Lista de Controle de Acesso criadas facilmente – Parte 1

Qual de vocês não tiveram dificuldade em entender Lista de Controle de Acesso ? As famosas ACL´s. Poucos. E invariávelmente tropeçávamos nos mesmos erros quando fazíamos os testes ou lab´s. Se não fosse a tal máscara wildcard, era onde aplicar a ACL.

Após ler muito sobre elas, e decidir que não poderia deixar de lado tão importante tópico no exame CCNA, afinal, aproximadamente 30% das questões seriam ou sobre elas especificamente ou em torno do assunto mesclado a outros assuntos, quando fui parar no site da Global Knowledge. Por sinal excelente.

Lá, encontrei um artigo entitulado IOS Access Control Lists Made Easy que desmistificou o “bicho-papão” das ACL´s. O autor do artigo, Kurt Patzer, é instrutor da Global e tem 8 anos de estrada na área. Ele foi bastante específico, claro e direto quando tratou as ACL´s. No “white-paper”, ele consegui descomplicar e muito, o que para nós, pobres mortais, estava quase criptografado.

Li o artigo apenas uma vez e foi o necessário para superar mais essa barreira. E espero que seja útil para vocês como foi para mim.

Aqui, vou iniciar uma série de 6 artigos, baseado no original de Kurt.

ok. Menos blá…blá…blá… e vamos ao que interessa.  🙂.

Lista de Controle de Acesso criadas facilmente – Parte 1

---

Aqui é assumido que diferentes leitores terão diferentes níveis de experiência com as Access Control List (ACL´s). Alguém não terá experiência. Outros terão interesse pelas ACL´s nos ambientes Lab. E ainda outros terão extensa experiência no mundo real com a implementação das ACL´s. O objetivo deste “white-paper” é para ser interessamte para leitores com qualquer nível de experiência em ACL. O novato em ACL deverá adquirir um entendimento e apreciação da definição de uma ACL. E felizmente, o expert em ACL também poderá adquirir um “insight” a mais com este material elucidativo.

O que é ACL ?

Tente definir uma ACL usando somente duas palavras.Você sugeriria  “filtro de pacote” ?!? Esta é a resposta mais comum, e por uma boa razão. É intuitiva porque ela realmente pode ser definida com duas palavras e ela descreve o uso mais comum para as ACLs. O problema com esta definição é que as ACLs podem ser utilizadas para muitos objetivos que não somente filtro de pacotes. Por exemplo, as ACLs podem ser utilizadas para definir qual a fila de pacote entrará quando vocês estiver usando um enfileiramento personalizado ou prioritário. Nos dois casos, os pacotes não são filtrados.

Eles são simplesmente enviados para a frente, para o meio, ou para o final da linha dependendo de um certo critério de avaliação. Outro exemplo é o uso de ACLs para definir tráfego interessante de um link dial-on-demand (sob demanda). Quando aplicada desta maneira, a ACL irá definir o tráfego que é importante o bastante para que o router tire o “telefone do gancho” e pague as taxas pelo seu uso do serviço. Uma vez que uma chamada é feita, é conectada, todo tráfego é permitido através do link, e não somente o tráfego interessante. Se você quer que somente o tráfego interessante atravesse seu link, você deve aplicar uma ACL nesta interface. Um terceiro uso para uma ACL é para referenciar a ACL dentro de um mapa de criptografia onde ela define o tráfego interessante para um túnel IPSec. Quando o mapa crypto é designado para uma interface, nenhum tráfego interessante pode ainda ser permitido através da interface, ele apenas não será encriptado antes de ser encaminhado. Existem dúzias de diferentes maneiras de aplicar as ACL´s  no IOS de um router.

A definição de duas-palavras de uma ACL que eu sugeriria é “classificador de pacote” ou “packet classifier”. Para expandir essa definição, uma ACL contém uma lista de entradas definindo um critério de comparação. Um pacote em um dado momento, as caracteríticas do pacote são comparadas a lista de entradas da ACL em sequência. A classificação associada com a primeira ACL de entrada que coincide com as características do pacote determinará a classificação do pacote. ACLs utilizam os termos “deny” e “permit” para descrever as duas possíveis classes. Infelizmente, esta terminologia ajuda a promover a percepção do “filtro de pacote”. Não pense no “deny” e no “permit” como negar ou permitir a passagem do pacote através do router. Ao contrário, pense nela como permitir e negar a entrada de um pacote dentro de uma certa classificação. Por exemplo, para permitir ou negar este pacote de entrada dentro da classe de pacotes que pertencem a uma fila de alta prioridade..

Quais tipos de ACLs os routers suportam ?

O IOS dos routers suportam muitos tipos de ACLs. Existem ACLS que examinam critérios da Camada 2, tais como valores endereços MAC e LSAP. Existem ACLs que examinam vários protocolos de Camada 3, tais como IPX, AppleTalk, DECnet, e Vines. Existem ACLs que examinam critérios Ipv6. Porém este “white paper” focará naquela mais comum hoje em dia : ACLs que examinam o critério IPv4.

ACLs IP são geralmente quebradas dentro de ACLs IP padrão e extendida. Se ou não uma ACL IP é padrão ou extendida, ela poderá ser definida tanto pelo número quanto pelo nome. Se você escolher por número, o intervalo do número é importante. Originalmente, as ACLs IP Padrão são numeradas entre 1 a 99, enquanto que as ACLs IP Extendidas utilizam números de 100 a 199. Estes intervalos foram expandidos para também incluir  1300 a 1999 para as ACL IP Padrão e  2000 a 2699 para as ACLs IP Extendidas.

ACLs IP Padrão utilizam exatamente um único critério no qual fazem a comparação : O ENDEREÇO IP DE ORIGEM.

Frequentemente isto é exatamente o que é apropriado para usar. Por exemplo, você pode usar a instrução “access-class” para referenciar uma ACL para limitar o acesso as linhas VTY. Neste caso, você está interessado em um único endereço IP de origem.

Você sabe que o endereço IP de destino é do seu próprio roteador, o protocolo é TCP e a porta de destino é a 23 para o Telnet. (Atualmente, neste exemplo ele poderia também ser TCP porta 22 se você tiver configurado o suporte SSH). Outro exemplo para uso de uma ACL IP Padrão é quando elas são referenciadas numa definição de “community string” do protocolo SNMP. Novamente, somente o endereço IP de origem é de interesse, como nós sabemos que o endereço IP de destino é do nosso próprio router e o protocolo é o UDP com porta de destino 161 (SNMP).

As ACLs IP Extendidas permite que você examine todos os cabeçalhos da Camada 3  e 4 dos pacotes IP. Você pode especificar um critério usando tanto o endereço IP de origem quanto o de destino. Você pode especificar o protocolo IP. Com o TCP e UDP, você pode especificar as portas de origem e de destino, e com o ICMP você pode especificar o código e tipo ICMP.

Protocolo	Intervalo
IP	Padrão => 1 – 99 , 1300-1699
IP estendido	Extendida => 100-199 , 2000-2699
Appletalk	600-699
IPX estendido	900-999
Protocolo de anúncio de serviço IPX	1000-1099

Ordem é Importante

Como foi mencionado anteriormente, as entradas ACL são processadas em ordem. Se existirem duas ou mais entradas com critérios que coincidem com que o está no pacote, ele é permitido ou negado na primeira entrada de coincidência que é importante. Devido a isto, você deve colocar entradas mais específicas no topo da ACL. Por exemplo, se você quiser permitir toda a rede 172.16.x.x, mas negar um único endereço desta rede, como 172.16.10.10, você deverá colocar a entrada deny que é mais específica antes da entrada permit que é mais genérica. Outro ponto que deve ter cuidado é a existência implícita de uma instrução “deny tudo mais” no final de cada ACL. O que significa que se não existirem coincidências das entradas anteriores para cada pacote, então a classificação implícita é negar todos os pacotes. Se desejar, este deny implícito pode ser cancelado por uma entrada “permit tudo mais”.

---

É isso. Aguarde a parte 2.  🙂..Sds.

Márcia Guimarães