quarta-feira, 17 de fevereiro de 2010

Lista de Controle de Acesso (ACL)

Devido as dificuldade que alguns amigos do curso preparatório da CISCO tiveram para compreender os conceitos de ACL, resolvi desenvolver um artigo de uma forma bem enxuta explicando o funcionamento desse recurso.

Para que haja um bom entendimento sobre ACL, é preciso ter conhecimento em endereçamento de redes, mascara curinga (Mascara curinga não será abordado nesse artigo), protocolos TCP e UDP, portas de conectividade e comandos Cisco IOS. Nesse artigo abordaremos os conceitos teóricos do funcionamento das listas de controle de acesso, e não nos preocuparemos em mencionar os comandos Cisco IOS utilizados para implementação das ACL.

Introdução

Otimização de trafego, permissão de acesso a rede, filtragem de pacotes e preservação da largura de banda são funcionalidades que podem ser implementadas com a utilização de listas de controle de acesso. As ACL também ajudam os administradores de rede a desenvolver e configurar um determinado nível de segurança na rede utilizando mecanismos de filtragem de pacotes. Como veremos no decorrer do artigo, esses mecanismos consistem em permitir ou negar o acesso a rede, sub-rede ou a determinados recurso da rede.

1- O que é ACL.

São listas com condições que são configuradas nas interfaces dos roteadores que tem como objetivo permitir ou negar o trafego de determinados tipos de pacotes. Por exemplo, podemos configurar uma ACL para permitir o acesso a um host de uma rede a uma sub-rede, ou até mesmo negar o acesso a um roteador da rede via Telnet. As listas de controle de acesso também proporcionam aos administradores de rede um determinado nível de gerenciamento do trafego de pacotes preservando a largura de banda da rede.

Pode-se configurar listas de acesso por protocolo (Para todos os protocolos de rede roteados como, por exemplo, IP e IPX), por direção, por portas. Só é possível criar uma lista por interface.

2- Tipos de ACL.

Existem três tipos de lista de acesso que podemos utilizar, são elas, ACL padrão, estendida e com nomes. Porem, o tipo mais utilizado é ACL estendida pelo fato de proporcionar vários parâmetros de filtragem de pacotes como endereço de origem e destino, protocolos e portas de conexão. Um resumo dos três tipos existentes segue abaixo.


2.1- ACL Padrão.

O processo de filtragem desse tipo de lista de acesso se baseia na verificação dos endereços de origem dos pacotes IP. A comparação de uma ACL padrão resulta em negarmos ou permitirmos acesso a um conjunto inteiro de protocolo de uma rede, sub-rede ou host. Por exemplo, com uma ACL padrão podemos negar o acesso de um host a uma rede ou sub-rede.

As ACL padrão recebem números em um intervalo de 1-99. A partir da versão 12.0.1 do software Cisco IOS é possível criar lista de acesso padrão com uma faixa de numero que vai de 1300 a 1999, possibilitando criar 798 ACL padrão.

2.2- ACL Estendida.
Conforme mencionado anteriormente, as ACL estendidas são mais utilizadas por proporcionar uma quantidade maior de opções de filtragem como endereço de origem e destino dos pacotes, protocolos e numero de portas. Exemplo, podemos negar o acesso via FTP a um determinado host da rede, se os pacotes forem originados em uma sub-rede desconhecida. Podemos também, por exemplo, liberar o acesso a uma determinada rede se os pacotes forem originados em uma rede conhecida. Enfim, esse tipo de lista nos fornece uma gama de possibilidades quando pensamos em permitir e negar acessos, e permite aos administradores de rede injetar na rede um esquema limitado de segurança.

As ACL estendias recebem números em intervalos de 100-199 e 2000-2699.

2.3- ACL Nomeada.

De uma maneira bem resumida, posso dizer que as ACL com nome IP foram introduzidas no Cisco IOS a partir da versão 11.2 e, esse tipo de lista nos dá a possibilidade de nomear as ACL padrão e estendidas ao invés de numerá-las.

3- Posicionamento das ACL.

Quando precisamos implementar listas de acesso, devemos sempre nos lembrar que as ACL padrão devem ser posicionadas o mais próximo possível do destino e as estendidas o mais próximo possível da origem.

4- Como funcionam as ACL dentro dos roteadores.

Quando um roteador recebe um pacote em uma interface, ele verifica se naquela interface de entrada há uma ACL configurada. Se existir, o pacote será analisado e comparado com a ACL linha por linha (Lembrando que as instruções são executadas de cima para baixo). Se não houver uma condição verdadeira o pacote é descartado por que no final de cada ACL há um deny any (negar tudo), implícito que descarta os pacotes não correspondentes. Agora, se houver uma instrução correspondente o roteador irá permitir ou negar o acesso a rede. Se a instrução for de permissão o roteador irá fazer a leitura do cabeçalho do pacote e comparar o endereço de destino com sua tabela de roteamento e comutá-lo para a interface de saída. Se na interface de saída houver uma ACL configurada, novamente o pacote é analisado e comparado com a ACL. Supondo que exista uma ACL configurada na interface de saída e a instrução seja de permissão, o pacote é encapsulado com as informações necessárias da camada de acesso e encaminhado para seu destino.

Quando o roteador descarta um pacote devido alguma instrução de negação de uma ACL, dependendo do protocolo da camada de rede utilizado, ele envia uma mensagem icmp para o remetente dizendo que o destino não pode ser alcançado.

Quando não se tem ACL configuradas nas interfaces de um roteador, todo trafego que passa por essas interfaces é permitido.

5- Benefícios das ACL.

Através das ACL podemos obter controle sobre algumas áreas da rede, permitindo ou negando acesso. Esse recurso também nos ajuda a limitar o trafego de determinados tipos de pacotes, preservando a largura de banda da rede e fornece um nível básico de segurança. As listas de acesso também nos permitem determinar o tipo de trafego que será bloqueado ou encaminhado pelo roteador.

6- Comandos Cisco IOS para implementação de ACL Padrão e Estendidas.

Toda ACL deve ser criada no modo de configuração global do roteador através do comando access-list, e aplicada as interfaces com o comando ip access-group. No caso de precisar atualizar uma ACL padrão ou estendida, é necessário apagar a ACL existente e criar uma nova com as novas intrusões e aplicá-las novamente no roteador. Se for uma ACL nomeada, a mesma pode ser atualizada sem precisar ser deletada. Essa é uma das vantagens da ACL nomeada.

Conclusão

Apesar das listas de controle de acesso nos permitir configurar na rede um determinando nível de segurança, não podemos considerar o uso de ACL como o único recurso de proteção na rede. Devemos utilizá-las com o objetivo de gerenciar e otimizar o trafego que passa pelo roteador, oferecendo acesso seguro aos recursos da rede.
Postado por às Nenhum comentário:

sábado, 6 de fevereiro de 2010

Multi Protocol Label Switching (MPLS)

Introdução

A tecnologia MPSL inicialmente foi desenvolvida pela Cisco. O protocolo tem como objetivo priorizar determinados tipos de trafego como voz e vídeo, e proporcionar garantia de entrega para determinas aplicações que rodam na internet. A tecnologia MPLS utiliza comutação baseada em label (rótulos), permitindo que os pacotes originados em roteadores nas bordas da nuvem trafeguem pela rede. Dessa maneira, os roteadores processam as informações dos labels contidos nos pacotes sem ter que fazer consultas em suas tabelas de roteamento, agilizando dessa forma a entrega rápida dos quadros, e possibilitando prioridade no trafego de determinados tipos de pacotes.

Modos de operação MPLS.

Geralmente redes baseadas em protocolo IP (não-orientada a conexão), não oferecem mecanismos de qualidade de serviço (QOS), como os existentes em redes Frame-Relay e ATM. A tecnologia MPLS suporta virtualmente todos os protocolos da camada 3 (Camada de Rede, modelo OSI), inclusive o IP que teoricamente é o mais conhecido dessa camada, e proporciona a esses protocolos, através de um processo de marcação de quadros, um mecanismo de priorização de trafego.
Como o MPLS é um serviço que basicamente adiciona rótulos (label), nos pacotes e toma decisões de encaminhamento baseadas nesses rótulos, podemos dizer que o funcionamento consiste em marcar os pacotes assim que eles ingressam no domínio MPLS para que os roteadores dentro desse domínio tomem decisões de encaminhamento baseados nas informações contidas nesses labels. Esse tipo de operação permite, por exemplo, que um determinado pacote receba um tratamento diferenciado e percorra por um determinado caminho dentro da nuvem se necessário. Os pacotes recebem rótulos quando entram na rede MPLS, e tem os mesmos removidos pelos roteadores na saída da rede.

Abaixo segue o exemplo.


É possível criar VPN com o protocolo MPLS e isolar o trafego dentro do domínio. A tecnologia traz como beneficio o uso eficiente da largura de banda disponível, evita pontos de congestionamento, reduz a carga de processamento dos roteadores do núcleo da rede, e como mencionado anteriormente, proporciona qualidade de serviço e engenharia de tráfego.

Conclusão.

O MPLS proporcionou aos provedores de serviços e operadoras uma maneira de manter a sustentabilidade e disponibilidade de serviços com necessidades especificas, alem de proporcionar mecanismos confiáveis de engenharia de tráfego a um custo acessível.

A imagem utilizada para exemplificação do funcionamento do protocolo MPLS foi extraída de um material também relacionado a tecnologia cujo link segue abaixo.

http://www.gta.ufrj.br/grad/04_2/MPLS/funcionamento.htm

Postado por às Nenhum comentário:
Assinar: Postagens (Atom)