Listas de controle de acesso

1. ACL - Listas de Controle de Acesso
CURSO TÉCNICO DE REDES E INFRAESTRUTURA
DOCENTE DONIZETI VIEIRA GOMES – MCSA – MCTS – MCP - LPI – CLA – ISO27002 – DCTS - SECURITY+

2. O que são ACLs?
 As Access Control Lists permitem ao administrador de redes controlar
aspectos relacionados a segurança no roteador, permitindo filtrar o
trafego de entrada ou de saída baseando-se em regras como em um
firewall.
 As regras de uma ACL podem filtrar os pacotes permitindo ou negando o
trafego de entrada e de saída, ou nos dois sentidos.
 Além de ser um recurso de segurança importante, pode ser utilizado para
outros fins como controle de redistribuição de protocolos de roteamento,
NAT, contenção de tráfegos indevidos, etc.

3. Como funcionam as ACLs?
 As regras de uma ACL são criadas para permitir PERMIT ou para negar DENY
o trafego. Tudo o que não for permitido estará implicitamente negado
(IMPLICIT DENY)
 As regras se baseiam em protocolos da pilha do TCP/IP e também do nível
de aplicação, sendo endereços de origem e/ou destino, portas e
protocolos, além de seus estados (Ex.: stablished)
 Protocolos IPV4 e IPV6 (somente Named ACL), protocolos de transporte (TCP
e UDP), números de portas de protocolos e serviços (Ex.: 21,80,443,25,110...)
e protocolos de aplicação (Ex.:TELNET, FTP, HTTP, SMTP...), protocolos de
roteamento (RIP, OSPF, EIGRP ,BGP...) e por mensagens de ICMP.
 O sentido da regra é um fator importante, ele pode ser de ENTRADA in e de
SAIDA out
 As ACLs são aplicadas à interfaces (Ex.: Fa0/1) e linhas (vty e console)

4. Como funcionam as ACLs?
 IMPORTANTE: Sempre devemos nos posicionar dentro do roteador para
entendermos corretamente o sentido de IN e de OUT da ACL.
 A posição da ACL na LISTA (sequência) também é importante.

5. Tipos de ACLs
Os tipos de ACLs suportados no IOS dos routers Cisco são:
 Standard ACLs ou ACLs padrão
 Extended ACLs ou ACLs estendidas
 Dynamic (lock and key) ACLs
 IP-named ACLs
 Reflexive ACLs
 Time-based ACLs that use time ranges
 Commented IP ACL entries
 Context-based ACLs
 Authentication proxy
 Turbo ACLs
 Distributed time-based ACLs

6. Tipos de ACLs mais comuns
 ACL padrão – Filtram utilizando o endereço IP de origem
 ACL estendida – Filtram tanto pelo IP origem como pelo destino e
também pelos protocolos da camada de transporte (TCP e UDP)
utilizando número de portas
 As ACL padrão ou estendida podem utilizar números (numbered) ou
utilizar nomes (named)
Exemplos:
R1# access-list 10 permit 192.168.10.1 - numerada
R3# ip access-list standard Bloquear_WWW - nomeada

7. ACLS Numeradas
As ACLs numeradas possuem os seguintes intervalos de numeração por tipos
padrão ou estendida (protocolo IP):
 1-99 - ACL Padrão
 100-199 - ACL Estendida
 1300-1999 - ACL Padrão (intervalo adicional)
 2000-2699 - ACL Estendida (intervalo adicional)

8. Considerações sobre ACLs
 Documente e planeje todas suas ACLs, use um editor de textos
 Nunca se esqueça do NEGAR IMPLICITO (e oculto) no final das regras
 As regras são adicionadas ao fim da lista
 Aplique ACLs padrão sempre o mais próximas do destino.
 Aplique ACLs estendidas sempre o mais próximo da origem.
 ACLs que atravessam o roteador e não tem PERMIT são descartadas
 Use comentários em suas ACLs (remark) para facilitar a compreensão

9. Fluxo Lógico das regras de uma ACL
interface
ip

10. Máscaras Coringas – Wildcard Masks
As máscaras coringa ou wildcard masks são utilizadas nas ACLs para
definirmos porções de subredes a redes ou hosts ip, entretanto utilizam um
formato diferenciado da máscara de subredes comum, utilizando-se do 0
ao invés do 1 para definir a porção relativa a subrede, exemplo:
Máscara Coringa Máscara Comum

11. Sintaxe de comandos de ACLs:
ACL PADRÃO:
Router(config)# access-list [1-99] [permit/deny] [host/rede {wildcard}]
Router (config-if)# ip access-group [1-99] [in/out]
ACL ESTENDIDA:
Router(config)# access-list [100-199] [permit/deny] [protocolo] [host/rede
{wildcard} origem] [host/rede {wildcard} destino] [parâmetros do protocolo]

12. Exemplo de uma ACL Padrão
Permita somente o tráfego da rede de origem 192.168.10.0 ser encaminhado por S0/0/0. O tráfego das redes que não
sejam 192.168.10.0 é bloqueado.
Minha rede

13. Exemplos e Casos: ACL Nomeada
Nomes ao invés de números podem ser mais intuitivos. ACL padrão chamada NO_ACCESS

14. Comentando ACLs
Comentar as ACLs com o comando REMARK é outra forma de deixar mais claro para todos, qual a função da ACL

15. Editando uma ACL
Abaixo todo o processo para editar, corrigir ou alterar uma ACL

16. Exemplo de ACL Estendida
Negar TELNET vindo de 192.168.11.0 porém qualquer outro protocolo de qualquer ip é permitido

17. ACLs Complexas
Além das ACL padrão estendida numérica ou nomeada, temos ACL mais especificas que permitem
cenários mais complexos, por exemplo aplicar uma ACL de um determinado tipo de trafego para o setor
de produção de segunda a sexta das 8:00 as 18:00. Este é só um exemplo do poder das ACLs complexas.

18. Exibindo e checando as ACLs
Para visualizar e checar quais as ACLs configuradas no router podemos utilizar alguns
comandos do IOS, sendo importantes também para efetuar troubleshooting. Vejamos:
 show access-list – Exibe todas as listas de acesso e seus parâmetros, menos
interfaces.
 show access-list 110 – Exibe os parâmetros da lista de acesso 110.
 show ip access-list – Exibe as listas de acesso IP configuradas
 show ip interface – Exibe quais interfaces possuem ACLs ativas
 show running-config - Apresenta as configurações das listas de acesso completas

19. Perguntas???

20. OBRIGADO!!!