cap 7

Prévia do material em texto

Capítulo 7: listas de controle de acesso
Uma das habilidades mais importantes para um administrador de rede é o domínio de Listas de controle de acesso (ACLs). Os ACLs fornecem segurança para uma rede.
Projetistas de rede usam firewall para proteger redes de uso não autorizado. Firewalls são soluções de hardware ou software que aplicam políticas de segurança de rede. Considere um cadeado em uma porta para uma sala dentro de um prédio. O cadeado permite que somente os usuários autorizados com uma chave ou cartão de acesso passem através da porta. Da mesma forma, um firewall filtra a entrada de pacotes não autorizados ou potencialmente perigosos na rede.
Em um roteador Cisco, você pode configurar um firewall simples que fornece recursos de filtragem básica que usam ACLs. Administradores usam ACLs parar interromper o tráfego ou permitir somente o tráfego autorizado em suas redes.
Este capítulo explica como configurar e solucionar problemas das ACLs IPv4 padrão em um roteador Cisco como parte de uma solução de segurança. Ele contém dicas, considerações, recomendações e orientações sobre como usar ACLs. Além disso, este capítulo apresenta uma oportunidade de desenvolver seu domínio das ACLs com uma série de aulas, atividades e exercícios de laboratório.
Permita-me ajudá-lo maiuscula 
Permita-me ajudá-lo
Cenário
Cada indivíduo na turma escreverá as cinco perguntas que gostaria de fazer aos candidatos que solicitam uma autorização de segurança para o cargo de assistente de rede em empresas de pequeno a médio porte. A lista de perguntas deve estar na ordem de importância para selecionar um bom candidato para o trabalho. As respostas preferidas também serão escritas.
Dois entrevistadores desta classe serão selecionados. O processo de entrevistas começará. Os candidatos terão a oportunidade de passar para o próximo nível de perguntas com base nas suas respostas às perguntas dos entrevistadores.
Consulte o PDF de acompanhamento para obter informações adicionais para esta atividade.
Toda a turma se reunirá e discutirá as observações sobre o processo para permitir ou recusar a oportunidade de prosseguir para o próximo nível de entrevistas.
Atividade de aula - Instruções de Permita-me ajudá-lo
Permita-me ajudá-lo
Permita-me ajudá-lo
Cenário
Cada indivíduo na turma escreverá as cinco perguntas que gostaria de fazer aos candidatos que solicitam uma autorização de segurança para o cargo de assistente de rede em empresas de pequeno a médio porte. A lista de perguntas deve estar na ordem de importância para selecionar um bom candidato para o trabalho. As respostas preferidas também serão escritas.
Dois entrevistadores desta classe serão selecionados. O processo de entrevistas começará. Os candidatos terão a oportunidade de passar para o próximo nível de perguntas com base nas suas respostas às perguntas dos entrevistadores.
Consulte o PDF de acompanhamento para obter informações adicionais para esta atividade.
Toda a turma se reunirá e discutirá as observações sobre o processo para permitir ou recusar a oportunidade de prosseguir para o próximo nível de entrevistas.
Atividade de aula - Instruções de Permita-me ajudá-lo
O que é uma ACL?
Uma ACL é uma série de comandos de IOS que controlam se um roteador encaminha ou elimina pacotes com base nas informações encontradas no cabeçalho do pacote. As ACLs estão entre os recursos do software IOS CISCO usados com mais frequência.
Quando configuradas, as ACLs executam as seguintes tarefas:
	Limitam o tráfego e aumentam o desempenho da rede. Por exemplo, se a política corporativa não permite tráfego de vídeo na rede, as ACLs que bloqueiam tráfego de vídeo podem ser configuradas e aplicadas. Isso reduziria significativamente a carga da rede e aumentaria o desempenho da rede.
	Fornecer controle de fluxo de tráfego. As ACLs podem restringir o fornecimento de atualizações de roteamento para garantir que as atualizações sejam de uma fonte conhecida.
	Fornecer um nível básico de segurança para acesso à rede. As ACLs podem permitir que um host acesse uma parte da rede e impedir que outro host acesse a mesma área. Por exemplo, o acesso à rede de Recursos Humanos poderá ser restrito a usuários autorizados.
	Filtram tráfego com base no tipo de tráfego. Por exemplo, uma ACL pode permitir tráfego de correio eletrônico, mas bloquear todo o tráfego de Telnet.
	Selecionam hosts para permitir ou negar acesso aos serviços de rede. As ACLs podem permitir ou negar a um usuário o acesso a tipos de arquivo, como FTP ou HTTP.
Por padrão, um roteador não tem ACLs configuradas; portanto, por padrão um roteador não filtra o tráfego. O tráfego que entra no roteador é instalado somente com base nas informações na tabela de roteamento. Entretanto, quando uma ACL for aplicada a uma interface, o roteador executará a tarefa adicional de avaliar todos os pacotes de rede que passam pela interface para determinar se o pacote pode ser enviado.
Além da permissão ou negação de tráfego, as ACLs podem ser usadas selecionando tipos de tráfego que serão analisados, enviados ou processados de outras formas. Por exemplo, as ACLs podem ser usadas para classificar o tráfego para ativar o processamento de prioridade. Esse recurso é semelhante a ter um ingresso VIP em um show ou em evento esportivo. O ingresso VIP fornece aos convidados selecionados os privilégios não oferecidos aos portadores de bilhetes de admissão geral, como a entrada prioritária ou possibilidade de entrar em uma área restrita.
A figura mostra uma amostra de topologia com ACLs aplicadas.
Filtragem de pacotes
Uma ACL é uma lista sequencial de instruções de permissão ou de negação, conhecidas como entradas de controle de acesso (ACEs). As ACEs também são chamadas de instruções da ACL. Quando o tráfego da rede passa através de uma interface configurada com uma ACL, o roteador compara as informações no pacote com cada ACE, em ordem sequencial, para determinar se o pacote corresponde a uma das ACEs. Esse processo é chamado de filtragem de pacote.
A filtragem de pacotes controla o acesso a uma rede analisando os pacotes de entrada e saída e encaminhando ou rejeitando-os com base nos critérios fornecidos. A filtragem de pacotes pode ocorrer na camada 3 ou camada 4, como mostrado na figura. As ACLs padrão filtram somente na camada 3. As ACLs estendidas filtram nas camadas 3 e 4.
Nota: as ACLs estendidas não estão no escopo deste curso.
O endereço IPv4 de origem é um critério de filtragem definido em cada ACE de uma ACL IPv4 padrão. Um roteador configurado com uma ACL IPv4 padrão extrai o endereço IPv4 de origem do cabeçalho do pacote. O roteador começa na parte superior da ACL e compara o endereço com cada ACE sequencialmente. Quando houver correspondência, o roteador realizará a instrução, permitindo ou negando o pacote. Depois que uma correspondência for feita, as ACEs restantes na ACL, se houver, não serão analisadas. Se o endereço IPv4 de origem não corresponder a nenhuma ACE na ACL, o pacote será descartado.
A última instrução de uma ACL é sempre um deny implícito. Esta instrução é automaticamente inserida no final de cada ACL, embora não esteja fisicamente presente. O deny implícito bloqueia todo o tráfego. Devido a este deny implícito, uma ACL que não tenha pelo menos uma instrução de permissão bloqueará todo o tráfego.
Operação ACL
As listas de acesso expressam o conjunto de regras que permitem maior controle dos pacotes que chegam às interfaces de entrada, pacotes que são retransmitidos através do roteador e pacotes que saem das interfaces do roteador. As ACLs não atuam em pacotes que se originam do roteador.
Os ACLs podem ser configurados para serem aplicados ao tráfego de entrada e de saída, como mostrado na figura.
	ACLs de entrada - os pacotes de entrada são processados antes de serem roteados para a interface de saída. Uma ACL de entrada é eficiente porque salva a sobrecarga de pesquisas de roteamento se o pacote é descartado. Se o pacote for permitido pela ACL, ele será processado para roteamento. As ACLs de entrada são mais usadaspara filtrar pacotes quando a rede conectada a uma interface de entrada é a única origem dos pacotes que precisa ser examinada.
	ACLs de saída - os pacotes de entrada são encaminhados para a interface de saída e processados em seguida por meio da ACL de saída. As ACLs de saída são mais usadas quando o mesmo filtro é aplicado aos pacotes que vêm de várias interfaces de entrada antes de saírem da mesma interface de saída.
	
Apresentação da máscara curinga na ACL
Máscaras curinga
As ACEs IPv4 incluem o uso de máscaras curinga. Uma máscara curinga é uma sequência de 32 dígitos binários usados pelo roteador para determinar que bits do endereço serão examinados para uma correspondência.
Como ocorre com as máscaras de sub-rede, os números 1 e 0 na máscara curinga identificam como lidar com os bits correspondentes do endereço IPv4. Porém, em uma máscara curinga, esses bits são usados para fins diferentes e seguem regras diferentes.
As máscaras de sub-rede usam os binários 1 e 0 para identificar a rede, sub-rede e a parte de host de um endereço IPv4. As máscaras curinga utilizam os binários 1 e 0 para filtrar endereços IPv4 individuais ou grupos de endereços IPv4 para permitir ou negar acesso a recursos.
As máscaras curinga e as máscaras de sub-rede diferem na maneira de corresponder ao binário 1s e 0s. As máscaras curinga utilizam as seguintes regras para corresponder ao binário 1s e 0s:
	Máscara curinga 0 - verifica o valor de bit correspondente no endereço.
	Máscara curinga 1 - ignora o valor de bit correspondente no endereço.
A figura 1 mostra como diferentes máscaras curingas filtram os endereços IPv4. No exemplo, lembre-se de que o binário 0 significa um bit que deve coincidir, e o binário 1 significa um bit que pode ser ignorado.
As máscaras curinga são normalmente chamadas de máscaras inversas. A razão é que, diferentemente de uma máscara de sub-rede em que binário 1 é igual a uma correspondência e o binário 0 não é uma correspondência, em uma máscara curinga ocorre o contrário isso.
Utilização de uma máscara curinga
A tabela na figura 2 mostra os resultados de aplicar uma máscara curinga 0.0.255.255 a um endereço IPv4 de 32 bits. Lembre-se de que um 0 binário exibe um valor que será associado.
Observação: ao contrário de IPv4, a ACL IPv6 não usa máscaras curinga. Em vez de isso, o prefix-length é usado para indicar o quanto de um endereço origem ou destino IPv6 deve ser combinado. Os ACLs IPv6 estão além do escopo deste curso.
	
Cálculo da máscara curinga
Calcular as máscaras curinga pode ser um desafio. Um método de atalho é subtrair a máscara de sub-rede de 255.255.255.255.
Cálculo da máscara curinga: Exemplo 1
No primeiro exemplo da figura, considere que você quer permitir acesso a todos os usuários da rede 192.168.3.0. Como a máscara de sub-rede é 255.255.255.0, você poderia subtrair de 255.255.255.255 a máscara de sub-rede 255.255.255.0. A solução produz a máscara curinga 0.0.0.255.
Cálculo da máscara curinga: Exemplo 2
No segundo exemplo da figura, considere que você quer permitir acesso à rede para 14 usuários na sub-rede 192.168.3.32/28. A máscara de sub-rede para a sub-rede de IPv4 é 255.255.255.240, portanto subtraia de 255.255.255.255 a máscara de sub-rede 255.255.255.240. A solução desta vez produz a máscara curinga 0.0.0.15.
Cálculo da máscara curinga: Exemplo 3
No terceiro exemplo na figura, considere que você desejasse corresponder apenas as redes 192.168.10.0 e 192.168.11.0. Novamente, você subtrai de 255.255.255.255 a máscara de sub-rede regular que, nesse caso, seria 255.255.254.0. O resultado é 0.0.1.255.
Você pode obter o mesmo resultado com instruções como as duas mostradas abaixo:
R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255
R1(config)# access-list 10 permit 192.168.11.0 0.0.1.255
É muito mais eficiente configurar a máscara curinga da seguinte forma:
R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255
Considere um exemplo em que você precisa corresponder redes no intervalo entre 192.168.16.0/24 e 192.168.31.0/24. Essas redes seriam resumidas para 192.168.16.0/20. Nesse caso, 0.0.15.255 é a máscara curinga correta para configurar uma instrução eficiente da ACL, como mostrado abaixo:
R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255
																																													
Palavras-chave de máscara curinga
Trabalhar com representações decimais de bits binários de máscara curinga pode ser entediante. Para simplificar a tarefa, as palavras-chaves host e any ajudam a identificar os usos mais comuns de máscara curinga. Essas palavras-chave eliminam as máscaras curinga durante a identificação de um host específico ou toda uma rede. Essas palavras-chave também facilitam a leitura de uma ACL, fornecendo dicas visuais quanto aos critérios de origem ou destino.
A palavra-chave host substitui a máscara 0.0.0.0. Essa máscara indica que todos os bits do endereço IPv4 precisam corresponder para filtrar apenas um endereço de host.
A opção any substitui o endereço IPv4 e a máscara 255.255.255.255. Essa máscara instrui o sistema a ignorar todo o endereço IPv4 ou a aceitar qualquer endereço.
Exemplo 1: Processo de máscara curinga com um endereço IPv4 exclusivo
No exemplo da figura 1, em vez de inserir 192.168.10.10 0.0.0.0, você pode usar host 192.168.10.10.
Exemplo 2: Processo de máscara curinga com um endereço IPv4 Match Any
No exemplo da figura 2, em vez de inserir 0.0.0.0 255.255.255.255, você pode usar a palavra-chave any sozinha.
																								
Exemplos de palavra-chave de máscara curinga
O exemplo na figura 1 mostra como usar a palavra-chave any para substituir o endereço IPv4 0.0.0.0 por uma máscara curinga de 255.255.255.255.
O Exemplo 2 mostra como usar a palavra-chave host para substituir a máscara curinga ao identificar um único host.
Observação: a sintaxe para configurar ACLs IPv4 padrão é abordada mais adiante neste capítulo.
																											
	
													
			
																								
Orientações gerais para criar ACLs
A gravação de ACLs pode ser uma tarefa complexa. Para cada interface pode haver várias políticas necessárias para gerenciar o tipo de tráfego permitido para entrar e sair dessa interface. O roteador na figura tem duas interfaces configuradas para IPv4 e IPv6. Se nós precisarmos de ACLs para os dois protocolos, em ambas as interfaces e em ambas as direções, isso exigiria oito ACLs separadas. Cada interface teria quatro ACLs; duas ACLs para IPv4 e duas ACLs para o IPv6. Para cada protocolo, uma ACL é para tráfego de entrada e uma para o tráfego de saída.
Observação: as ACLs não precisam ser configuradas em ambas as direções. O número de ACLs e a direção aplicada à interface dependerão dos requisitos que estão sendo implementados.
Aqui estão algumas diretrizes para o uso de ACLs:
	Use as ACLs em roteadores com firewall posicionados entre a rede interna e uma rede externa como a Internet.
	Use as ACLs em um roteador posicionado entre duas partes da rede para controlar o tráfego que chega ou sai de uma determinada parte da rede interna.
	Configure ACLs em roteadores de borda, isto é, roteadores situados nas bordas de suas redes. Isso fornece um buffer muito básico de rede externa, ou entre uma área menos controlada da sua própria rede e uma área mais delicada de sua rede.
	Configure ACLs para cada protocolo de rede configurado nas interfaces do roteador de borda.
Regras para aplicar ACLs
Você pode configurar uma ACL por protocolo, por direção, por interface:
	Uma ACL por protocolo - Para controlar o fluxo de tráfego em uma interface, deve-se definir uma ACL para cada protocolo ativado na interface.
	Uma ACL por direção - As ACLs controlam o tráfego em uma direção de cada vez em uma interface. Duas ACLs separadas devem ser criadas para controlar o tráfego de entrada e de saída.
	Uma ACL por interface - As ACLs controlam o tráfego de uma interface, por exemplo, GigabitEthernet 0/0.
Práticas recomendadas de ACL
Usar ACLs exige atenção aos detalhes e muito cuidado. Os erros podem ser caros emtermos de inatividade, esforços de identificação e solução de problemas, e serviços de rede. Antes de configurar uma ACL, é necessário planejamento básico. A figura apresenta diretrizes que formam a base de uma lista das práticas recomendadas da ACL.
																																								
	
Onde posicionar as ACLs
A colocação correta de uma ACL pode fazer com que a rede opere com mais eficiência. Uma ACL pode ser posicionada para reduzir o tráfego desnecessário. Por exemplo, o tráfego que será negado em um destino remoto não deve ser encaminhado usando recursos de rede na rota para esse destino.
Cada ACL deve ser posicionada onde há maior impacto sobre o aumento da eficiência. Como mostra a figura, as regras são:
	ACLs estendidas - Localize as ACLs estendidas o mais perto possível da origem de tráfego a ser filtrado. Dessa forma, o tráfego não desejado é negado perto da rede de origem sem atravessar a infraestrutura de rede.
	ACLs padrão - Como as ACLs padrão não especificam endereços de destino, coloque-as o mais perto possível do destino. Colocar uma ACL padrão na origem do tráfego impedirá, com eficiência, que o tráfego acesse todas as outras redes através da interface onde é aplicada a ACL.
O posicionamento das ACLs e portanto o tipo de ACL usado também podem depender de:
	A extensão de controle do administrador da rede - a colocação ACL pode depender se o administrador de rede tem controle sobre as redes de origem e de destino.
	Largura de banda de redes envolvidas - a filtragem de tráfego não desejado na origem impede a transmissão de tráfego antes que ele consuma largura de banda no caminho para um destino. Isso é especialmente importante em redes de largura de banda baixa.
	Facilidade de instalação - se um administrador de rede quiser negar o tráfego proveniente de redes, uma opção é usar uma única ACL padrão no roteador o mais próximo do destino. A desvantagem é que o tráfego dessas redes usará a largura de banda desnecessariamente. Uma ACL estendida pode ser usada em cada roteador onde o tráfego é originado. Isso poupará a largura de banda filtrando o tráfego na origem, mas exigirá a criação de ACLs estendidas em vários roteadores.
Observação: embora as ACLs estendidas não estejam no escopo da prova ICND1/CCENT, você precisa saber a orientação para posicionar ACLs padrão e estendidas. Para a certificação CCNA, a regra geral é que as ACLs estendidas sejam colocadas o mais próximo possível da origem e as ACLs padrão sejam posicionadas o mais próximo possível ao destino.
																										
Posicionamentos de ACL padrão
A topologia na figura é usada para demonstrar como uma ACL padrão pode ser colocada. O administrador deseja impedir que o tráfego originado na rede 192.168.10.0/24 acesse a rede 192.168.30.0/24.
Seguindo as diretrizes básicas de posicionamento da ACL padrão, colocando-a próximo ao destino, a figura mostra duas interfaces possíveis em R3 para aplicar a ACL padrão:
	Interface de S0/0/1 do R3 - A aplicação de uma ACL padrão para evitar a entrada do tráfego de 192.168.10.0/24 na interface S0/0/1 impedirá que esse tráfego alcance a rede 192.168.30.0/24 e todas as outras redes alcançáveis por R3. Isso inclui a rede 192.168.31.0/24. Como a intenção da ACL é filtrar o tráfego destinado apenas para 192.168.30.0/24, uma ACL padrão não deve ser aplicada a esta interface.
	Interface de R3 Gi0/0 - A aplicação da ACL padrão ao tráfego que sai da interface Gi0/0 filtra pacotes de 192.168.10.0/24 para 192.168.30.0/24. Isso não afetará outras redes acessíveis por R3. Os pacotes de 192.168.10.0/24 ainda poderão acessar 192.168.31.0/24.
		
																												
Sintaxe numerada da ACL IPv4 padrão
Para usar ACLs padrão numeradas em um roteador Cisco, você deve primeiro criar a ACL padrão e depois ativá-la em uma interface.
O comando de configuração global access-list define uma ACL padrão com um número entre 1 e 99. O software IOS Cisco versão 12.0.1 estendeu esses números, permitindo que 1300 a 1999 fossem usados para ACL padrão. Dessa forma, é possível ter um máximo de 798 ACLs padrão possíveis. Esses números adicionais são chamados de ACLs de IPv4 expandido.
A sintaxe completa do comando para criar uma ACL padrão é a seguinte:
Router(config)# access-list access-list-number { deny | permit | remark } fonte [ source-wildcard ][ log ]
A Figura 1 fornece uma explicação detalhada da sintaxe da ACL padrão.
ACEs podem negar ou permitir um host individual ou intervalo de endereços de host. Para criar uma instrução de host na ACL numerada 10 que permita um host específico com o endereço IPv4 192.168.10.10, você deve inserir:
R1(config)# access-list 10 deny host 192,168.10.10
Como mostrado na Figura 2, para criar uma instrução que permita um intervalo de endereços IPv4 em uma ACL numerada 10 e todos os endereços IPv4 na rede 192.168.10.0/24, você deve inserir:
R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
Para remover a ACL, o comando global de configuração no access-list é utilizado. A emissão do comando show access-list confirma que a lista de acesso 10 foi removida.
Normalmente, quando um administrador criar uma ACL, a finalidade de cada instrução é conhecida e compreendida. Entretanto, para garantir que o administrador e outros recordem a finalidade de uma instrução, é necessário incluir anotações. A palavra-chave remark é usada para a documentação e facilita muito a compreensão da lista de acesso. Cada observação é limitada a 100 caracteres. A ACL na figura 3, embora bastante simples, é utilizada como um exemplo. Durante a revisão da ACL na configuração usando o comando show running-config, as observações também são exibidas.
	
																		Aplicar ACLs IPv4 às interfaces padrão
Após a configuração de uma ACL IPv4 padrão, ela é vinculada a uma interface usando o comando ip access-group no modo configuração de interface:
Router(config-if)# ip access-group { access-list-number | access-list-name } { in | out }
Para remover uma ACL de uma interface, insira o comando no ip access-group na interface e insira no comando global no access-list para remover a ACL inteira.
A figura 1 lista as etapas e a sintaxe para configurar e aplicar uma ACL padrão numerada em um roteador.
A figura 2 mostra um exemplo de uma ACL projetada para permitir uma única rede.
Essa ACL permite que apenas o tráfego da rede 192.168.10.0 de origem seja enviado para fora da interface S0/0/0. O tráfego proveniente de redes diferentes de 192.168.10.0 será bloqueado.
A primeira linha identifica a ACL como a lista de acesso 1. Ela permite o tráfego que corresponde aos parâmetros selecionados. Nesse caso, o IPv4 IP e a máscara curinga que identificam a rede de origem são 192.168.10.0 0.0.0.255. Lembre-se de que existe uma instrução implícita deny all que equivale a adicionar a linha access-list 1 deny 0.0.0.0 255.255.255.255 ou access-list deny any ao final da ACL.
O comando de configuração da interface ip access-group 1 out vincula e conecta a ACL 1 à interface serial 0/0/0 como um filtro de saída.
Portanto, a ACL 1 só permite que os hosts da rede 192.168.10.0/24 saiam do roteador R1. Ela nega qualquer outra rede que inclua a rede 192.168.11.0
														
Exemplos numerados da ACL IPv4 padrão
A figura 1 mostra um exemplo de uma ACL que permite uma exceção específica da sub-rede de um host específico nessa sub-rede.
O primeiro comando exclui a versão anterior da ACL 1. A próxima instrução da ACL nega o host de PC1 localizado em 192.168.10.10. Todos os outros hosts na rede 192.168.10.0/24 são permitidos. Novamente, a instrução implícita deny associa todas as outras redes.
A ACL for reaplicada para conectar S0/0/0 em uma direção de saída.
A figura 2 mostra um exemplo de ACL que nega um host específico. Essa ACL substitui o exemplo anterior. Este exemplo ainda bloqueia o tráfego do host do PC1, mas permite todos os demais tráfegos.
Os dois primeiros comandos são os mesmos que os do exemplo anterior. O primeiro comando exclui a versão anterior da ACL 1 e a próxima instrução da ACL negao host do PC1 localizado em 192.168.10.10.
A terceira linha é nova e permite todos os outros hosts. Isso significa que todos os hosts da rede 192.168.10.0/24 estarão habilitados, com exceção do PC1, que foi negado na instrução anterior.
Essa ACL é aplicada à interface Gi0/0 na direção de entrada. Como o filtro afeta apenas a LAN 192.168.10.0/24 em Gi0/0, é mais eficiente aplicar a ACL à interface de entrada. A ACL pode ser aplicada à direção de saída de S0/0/0, mas por outro lado o R1 teria que examinar os pacotes de todas as redes que incluem 192.168.11.0/24.
Sintaxe nomeada da ACL IPv4 padrão
Nomear uma ACL facilita entender sua função. Quando você identifica a ACL com um nome em vez de com um número, o modo de configuração e a sintaxe de comando são ligeiramente diferentes.
A figura 1 mostra as etapas necessárias para criar uma ACL padrão.
Passo 1. Começando com o modo de configuração global, use o comando ip access-list para criar uma ACL nomeada. Os nomes das ACLs são alfanuméricos, diferenciam maiúsculas de minúsculas e devem ser exclusivos. O comando ip access-list standard Nome é usado para criar uma ACL padrão nomeada. Após inserir o comando, o roteador estará no modo de configuração de ACL (nacl) nomeada padrão conforme indicado pelo segundo prompt na Figura 1.
Observação: as ACLs numeradas usam o comando de configuração global access-list, enquanto as ACLs IPv4 usam o comando ip access-list.
Passo 2. No modo de configuração de ACL nomeada, use as instruções permit ou deny para especificar uma ou mais condições que determinem se um pacote é encaminhado ou descartado. Você pode usar remark para adicionar um comentário à ACL.
Passo 3. Aplique a ACL a uma interface usando o ip access-group Nome . Especifique se a ACL deve ser aplicada aos pacotes conforme entram na interface (in) ou conforme eles saem da interface (out).
A figura 2 mostra os comandos usados para configurar uma ACL padrão nomeada no roteador R1, interface Gi0/0, que nega o acesso do host 192.168.11.10 à rede 192.168.10.0. A ACL é chamada de NO_ACCESS.
Não é necessário nomear as ACLs com letras maiúsculas, porém dessa forma elas se destacam na exibição da saída running-config. Isso torna menos provável a criação acidental de duas ACLs diferentes com o mesmo nome, mas com uso diferente de maiúsculas e minúsculas.
Método 1: usar um editor de texto
Depois da familiarização com a criação e edição de ACLs, pode ser mais fácil criar a ACL usando um editor de texto como o Bloco de Notas da Microsoft. Isso permite criar ou editar a ACL e colá-la na interface do roteador. Para uma ACL existente, use o comando show running-config para exibir a ACL, copie e cole no editor de texto, faça as alterações necessárias e cole-a na interface do roteador.
Configuração: Por exemplo, suponha que o host IPv4 na figura tenha sido inserido incorretamente. Em vez do host de 192.168.10.99, deveria ter sido o host de 192.168.10.10. Estas são as etapas para editar e corrigir a ACL 1:
Passo 1. Exiba as ACLs usando o comando show running-config. O exemplo na figura usa a palavra-chave include para exibir apenas as ACEs.
Passo 2. Realce a ACL, copie-a e cole-a no Bloco de Notas da Microsoft. Edite a lista conforme necessário. Depois que a ACL for exibida corretamente no Bloco de Notas da Microsoft, realce-a e copie-a.
Passo 3. No modo configuração global, remova a lista de acesso usando o comando no access-list 1. Caso contrário, as novas instruções serão adicionadas à ACL existente. Cole a nova ACL na configuração do roteador.
Passo 4. Utilizando o comando show running-config, verifique as alterações
Deve-se mencionar que, quando você usa o comando no access-list, as versões diferentes do software IOS têm comportamento diferente. Se a ACL excluída ainda for aplicada a uma interface, algumas versões do IOS agirão como se nenhuma ACL estivesse protegendo a sua rede, enquanto outras recusarão todo o tráfego. Por esse motivo, é uma boa prática remover a referência à lista de acesso da interface antes de modificar a lista de acesso. Em caso de erros na nova lista, desative-a e solucione o problema. Nessa instância, a rede não tem ACLs durante o processo de correção.
	
Método 2 - Use números de sequência
Como mostrado na figura, a configuração inicial da ACL 1 incluía uma instrução de host para o host 192.168.10.99. Isso era um erro. O host deve ter sido configurado como 192.168.10.10. Para editar a ACL que usa números de sequência, siga estas etapas:
Passo 1. Indique a ACL atual usando o comando show access-lists 1. A saída desse comando será discutida com mais detalhes nesta seção. O número de sequência é exibido no início de cada instrução. O número de sequência foi atribuído automaticamente quando a instrução da lista de acesso foi inserida. Observe que a instrução configurada incorretamente tem o número de sequência 10.
Passo 2. Digite o comando ip access-lists standard, que é usado para configurar as ACLs nomeadas. O número 1 da ACL é usado como o nome. Primeiro a instrução errada precisa ser excluída com o uso do comando no 10, em que 10 corresponde ao número de sequência. Em seguida, uma nova instrução com número de sequência 10 é adicionada usando o comando 10 deny host 192.168.10.10.
Observação: as instruções não podem ser substituídas usando o mesmo número sequencial como uma instrução existente. A instrução atual deve ser excluída primeiro, então a nova poderá ser adicionada.
Passo 3. Verifique as alterações usando o comando show access-lists.
Conforme discutido anteriormente, o IOS Cisco executa uma lógica interna para listas de acesso padrão. A ordem na qual as ACEs padrão são adicionadas não pode ser a ordem em que estão armazenadas, exibidas ou processadas pelo roteador. O comando show access-lists exibe as ACEs com seus números de sequência.
																						
Edição das ACLs padrão nomeadas
No exemplo anterior, os números de sequência foram usados para editar uma ACL IPv4 padrão numerada. Referindo-se aos números de sequência de instrução, as instruções individuais podem ser facilmente introduzidas ou excluídas. Este método também pode ser usado para editar as ACLs padrão.
A figura mostra um exemplo de inserção de uma linha a uma ACL nomeada.
	Na primeira saída do comando show, você pode ver que a ACL nomeada NO_ACCESS tem duas linhas numeradas indicando regras de acesso para uma estação de trabalho com um endereço IPv4 192.168.11.10.
	Do modo de configuração da lista de acesso nomeada, as instruções podem ser inseridas ou removidas.
	Para adicionar uma instrução para negar outra estação de trabalho, será necessário incluir uma linha numerada. No exemplo, a estação de trabalho com endereço IPv4 192.168.11.11 está sendo adicionada usando um novo número de sequência 15.
	A saída final do comando show verifica se a nova estação de trabalho agora teve acesso negado.
Observação: no modo de configuração de lista de acesso nomeado, use o comando no sequence-number para excluir rapidamente as instruções individuais.
							
		Verificando ACLs
Como mostrado na figura 1, o comando show ip interface é usado para verificar a ACL na interface. A saída desse comando inclui o número ou o nome da lista de acesso e a direção em que a ACL foi aplicada. A saída mostra que o roteador R1 tem a lista de acesso 1 aplicada à sua interface de saída S0/0/0 e a lista de acesso NO_ACCESS aplicada à interface g0/0 também no sentido de saída.
O exemplo na figura 2 mostra o resultado da emissão do comando show access-lists no roteador R1. Para ver uma lista de acesso individual use o comando show access-lists seguido pelo número ou nome da lista de acesso. As instruções de NO_ACCESS podem parecer estranhas. Observe que o número de sequência 15 será exibido antes do número de sequência 10. Este é um resultado do processo interno do roteador e será discutido posteriormente nesta seção.
Estatísticas de ACL
Quando a ACL for aplicada a uma interface e alguns testes ocorrerem, o comando show access-lists exibirá estatísticas para cada instrução que tenha sido associada.Na saída na figura 1, observe que algumas das instruções foram combinadas. Quando é gerado o tráfego que deve corresponder a uma instrução da ACL, as correspondências mostradas na saída do comando show access-lists devem aumentar. Neste exemplo, se um ping for emitido do PC1 para o PC3 ou PC4, a saída exibirá um aumento nas correspondências para a instrução deny da ACL 1.
As instruções permit e deny acompanharão as estatísticas de correspondências; entretanto, lembre-se de que cada ACL tem um deny implícito como última instrução. Essa instrução não aparecerá no comando show access-lists, portanto as estatísticas dessa instrução não serão exibidas. Para exibir estatísticas para a instrução deny any implícito, a instrução pode ser configurada manualmente e aparecerá no resultado.
Durante o teste de uma ACL, os contadores podem ser apagados com o comando clear access-list counters. Esse comando pode ser utilizado sozinho ou com o número ou o nome de uma ACL específica. Como mostrado na figura 2, esse comando zera os contadores da estatística para uma ACL.
O comando access-class
Você pode melhorar a segurança das linhas administrativas restringindo o acesso de VTY. A restrição ao acesso a VTY é uma técnica que permite definir qual endereço IP tem acesso remoto permitido ao processo EXEC do roteador. Você pode especificar quais endereços IP poderão ter acesso remoto ao seu roteador com um ACL e uma declaração access-class configurados nas suas linhas VTY. Use essa técnica com SSH para melhorar ainda mais a segurança administrativa de acesso.
O comando access-class configurado no modo de configuração de linha restringe as conexões de entrada e saída entre um determinado VTY (em um dispositivo da Cisco) e os endereços de uma lista de acesso.
A sintaxe do comando access-class é:
Router(config-line)# access-class access-list-number { in [ vrf-also ] | out }
O parâmetro in restringe conexões de entrada entre os endereços na lista de acesso e o dispositivo da Cisco, enquanto o parâmetro out restringe conexões de saída entre um dispositivo da Cisco específico e os endereços na lista de acesso.
Um exemplo que permite que um intervalo de endereços acesse as linhas 0 a 4 de VTY é mostrado na figura 1. A ACL na figura é configurada para permitir que a rede 192.168.10.0 acesse as linhas 0 a 4 de VTY, mas negue todas as outras redes.
Deve-se considerar o seguinte ao se configurar listas de acesso em VTY:
	As listas de acesso nomeadas e numeradas podem ser aplicadas aos VTYs.
	Restrições idênticas devem ser definidas em todas as VTYs, pois um usuário pode tentar se conectar a qualquer uma delas.
Use o verificador de sintaxe da figura 2 para praticar a proteção do acesso a VTY.
Observação: as listas de acesso aplicam-se a pacotes que passam através de um roteador. Elas não se destinam a bloquear pacotes originados dentro do roteador. Por padrão, uma ACL de saída não impede conexões de acesso remoto iniciadas do roteador.
Verificar se a porta VTY está protegida
Depois que a ACL para restringir o acesso às linhas de VTY é configurada, é importante verificar se está funcionando conforme esperado. A figura mostra dois dispositivos que tentam se conectar ao R1 usando SSH. A lista de acesso 21 foi configurada nas linhas de VTY no R1. O PC1 é bem-sucedido, enquanto o PC2 não estabelece uma conexão SSH. Esse é o comportamento esperado, porque a lista de acesso permite o acesso a VTY a partir da rede 192.168.10.0/24, negando todos os outros dispositivos.
O resultado para R1 mostra a consequência da emissão do comando show access-lists após as tentativas de SSH pelo PC1 e pelo PC2. A correspondência na linha de permissão de saída é resultado de uma conexão bem-sucedida pelo PC1 com SSH. A correspondência na instrução deny é consequência da tentativa malsucedida de criar uma conexão SSH pelo PC2, um dispositivo na rede 192.168.11.0/24.
O Deny Any implícito
Uma ACL de entrada única com apenas uma entrada recusada tem o efeito de recusar todo o tráfego. Pelo menos uma ACE de permissão deve ser configurada em uma ACL ou todo o tráfego será bloqueado.
Para a rede da figura, a aplicação da ACL 1 ou ACL 2 à interface S0/0/0 do R1 no sentido de saída tem o mesmo efeito. A rede 192.168.10.0 terá permissão para acessar as redes alcançáveis por meio de S0/0/0, enquanto 192.168.11.0 não será habilitada para acessar essas redes. Na ACL 1, se um pacote não corresponder à instrução permit, ele é descartado.
O pedido de ACEs em uma ACL
O IOS Cisco aplica a lógica interna ao aceitar e processar ACEs padrão. Conforme discutido anteriormente, as ACEs são processadas sequencialmente; portanto, a ordem em que as ACEs são adicionadas é importante.
Por exemplo, na figura 1, a ACL 3 contém duas ACEs. A primeira ACE utiliza uma máscara curinga para negar um intervalo de endereços, que inclui todos os hosts da rede 192.168.10.0/24. A segunda ACE é uma instrução de host que examina um host específico, 192.168.10.10, que pertence à rede 192.168.10.0/24. A lógica interna do IOS para listas de acesso padrão rejeita a segunda instrução e retorna uma mensagem de erro porque ela é um subconjunto da instrução anterior.
A configuração na figura 2 da ACL 4 tem as mesmas duas instruções, mas em ordem inversa. Essa é uma sequência válida das instruções, porque a primeira instrução se refere a um host específico, e não a um intervalo de host.
Na figura 3, a ACL 5 mostra uma declaração de host que pode ser configurada após uma instrução que denota um intervalo de hosts. O host não deve estar no intervalo coberto por uma instrução anterior. O endereço do host 192.168.11.10 não é um membro da rede 192.168.10.0/24, portanto esta é uma instrução válida.
O Cisco IOS reorganiza as ACLs padrão
A ordem na qual as ACEs padrão são adicionadas não pode ser a ordem em que estão armazenadas, exibidas ou processadas pelo roteador.
A figura 1 mostra a configuração de uma lista de acesso padrão. As instruções de intervalo que não têm três redes são configuradas inicialmente seguidas por cinco instruções do host. As instruções são todas válidas, porque o endereço IPv4 do host não é parte das declarações inseridas anteriormente no intervalo.
O comando show running-config é usado para verificar a configuração da ACL. Observe que as instruções são listadas em ordem diferente da que foram inseridas. Usaremos o comando show access-lists para entender a lógica por trás disso.
Como mostrado na figura 2, o comando show access-lists exibe as ACEs juntamente com seus números de sequência. Podemos esperar que a ordem das instruções na saída reflitam a ordem em que foram inseridas. Entretanto, a saída show access-lists mostra que esse não é o caso.
A ordem na qual as ACEs padrão estão listadas é a sequência usada pelo IOS para processar a lista. Observe que as instruções são agrupadas em duas seções, instruções de host seguidas por instruções de intervalo. O número de sequência indica a ordem em que a instrução foi incorporada, não a ordem em que a instrução será processada.
As instruções de host são listadas primeiro, mas não necessariamente na ordem em que foram inseridas. O IOS insere instruções de host em uma ordem usando uma função de hashing especial. A ordem resultante otimiza a busca por uma entrada da ACL de host. As instruções de intervalo são exibidas após as instruções de host. Essas instruções são listadas na ordem em que foram inseridas.
Observação: a função de hash é aplicada somente às instruções de host em uma lista de acesso padrão IPv4. Os detalhes da função de hash estão fora do escopo deste curso.
Lembre-se que as ACLs padrão e numeradas podem ser editadas usando os números de sequência. Com a inserção de uma nova instrução da ACL, o número de sequência afetará somente o local de uma instrução do intervalo na lista. As instruções de host serão sempre colocadas em ordem por meio da função de hash.
Continuando com o exemplo, depois que a configuração de execução é salva, o roteador é recarregado. Como mostrado na figura 2, o comando show access-lists exibe a ACL na mesmaordem, mas as instruções foram renumeradas. Os números de sequência agora estão em ordem numérica.
Processos de roteamento e ACLs
A figura mostra a lógica de roteamento e os processos da ACL. Quando um pacote chega a uma interface de roteador, o processo de roteador é o mesmo, sendo as ACLs usadas ou não. À medida que um quadro entra em uma interface, o roteador verifica se o endereço de camada 2 de destino coincide com o endereço de camada 2 da interface, ou se o quadro é um quadro de broadcast.
Se o endereço do quadro for aceito, as informações do quadro são removidas, e o roteador verifica se há uma ACL na interface de entrada. Se existir uma ACL, o pacote é testado em relação às instruções da lista.
Se o pacote corresponder a uma instrução, será permitido ou negado. Se o pacote for aceito, ele será testado em relação às entradas da tabela de roteamento para determinar a interface de destino. Se existir uma entrada de tabela de roteamento para o destino, o pacote será encaminhado para a interface de saída, se não, o pacote será descartado.
Depois, o roteador verifica se a interface de saída tem uma ACL. Se existir uma ACL, o pacote é testado em relação às instruções da lista.
Se o pacote corresponder a uma instrução, será permitido ou negado.
Se não houver uma ACL ou se o pacote for permitido, o pacote será encapsulado no novo protocolo de camada 2 e encaminhado através da interface para o próximo dispositivo.
Solução de problemas de ACLs padrão do IPv4 - Exemplo 1
O uso dos comandos show descritos anteriormente revela a maioria dos erros mais comuns da ACL. Os erros mais comuns são inserir ACEs na ordem errada e não especificar as regras adequadas da ACL. Outros erros comuns incluem aplicar a ACL usando a direção errada, a interface errada ou endereços de origem errados.
Política de segurança: o PC2 não deve ser capaz de acessar o servidor de arquivos.
Na figura 1, embora o PC2 não possa acessar o servidor de arquivos, o PC1 também não pode. Ao visualizar a saída do comando show access-list, apenas o PC2 é negado explicitamente. Entretanto, não há nenhuma instrução permit permitindo outro acesso.
Solução: todo o acesso por fora da interface G0/0 à LAN 192.168.30.0/24 é recusado implicitamente no momento. Adicione uma instrução à ACL 10 para permitir qualquer outro tráfego, como mostrado na Figura 2. O PC1 agora conseguirá acessar o servidor de arquivos. A saída do comando show access-list verifica se um ping do PC1 para o servidor de arquivos corresponde à instrução permit any.
Solução de problemas de ACLs padrão do IPv4 - Exemplo 2
Política de segurança: a rede 192.168.11.0/24 não poderá acessar a rede 192.168.10.0/24.
Na figura 1, o PC2 não pode acessar o PC1. Nem pode acessar a Internet pelo R2. Ao visualizar a saída do comando show access-list, você poderá ver que o PC2 corresponde à instrução deny. A ACL 20 parece estar configurada corretamente. Você suspeita que deve ter sido aplicada incorretamente e exibe as configurações de interface do R1
Na figura 2, o comando show run filtrado para exibir as configurações de interface revela que a ACL 20 foi aplicada à interface errada e na direção errada. Todo o tráfego de 192.168.11.0/24 é negado acesso de entrada na interface G0/1.
Solução: para corrigir esse erro, remova a ACL 20 da interface G0/1 e aplique-a no sentido de saída na interface G0/0, como mostrado na Figura 3. O PC2 não consegue acessar o PC1, mas pode acessar a Internet.
Solução de problemas de ACLs padrão do IPv4 - Exemplo 3
Política de segurança: somente o PC1 tem acesso remoto de SSH ao R1.
Na figura 1, o PC1 não consegue acessar remotamente o R1 usando uma conexão SSH. A exibição da seção de configuração atual para as linhas de VTY revela que uma ACL nomeada PC1-SSH está corretamente aplicada para as conexões de entrada. As linhas de VTY são configuradas corretamente para permitir apenas conexões SSH. Na saída do comando show access-list, você percebe que o endereço IPv4 é a interface G0/0 do R1 em vez do endereço IPv4 do PC1. Além disso, observe que o administrador configurou uma instrução explícita deny any na ACL. Isso é útil porque, nessa situação, você encontrará correspondências para que as tentativas fracassadas acessem remotamente o R1.
Solução: a Figura 2 mostra o processo para corrigir o erro. Como a instrução que precisa ser corrigida é a primeira, usamos o número de sequência 10 para apagá-la inserindo no 10. Depois, configuramos o endereço IPv4 correto do PC1. O comando clear access-list counters redefine a saída para mostrar apenas correspondências novas. Uma tentativa do PC2 de acessar remotamente o R1 é bem-sucedida, como mostrado na saída do comando show access-list.
FTP negado
FTP negado
Cenário
Recentemente, foi relatado que vírus estão crescendo na rede de sua empresa de pequeno a médio porte. O administrador de rede tem acompanhado o desempenho da rede e determinou que um host específico está transferindo constantemente arquivos de um servidor FTP remoto. Esse host pode ser a fonte de vírus que perpetua em toda a rede!
Use o Packet Tracer para concluir essa atividade. Escreva uma ACL com nome para negar o acesso do host ao servidor FTP. Aplique a ACL a uma interface mais eficaz no roteador.
Para concluir a topologia física, você deve usar:
	Uma estação de host do PC
	Dois switches
	Um roteador de serviços integrados Cisco série 1941
	Um servidor
Utilizando a ferramenta de texto do Packet Tracer, registre a ACL que você preparou. Verifique se a ACL funciona para negar o acesso ao servidor FTP tentando acessar o endereço do servidor FTP. Observe o que acontece no modo de simulação.
Salve seu arquivo e esteja preparado para compartilhamento com outro aluno ou a turma inteira.
Capítulo 7: listas de controle de acesso
Por padrão um roteador não filtra o tráfego. O tráfego que entra no roteador é instalado somente com base nas informações na tabela de roteamento.
A filtragem de pacote controla acesso a uma rede analisando os pacotes de entrada e saída e transmitindo-os ou eliminando-os com base em critérios, como o endereço IP origem, o endereço IP destino e o protocolo transportado no pacote. Um roteador de filtragem de pacote utiliza regras para determinar se permite ou nega tráfego. Um roteador também pode realizar a filtragem de pacotes na camada 4, a camada de transporte.
Uma ACL é uma lista sequencial de instruções permit ou deny. A última instrução de uma ACL é sempre um implicit deny que bloqueia todo o tráfego. Para evitar que as instruções deny implicadas no fim da ACL bloqueiem todo o tráfego, é possível adicionar a instrução permit any.
Quando o tráfego da rede passa através de uma interface configurada com uma ACL, o roteador compara as informações no pacote com cada entrada, em ordem sequencial, para determinar se o pacote corresponde a uma das instruções. Se uma correspondência for encontrada, o pacote será processado em conformidade.
As ACLs são configuradas para aplicação no tráfego de entrada ou no tráfego de saída.
As ACLs padrão podem ser usadas para permitir ou negar tráfego somente dos endereços IPv4 origem. O destino do pacote e as portas envolvidas não são avaliados. A regra para fazer uma ACL padrão é colocá-lo próxima do destino.
As ACLs estendidas filtram pacotes com base em vários atributos: tipo de protocolo, endereço de IPv4 destino e origem e portas origem ou destino. A regra para fazer uma ACL estendida é colocá-la o mais perto possível da origem.
O comando de configuração global access-list define uma ACL padrão com um número entre 1 e 99 O ip access-list standard. Nome é usado para criar uma ACL nomeada padrão.
Após a configuração de uma ACL, ela é vinculada a uma interface usando o comando ip access-group no modo configuração de interface. Lembre-se destas regras: uma ACL por protocolo, uma ACL por direção, uma ACL por interface.
Para remover uma ACL de uma interface, insira o comando no ip access-group na interface e insira no comando global no access-list para remover a ACL inteira.
Os comandos show running-confige show running-config são usados para verificar a configuração da ACL. O comando show ip interface é usado para verificar a ACL na interface e direção em que forem aplicadas.
O comando access-class configurado no modo de configuração de linha restringe as conexões de entrada e saída entre um determinado VTY e os endereços de uma lista de acesso.