«

»

ago 25 2012

Imprimir Post

Lista de Controle de Acesso (ACL) – parte 1

Olá Pessoal,

  Conforme prometido em nosso post de ACL, vamos iniciar nosso tutorial explicando um pouco sobre ACL. Uma das habilidades mais importantes das quais um administrador de rede precisa é dominar as listas de controle de acesso (ACLs). Os administradores utilizam as ACLs a fim de parar o tráfego ou permitir apenas o tráfego especificado enquanto interrompe todo o restante do tráfego em suas redes.

  Uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços ou protocolos de camada superior. As ACLs fornecem uma forma eficiente de controlar o tráfego dentro e fora da sua rede. Você pode configurar as ACLs para todos os protocolos de rede roteados. A razão mais importante para configurar as ACLs é fornecer segurança para a sua rede e utiliza-las para outro paramentros ( QoS, validação de tráfego, etc ).

  Os pacotes TCP são marcados com flags que denotam sua finalidade: SYN inicia (sincroniza) a sessão; ACK é uma confirmação (ACK) de que o pacote aguardado foi recebido e FIN encerra a sessão. SYN/ACK confirma que a transferência foi sincronizada. Devido as validações que devemos executar referenciando-se muitas vezes as portas, segue uma tabela com os intervalos:

Intervalo de Número de Portas       Grupo de Portas
de 0 a 1023 Portas conhecidas ( comum )
de 1024 a 49151 Portas registradas
de 49152 a 65535 Portas dinâmicas e/ou privadas

  Uma regra geral para aplicar as ACLs em um roteador pode ser lembrada, basta memorizar os três Ps. Você pode configurar uma ACL por protocolo, por direção, por interface:

  • ACL por protocolo = para controlar o fluxo de tráfego em uma interface, uma ACL deve ser definida para cada protocolo habilitado na interface.
  • ACL por direção = ACLs controlam o tráfego em uma direção por vez em uma interface. Duas ACLs separadas devem ser criadas para controlar os tráfegos de entrada e de saída.
  • ACL por interface = ACLs controlam o tráfego de uma interface, por exemplo, Fast Ethernet 0/0.

  Lembre-se de que uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços IP ou protocolos de camada superior. A ACL pode extrair as seguintes informações do cabeçalho do pacote, testá-lo em relação às suas regras e tomar decisões ” permitir ” ou “ negar ” com base em:

  • Endereço IP de origem
  • Endereço IP de destino
  • Tipo de mensagem ICMP

  A ACL também pode extrair informações de camada superior e testá-las em relação às suas regras. Entre as informações da camada superior estão:

  • Porta de origem TCP/UDP
  • Porta de destino TCP/UDP

  Portanto nesse caso devemos reforçar que os pacotes são analisados a partir da camada 3 ( Redes ) do modelo OSI e por consequência as camadas superiores podem ser avaliadas, como camada 4 ( TCP e UDP ). Na medida em que cada pacote passa por uma interface com uma ACL associada, a ACL é verificada de cima para baixo, uma linha por vez, procurando um padrão correspondente ao pacote de entrada, se a condição foi atendida dentro daquela ACL especificada nenhuma linha inferior será executada, ou seja, todo o restante daquela ACL não será validada. 

  Como toda validação é feita a partir da camada 3, ou seja, a carga de trabalho dependendo da sua topologia será direcionada para o roteador ( gateway ), na qual teremos as ACLs aplicadas como IN ou OUT. Devemos sempre lembrar que ambas exercem funcionalidades distintas na análise do roteador:

  • ACLs de entrada = Pacotes de entrada são processados antes de serem roteados para a interface de saída. Uma ACL de entrada será eficiente porque evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se for permitido pelos testes, o pacote será processado para roteamento. 
  • ACLs de saída = Pacotes de entrada são roteados para a interface de saída e, em seguida, processados pela ACL de saída.

Espero que tenham gostado dessa primeira introdução e aguardem cenas do próximo capítulo Cool.

Abs,
Rodrigo

Posts relacionados:


0
0

Link permanente para este artigo: https://ciscoredes.com.br/2012/08/25/lista-de-controle-de-acesso-acl-parte-1/

3 comentários

  1. Marcelo Hudson

    Rodrigo,
    demorou mas veio.Tava aguardando.Quero deixar um pedido:que tal trabalhar nos posts
    seguintes a prática?com desafios,ou algo asim.Obrigado parceiro

    0

    0
  2. Muito bom esse artigo Rodrigo! Até o final vai ser uma aula muito interessante! O domínio de ACL é de suma importância!!

    0

    0
  3. Boa Rodrigo, as ACL’s são a grande dificuldade de quem está estudando para o exame CCNA.

    0

    0

Deixe uma resposta