«

»

ago 03 2008

Lista de Controle de Acesso criadas facilmente – Parte 6

Bem, chegamos ao fim meu amigos. Espero que tenham gostado dos artigos e que seja útil no dia-a-dia.

O assunto ACL pode ser mais explorado do que isso. Existem as listas de acesso reflexivas que são um poucos mais complicadas do que as listas de acesso comuns. Elas se diferem das últimas pela característica de ANINHAMENTO.  Quem é programador aqui sabe o que é aninhamento. É uma instrução que será executada somente sobre certa condição, que pode ser verdadeira ou falsa. Resumindo : a ACL da resposta é criada dinamicamente quando a ACL da solicitação original é correspondida. Mas isso é assunto para oooutro artigo.

Ah ! E obrigada pelas mensagens de incentivo de todo blog.  🙂

Sds.

Márcia Guimarães

Lista de Controle de Acesso criadas facilmente – Parte 6


.

.Tenha Cuidado quando Editar ACLs Remotas

Se você está utilizando métodos in-band de conexão para um router remoto (como telnet ou SSH), você tem que ser cuidadoso com as ACLs que edita para que você não bloqueie sua conexão atual. A razão mais comum para que isso aconteça é que quando você emite o comando “no access-list 101“, a entrada da ACL é removida (mesmo se você especificar precisamente uma única linha, ela ainda assim remove toda a ACL). Neste  ponto, o router tratará a ACL 101 com um “permit any“. Porém, assim que você adicione a primeira linha na nova ACL 101,  o estado se altera de “permit any” para um “negue tudo exceto para o que é permitido pela primeira entrada”. Se sua sessão telnet ou SSH está por muito tempo no ar, você perderá sua conexão !  🙁

Um truque que é um pouco de divertido,  e não é configurável em todos os ambientes, é usar uma variante do comando “reload“. Se você especificar “reload in 5“, ele instruirá o router para aguardar por 5 minutos e então recarregar. Assuma que você entrou o comando no router e então iniciou a edição de suas ACLs. Se você acidentalmente travou a si mesmo, o router em breve recarregará. Ele reverterá para sua antiga configuração startup que especifica as ACLs originais. Você pode então reconectar ao router e tentar novamente. Este truque não é uma opção para uma organização que demanda um uptime 24 x 7. Porém se sua organização tem algumas filiais onde não existam funcionários após as 18:00 hs e você administra as ACLs quando todos da equipe remota já foi embora, esta poderia ser uma opção para você. Agora lembre-se de usar o comando “reload cancel” se sua edição funcionar, ou senão seu router ainda ficará recarregando e sua edição será perdida mais uma vez.

Outra idéia é não editar as ACLs on-line, porém,  ao invés disso, editar usando um editor de texto ou o Word numa estação. Depois de editar, você copia as ACLs para o router usando o TFTP. Uma vantagem disso é que o router não implementaria a nova ACL até que todas as entradas tenham sido copiadas via TFTP, assim você está muito menos propenso a travar a si mesmo. A principal vantagem, entretanto, é que isso deixa as coisas mais fáceis para você adicionar e deletar linhas do meio de uma ACL. ACLs Nomeadas permitem a habilidade de remover uma linha do meio de uma ACL, porém é mais comum você precisar adicionar uma linha no meio da ACL. E, como discutimos anteriormente, você pode querer reordenar a linha em sua ACL para melhorar sua performance. Isto é muito fácil de ser efetuado com um editor de texto do que em uma sessão de configuração do router on-line.

 

Remover uma Linha do Meio de uma ACL Numerada

Para recompensar a perseverança exigida para ler todo este white paper, finalizarei com uma dica que fará com que você ganhe algumas apostas com seus amigos que também admininistram um IOS Cisco. É bastante conhecimento comum de que nomear ACLs IP oferecem a vantagem de ser capaz de remover as linhas do meio daquela ACL IP Nomeada. Isto porque se você entrar o comando “no command” e precisamente especificar uma única entrada na ACL numerada, toda ACL será finalizada e removida. Você pode apostar com seus amigos que acreditam nisto que você removerá a linha do meio de uma ACL Numerada tão fácilmente quanto numa ACL Nomeada. A dica é tratar a ACL Numerada como se ela fosse uma ACL Nomeada que apenas tem um nome que utiliza somente caracteres numéricos. A seguir é mostrado como remover a entrada FTP de uma ACL IP Numerada que nós utilizamos em nosso exemplo:

router#sh access-list 101
Extended IP access list 101
permit tcp 172.16.100.4 0.0.0.3 172.16.101.163 0.0.0.16 eq telnet
permit tcp 172.16.100.4 0.0.0.3 172.16.101.163 0.0.0.16 range ftp-data ftp
permit tcp 172.16.100.4 0.0.0.3 172.16.101.163 0.0.0.16 range 6000 6001

router#config t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#ip access-list extended 101
router(config-ext-nacl)#no permit tcp 172.16.100.4 0.0.0.3 172.16.101.163 0.0.0.16 range ftp-data ftp
router(config-ext-nacl)#end
01:27:48: %SYS-5-CONFIG_I: Configured from console by console

router#sh access-list 101
Extended IP access list 101
permit tcp 172.16.100.4 0.0.0.3 172.16.101.163 0.0.0.16 eq telnet
permit tcp 172.16.100.4 0.0.0.3 172.16.101.163 0.0.0.16 range 6000 6001

Sumário

A lista a seguir sumariza o que foi discutido neste “white paper”:

  • Uma ACL é um “classificador de pacote” que pode ser aplicado de muitas maneiras diferentes.
  • ACLs IP podem ser numeradas e nomeadas, e elas podem ser padrão (standard) ou extendida (extended)
  • Podemos usar máscaras wildcard para agrupar endereços IP. Enquanto que a matemática binária possa ser complexa, o propósito é muito simples. Máscaras wildcard específica quais bits do endereço IP são importante para a classificação.
  • Podemos usar um operador de intervalo para a grupar sequencialmente portas TCP ou UDP juntas.
  • A otimização da performance da ACL é importante, entenda-se como otimização da leitura da ACL.
  • Remarks ou comentários é uma ferrramenta disponível para melhora a leitura da ACL.
  • Turbo ACLs são uma opção poderosa disponível em routers Cisco de alta capacidade.
  • A palavra-chave established pode melhorar muito o processamento eficiente da ACL e pode potencialmente utilizar esta informação para otimizar uma entrada colocada dentro da ACL.
  • Você pode rever os hit counts de cada entrada numa ACL e pode potencialmente usar esta informação para otimizar uma entrada dentro da ACL.
  • Você pode capturar via log da ACL as violações para uso da rede forense.
  • Quando usar comunicação in-band para o router, seja cuidadoso que sua ACL não atualiza numa queda de conexão.
  • Contrário a “compreensão comum”,  é possível remover uma entrada do meio de uma ACL numerada.


Comente usando o Facebook!
0
0

14 comentários

Pular para o formulário de comentário

  1. blamineiro

    Márcia muito mas muito bom.

    Parabéns

    Sérgio Neves

    0

    0
  2. Marco Filippetti

    Parabéns pela série Marcia! Excelentes postagens!!!

    0

    0
  3. Mizael Andrade Reis

    show de bola

    0

    0
  4. rafaelbn

    Márcia,

    Muito obrigado mesmo pela série de posts. Excelente qualidade e realmente simples para todos nós entendermos. Valeu mesmo!

    Posso dar uma sugestão? O que você acha de pegar todos os posts da série e uni-los em um PDF do gênero “Entendendo ACLs com a tia Márcia”? heheheh

    Brincadeiras a parte, consolidar esses posts em um documento PDF seria bem legal. E disponibiliza-lo no HD do Blog (missão pro Ferrugem)…

    Fica a idéia.

    Grande abraço e que venha a próxima série! 😉

    Rafael Bianco

    0

    0
  5. ferrugem

    Márcia, primeiramente parabéns pela excelente e elucidativa série de posts sobre este assunto tão interessante. Listas de acesso é um tópico bastante relevante, não só para a certificação CCNA, mas também para o dia-a-dia… Várias soluções podem ser obtidas com a criação destas listas…

    Porém deve-se ter cuidado e conhecimento para a criação e aplicação destas listas, e todo este conhecimento pode ser obtido lendo estes artigos que você criou… Mais uma vez, PARABÉNS!!!

    Agora uma boa notícia à todos aqui do BLOG que gostariam de ter estes arquivos em um único arquivo… Preparei um PDF contendo os 6 artigos muito bem preparados pela Márcia sobre o tema.

    Este arquivo pode ser encontrado na pasta Exames de Certificação/CCNA/Manuais e Resumos do HD do BLOG I entitulado por “Listas de Controle de Acesso criadas facilmente – Márcia Guimarães.rar”.

    Espero que seja útil para vocês!!! O material ficou realmente MUITO BOM!

    Abraços à todos e bons estudos,
    Ferrugem!!!

    “Juntos somos ainda melhores!!!”

    0

    0
  6. Johnny Vernin

    Enfim tive tempo de terminar de ler todas as partes…. muito bom mesmo… parabéns e obrigado pelas infos.

    0

    0
  7. Italo Amaral

    Márcia, sua série de posts de ACL# foram muito boas! Parabéns! 😀

    0

    0
  8. Marcia Guimaraes

    Obrigada a todos do blog pelos comentários.

    🙂 :)Isso estimula muito a continuar estudando !!! 🙂 🙂

    0

    0
  9. marcelo.com

    Levei até pra ler no Metrô !! rs

    Congrats…

    0

    0
  10. Marcia Guimaraes

    rs… só espero que vc tenha descido na estaçõa certa… rss..

    valeu marcelo…

    seu comentário só estimula a continuar….continuar….continuar…. 🙂

    0

    0
  11. Marcos Silva

    parabens pelo rico material postado. De grande esclarecimento !!!!!!

    0

    0
  12. Marcos Silva

    Muito rico o material postado…..parabéns mesmo Marcia Guimarães….

    0

    0
  13. wellington.mi89

    Sei que jhá é um tópico antigo, mais, realmente não podia deixar de comentar esse excelente material de estudo, parabéns Marcia…realmente muito bom…Olha que eu comecei a ler eram 3 horas da manhã, e com sono…, o artigo é tão bom que durante a leitura perdi o sono e fiquei muito interessado em ler até o final..rs.

    Abs.

    0

    0
  14. Marcia Guimaraes

    Olá.. galera….

    Passando por aqui para ver e rever vcs… 🙂

    E perceber quanto é estimulante quando vc contribue para algo.

    Parabéns a vcs !!!

    bjos carinhosos…
    Márcia

    0

    0

Deixe uma resposta