Devido as dificuldade que alguns amigos do curso preparatório da CISCO tiveram para compreender os conceitos de ACL, resolvi desenvolver um artigo de uma forma bem enxuta explicando o funcionamento desse recurso.
Para que haja um bom entendimento sobre ACL, é preciso ter conhecimento em endereçamento de redes, mascara curinga (Mascara curinga não será abordado nesse artigo), protocolos TCP e UDP, portas de conectividade e comandos Cisco IOS. Nesse artigo abordaremos os conceitos teóricos do funcionamento das listas de controle de acesso, e não nos preocuparemos em mencionar os comandos Cisco IOS utilizados para implementação das ACL.
Introdução
Otimização de trafego, permissão de acesso a rede, filtragem de pacotes e preservação da largura de banda são funcionalidades que podem ser implementadas com a utilização de listas de controle de acesso. As ACL também ajudam os administradores de rede a desenvolver e configurar um determinado nível de segurança na rede utilizando mecanismos de filtragem de pacotes. Como veremos no decorrer do artigo, esses mecanismos consistem em permitir ou negar o acesso a rede, sub-rede ou a determinados recurso da rede.
1- O que é ACL.
São listas com condições que são configuradas nas interfaces dos roteadores que tem como objetivo permitir ou negar o trafego de determinados tipos de pacotes. Por exemplo, podemos configurar uma ACL para permitir o acesso a um host de uma rede a uma sub-rede, ou até mesmo negar o acesso a um roteador da rede via Telnet. As listas de controle de acesso também proporcionam aos administradores de rede um determinado nível de gerenciamento do trafego de pacotes preservando a largura de banda da rede.
Pode-se configurar listas de acesso por protocolo (Para todos os protocolos de rede roteados como, por exemplo, IP e IPX), por direção, por portas. Só é possível criar uma lista por interface.
2- Tipos de ACL.
Existem três tipos de lista de acesso que podemos utilizar, são elas, ACL padrão, estendida e com nomes. Porem, o tipo mais utilizado é ACL estendida pelo fato de proporcionar vários parâmetros de filtragem de pacotes como endereço de origem e destino, protocolos e portas de conexão. Um resumo dos três tipos existentes segue abaixo.
2.1- ACL Padrão.
O processo de filtragem desse tipo de lista de acesso se baseia na verificação dos endereços de origem dos pacotes IP. A comparação de uma ACL padrão resulta em negarmos ou permitirmos acesso a um conjunto inteiro de protocolo de uma rede, sub-rede ou host. Por exemplo, com uma ACL padrão podemos negar o acesso de um host a uma rede ou sub-rede.
As ACL padrão recebem números em um intervalo de 1-99. A partir da versão 12.0.1 do software Cisco IOS é possível criar lista de acesso padrão com uma faixa de numero que vai de 1300 a 1999, possibilitando criar 798 ACL padrão.
2.2- ACL Estendida.
Conforme mencionado anteriormente, as ACL estendidas são mais utilizadas por proporcionar uma quantidade maior de opções de filtragem como endereço de origem e destino dos pacotes, protocolos e numero de portas. Exemplo, podemos negar o acesso via FTP a um determinado host da rede, se os pacotes forem originados em uma sub-rede desconhecida. Podemos também, por exemplo, liberar o acesso a uma determinada rede se os pacotes forem originados em uma rede conhecida. Enfim, esse tipo de lista nos fornece uma gama de possibilidades quando pensamos em permitir e negar acessos, e permite aos administradores de rede injetar na rede um esquema limitado de segurança.
As ACL estendias recebem números em intervalos de 100-199 e 2000-2699.
2.3- ACL Nomeada.
De uma maneira bem resumida, posso dizer que as ACL com nome IP foram introduzidas no Cisco IOS a partir da versão 11.2 e, esse tipo de lista nos dá a possibilidade de nomear as ACL padrão e estendidas ao invés de numerá-las.
3- Posicionamento das ACL.
Quando precisamos implementar listas de acesso, devemos sempre nos lembrar que as ACL padrão devem ser posicionadas o mais próximo possível do destino e as estendidas o mais próximo possível da origem.
4- Como funcionam as ACL dentro dos roteadores.
Quando um roteador recebe um pacote em uma interface, ele verifica se naquela interface de entrada há uma ACL configurada. Se existir, o pacote será analisado e comparado com a ACL linha por linha (Lembrando que as instruções são executadas de cima para baixo). Se não houver uma condição verdadeira o pacote é descartado por que no final de cada ACL há um deny any (negar tudo), implícito que descarta os pacotes não correspondentes. Agora, se houver uma instrução correspondente o roteador irá permitir ou negar o acesso a rede. Se a instrução for de permissão o roteador irá fazer a leitura do cabeçalho do pacote e comparar o endereço de destino com sua tabela de roteamento e comutá-lo para a interface de saída. Se na interface de saída houver uma ACL configurada, novamente o pacote é analisado e comparado com a ACL. Supondo que exista uma ACL configurada na interface de saída e a instrução seja de permissão, o pacote é encapsulado com as informações necessárias da camada de acesso e encaminhado para seu destino.
Quando o roteador descarta um pacote devido alguma instrução de negação de uma ACL, dependendo do protocolo da camada de rede utilizado, ele envia uma mensagem icmp para o remetente dizendo que o destino não pode ser alcançado.
Quando não se tem ACL configuradas nas interfaces de um roteador, todo trafego que passa por essas interfaces é permitido.
5- Benefícios das ACL.
Através das ACL podemos obter controle sobre algumas áreas da rede, permitindo ou negando acesso. Esse recurso também nos ajuda a limitar o trafego de determinados tipos de pacotes, preservando a largura de banda da rede e fornece um nível básico de segurança. As listas de acesso também nos permitem determinar o tipo de trafego que será bloqueado ou encaminhado pelo roteador.
6- Comandos Cisco IOS para implementação de ACL Padrão e Estendidas.
Toda ACL deve ser criada no modo de configuração global do roteador através do comando access-list, e aplicada as interfaces com o comando ip access-group. No caso de precisar atualizar uma ACL padrão ou estendida, é necessário apagar a ACL existente e criar uma nova com as novas intrusões e aplicá-las novamente no roteador. Se for uma ACL nomeada, a mesma pode ser atualizada sem precisar ser deletada. Essa é uma das vantagens da ACL nomeada.
Conclusão
Apesar das listas de controle de acesso nos permitir configurar na rede um determinando nível de segurança, não podemos considerar o uso de ACL como o único recurso de proteção na rede. Devemos utilizá-las com o objetivo de gerenciar e otimizar o trafego que passa pelo roteador, oferecendo acesso seguro aos recursos da rede.
Nenhum comentário:
Postar um comentário