Scribd Logo
Upload

Welcome to Scribd!

  • 5 ACLs PDF

    Uploaded by

    Jose Geraldo Silva Oliveira
    133 views28 pages

    Original Title

    5-ACLs.pdf

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    133 views28 pages

    5 ACLs PDF

    Uploaded by

    Jose Geraldo Silva Oliveira

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 28

    Access Control Lists

    ACL

    Access Control Lists - ACL 1


    Introdução - ACLs

     As Access Control Lists, também conhecidas como "access-


    lists" ou "ACLs", são bastante úteis para a manipulação do
    tráfego, podendo ser empregadas como métodos de packet
    filtering (ou filtro de pacotes), policy-based routing, route-
    maps, class-maps, NAT/PAT, entre outras aplicações.

     A forma mais comum de utilização das ACLs é o filtro de


    pacotes padrão, o que seria um firewall básico filtrando
    pacotes utilizando-se do contexto de endereços de origem e
    destino, assim como portas de origem e destino.

    Access Control Lists - ACL 2


    Porque devemos utilizar Access Control Lists?

     As ACLs possuem múltiplas aplicações, e o emprego destas é


    certamente um dos recursos mais interessantes em roteadores
    e switches. Por exemplo, você poderá configurar ACLs para
    controlar o fluxo de tráfego por aplicação existente na sua
    rede.

     Também é possível configurarmos uma Access Control List


    para impedir que routing updates (aqueles anúncios enviados
    pelos protocolos de roteamento) sejam propagados por uma
    determinada interface. Há ainda as situações em que você
    simplesmente deseja eliminar certos protocolos do seu link de
    WAN, e neste caso as ACLs serviriam muito bem.

    Access Control Lists - ACL 3


    Quando devemos utilizá-las?

     Assim como qualquer outro componente em uma rede, o


    emprego de Access Control Lists deverá ser planejado,
    criteriosamente. Onde se fizer necessário, uma ACL será
    sempre bem vinda. Caso você necessite bloquear um
    determinado host para o acesso à segmentos específicos da
    sua rede, o posicionamento correto de uma access-list
    oferecerá a solução mais rápida, e provavelmente a menos
    custosa.

    Access Control Lists - ACL 4


    Tipos de Access List
     Como base em nossos estudos iremos tratar do modelo
    utilizado pela Cisco.

     O Cisco IOS oferece dois tipos de Access Control Lists (ou


    access-lists): Standard e Extended.

     Existem também as Access Lists conhecidas como "Advanced


    Access-Lists", onde pode-se efetuar a configuração avançada
    para filtros de pacotes.

    Access Control Lists - ACL 5


    ACLs - Roteadores

     Os roteadores fornecem capacidades de filtragem


    básica, como bloqueio de tráfego da Internet, com
    access control lists (ACLs). Uma ACL é um conjunto
    seqüencial de instruções de permissão ou de recusa que
    se aplica a endereços ou protocolos da camada
    superior. Neste capítulo, você aprenderá como usar as
    ACLs padrão e estendidas como meio de controle do
    tráfego na rede, e como as ACLs são usadas como
    parte de uma solução de segurança.

    Access Control Lists - ACL 6


    Razões para se criar ACLs

     Limitar tráfego na rede e aumentar o desempenho da


    rede;

     As ACLs podem designar determinados pacotes para


    serem processados por um roteador antes de outro tráfego,
    com base em um protocolo. Isso é chamado de
    enfileiramento e certifica que os roteadores não
    processarão pacotes que não sejam necessários.
    Como resultado, o enfileiramento limita o tráfego da rede
    e reduz o congestionamento na rede.

    Access Control Lists - ACL 7


    Razões para se criar ACLs

     Fornecer controle de fluxo de tráfego;

     As ACLs podem restringir ou reduzir o conteúdo das


    atualizações de roteamento. Essas restrições são usadas
    para evitar que as informações sobre redes específicas se
    propaguem pela rede.

    Access Control Lists - ACL 8


    Razões para se criar ACLs

     Fornecer um nível básico de segurança para acesso à


    rede;

     Por exemplo, as ACLspodem permitir que um hostacesse


    uma parte de sua rede e impedir que outro host acesse a
    mesma área.

    Access Control Lists - ACL 9


    Razões para se criar ACLs

     Escolha que tipos de tráfego serão encaminhados ou


    bloqueados nas interfaces do roteador;

     Por exemplo, você pode permitir que o tráfego de correio


    eletrônico seja roteado, mas pode, ao mesmo templo,
    bloquear todo o tráfego de telnet.

    Access Control Lists - ACL 10


    O que são ACL’s

     As ACLs são listas de instruções que você aplica à


    interface do roteador.

     Essas listas dizem ao roteador que tipos de pacotes deve


    aceitar e que tipos de pacotes deve recusar.

     A aceitação e a recusa podem ser baseadas em certas


    especificações, como o endereço de origem, endereço
    de destino, protocolo e número da porta (aplicação).

    Access Control Lists - ACL 11


    O que são ACL’s

    Access Control Lists - ACL 12


    Como as ACLs funcionam

    Importante:
    As ACLs não
    são aplicadas a
    tráfego
    originado no
    próprio
    roteador

    Access Control Lists - ACL 13


    Como as ACLs funcionam

    Access Control Lists - ACL 14


    ACL Padrão

     Você usa as ACLs padrão quando deseja bloquear todo


    tráfego de uma rede, permitir todo tráfego de uma rede
    específica ou negar conjuntos de protocolos.

     As ACLs padrão verificam a origem dos pacotes que devem


    ser roteados.

     O resultado permite ou nega a saída de um conjunto inteiro


    de protocolos, baseado nos endereços de host, sub-rede e
    rede

    Access Control Lists - ACL 15


    Criando uma ACL padrão

     Criando uma ACL padrão;

    access-list nº da lista de acesso {deny | permit} origem


    [curinga da origem ] [log]

     Associando a ACL com uma interface

    ip access-group nº da lista de acesso {in | out}

    Access Control Lists - ACL 16


    Mascará Curinga
     Uma máscara-curinga é emparelhada com um
    endereço IP.

     Os números um e zero são usados para identificar como


    lidar com os bits do endereço IP correspondentes.

     Os zeros e uns em uma máscara-curinga determinam se


    os bits correspondentes no endereço IP devem ser
    verificados ou ignorados para as finalidades da ACL.

     Todo bit do endereço IP que corresponder a zero na


    máscara Curinga deverá ser comparado com o bit
    correspondente do IP de origem

    Access Control Lists - ACL 17


    Bits da Mascara Curinga

    Access Control Lists - ACL 18


    Abreviações na Mascara Curinga
     Para os usos mais comuns da máscara-curinga, você
    pode usar abreviações.

    Indicar uma origem IP qualquer;


    access-list 1 permit 0.0.0.0 255.255.255.255
    access-list 1 permit any

    Indicar um host com origem IP


    access-list 1 permit 172.30.16.29 0.0.0.0
    access-list 1 permit host 172.30.16.29

    Access Control Lists - ACL 19


    Exemplo de ACL

    Access Control Lists - ACL 20


    Exemplo de ACL

     1 Número da Lista de Acesso; Indica que esta é uma ACL Padrão.


     Permit Tráfego que corresponder aos parâmetros selecionados
    serão encaminhados.

     172.16.0.0 Endereço IP que será utilizado juntamente com a


    máscara curinga para identificar a rede origem.

     0.0.255.255 Máscara Curinga 0s indicam posições que devem


    corresponder, 1s indicam posições que não importam.

     ip access-group 1 out– Comando que associa a lista de acesso a


    uma interface de saída.

     Esta lista de acesso somente permite que tráfego da rede


    172.16.0.0 seja encaminhado. Tráfego não 172.16.0.0 será
    bloqueado.

    Access Control Lists - ACL 21


    Regras de implantação de Listas de Acesso
     Apenas 1 lista de acesso por interface, protocolo ou direção.

     Novos procedimentos adicionados à lista são colocados no


    final da mesma.

     Não se pode deletar uma linha da lista de acesso.

     A não ser que sua lista termine com permity any, todos os
    pacotes não identificados por alguma linha da lista serão
    descartados.

     Aplique as listas de acesso Padrão o mais próximo do destino


    possível.

     Aplique as listas de acesso estendidas o mais próximo possível


    da origem.

    Access Control Lists - ACL 22


    ACLs Estendida
     As ACLs estendidas são usadas mais freqüentemente para
    testar condições porque elas proporcionam um intervalo
    maior de controle que as ACLs padrão. Elas também podem
    verificar protocolos específicos, números de portas e outros
    parâmetros.

     As ACLs estendidas verificam os endereços de origem e


    destino dos pacotes, podendo agregar protocolos e/ou
    portas lógicas.

     Você usa as ACLs estendidas quando deseja bloquear todo


    tráfego de uma rede, permitir todo tráfego de uma rede
    específica ou negar conjuntos de protocolos.

    Access Control Lists - ACL 23


    Criando uma ACL estendida

     Criando uma ACL estendida


    access-list nº da lista de acesso {permit | deny} protocolo
    source máscara da origem destination máscara do destino
    operador operando [established]

     Associando a ACL com uma interface


    ip access-group nº da lista de acesso {in | out}

    Access Control Lists - ACL 24


    Parâmetros estendidos das ACLs

    Access Control Lists - ACL 25


    Exemplo

    Access Control Lists - ACL 26


    Exemplo de ACL estendida : Recusando o FTP
    para E0

    Access Control Lists - ACL 27


    Verificando ACLs

     O comando show ip interface exibe as informações da


    interface IP e indica se há alguma ACL estabelecida.

     O comando show access-lists exibe o conteúdo de


    todas as ACLs. Inserindo o nome ou número da ACL
    como opção para esse comando, você pode ver uma
    lista específica.

    Access Control Lists - ACL 28

    You might also like