Capítulo 7: listas de controle de acesso...Confidencial da Cisco 13 7.1 Operação de ACL •Explique a finalidade e a operação das ACLs em redes empresariais de pequeno a médio

Capítulo 7: listas de controle de acesso

CCNA Routing and Switching

Routing and Switching Essentials v6.0

13© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados. Confidencial da Cisco

▪ 7.1 Operação de ACL

• Explique a finalidade e a operação das ACLs em redes empresariais de pequeno a médio

porte.

• Explicar como as ACLs filtram o tráfego.

• Explicar como as ACLs usam máscaras curinga.

• Explicar como criar ACLs.

• Explicar como posicionar ACLs.

▪ 7.2 ACLs IPv4 padrão

• Configure ACLs IPv4 padrão para filtrar o tráfego em uma rede empresarial de pequeno a

médio porte.

• Configurar as ACLs IPv4 padrão para filtrar o tráfego de modo que atenda aos requisitos de rede.

• Usar números de sequência para editar as atuais ACLs IPv4 padrão.

• Configurar uma ACL padrão para proteger o acesso VTY.

Capítulo 7 – Seções e Objetivos


▪ 7.3 Solucionar problemas de ACLs

• Solucione problemas de ACL de IPv4.

• Explicar como um roteador processa pacotes quando uma ACL é aplicada.

• Solucionar problemas comuns na ACL IPv4 padrão com comandos CLI.

Capítulo 7 – Seções e Objetivos (Cont.)


7.1 Operação de ACL


Objetivo das ACLs

O que é uma ACL? ▪ Uma ACL é uma série de comandos de IOS que

controlam se um roteador encaminha ou elimina

pacotes com base nas informações encontradas

no cabeçalho do pacote. As ACLs não são

configuradas por padrão em um roteador.

▪ As ACLs podem realizar as seguintes tarefas:

• Limitam o tráfego e aumentam o desempenho da rede. Por exemplo, o tráfego de vídeo poderá ser

bloqueado se não for permitido.

• Fornecer controle de fluxo de tráfego. As ACLs

podem ajudar a verificar se as atualizações de roteamento são de uma fonte conhecida.

• As ACLs fornecem segurança para acesso à

rede e podem bloquear um host ou uma rede.

• Filtram o tráfego com base no tipo de tráfego,

como o tráfego de Telnet.

• Selecionam hosts para permitir ou negar acesso aos serviços de rede, como FTP ou HTTP.


Objetivo das ACLs

Filtragem de pacote▪ Uma ACL é uma lista sequencial de instruções de

permissão ou de negação, conhecidas como entradas

de controle de acesso (ACEs).

• As ACEs são chamadas de instruções da ACL.

▪ Quando o tráfego da rede passa através de uma

interface configurada com uma ACL, o roteador

compara as informações no pacote com cada ACE,

em ordem sequencial, para determinar se o pacote

corresponde a uma das ACEs. Isso é chamado de

filtragem de pacote.

▪ Filtragem de pacote:

• Pode analisar os pacotes de entrada e/ou de saída.

• Pode ocorrer na camada 3 ou 4.

▪ A última instrução de uma ACL é sempre um deny

implícito. Isso é inserido automaticamente no final de

cada ACL e bloqueia todo o tráfego. Por causa disso,

todas as ACLs devem ter pelo menos uma instrução

permit.


Objetivo das ACLs

Operação de ACL ▪ As ACLs não atuam em pacotes que se

originam do roteador.

• As listas de acesso expressam o conjunto

de regras que permitem maior controle dos

pacotes que chegam às interfaces de

entrada, pacotes que são retransmitidos

através do roteador e pacotes que saem

das interfaces do roteador.

▪ ACLs podem ser configuradas para serem

aplicadas a tráfego de entrada e saída:

• ACLs de entrada – Os pacotes de entrada

são processados antes de serem roteados

para a interface de saída.

• ACLs de saída – Os pacotes de entrada

são encaminhados para a interface de

saída e processados em seguida por meio

da ACL de saída.


Objetivo das ACLs

Packet Tracer – Demonstração da ACL▪ Nesta atividade do Packet

Tracer, você observará como

um ACL pode ser usado para

impedir que um ping alcance

hosts em uma rede.

▪ Após remover a ACL da

configuração, os pings terão

êxito.


Máscara curinga em ACLs

Apresentando a máscara coringa em ACL▪ As ACEs IPv4 exigem o uso de máscaras curinga.

▪ Uma máscara curinga é uma sequência de 32 dígitos

binários (1 e 0) usados pelo roteador para determinar

que bits do endereço serão examinados para uma

correspondência.

▪ Máscaras curinga costumam ser tratadas como uma

máscara inversa, pois diferentemente de uma

máscara de sub-rede em que um binário 1 é uma

correspondência, um binário 0 é uma correspondência

com máscaras curinga. Por exemplo:


Máscaras curingas em ACLs

Exemplos de máscara curinga▪ Calcular a máscara curinga pode

exigir alguma prática. A figura 1

fornece três exemplos de

máscaras curinga.

• Exemplo 1: A máscara curinga

estipula que cada bit do IPv4

192.168.1.1 deve coincidir

exatamente.

• Exemplo 2: A máscara coringa

estipula que nada deve ser

correspondente.

• Exemple 3: A máscara curinga

estipula que qualquer host na

rede 192.168.1.0/24 será

correspondente.


Máscaras curinga em ACLs

Calculando a máscara coringa

▪ Calculando exemplos de máscara curinga:

• Exemplo 1: Suponha que você deseja permitir acesso

a todos os usuários na rede 192.168.3.0 com a

máscara de sub-rede de 255.255.255.0. Subtraia a

sub-rede de 255.255.255.255 e o resultado é:

0.0.0.255.

• Exemplo 2: Suponha que você deseja permitir acesso

à rede para 14 usuários na sub-rede 192.168.3.32/28

com a máscara de sub-rede de 255.255.255.240.

Depois de subtrair máscaras de sub-rede de

255.255.255.255, o resultado é 0.0.0.15.

• Exemplo 3: Suponha que você deseja corresponder

apenas as redes 192.168.10.0 e 192.168.11.0 com a

máscara de sub-rede de 255.255.254.0. Depois de

subtrair a máscara de sub-rede de 255.255.255.255, o

resultado é 0.0.1.255.



Palavras-chave de máscara curinga

▪ Para facilitar a leitura das máscaras

curinga, as palavras-chave host e any

podem ajudar a identificar os usos mais

comuns de máscara curinga.

• host substitui a máscara 0.0.0.0

• any substitui para a máscara

255.255.255.255

▪ Se você quiser corresponder o

endereço 192.169.10.10, você poderá

usar 192.168.10.10 0.0.0.0 ou, você

poderá usar: host 192.168.10.10

▪ No exemplo 2, em vez de inserir 0.0.0.0

255.255.255.255, você pode usar a

palavra-chave any sozinha.



Exemplos de palavras-chave de máscara curinga

▪ O exemplo na figura 1 mostra

como usar a palavra-chave

any para substituir o endereço

IPv4 0.0.0.0 por uma máscara

curinga de 255.255.255.255.

▪ O exemplo 2 mostra como usar

a palavra-chave host para

substituir a máscara curinga ao

identificar um único host.


Instruções para a criação de ACL

Instruções gerais para a criação de ACL▪ Use as ACLs em roteadores com firewall

posicionados entre a rede interna e uma

rede externa como a Internet.

▪ Use as ACLs em um roteador posicionado

entre duas partes da rede para controlar o

tráfego que chega ou sai de uma

determinada parte da rede interna.

▪ Configure ACLs em roteadores de borda de

rede como aqueles situados na borda de

sua rede. Isso proporcionará um buffer

básico da rede externa que é menos

controlada.

▪ Configure ACLs para cada protocolo de

rede configurado nas interfaces do roteador

de borda.



Melhores práticas

▪ Usar ACLs exige atenção significativa a detalhes. Os erros podem ser caros em termos de

inatividade, esforços de solução de problemas e serviços de rede.



Instruções gerais para a criação de ACL▪ A colocação correta de uma ACL pode

fazer com que a rede opere com mais

eficiência. Por exemplo, e a ACL pode

ser colocada para reduzir o tráfego

desnecessário.

▪ Cada ACL deve ser posicionada onde

há maior impacto sobre o aumento da

eficiência.

• ACLs estendidas – Coloque as ACLs estendidas o mais perto possível da

origem do tráfego a ser filtrado. Isso evita que tráfego indesejado entre perto da origem sem ela cruzar a infraestrutura de rede.

• ACLs padrão – Como as ACLs padrão não especificam os endereços de destino, coloque-as o mais perto

possível do destino.


Instruções para o posicionamento de ACL

Posicionamento de ACL padrão▪ Este exemplo demonstra a colocação

correta da ACL padrão que está

configurada para bloquear o tráfego da

rede 192.168.10.0/24 à rede

192.168.30.0/24.

▪ Há dois locais possíveis para configurar a

lista de acesso em R3.

▪ Se a lista de acesso é aplicada à interface

S0/0/1, ela bloqueará o tráfego para a

rede 192.168.30.0/24, mas também, indo

para a rede 192.168.31.0/24.

▪ O melhor local para aplicar a lista de

acesso é na interface G0/0 de R3. A lista

de acesso deve ser aplicada ao tráfego

que sai a interface G0/0. Os pacotes de

192.168.10.0/24 ainda podem acessar

192.168.31.0/24.


7.2 ACLs IPv4 padrão


Configurar ACLs IPv4 padrão

Sintaxe de ACL IPv4 padrão numerada

▪ O comando de configuração global

access-list define uma ACL padrão

com um número entre 1 e 99.

▪ A sintaxe completa do comando

para criar uma ACL padrão é a

seguinte:

Router(config)# access-list access-list-number { deny | permit | remark }

source [ source-wildcard ][ log ]

Para remover a ACL, o comando

global de configuração no access-

list é utilizado. Use o comando

show access-list para verificar a

remoção da ACL.



Aplicação de ACLs IPv4 padrão a interfaces

▪ Após a configuração de uma ACL

IPv4 padrão, ela é vinculada a

uma interface usando o comando

ip access-group no modo

configuração de interface:

Router(config-if)# ip access-group{ access-list-number | access-list-

name } { in | out }

▪ Para remover uma ACL de uma

interface, insira o comando no ip

access-group na interface e

insira no comando global no

access-list para remover a ACL

inteira.



Exemplos de ACL IPv4 padrão numerada

▪ A figura à esquerda mostra um exemplo de uma ACL que permite o tráfego de uma sub-rede específica, mas nega o tráfego de um host específico nessa sub-rede.

• O comando no access-list 1 exclui a versão anterior da ACL 1.

• A próxima instrução de ACL nega o host 192.168.10.10.

• Qual é a outra maneira de escrever esse comando sem usar host?

• Todos os outros hosts na rede 192.168.10.0/24 são permitidos.

• Não há uma instrução deny implícita que corresponde a todas as outras redes.

• Em seguida, a ACL é reaplicada à interface em uma direção de saída.



Exemplos de ACL IPv4 padrão numerada (Continuação)

▪ Este próximo exemplo demonstra uma

ACL que nega um host específico, mas vai

permitir todos os demais tráfegos.

• A primeira instrução de ACL exclui a versão

anterior da ACL 1.

• O próximo comando, com a palavra-chave

deny, será negar o tráfego do host do PC1

localizado em 192.168.10.10.

• A instrução access-list 1 permit any

permitirá todos os outros hosts.

• Essa ACL é aplicada à interface G0/0 na

direção de entrada, pois ele afeta apenas a

LAN 192.168.10.0/24.



Sintaxe de ACL IPv4 padrão nomeada▪ Identificar uma ACL com um nome em vez de

com um número facilita a compreensão de

sua função.

▪ O exemplo à esquerda mostra como

configurar uma lista de acesso padrão

nomeada. Observe como os comandos são

ligeiramente diferentes:

• Utilize o comando ip access-list para criar

uma ACL nomeada. Os nomes são

alfanuméricos, diferenciam maiúsculas de

minúsculas e devem ser exclusivos.

• Use instruções permitir ou negar conforme

necessário. Você também pode usar o

comando remark para adicionar comentários.

• Aplique a ACL a uma interface usando o

comando ip access-group name.



Packet Tracer – Configuração de ACLs IPv4 nomeadas padrão

▪ Esta atividade de packet tracer

permitirá que você pratique a

definição de critérios de

filtragem e a configuração de

ACLs padrão em uma rede pré-

configurada.

▪ A verificação das ACLs

configuradas e aplicadas

também será necessária.



Packet Tracer – Configuração de ACLs IPv4 nomeadas padrão

▪ Nesta atividade do Packet

Tracer, você configurará

uma ACL padrão nomeada.

▪ Você será solicitado a

testar a ACL após aplicá-la

à interface apropriada.


Modificar as ACLs IPv4

Método 1 – Usar um editor de texto▪ Às vezes, é mais fácil criar e editar as ACLs em

um editor de texto como o Bloco de Notas da

Microsoft em vez de fazer alterações

diretamente no roteador.

▪ Para uma ACL atual, use o comando show

running-config para exibir a ACL, copie e cole

no editor de texto, faça as alterações

necessárias e cole-a na interface do roteador.

▪ Deve-se mencionar que, quando você usa o

comando no access-list, as versões diferentes

do software IOS têm comportamentos

diferentes.

• Se a ACL excluída ainda for aplicada a uma

interface, algumas versões do IOS agirão como

se nenhuma ACL estivesse protegendo a sua rede, enquanto outras recusarão todo o tráfego.



Método 2 – Usar números de sequência

▪ A figura à esquerda demonstra as etapas

usadas para fazer alterações em uma ACL

numerada usando números de sequência.

▪ A etapa 1 identifica o problema A instrução

deny 192.168.10.99 é incorreta. O host para

negar deve ser 192.168.10.10

▪ Para fazer a edição, a etapa 2 mostra como

entrar na lista de acesso padrão 1 e fazer a

alteração. A instrução errada precisou ser

excluída com o comando no: no 10

▪ Uma vez excluída, a nova instrução com o

host correto foi adicionada: 10 deny host

192.168.10.10



Edição de ACLs padrão nomeadas ▪ Ao referirem-se aos números de

sequência de instrução, as instruções

individuais podem ser facilmente

introduzidas ou excluídas.

▪ A figura à esquerda mostra um

exemplo de como inserir uma linha

em uma ACL nomeada.

▪ Ao numerá-la 15, ela vai colocar o

comando entre as instruções 10 e 20.

▪ Observe que, quando a ACL foi

criada, o administrador de rede

espaçou cada comando por 10, o que

deixou espaço para edições e

adições.▪ O comando ACL nomeado no sequence-number

é usado para excluir instruções individuais.



Verificação de ACLs

▪ Use o comando show ip interface para

verificar se a ACL está corretamente

aplicada à interface.

▪ A saída exibirá os nomes da lista de

acesso e a direção em que ela foi

aplicada à interface.

▪ Use o comando show access-lists para

exibir as listas de acesso configuradas no

roteador.

▪ Observe como a sequência é exibida fora

de ordem para a lista de acesso

NO_ACCESS. Isso será discutido mais

tarde nesta seção.



Estatísticas de ACL ▪ O comando show access-lists pode ser

usado para exibir estatísticas correspondentes

quando a ACL foi aplicada a uma interface e

alguns testes ocorreram.

▪ Quando é gerado o tráfego que deve

corresponder a uma instrução da ACL, as

correspondências mostradas na saída do

comando show access-lists devem aumentar.

▪ Lembre-se de que cada ACL tem um deny any

implícito como a última instrução. As

estatísticas para esse comando implícito não

serão exibidas. No entanto, se esse comando

for configurado manualmente, os resultados

serão exibidos.

▪ O comando clear access-list counters pode ser

usado para limpar os contadores para fins de

teste.



Laboratório – Configuração e modificação de ACLs de IPv4 padrão

▪ Este laboratório exigirá que você

instale e configure dispositivos para

corresponderem à topologia

fornecida no laboratório.

▪ Também são necessárias a

configuração, modificação e o teste

das ACLs padrão e nomeadas.


Proteção das portas VTY com uma ACL IPv4 padrão

O comando access-class▪ O acesso administrativo de VTY deve ser

restrito para ajudar a melhorar a segurança.

▪ A restrição ao acesso a VTY é uma técnica

que permite definir qual endereço IP tem

acesso remoto permitido ao processo

EXEC do roteador.

▪ O comando access-class configurado no

modo de configuração de linha restringe as

conexões de entrada e saída entre um

determinado VTY (em um dispositivo da

Cisco) e os endereços de uma lista de

acesso.

▪ Router(config-line)# access-class access-

list-number {in [vrf-also ] | out }


Proteção das portas VTY com uma ACL IPv4 padrão

Verificação da proteção da porta VTY

▪ É importante verificar a

configuração de ACL usada

para restringir o acesso VTY.

▪ A figura à esquerda mostra dois

dispositivos tentando fazer ssh

de dois dispositivos diferentes.

▪ A saída de comando show

access-lists mostra os

resultados após as tentativas de

SSH pelo PC1 e PC2.

▪ Observe os resultados de

correspondência na permissão

e as instruções de negação.


Proteger portas VTY com uma ACL IPv4 padrão

Packet Tracer – Configurando uma ACL IPv4 em linhas VTY


Tracer, você deverá

configurar e aplicar uma ACL

que permite o acesso do PC

às linhas Telnet no roteador,

mas negará todos os outros

endereços IP de origem.



Laboratório – Configuração e verificação das restrições de VTY

▪ Neste laboratório, você

precisará configurar e verificar

as restrições de VTY.

▪ Apenas determinados

endereços IP terão acesso às

linhas vty no roteador.

▪ É importante garantir que

somente os computadores de

administradores têm permissão

para telnet ou SSH no roteador.


7.3 Solucionar problemas de ACLs


Processamento de pacotes com ACLs

A negação implícita

▪ Uma ACL de entrada única com

apenas uma entrada recusada tem o

efeito de recusar todo o tráfego.

▪ Pelo menos uma ACE de permissão

deve ser configurada em uma ACL ou

todo o tráfego será bloqueado.

▪ Analise as duas ACL na figura à

esquerda.

• Os resultados serão iguais ou

diferentes?



A ordem de ACEs em uma ACL▪ A ordem na qual as ACEs são

configuradas são importantes, desde

que as ACEs sejam processadas

sequencialmente.

▪ A figura à esquerda demonstra um

conflito entre as duas afirmações, pois

elas estão na ordem errada.

• A primeira instrução de negação

bloqueia tudo na rede 192.168.10.0/24.

• No entanto, a segunda instrução de

permissão está tentando permitir o

acesso do host 192.168.10.10.

• Esta instrução é rejeitada já que é um

subconjunto da instrução anterior.

• A reversão da ordem dessas duas

instruções resolverá o problema.



O IOS da Cisco reorganiza as ACLs padrão▪ Observe a ordem em que as instruções

de lista de acesso foram inseridas durante

a configuração.

▪ Observe como o pedido foi alterado quando você insere o comando show

running-config.

▪ As instruções de host são listadas primeiro, mas não necessariamente na

ordem em que foram inseridas.

▪ O IOS insere instruções de host em uma ordem usando uma função de hashing especial. A ordem resultante otimiza a

busca por uma entrada da ACL de host.

▪ As instruções de intervalo são exibidas na ordem em que foram inseridas. A função

hash é aplicada às instruções de host.



Roteamento de processos e ACLs▪ A Figura mostra a lógica de roteamento

e os processos da ACL.

▪ Quando um pacote chega a uma

interface de roteador, o processo de

roteador é o mesmo, sendo as ACLs

configuradas ou não.

▪ Depois que o quadro de informações é

retirado, o roteador verifica se há uma

ACL na interface de entrada. Se existir

uma ACL, o pacote é testado em relação

às instruções.

▪ Se o pacote corresponder a uma

instrução, será permitido ou negado.

▪ Se o pacote for permitido, e depois que

o roteador processar o pacote, a

interface de saída também será

marcada para uma ACL.


Erros comuns na ACL IPv4 padrão

Solução de problemas em ACLs IPv4 padrão – Exemplo 1

▪ Os erros mais comuns que envolvem ACLs:

• Inserir ACEs na ordem errada

• Não especificar as regras adequadas da ACL

• Aplicar a ACL usando a direção errada, interface

errada ou o endereço de origem incorreto

▪ Na figura da esquerda, o PC2 não deve ser capaz

de acessar o servidor de arquivos. No entanto, o

PC1 também não pode acessá-lo.

▪ A saída do comando show access-list mostra a

instrução deny na ACL.

▪ O conjunto de comandos à direita mostra a

solução. A instrução de permissão permite que os

outros dispositivos acessem, uma vez que o deny

implícito estava bloqueando o tráfego restante.




▪ A rede 192.168.11.0/24 não poderá

acessar a rede 192.168.10.0/24.

▪ O PC2 não pode acessar o PC1 como

planejado, no entanto, ele também não

pode acessar a Internet através de R2.

▪ Problema: A lista de acesso: 20 foi aplicada

à G0/1 em uma direção de entrada

▪ Onde a ACL 20 deve ser aplicada e em

que direção?

▪ Na ordem de PC2 para acessar a Internet,

a ACL 20 precisa ser removida da interface

G0/1 e aplicada como saída na interface

G0/0.




▪ Somente o PC1 deve ter permissão para SSH para R1.

▪ Há um problema com a configuração na figura à esquerda uma vez que o PC1 não consegue fazer SSH para R1.

▪ A ACL está permitindo o endereço 192.168.10.1, que é a interface G0/0. No entanto, o endereço que deve ser permitido é o endereço de host de PC1 de 192.168.10.10.

▪ A solução é informada a seguir:


Erros comuns na ACL padrão IPv4

Packet Tracer – Solução de problemas de ACLs IPv4 padrão

▪ Nesta atividade, o Packet Tracer exigirá a

solução de problemas de vários problemas

de ACL de IPv4.


7.4 Resumo do Capítulo



Packet Tracer – Desafio de integração de habilidades


Tracer, você deverá

completar o esquema de

endereçamento de IP,

configurar o roteamento e

implementar listas de

controle de acesso

nomeadas.


Capítulo 7

Novos termos e comandos

• Listas de controle de acesso (ACLs)

• firewalls

• Entradas de controle de acesso (ACEs)

• filtragem de pacotes

• ACLs padrão

• ACLs estendidas

• negar implícito

• ACLs de entrada

• ACLs de saída

• Máscaras curinga

• ACLs com nome

• máscara inversa

Documents

Capítulo 7: listas de controle de acesso...Confidencial da Cisco 13 7.1 Operação de ACL •Explique a finalidade e a operação das ACLs em redes empresariais de pequeno a médio