Criando listas de controlo de acesso (ACL). Parte I

Listas de controlo de acesso, existem em diversas plataformas e sistemas. No nosso caso vamos falar de ACLs em roteadores Cisco.

Uma ACL pode ser definida como um classificador de pacotes. Essa classificação pode ser depois aplicada nao apenas na filtragem de pacotes, mas na encriptação, na qualidade de serviço (QoS), NAT, PAT, DDR etc.

Existem 2 tipos de ACL no cisco IOS: Padrão e estendidas sao as mais usadas. Outros tipos sao as reflexivas, as time-based e as dinamiscas (lock and key).

As ACL padrão sao aquelas que identificam o endereço de origem do pacote e tomam uma decisao de permissao ou negação.
As ACL estendidas sao aquelas que identificam o endereço de origem e de destino bem como protocolos, portas e outros parametros.

As ACL padrão e estendidas podem ser identificadas de 2 formas distintas: Por um intervalo de numeros ou por nome. Sendo assim por numeros, as ACL padrão sao identificadas por 1 a 99 e 1300 a 1999. As ACL estendidas sao identificadas pelos numeros de 100 a 199 e 2000 a 2699.

Por outro lado uma ACL pode também ser identificada por um conjunto de caracteres alfanumericos (string). Isto por vezes facilita bastante na edição ou identificação ou atribuição nas interfaces.

As ACL devem ser implementadas em interfaces e uma interface pode ter varias ACL, mas Somente uma ACL por protocolo, por direcção e claro por interface.

O protocolo pode ser qualquer um pertencente a camada de rede. TCP, UDP ou mesmo ICMP sao válidos. A direcção pode ser inbound (entrada de pacote no roteador) ou outbound (saída de um pacote no roteador).

As vezes é dificil entender a operação de ACLs porque nao se presta atenção a um aspecto muito importante: A sinaxe do comando e o entendimento dos seus parametros.

As listas de acesso padrão possuem o seguinte formato:

access-list access-list-number {deny | permit} source source-wildcard

access-list-number – Numero que pode ser e 1 a 99 ou de 1300 a 1999.
deny                              – Rejeita.
permit                          – Permite.
source                          – Rede, subrede ou host onde o pacote tem origem.
source-wildcard      – A mascara curinga, que identifica que endereços de origem (intervalo) serão classificados.

As listas de acesso estendidas possuem o seguinte formato:

access-list access-list-number {permit | deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]

access-list-number – Numero que pode ser e 100 a 199 ou de 2000 a 2699.
deny                              – Rejeita.
permit                          – Permite.
source                          – Rede, subrede ou host onde o pacote tem origem.
source-wildcard       – A mascara curinga, que identifica que endereços de origem (intervalo) serão classificados.
operator                      – serve para identificar as portas e pode ser um dos seguintes: eq (equal), neq (not equal), range (intervalo), lt (lower than), gt (greater than).
port                               – O porto de saída ou entrada (canal) do pacote da rede de origem ou da rede de destino. Muitas destas portas pertencem ou ao sub-protocolo TCP ou ao UDP. Alguns destes protocolos sao o telnet  (23), ftp (20 e 21), smtp (25), http (80).
destination                 – Rede de destino dos pacotes.
destination-wildcard – A mascara curinga que identifica que endereços de destino (intervalo) serão classificados.

Os parametros established e log serão tratados na segunda parte deste artigo que trará, já exemplos práticos.

2 pensamentos sobre “Criando listas de controlo de acesso (ACL). Parte I

  1. Pingback: Criando listas de controlo de acesso (ACL). Parte II « Nataniel. Notes about IT in Angola

  2. Pingback: Segurança em redes locais III:Criando Time Based ACLs « Nataniel. Notes about IT in Angola

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s