Uma Lista de Controle de Acesso (ACL) é uma lista de regras que controlam e filtram o tráfego com base nos endereços IP de origem e destino ou números de Porta. Isto acontece ao permitir pacotes ou ao bloquear pacotes de uma interface em um roteador, switch, firewall, etc.

Entradas ou declarações individuais em uma lista de acesso são chamadas entradas de controle de acesso (ACEs). Cada entrada ACE define um fluxo de tráfego (origem/destino) que será permitido ou bloqueado.

Além do controle de tráfego e filtragem em uma rede, as ACLs também podem ser usadas como medida de segurança para conexão ao seu roteador, permitindo apenas os endereços IP ou redes necessárias para acessar o roteador via telnet (ou de preferência com SSH).

Têm também vários outros usos como controlo de acesso de gestão, filtragem de publicidade de rotas, filtragem de saída de depuração, identificação de tráfego para encriptação em cenários VPN, etc.

As listas de acesso são basicamente uma ferramenta para combinar pacotes interessantes que podem depois ser sujeitos a diferentes tipos de operações especiais.

Nos dispositivos Cisco temos dois tipos principais de ACLs. Estas são Standard Access Control Lists e Extended Access Control Lists.

  • Standard Access Lists

Standard access lists são a forma básica de lista de acesso em roteadores Cisco que podem ser usados para combinar pacotes por campo de endereço IP de origem no cabeçalho do pacote. Essas listas de acesso são mais simples de criar e entender, mas as opções de correspondência de pacotes também são limitadas apenas ao endereço de origem.

  • Listas de acesso estendidas

Se você quiser corresponder pacotes em algo mais do que o endereço IP de origem, você precisará de uma lista de acesso estendida: numerada ou nomeada. Listas de acesso estendidas podem filtrar em endereços IP de origem e destino, ou uma combinação de endereços e vários outros campos como portas TCP/UDP etc.

As listas de acesso padrão e estendidas podem ser escritas em formato numerado ou nomeado, que são apenas maneiras diferentes de escrever listas de acesso.

Em termos de funcionalidade, listas de acesso numeradas e nomeadas são equivalentes. O que você pode conseguir com uma lista de acesso numerada também pode ser conseguido com uma lista de acesso nomeada equivalente, e isto se aplica tanto para ACLs padrão quanto para ACLs estendidas.

Algumas pessoas favorecem o formato nomeado, pois provavelmente é mais legível, mas ambos os formatos são amplamente utilizados na prática e ambos são importantes para o seu exame de certificação Cisco.

Por favor, consulte a Tabela 1 para aprender a gama de números que podem ser usados para criar listas de acesso numeradas padrão e estendidas.

Tabela 1 Intervalos de Numeração de Números de Lista de Acesso

Tipo de Lista de Acesso Intervalo de Numeração
Listas de Acesso PadrãoIP 1-99
Listas de Acesso PadrãoIP (intervalo expandido) 1300-1999
IP Listas de Acesso Estendido 100-199
IP Listas de Acesso Estendido (alcance expandido) 2000-2699

>

Consideraremos estas listas de controlo de acesso, como eles funcionam e como configurá-los nos roteadores Cisco.

Please have a look at Figure 1 below that we will use for all our configuration examples.

The scenario consists of a single router R1 with two interfaces Fa0/0 and Fa0/1 connected to internal network and the Internet, respectively.

The access lists would be aimed to control access to the Internet by users in the internal network. Estas listas de acesso seriam aplicadas à interface Fa0/0 no sentido de entrada.

Figure 1 Access List Application

Exemplos de Configuração de Lista de Acesso Padrão

A lista de controle de acesso padrão permitirá que você permita ou negue tráfego de um endereço IP ou rede IP de origem específica.

Criar Listas de Acesso Padrão Numeradas

Comecemos por configurar uma lista de acesso padrão primeiro em formato numerado e depois em formato nomeado. A lista de acesso deve permitir que Bob acesse a Internet enquanto bloqueia todo o acesso para Smith também registrando tentativas sem sucesso de Smith.

Vejamos como podemos fazer isso usando uma lista de acesso padrão em formato numerado.

R1>enable
R1#configure terminal
Enter comandos de configuração, um por linha. Termine com CNTL/Z.
R1(config)#access-list 1 permit host 192.168.1.3
R1(config)#access-list 1 deny host 192.168.1.7 log
R1(config)#

No exemplo de configuração acima usamos a palavra-chave host para identificar hosts individuais, mas o mesmo resultado também pode ser alcançado usando a máscara inversa 0.0.0.0.

Vamos agora aplicar esta lista de acesso à interface Fa0/0 na direcção de entrada.

R1(config)#interface Fa0/0
R1(config-if)#ip access-group 1 ?
em pacotes de entrada
em pacotes de saída

R1(config-if)#ip access-group 1 in
R1(config-if)#end
R1#

Listas de acesso nomeadas têm um número de 1 a 99. Quando você está colocando uma lista de acesso em um roteador você precisará identificar as listas de acesso com um número e.g. lista de acesso 1 como mostrado acima.

Em cada lista de acesso haverá uma negação implícita de tudo no final da ACL mesmo se você não especificá-la explicitamente. Então se você configurou sua lista de acesso assim aqui é o que ele faria.

show access-list 1

The output will be:

access-list 1 allow host 192.168.1.3
access-list 1 deny host 192.168.1.7 log
access-list 1 deny any

Criar Listas de Acesso Padrão Nomeadas

Vamos agora criar uma lista de acesso no formato nomeado e aplicá-la à interface Fa0/0, de modo a obter o mesmo efeito. Aqui, usaríamos a máscara inversa ao invés da palavra-chave host para combinar hosts individuais.

R1>enable
R1#configure terminal
Enter comandos de configuração, um por linha. Terminar com CNTL/Z.
R1(config)#ip access-list standard Filter
R1(config-std-nacl)#permit 192.168.1.3 0.0.0.0
R1(config-std-nacl)#deny 192.168.1.7 0.0.0.0 log
R1(config-std-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1##

Extended Access Lists Configuration Examples

An extended access control list will allow you to deny or allow traffic from specific IP addresses, and ports.

Dará também a capacidade de controlar o tipo de protocolo que pode ser transferido, como ICMP, TCP, UDP e assim por diante. O intervalo das listas de controle de acesso estendido é de 100 a 199 para ACLs numeradas.

Um exemplo de uma ACL estendida numerada:

access-list 110 permit tcp 92.128.2.0 0.0.255 qualquer eq 80

A ACL 110 permitirá o tráfego que vem de qualquer endereço na rede 92.128.2.0 (rede de origem) para qualquer IP de destino na porta 80.

A declaração ‘any’ está lá para permitir o tráfego para qualquer destino IP na porta 80. A primeira instrução de rede no comando access-list (i.e. 92.128.2.0 0.0.0.255) refere-se à origem do tráfego, e a segunda instrução de rede (a palavra-chave “any” no nosso exemplo) refere-se ao destino do tráfego.

Outro exemplo:

access-list 111 permit ip 192.168.1.0 0 0.0.0.255 192.168.2.0 0.0.0.255

A configuração acima permitirá todo o tráfego IP da rede de origem 192.168.1.0/24 em direção à rede de destino 192.168.2.0/24.

Note also that the subnet mask in the ACL configuration in always represented with an inverse mask (i.e. instead of using 255.255.255.0 we use 0.0.0.255).

Creating Numbered Extended Access Lists

We will now configure an extended access list first in numbered and then in named format. A lista de acesso deve permitir ao Bob (a partir do nosso diagrama de rede acima) acessar servidores Web na Internet enquanto bloqueia todo o acesso Web para o Smith também registrando tentativas sem sucesso do Smith de abrir um site.

Vejamos como podemos fazer isso usando uma lista de acesso estendida em formato numerado.

R1>Enable
R1#configure terminal
Enter comandos de configuração, um por linha. Termine com CNTL/Z.
R1(config)#access-list 100 permit tcp host 192.168.1.3 qualquer eq www
R1(config)#access-list 100 deny tcp host 192.168.1.7 qualquer eq www log
R1(config)#interface Fa0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#end
R1####1146>

Criar Listas de Acesso Extendidas Nomeadas

Agora, vamos configurar a mesma lista de acesso estendida no formato nomeado.

R1>enable
R1#configure terminal
Enter comandos de configuração, um por linha. Terminar com CNTL/Z.
R1(config)#ip access-list extended Filter
R1(config-ext-nacl)#permit tcp 192.168.1.3 0.0.0.0 qualquer eq www
R1(config-ext-nacl)#deny tcp 192.168.1.7 0.0.0.0 any eq www log
R1(config-ext-nacl)#interface Fa0/0
R1(config-if)#ip access-group Filter in
R1(config-if)#end
R1####1146>

Tabemos brevemente as listas de acesso neste artigo. Você pode verificar quais listas de acesso existem no seu dispositivo Cisco usando o comando show access-lists.

Um teste final das listas de acesso é feito gerando o tráfego que a access-list deve permitir ou negar e ver os resultados.

Como aplicar a ACL

Depois de ter configurado a ACL, terá de especificar em que direcção quer que ela opere na interface que será aplicada (inbound ou outbound).

Por exemplo “in” significa inbound to the interface e “out” significa outbound from the interface. A LCA é então aplicada em uma interface específica usando o comando “access-group”.

Você pode identificar uma lista de acesso dando-lhe um nome ou número como discutido acima. Aqui está um conjunto de comandos que você usaria:

Router(config)#interface serial 0
Router(config-if)#ip access-group 111 out

Usando listas de acesso para proteger o acesso Telnet a um roteador

Você também pode proteger suas linhas telnet em um roteador via ACL. Isto permitir-lhe-á o acesso ao login telnet apenas para certos hosts ou redes. Aqui está um exemplo de configuração de como você faria isso.

access-list 25 permit 192.168.2.0 0.0.255

line vty 0 4
access-class 25 in

With this ACL in place you will only allow hosts on the 192.168.2.0/24 network to have access to the VTY login. Todas as tentativas de outras redes seriam bloqueadas.

Outro exemplo: Digamos que temos uma estação de gestão específica (10.1.1.1) que deve ser permitida para aceder ao router via telnet. Todos os outros hosts devem ser bloqueados.

access-list 10 permit host 10.1.1.1

line vty 0 4
access-class 10 in

Deixe uma resposta

O seu endereço de email não será publicado.