ACL - Listas de Controle de Acesso

CURSO TÉCNICO DE REDES E INFRAESTRUTURA

DOCENTE DONIZETI VIEIRA GOMES – MCSA – MCTS – MCP - LPI – CLA – ISO27002 – DCTS - SECURITY+

O que são ACLs?

As Access Control Lists permitem ao administrador de redes controlar aspectos relacionados a segurança no roteador, permitindo filtrar o trafego de entrada ou de saída baseando-se em regras como em um firewall.

As regras de uma ACL podem filtrar os pacotes permitindo ou negando o trafego de entrada e de saída, ou nos dois sentidos.

Além de ser um recurso de segurança importante, pode ser utilizado para outros fins como controle de redistribuição de protocolos de roteamento, NAT, contenção de tráfegos indevidos, etc.

Como funcionam as ACLs?

As regras de uma ACL são criadas para permitir PERMIT ou para negar DENY o trafego. Tudo o que não for permitido estará implicitamente negado (IMPLICIT DENY)

As regras se baseiam em protocolos da pilha do TCP/IP e também do nível de aplicação, sendo endereços de origem e/ou destino, portas e protocolos, além de seus estados (Ex.: stablished)

Protocolos IPV4 e IPV6 (somente Named ACL), protocolos de transporte (TCP e UDP), números de portas de protocolos e serviços (Ex.: 21,80,443,25,110...) e protocolos de aplicação (Ex.:TELNET, FTP, HTTP, SMTP...), protocolos de roteamento (RIP, OSPF, EIGRP ,BGP...) e por mensagens de ICMP.

O sentido da regra é um fator importante, ele pode ser de ENTRADA in e de SAIDA out

As ACLs são aplicadas à interfaces (Ex.: Fa0/1) e linhas (vty e console)

Como funcionam as ACLs?

IMPORTANTE: Sempre devemos nos posicionar dentro do roteador para entendermos corretamente o sentido de IN e de OUT da ACL.

A posição da ACL na LISTA (sequência) também é importante.

Tipos de ACLs

Os tipos de ACLs suportados no IOS dos routers Cisco são:

Standard ACLs ou ACLs padrão

Extended ACLs ou ACLs estendidas

Dynamic (lock and key) ACLs

IP-named ACLs

Reflexive ACLs

Time-based ACLs that use time ranges

Commented IP ACL entries

Context-based ACLs

Authentication proxy

Turbo ACLs

Distributed time-based ACLs

Tipos de ACLs mais comuns

ACL padrão – Filtram utilizando o endereço IP de origem

ACL estendida – Filtram tanto pelo IP origem como pelo destino e também pelos protocolos da camada de transporte (TCP e UDP) utilizando número de portas

As ACL padrão ou estendida podem utilizar números (numbered) ou utilizar nomes (named)

Exemplos:

R1# access-list 10 permit 192.168.10.1 - numerada

R3# ip access-list standard Bloquear_WWW - nomeada

ACLS Numeradas

As ACLs numeradas possuem os seguintes intervalos de numeração por tipos padrão ou estendida (protocolo IP):

1-99 - ACL Padrão

100-199 - ACL Estendida

1300-1999 - ACL Padrão (intervalo adicional)

2000-2699 - ACL Estendida (intervalo adicional)

Considerações sobre ACLs

Documente e planeje todas suas ACLs, use um editor de textos

Nunca se esqueça do NEGAR IMPLICITO (e oculto) no final das regras

As regras são adicionadas ao fim da lista

Aplique ACLs padrão sempre o mais próximas do destino.

Aplique ACLs estendidas sempre o mais próximo da origem.

ACLs que atravessam o roteador e não tem PERMIT são descartadas

Use comentários em suas ACLs (remark) para facilitar a compreensão

Fluxo Lógico das regras de uma ACL

interface

ip

Máscaras Coringas – Wildcard Masks

As máscaras coringa ou wildcard masks são utilizadas nas ACLs para definirmos porções de subredes a redes ou hosts ip, entretanto utilizam um formato diferenciado da máscara de subredes comum, utilizando-se do 0 ao invés do 1 para definir a porção relativa a subrede, exemplo:

Máscara Coringa

Máscara Comum

Sintaxe de comandos de ACLs:

ACL PADRÃO:

Router(config)# access-list [1-99] [permit/deny] [host/rede {wildcard}]

Router (config-if)# ip access-group [1-99] [in/out]

ACL ESTENDIDA:

Router(config)# access-list [100-199] [permit/deny] [protocolo] [host/rede

{wildcard} origem] [host/rede {wildcard} destino] [parâmetros do protocolo]

Exemplo de uma ACL Padrão

Permita somente o tráfego da rede de origem 192.168.10.0 ser encaminhado por S0/0/0. O tráfego das redes que não sejam 192.168.10.0 é bloqueado.

Minha rede

Exemplos e Casos: ACL Nomeada

Nomes ao invés de números podem ser mais intuitivos. ACL padrão chamada NO_ACCESS

Comentando ACLs

Comentar as ACLs com o comando REMARK é outra forma de deixar mais claro para todos, qual a função da ACL

Editando uma ACL

Abaixo todo o processo para editar, corrigir ou alterar uma ACL

Exemplo de ACL Estendida

Negar TELNET vindo de 192.168.11.0 porém qualquer outro protocolo de qualquer ip é permitido

ACLs Complexas

Além das ACL padrão estendida numérica ou nomeada, temos ACL mais especificas que permitem cenários mais complexos, por exemplo aplicar uma ACL de um determinado tipo de trafego para o setor de produção de segunda a sexta das 8:00 as 18:00. Este é só um exemplo do poder das ACLs complexas.

Exibindo e checando as ACLs

Para visualizar e checar quais as ACLs configuradas no router podemos utilizar alguns comandos do IOS, sendo importantes também para efetuar troubleshooting. Vejamos:

show access-list – Exibe todas as listas de acesso e seus parâmetros, menos interfaces.

show access-list 110 – Exibe os parâmetros da lista de acesso 110.

show ip access-list – Exibe as listas de acesso IP configuradas

show ip interface – Exibe quais interfaces possuem ACLs ativas

show running-config - Apresenta as configurações das listas de acesso completas

Perguntas???

OBRIGADO!!!