Lista de Controle de Acesso (ACL) — parte 2

Rodrigo Rovere
Sep 5, 2018 · 4 min read

Olá caros,

Vamos continuar explicando sobre ACLs, porém quando falamos que um pacote chega a uma interface do roteador, o processo do roteador é o mesmo, independentemente das ACLs serem utilizadas ou não. À medida que um quadro entra em uma interface, o roteador verifica se o destino do endereço da Camada 2 de destino corresponde ao seu ou se o quadro é de broadcast.

Se o endereço do quadro for aceito, as informações do quadro serão removidas e o roteador verificará se há uma ACL na interface de entrada. Se houver uma ACL, o pacote agora será testado em relação às instruções na lista.

Se o pacote corresponder a uma instrução, ele será aceito ou rejeitado. Se for aceito na interface, o pacote será verificado em relação às entradas da tabela de roteamento para determinar a interface de destino e comutado para essa interface. Em seguida, o roteador verifica se a interface de destino tem uma ACL. Se houver uma ACL, o pacote será testado em relação às instruções na lista. Se corresponder a uma instrução, o pacote será aceito ou rejeitado. Se não houver nenhuma ACL ou o pacote for aceito, o pacote será encapsulado no novo protocolo da Camada 2 e encaminhado pela interface para o próximo dispositivo.

Devemos lembrar que toda ACL criada sempre irá ter um ” deny ” implicito na sua última linha de instrução da ACL, portanto devemos sempre tomar cuidado no momento de aplicar uma ACL em ambientes de produção, pois podemos bloquear todo o tráfego se não lembrarmos do deny implícito.

Nós temos dois tipos de ACLs Cisco:

Padrão = permitir ou negar tráfego de endereços IP de origem. O destino do pacote e as portas envolvidas não importam. O exemplo permite todo o tráfego da rede 192.168.30.0/24. Por conta do ” deny all ” implícito ao final, todo os demais tráfegos são bloqueados com essa ACL. As ACLs padrão são criadas no modo de configuração global.

access-list 10 permit 192.168.30.0 0.0.0.255

Estendida = filtram pacotes IP com base em vários atributos, por exemplo, tipo de protocolo, endereço IP de origem, endereço IP de destino, portas TCP e UDP de origem, portas TCP e UDP de destino e informações do tipo de protocolo opcionais para maior granularidade de controle. No exemplo a ACL 103 permite tráfego com origem em qualquer endereço na rede 192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). As ACLs estendidas são criadas no modo de configuração global.

access-list 103 permit tcp 102.168.30.0 0.0.0.255 any eq 80

Dentro dessa caracteristíca podemos ter as ACLs nomeadas e ACLs numeradas. Segue as características:

Numerada = Você atribui um número com base no protocolo que você deseja filtrar:

  • (1 a 99) e (1300 a 1999): ACL IP padrão
  • (100 a 199) e (2000 a 2699): ACL IP estendida

Nomeada = Você atribui um nome, fornecendo o nome da ACL

  • Os nomes podem conter caracteres alfanuméricos.
  • Sugere-se que o nome seja escrito em LETRAS MAIÚSCULAS.
  • Os nomes não podem conter espaços ou pontuação, devendo começar por uma letra.
  • Você pode adicionar ou excluir entradas dentro da ACL.

Neste contexto podemos nos perguntar, onde devo colocar o ACL e qual tipo devo utilizar?

Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficiência, ou seja, as regras básicas que devemos assumir é:

  • Coloque as ACLs estendidas mais próximas da origem do tráfego negado. Dessa forma, o tráfego indesejável é filtrado sem atravessar a infraestrutura de rede.
  • Como as ACLs padrão não especificam endereços de destino, coloque-as o mais próximo possível do destino.

Na foto acima posso aplicar uma ACL estendida no router A para evitar que o tráfego de entrada no roteador seja trafego por toda a extensão da rede até sua chegada no destino, ou seja, evitando utilização de banda sabendo que esse tráfego vai ser bloqueado para alcançar seu destino. E podemos aplicar uma ACL padrão no router C, pois somente temos os endereços de origem para serem bloqueados.

Espero que tenham gostado e no próximo capítulo vou explicar um pouco sobre a máscara coringa que utilizamos nas ACLs.

Rodrigo Alexandre Rovere — CCIE#52315 — Fundador do BLOG ( www.ciscoredes.com.br) apaixonado por tecnologia.

O dia-a-dia na Infraestrutura de TI. Conteúdo com mais qualidade e menos filtro :P

Rodrigo Rovere

Written by

CCIE RS Network Engineer & Founder @blogciscoredes

TechRebels

O dia-a-dia na Infraestrutura de TI. Conteúdo com mais qualidade e menos filtro :P

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade