1 x 3 =  3 entradas para uma especificação total do tráfego desejado.


É isso.  E nada de ficar ansioso.

Aguarde a parte 3. Vai valer a pena. 🙂

.

Sds.
Márcia Guimarães



Comente usando o Facebook!
0
0

9 comentários

Pular para o formulário de comentário

  1. Luiz Silva

    Márcia…

    muito bom essa série de matérias…finalmetne vou entender ACL…hehehe

    obrigado por compartilhar

    abração

    0

    0
  2. Johnny Vernin

    Ahhhhh… quando começa a ficar bom acaba a parte 2…. aguardando anciosamente pela 3ª parte….

    0

    0
  3. Rodrigo Colen (BH)

    Marcia,

    Concordo com o Johnny, quando ta na melhor parte, para!!! ta parecendo senhor dos aneis! rsrs

    Aguardamos ansiosamente a proxima parte da matéria.

    Att
    Colen

    0

    0
  4. Minu

    O negócio tá ficando bom, o negócio tá ficando bom!!

    0

    0
  5. Rodrigo Falcão

    Pô Márcia, ai não dá…na hora da desmitificação do bicho vc deu um exit, rsrsr.
    Grande artigo!!

    Abrçs!!

    0

    0
  6. Marcelo Costa

    otimo material, obrigado!!

    0

    0
  7. Marcia Guimaraes

    Parte 6…. vem ai… 🙂

    0

    0
  8. ferrugem

    Agora uma boa notícia à todos aqui do BLOG que gostariam de ter estes arquivos em um único arquivo… Preparei um PDF contendo os 6 artigos muito bem preparados pela Márcia sobre o tema.

    Este arquivo pode ser encontrado na pasta Exames de Certificação/CCNA/Manuais e Resumos do HD do BLOG I entitulado por “Listas de Controle de Acesso criadas facilmente – Márcia Guimarães.rar”.

    Espero que seja útil para vocês!!! O material ficou realmente MUITO BOM! Mais uma vez, PARABÉNS Márcia!!!

    Abraços à todos e bons estudos,
    Ferrugem!!!

    “Juntos somos ainda melhores!!!”

    0

    0
  9. Marcia Guimaraes

    Obrigada a todos do blog pelos comentários.

    🙂 :)Isso estimula muito a continuar estudando !!! 🙂 🙂

    0

    0

Deixe uma resposta