Olá Pessoal,
Conforme prometido em nosso post de ACL, vamos iniciar nosso tutorial explicando um pouco sobre ACL. Uma das habilidades mais importantes das quais um administrador de rede precisa é dominar as listas de controle de acesso (ACLs). Os administradores utilizam as ACLs a fim de parar o tráfego ou permitir apenas o tráfego especificado enquanto interrompe todo o restante do tráfego em suas redes.
Uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços ou protocolos de camada superior. As ACLs fornecem uma forma eficiente de controlar o tráfego dentro e fora da sua rede. Você pode configurar as ACLs para todos os protocolos de rede roteados. A razão mais importante para configurar as ACLs é fornecer segurança para a sua rede e utiliza-las para outro paramentros ( QoS, validação de tráfego, etc ).
Os pacotes TCP são marcados com flags que denotam sua finalidade: SYN inicia (sincroniza) a sessão; ACK é uma confirmação (ACK) de que o pacote aguardado foi recebido e FIN encerra a sessão. SYN/ACK confirma que a transferência foi sincronizada. Devido as validações que devemos executar referenciando-se muitas vezes as portas, segue uma tabela com os intervalos:
Intervalo de Número de Portas | Grupo de Portas |
de 0 a 1023 | Portas conhecidas ( comum ) |
de 1024 a 49151 | Portas registradas |
de 49152 a 65535 | Portas dinâmicas e/ou privadas |
Uma regra geral para aplicar as ACLs em um roteador pode ser lembrada, basta memorizar os três Ps. Você pode configurar uma ACL por protocolo, por direção, por interface:
- ACL por protocolo = para controlar o fluxo de tráfego em uma interface, uma ACL deve ser definida para cada protocolo habilitado na interface.
- ACL por direção = ACLs controlam o tráfego em uma direção por vez em uma interface. Duas ACLs separadas devem ser criadas para controlar os tráfegos de entrada e de saída.
- ACL por interface = ACLs controlam o tráfego de uma interface, por exemplo, Fast Ethernet 0/0.
Lembre-se de que uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços IP ou protocolos de camada superior. A ACL pode extrair as seguintes informações do cabeçalho do pacote, testá-lo em relação às suas regras e tomar decisões ” permitir ” ou “ negar ” com base em:
- Endereço IP de origem
- Endereço IP de destino
- Tipo de mensagem ICMP
A ACL também pode extrair informações de camada superior e testá-las em relação às suas regras. Entre as informações da camada superior estão:
- Porta de origem TCP/UDP
- Porta de destino TCP/UDP
Portanto nesse caso devemos reforçar que os pacotes são analisados a partir da camada 3 ( Redes ) do modelo OSI e por consequência as camadas superiores podem ser avaliadas, como camada 4 ( TCP e UDP ). Na medida em que cada pacote passa por uma interface com uma ACL associada, a ACL é verificada de cima para baixo, uma linha por vez, procurando um padrão correspondente ao pacote de entrada, se a condição foi atendida dentro daquela ACL especificada nenhuma linha inferior será executada, ou seja, todo o restante daquela ACL não será validada.
Como toda validação é feita a partir da camada 3, ou seja, a carga de trabalho dependendo da sua topologia será direcionada para o roteador ( gateway ), na qual teremos as ACLs aplicadas como IN ou OUT. Devemos sempre lembrar que ambas exercem funcionalidades distintas na análise do roteador:
- ACLs de entrada = Pacotes de entrada são processados antes de serem roteados para a interface de saída. Uma ACL de entrada será eficiente porque evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se for permitido pelos testes, o pacote será processado para roteamento.
- ACLs de saída = Pacotes de entrada são roteados para a interface de saída e, em seguida, processados pela ACL de saída.
Espero que tenham gostado dessa primeira introdução e aguardem cenas do próximo capítulo.
Abs,
Rodrigo
3 comentários
Rodrigo,
demorou mas veio.Tava aguardando.Quero deixar um pedido:que tal trabalhar nos posts
seguintes a prática?com desafios,ou algo asim.Obrigado parceiro
Muito bom esse artigo Rodrigo! Até o final vai ser uma aula muito interessante! O domínio de ACL é de suma importância!!
Boa Rodrigo, as ACL’s são a grande dificuldade de quem está estudando para o exame CCNA.