Olá Pessoal,

  Conforme prometido em nosso post de ACL, vamos iniciar nosso tutorial explicando um pouco sobre ACL. Uma das habilidades mais importantes das quais um administrador de rede precisa é dominar as listas de controle de acesso (ACLs). Os administradores utilizam as ACLs a fim de parar o tráfego ou permitir apenas o tráfego especificado enquanto interrompe todo o restante do tráfego em suas redes.

  Uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços ou protocolos de camada superior. As ACLs fornecem uma forma eficiente de controlar o tráfego dentro e fora da sua rede. Você pode configurar as ACLs para todos os protocolos de rede roteados. A razão mais importante para configurar as ACLs é fornecer segurança para a sua rede e utiliza-las para outro paramentros ( QoS, validação de tráfego, etc ).

  Os pacotes TCP são marcados com flags que denotam sua finalidade: SYN inicia (sincroniza) a sessão; ACK é uma confirmação (ACK) de que o pacote aguardado foi recebido e FIN encerra a sessão. SYN/ACK confirma que a transferência foi sincronizada. Devido as validações que devemos executar referenciando-se muitas vezes as portas, segue uma tabela com os intervalos:

Intervalo de Número de Portas	Grupo de Portas
de 0 a 1023	Portas conhecidas ( comum )
de 1024 a 49151	Portas registradas
de 49152 a 65535	Portas dinâmicas e/ou privadas

  Uma regra geral para aplicar as ACLs em um roteador pode ser lembrada, basta memorizar os três Ps. Você pode configurar uma ACL por protocolo, por direção, por interface:

• ACL por protocolo = para controlar o fluxo de tráfego em uma interface, uma ACL deve ser definida para cada protocolo habilitado na interface.
• ACL por direção = ACLs controlam o tráfego em uma direção por vez em uma interface. Duas ACLs separadas devem ser criadas para controlar os tráfegos de entrada e de saída.
• ACL por interface = ACLs controlam o tráfego de uma interface, por exemplo, Fast Ethernet 0/0.

  Lembre-se de que uma ACL é uma lista sequencial de instruções de permissão ou negação que se aplicam a endereços IP ou protocolos de camada superior. A ACL pode extrair as seguintes informações do cabeçalho do pacote, testá-lo em relação às suas regras e tomar decisões ” permitir ” ou “ negar ” com base em:

• Endereço IP de origem
• Endereço IP de destino
• Tipo de mensagem ICMP

  A ACL também pode extrair informações de camada superior e testá-las em relação às suas regras. Entre as informações da camada superior estão:

• Porta de origem TCP/UDP
• Porta de destino TCP/UDP

  Portanto nesse caso devemos reforçar que os pacotes são analisados a partir da camada 3 ( Redes ) do modelo OSI e por consequência as camadas superiores podem ser avaliadas, como camada 4 ( TCP e UDP ). Na medida em que cada pacote passa por uma interface com uma ACL associada, a ACL é verificada de cima para baixo, uma linha por vez, procurando um padrão correspondente ao pacote de entrada, se a condição foi atendida dentro daquela ACL especificada nenhuma linha inferior será executada, ou seja, todo o restante daquela ACL não será validada. 

  Como toda validação é feita a partir da camada 3, ou seja, a carga de trabalho dependendo da sua topologia será direcionada para o roteador ( gateway ), na qual teremos as ACLs aplicadas como IN ou OUT. Devemos sempre lembrar que ambas exercem funcionalidades distintas na análise do roteador:

• ACLs de entrada = Pacotes de entrada são processados antes de serem roteados para a interface de saída. Uma ACL de entrada será eficiente porque evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se for permitido pelos testes, o pacote será processado para roteamento. 
• ACLs de saída = Pacotes de entrada são roteados para a interface de saída e, em seguida, processados pela ACL de saída.

Espero que tenham gostado dessa primeira introdução e aguardem cenas do próximo capítulo.

Abs,
Rodrigo