O objetivo desse artigo descrever como as listas de acesso IP (ACLs) podem filtrar o trfego em uma rede.

. Tambm contm uma breve descrio dos tipos de ACL IP, caractersticas e exemplos de uso. As ACLS no so utilizadas somente com o propsito de filtrar trfego IP, elas podem ser utilizadas tambm para definir trfego que esta sujeito ao Network Address Translation (NAT) e o trfego que ser criptografado em uma configurao de VPN, entre outras utilidades. O processamento das ACLs ocorre da seguinte forma: o trfego que entra no roteador comparado com as entradas nas ACLs na ordem em que elas foram escritas. Por isso muito importante tomar cuidado na hora de redigir as ACLs para que um trfego que voc precisa permitir no fique bloqueado atrs de uma entrada na ACL que negue um trfego especfico. Novas linhas da ACL pode ser adicionada ao final da lista e o roteador ou switch de camada 3 ir analisar as linhas da lista at encontrar uma que combine com o trfego especfico. Se nenhuma combinao encontrada na lista, o trfego negado. Existe um entrada negando tudo (deny implcito) ao final da lista de controle de acesso. Por essa razo a lista de controle de acesso precisa ter pelo menos uma linha permitindo o trfego desejado, caso contrrio todo o trfego ser negado. Para exemplificar, analisamos os dois exemplos a seguir, eles tm o mesmo resultado: Exemplo 1: access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 Exemplo 2: access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 deny ip any any Alm de definir a origem e o destino do trfego, podemos definir portas de origem e destino, tipos de mensagens ICMP e outros parmentros que ajudam ainda mais a restringir as entradas das listas de acesso que sero aplicadas nas interfaces dos roteadores. Exemplo 3: access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14 - permite todos os tipos de mensagens icmp access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 eco-request - permite apenas um tipo de mensagem icmp As listas de controle de acesso s tero efeito depois de aplicadas a uma interface. Uma boa prtica aplicar a ACL na interface mais prxima da origem do trfego. Como mostra o exemplo, quando voc quer bloquear um trfego de uma origem para um destino, voc pode aplicar a ACL na E0 no Router A como inbound, ao invs de aplicar como outbound na interface E1 do Router C. Os termos in, out, source e destination so utilizados como referncia pelos roteadores e possuem os seguintes significados: in: trfego entrante na interface. out: trfego sainte na interface. source: origem do trfego. destination: destino do trfego.

Tipos de ACLs: ACL padro: esse tipo de ACL existe desde a verso 8.3 do Cisco IOS Software e controla o trfego comparando o endereo de origem dos pacotes IP com o endereo configurado na ACL. A sintaxe da ACL padro a seguinte: access-list access-list-number {permit|deny} {host|source source-wildcard|any} Os nmeros desse tipo de ACL podem ser de 1 a 99, a partir da verso 12.0.1 do IOS foram adicionados os nmeros 1300 a 1999 e a partir da verso 11.2 do IOS podemos identificar uma ACL padro pelo nome. A palavra any substitui qualquer endereo IP e a palavra host indica que a regra se aplica apenas aquele determinado endereo IP. Exemplo 4: access-list 10 permit host 10.10.10.1 - apenas o host 10.10.10.1 ser liberado access-list 10 deny any - todo o trfego restante ser negado. Depois de elaborada a lista de acesso, ela precisa ser aplicada a uma interface. interface <interface> ip access-group number {in|out} Caso a palavra in ou out no for especificado, out fica aplicado como padro. ACL estendida: A lista de acesso estendida possui maior recursos de verificao. Com esse tipo de ACL podemos analisar o IP de origem, o IP de destino, a porta de origem, a porta de destino, os protocolos e alguns outros parmetros. Os nmeros desse tipo de ACL podem ser de 101 a 199, a partir da verso 12.0.1 do IOS foram adicionados os nmeros 2000 a 2699 e a partir da verso 11.2 do IOS podemos identificar uma ACL estendida pelo nome.

Exemplo 5: Router(config)# access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo - nega o trfego de ping Router(config)# access-list 101 permit ip any 10.1.1.0 0.0.0.255 - permite todo o trfego ip Router(config)# interface Ethernet0/1 Router(config-if)# ip address 172.16.1.2 255.255.255.0 Router(config-if)# ip access-group 101 in ACLs Nomeadas: esse tipo de ACL foi criada a partir da verso 11.2 do IOS e permite que ACLs padro e estendida sejam nomeadas. ip access-list {extended|standard} name Exemplo 6: Router(config)# ip access-list extended Saida Router(config-ext-nacl)# permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet Router(config)# interface Ethernet0/0 Router(config-if)# ip address 10.1.1.1 255.255.255.0 Router(config-if)# ip access-group Saida in ACLs Reflexivas: esse tipo de ACL foi criada a partir da verso 11.3 do IOS e so utilizadas por exemplo, para quando voc libere um trfego de saida da tua rede local, a resposta desse trfego retorne. Essa tipo de ACL permite somente temporariamente o trfego, as entradas so criadas automaticamente quando uma nova sesso IP incializada e removida quando a sesso termina. Exemplo 7: Router(config)# ip access-list extended name Router(config-ext-nacl)# permit protocol any any reflect name [timeout seconds] Router(config-if)# ip access-group name out ou Router(config-if)# ip access-group name in Comentrios em listas de acesso: os comentrios foram adicionados a partir do IOS 12.0.2.T para tornar mais fcil o entendimento da ACL. Pode ser utilizado em lista de acesso padro e estendida. Exemplo 8: Router(config)# access-list 101 remark permit_telnet Router(config)# access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet Ao editar uma ACL tenha sempre muita ateno. Se voc pretende apagar uma linha de ACL numerada, como mostrado, a ACL inteira ser apagada. Exemplo 9: router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#access-list 101 deny icmp any any router(config)#access-list 101 permit ip any any router(config)#^Z router#show access-list Extended IP access list 101 deny icmp any any permit ip any any router# *Apr 9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. router(config)#no access-list 101 deny icmp any any router(config)#^Z router#show access-list router# *Apr 9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by console Dica importante: Sempre copie a ACL para um editor de texto, antes de fazer qualquer alterao e de preferncia faa uma cpia de todas as configuraes do equipamento que voc est editando as regras, para que voc tenha em mos a ltima configurao vlida, caso algum problema ocorra. Troubleshooting: Para remover uma ACL de uma interface: v para o modo de configurao da interface e digite um no na frente do comando ip access-group. interface <interface> no ip access-group # in|out

O comando show ip access-list (nome ou nmero) mostra a contagem de pacotes que esto combinando com a ACL. router#sh ip access-lists Saida Extended IP access list Saida 10 permit tcp any any established (1848 matches) 20 permit tcp any any eq www (440501 matches) 30 permit tcp any any eq 443 (40147 matches) 40 permit tcp any any eq ftp (222 matches) A palavra log pode adicionada ao final de uma entrada na ACL para mostrar os pacotes que esto combinando com determinada entrada. Router(config)# ip access-list extended Saida Router(config-ext-nacl)# deny ip any any log Para verificar todos os pacotes que esto sendo negados utilize o comando: router# terminal monitor hoje vamos falar sobre Listas de Controle de Acesso ACL. As listas de controle de acesso servem para bloquear pacotes indesejados na rede. As ACLs podem ser classificadas em: ACL IP Padro ACL IP Estendida

ACL IP Nomeada ACL IP Padro o primeiro e mais simples tipo de bloqueio de pacotes em uma rede. O funcionamento bsico da ACL consiste em pegar o IP de origem do pacote e fazer uma avaliao com as regras existentes em sua tabela montada pelo administrador de rede. A primeira regra combinada encerra a busca seqencial na lista de acesso e uma ao executada. Caso no se combine com nenhuma regra o pacote descartado em funo da regra deny any implcita no final da lista de acesso. A principal vantagem das listas padro o fato das regras serem extremamente simples. O problema que apenas o endereo de origem do pacote analisado para executar a ao de permitir ou negar que o pacote continue circulando na rede. A sintaxe do comando a seguir explora a ACL:

(a) comando (b) identificao da ACL pode ser de 1 a 99 (c) ao a ser executada quando a regra combina com o pacote (d) endereo de origem (e) mscara invertida (wildcards) Para a rede apresentada na figura 01 vamos simular um bloqueio de acesso do host GrupoA-02 ao GrupoD.

Figura 01: Bloqueando acesso do host GrupoA-02 ao GrupoD. Para resolver o problema ser preciso logar no RouterD e executar a seguinte configurao: RouterD>en RouterD#conf t Enter configuration commands, one per line. End with CNTL/Z. RouterD(config)#access-list 10 deny 192.168.1.11 0.0.0.0 RouterD(config)#access-list 10 permit any RouterD(config)#int f0/0 RouterD(config-if)#ip access-group 10 out importante lembrar sempre de acrescentar uma regra que no filtre os pacotes ao final, caso contrrio todos os pacote sero negados em funo da regra deny any implcita. A partir de agora, o host 192.168.1.11 no tem acesso ao GrupoD. Regra de ouro: ACL IP Padro deve sempre ser aplicada mais prxima do destino do pacote.