As ACLs permitem controlar o trfego dentro e fora da sua rede.

Esse controle pode ser to simples quanto permitir ou negar hosts de rede ou endereos. No entanto, as ACLs tambm podem ser configuradas para controlar o trfego da rede com base na porta TCP utilizada. Para compreender como uma ACL funciona com o TCP, permita-nos observar o dilogo que ocorre durante uma conversa TCP quando voc faz o download de uma pgina da Web no seu computador.

Quando voc solicita dados de um servidor Web, o IP cuida da comunicao entre o PC e o servidor. O TCP cuida da comunicao entre o seu navegador (aplicativo) e o software do servidor de rede. Quando voc envia um email, observa uma pgina da Web ou faz o download de um arquivo, o TCP responsvel por dividir os dados em pacotes IP para que eles sejam enviados, alm de montar os dados a partir dos pacotes quando eles chegam. O processo TCP muito semelhante a uma conversa na qual dois ns em uma rede concordam em transmitir dados entre um e o outro.

Lembre-se de que o TCP fornece um servio de fluxo de bytes confivel, orientado conexo. O termo orientado a conexo significa que os dois aplicativos que utilizam o TCP devem estabelecer uma conexo TCP para que eles possam trocar dados. TCP um protocolo em full duplex, o que significa que cada conexo TCP d suporte a um par de fluxos de bytes, cada um com fluxo em uma direo. O TCP inclui um mecanismo de controle de fluxo para cada fluxo de bytes que permite ao receptor limitar quantos dados o remetente pode transmitir. O TCP tambm implementa um mecanismo de controle de congestionamento.

Clique no boto Reproduzir na figura para exibir a animao.

A animao mostra como ocorre uma conversa TCP/IP. Os pacotes TCP so marcados com flags que denotam sua finalidade: SYN inicia (sincroniza) a sesso; ACK uma confirmao (ACK) de que o pacote aguardado foi recebido e FIN encerra a sesso. SYN/ACK confirma que a transferncia foi sincronizada. Entre os segmentos de dados TCP esto o protocolo de nvel mais alto necessrio ao direcionamento dos dados de aplicativo para o aplicativo correto.

Clique no boto Nmeros de porta TCP/UDP na figura.

O segmento de dados TCP tambm identifica a porta correspondente ao servio solicitado. Por exemplo, HTTP a porta 80, SMTP a porta 25 e FTP a porta 20 e 21. A figura mostra exemplos de portas UDP e TCP.

Clique nos botes da figura para explorar portas TCP/UDP. A filtragem de pacote, s vezes chamada de filtragem de pacote esttica, controla o acesso a uma rede, analisando os pacotes de entrada e de sada e transmitindo ou paralisando-os com base em critrios informados.

Um roteador funciona como um filtro de pacote ao encaminhar ou negar pacotes de acordo com as regras de filtragem. Quando um pacote chega ao roteador de filtragem de pacote, o roteador extrai determinadas informaes do cabealho do pacote e toma decises de acordo com as regras do filtro quanto possibilidade do pacote ser transmitido ou descartado. A filtragem de pacote funciona na camada de rede do modelo de referncia OSI ou na camada de Internet do TCP/IP.

Por ser um dispositivo da Camada 3, um roteador de filtragem de pacote utiliza regras para determinar se deve permitir ou negar trfego com base nos endereos IP de origem e de destino, na porta de origem e na porta de destino, alm do protocolo do pacote. Essas regras so definidas utilizando-se listas de controle de acesso ou ACLs.

Lembre-se de que uma ACL uma lista sequencial de instrues de permisso ou negao que se aplicam a endereos IP ou protocolos de camada superior. A ACL pode extrair as seguintes informaes do cabealho do pacote, test-lo em relao s suas regras e tomar decises "permitir" ou "negar" com base em:

Endereo IP de origem Endereo IP de destino Tipo de mensagem ICMP

A ACL tambm pode extrair informaes de camada superior e test-las em relao s suas regras. Entre as informaes da camada superior esto:

Porta de origem TCP/UDP Porta de destino TCP/UDP

Clique nos botes da figura para obter uma viso geral de como uma ACL permite ou nega um pacote. Embora as animaes exibam a filtragem de pacote que ocorre na Camada 3, preciso observar que a filtragem tambm poderia ocorrer na Camada 4. Exemplo de filtragem de pacote

Para compreender o conceito de como um roteador utiliza a filtragem de pacote, imagine que um segurana foi colocado diante de uma porta fechada. As instrues do segurana so para permitir apenas as pessoas cujos nomes esto em uma lista para passar pela porta. O segurana est filtrando as pessoas com base nos critrios da presena de seus nomes na lista autorizada.

Por exemplo, voc poderia dizer, "S permita acesso Web para usurios da rede A. Negue acesso Web para usurios da rede B, mas permita a eles todos os demais acessos". Consulte a figura para examinar o caminho de deciso utilizado pelo filtro de pacote para realizar essa tarefa.

Para esse cenrio, o filtro de pacote observa todos os pacotes da seguinte forma:

Se o pacote for um TCP SYN da rede A que utiliza a porta 80, ele ter permisso para passar. Todos os demais acessos so negados para esses usurios. Se o pacote for um TCP SYN da rede B que utiliza a porta 80, ele ser bloqueado. No entanto, todos os demais acessos so permitidos.

Este apenas um simples exemplo. Voc pode configurar vrias regras para ainda permitir ou negar servios a usurios especficos. Voc tambm pode filtrar pacotes no nvel de porta utilizando uma ACL estendida, abordada na Seo 3. ACL um script de configurao de roteador que controla se um roteador permite ou nega a passagem a pacotes com base nos critrios encontrados no cabealho de pacote. As ACLs esto entre os objetos mais utilizados no software IOS Cisco. As ACLs tambm so utilizadas para selecionar tipos de trfego a ser analisado, encaminhado ou processado de outras formas.

Na medida em que cada pacote passa por uma interface com uma ACL associada, a ACL verificada de cima para baixo, uma linha por vez, procurando um padro correspondente ao pacote de entrada. A ACL aplica uma ou mais polticas de segurana corporativas, aplicando uma regra de permisso ou negao para determinar o destino do pacote. As ACLs podem ser configuradas para controlar o acesso a uma rede ou sub-rede.

Por padro, um roteador no tem nenhuma ACL configurada e, por isso, no filtra o trfego. O trfego que entra no roteador roteado de acordo com a tabela de roteamento. Se voc no utilizar as ACLs no roteador, todos os pacotes que puderem ser roteados pelo roteador passaro pelo roteador at o prximo segmento de rede.

Aqui esto algumas diretrizes para utilizar ACLs:

Utilize as ACLs em roteadores de firewall colocados entre as suas redes interna e externa, como a Internet. Utilize as ACLs em um roteador colocado entre duas partes da sua rede para controlar o trfego que entra ou sai de uma determinada parte da sua rede interna. Configure as ACLs em roteadores de borda (roteadores situados nas extremidades das suas redes). Isso fornece um buffer muito bsico da rede externa ou entre uma rea menos controlada da sua prpria rede e uma rea mais confidencial da sua rede. Configure as ACLs para cada protocolo de rede configurado nas interfaces do roteador de borda. Voc pode configurar as ACLs em uma interface para filtrar o trfego de entrada, o trfego de sada ou ambos.

Clique no boto ACLs em um roteador na figura.

Os trs Ps

Uma regra geral para aplicar as ACLs em um roteador pode ser lembrada, basta memorizar os trs Ps. Voc pode configurar uma ACL por protocolo, por direo, por interface:

Uma ACL por protocolo para controlar o fluxo de trfego em uma interface, uma ACL deve ser definida para cada protocolo habilitado na interface. Uma ACL por direo as ACLs controlam o trfego em uma direo por vez em uma interface. Duas ACLs separadas devem ser criadas para controlar os trfegos de entrada e de sada. Uma ACL por interface as ACLs controlam o trfego de uma interface, por exemplo, Fast Ethernet 0/0.

Escrever ACLs pode ser uma tarefa desafiante e complexa. Cada interface pode ter vrios protocolos e direes definidas. O roteador no exemplo tem duas interfaces configuradas para IP, AppleTalk e IPX. Esse roteador pode exigir 12 ACLs separadas: uma ACL para cada protocolo, duas para cada direo e duas para o nmero de portas.

As ACLs executam as seguintes tarefas:

Limitam o trfego da rede para aumentar o desempenho da rede. Por exemplo, se a poltica corporativa no permitir trfego de vdeo na rede, as ACLs que bloqueiam o trfego de vdeo podero ser configuradas e aplicadas. Isso reduziria muito a carga de rede e aumentaria o desempenho da rede. Fornecer controle de fluxo do trfego. As ACLs podem restringir a entrega das atualizaes de roteamento. Se as atualizaes no forem obrigatrias por conta das condies de rede, a largura de banda ser preservada. Fornea um nvel bsico de segurana para o acesso rede. As ACLs podem permitir a um host acessar uma parte da rede e impedir outro host de acessar a mesma rea. Por exemplo, o acesso rede de recursos humanos pode ser restringido para selecionar os usurios. Decida que tipos de trfego encaminhar ou bloquear nas interfaces do roteador. Por exemplo, uma ACL pode permitir trfego de email, mas bloqueia todo o trfego de Telnet. Controle as reas que um cliente pode acessar em uma rede. Os hosts na tela para permitir ou negar acesso a servios de rede. As ACLs podem permitir ou negar a um usurio o acesso a tipos de arquivo, como FTP ou HTTP.

As ACLs inspecionam pacotes de rede com base em critrios, como endereo de origem, endereo de destino, protocolos e nmeros de porta. Alm de permitir ou negar trfego, uma ACL pode classificar o trfego para habilitar o processamento por prioridades na linha. Esse recurso semelhante a ter uma passagem VIP para um show ou evento esportivo. A passagem VIP oferece privilgios a convidados selecionados no oferecidos a proprietrios de entradas, como poder entrar em uma rea restrita e ser escoltado at seus assentos. Como as ACLs funcionam

As ACLs definem o conjunto de regras que do controle adicional para pacotes que entram por interfaces de entrada, pacotes retransmitidos pelo roteador e pacotes que saem pelas interfaces de sada do roteador. As ACLs no funcionam em pacotes com origem no prprio roteador.

As ACLs so configuradas para se aplicar ao trfego de entrada ou ao trfego de sada.

ACLs de entrada os pacotes de entrada so processados antes de serem roteados para a interface de sada. Uma ACL de entrada ser eficiente porque evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se for permitido pelos testes, o pacote ser processado para roteamento. ACLs de sada os pacotes de entrada so roteados para a interface de sada e, em seguida, processados pela ACL de sada.

As instrues ACL funcionam em ordem sequencial. Elas avaliam pacotes em relao ACL, de cima para baixo, uma instruo por vez.

A figura mostra a lgica de uma ACL de entrada. Se o cabealho de um pacote corresponder a uma instruo ACL, as demais instrues na lista sero ignoradas e o pacote ser permitido ou negado conforme determinao da instruo correspondente. Se o cabealho de um pacote no corresponder a uma instruo ACL, o pacote ser testado em relao prxima instruo da lista. Esse processo de comparao continua at o trmino da lista.

Uma instruo includa no final abrange todos os pacotes para os quais as condies no se mostraram verdadeiras. Essa condio de teste final corresponde a todos os demais pacotes e resultados em uma instruo "negar". Em vez de continuar dentro ou fora de uma interface, o roteador

ignora todos esses pacotes restantes. Essa instruo final costuma ser conhecida como "negar qualquer instruo implicitamente" ou "negar todo o trfego". Por conta dessa instruo, uma ACL deve ter pelo menos uma instruo de permisso; do contrrio, a ACL bloqueia todo o trfego.

Voc pode aplicar uma ACL a vrias interfaces. No entanto, talvez s haja uma ACL por protocolo, direo e interface.

Clique no boto ACLs de sada na figura.

A figura mostra a lgica de uma ACL de sada. Para que um pacote seja encaminhado para uma interface de sada, o roteador verifica a tabela de roteamento para ver se o pacote pode ser roteado. Se no puder ser roteado, o pacote ser ignorado. Em seguida, o roteador verifica se a interface de sada agrupada em uma ACL. Os exemplos de operao de ACL de sada so os seguintes:

Se a interface de sada no for agrupada em uma ACL de sada, o pacote ser enviado diretamente para a interface de sada. Se a interface de sada for agrupada em uma ACL de sada, o pacote no ser enviado pela interface de sada at ser testado pela combinao de instrues ACL associadas a essa interface. Com base nos testes ACL, o pacote permitido ou negado.

Para listas de sada, "permitir" significa enviar o pacote para o buffer de sada e "negar" significa descart-lo. A ACL e o roteamento e os processos ACL em um roteador

A figura mostra a lgica do roteamento e dos processos ACL em um roteador. Quando um pacote chega a uma interface do roteador, o processo do roteador o mesmo, independentemente das ACLs serem utilizadas ou no. medida que um quadro entra em uma interface, o roteador verifica se o destino do endereo da Camada 2 de destino corresponde ao seu ou se o quadro de broadcast.

Se o endereo do quadro for aceito, as informaes do quadro sero removidas e o roteador verificar se h uma ACL na interface de entrada. Se houver uma ACL, o pacote agora ser testado em relao s instrues na lista.

Se o pacote corresponder a uma instruo, ele ser aceito ou rejeitado. Se for aceito na interface, o pacote ser verificado em relao s entradas da tabela de roteamento para determinar a interface de destino e comutado para essa interface.

Em seguida, o roteador verifica se a interface de destino tem uma ACL. Se houver uma ACL, o pacote ser testado em relao s instrues na lista.

Se corresponder a uma instruo, o pacote ser aceito ou rejeitado.

Se no houver nenhuma ACL ou o pacote for aceito, o pacote ser encapsulado no novo protocolo da Camada 2 e encaminhado pela interface para o prximo dispositivo.

A instruo implcita do critrio "Negar todo o trfego"

Ao final de toda lista de acesso, h uma instruo implcita do critrio "negar todo o trfego". Ela tambm conhecida s vezes como a instruo "deny any implcito". Por isso, se no corresponder a nenhuma das entradas ACL, um pacote ser bloqueado automaticamente. "negar todo o trfego" implcito o comportamento padro das ACLs, no podendo ser alterado.

Existe uma advertncia chave associada a esse comportamento "negar tudo": para a maioria dos protocolos, se definir uma lista de acesso de entrada para a filtragem de trfego, voc dever incluir instrues de critrios da lista de acesso explcitas para permitir atualizaes de roteamento. Se no fizer, voc poder efetivamente perder a comunicao com a interface quando as atualizaes de roteamento forem bloqueadas pela instruo implcita "negar todo o trfego" ao final da lista de acesso. H dois tipos de ACLs Cisco, padro e estendida.

ACLs padro

As ACLs padro permitem a voc permitir ou negar trfego de endereos IP de origem. O destino do pacote e as portas envolvidas no importam. O exemplo permite todo o trfego da rede 192.168.30.0/24. Por conta da "negar tudo" implcita ao final, todo os demais trfegos so bloqueados com essa ACL. As ACLs padro so criadas no modo de configurao global.

Clique no boto ACL estendida na figura.

ACLs estendidas

As ACLs estendidas filtram pacotes IP com base em vrios atributos, por exemplo, tipo de protocolo, endereo IP de origem, endereo IP de destino, portas TCP e UDP de origem, portas TCP e UDP de destino e informaes do tipo de protocolo opcionais para maior granularidade de controle. Na figura, a ACL 103 permite trfego com origem em qualquer endereo na rede 192.168.30.0/24 para qualquer host de destino na porta 80 (HTTP). As ACLs estendidas so criadas no modo de configurao global.

Os comandos para ACLs so explicados nos prximos tpicos. Uma ACL padro uma coleo sequencial de condies para permitir e negar que se aplicam a endereos IP. O destino do pacote e as portas envolvidas no so abordados.

O processo de deciso est mapeado na figura. O software IOS Cisco testa endereos em relao s condies individualmente. A primeira correspondncia determina se o software aceita ou rejeita o endereo. Como o software para de testar condies depois da primeira correspondncia, a ordem das condies essencial. Se nenhuma condio corresponder, o endereo ser rejeitado.

As duas tarefas principais envolvidas na utilizao das ACLs so as seguintes:

Etapa 1. Criar uma lista de acesso, especificando um nmero da lista de acesso ou nome e condies de acesso.

Etapa 2. Aplicar a ACL a interfaces ou linhas de terminal.

Utilizar ACLs numeradas um mtodo efetivo para determinar o tipo de ACL em redes menores com trfego definido de maneira mais homognea. No entanto, um nmero no informa a finalidade da ACL. Por essa razo, comeando pelo IOS Cisco release 11.2, voc pode utilizar um nome para identificar uma ACL Cisco.

A figura sumariza a regra para designar as ACLs numeradas e as ACLs nomeadas.

Em relao a ACLs numeradas, caso voc esteja se perguntando por que os nmeros de 200 a 1.299 so ignorados, porque esses nmeros so utilizados por outros protocolos. Este curso s aborda ACLs IP. Por exemplo, os nmeros de 600 a 699 so utilizados por AppleTalk, e os nmeros de 800 a 899 so utilizados por IPX. Voc atribui um nmero com base no protocolo que voc deseja filtrar: (1 a 99) e (1300 a 1999): ACL IP padro (100 a 199) e (2000 a 2699): ACL IP estendida Voc atribui um nome, fornecendo o nome da ACL: Os nomes podem conter caracteres alfanumricos. Sugere-se que o nome seja escrito em LETRAS MAISCULAS. Os nomes no podem conter espaos ou pontuao, devendo comear por uma letra. Voc pode adicionar ou excluir entradas dentro da ACL. A localizao apropriada de uma ACL para filtrar trfego indesejvel faz a rede operar com mais eficincia. As ACLs podem agir como firewalls para filtrar pacotes e eliminar o trfego indesejvel. Onde voc coloca as ACLs pode reduzir o trfego desnecessrio. Por exemplo, o trfego a ser negado em um destino remoto no deve utilizar recursos de rede ao longo da rota at esse destino.

Toda ACL deve ser colocada onde tenha o maior impacto em termos de eficincia. As regras bsicas so:

Localize as ACLs estendidas mais prximas da origem do trfego negado. Dessa forma, o trfego indesejvel filtrado sem atravessar a infraestrutura de rede. Como as ACLs padro no especificam endereos de destino, coloque-as o mais prximo possvel do destino.

Consideremos um exemplo de onde colocar as ACLs na nossa rede. A interface e o local de rede se baseiam naquilo que voc deseja que a ACL faa.

Na figura, o administrador deseja impedir o trfego com origem na rede 192.168.10.0/24 de chegar rede 192.168.30.0/24. Uma ACL na interface de sada de R1 tambm nega a R1 a possibilidade de enviar trfego a outros locais. A soluo colocar uma ACL padro na interface de entrada de R3 a fim de parar todo o trfego do endereo de origem 192.168.10.0/24. Uma ACL padro s atende s necessidades porque se preocupa com os endereos IP de origem.

Clique no boto ACL estendida na figura.

Considere que os administradores s podem colocar as ACLs em dispositivos que eles controlem. Por isso, o local deve ser determinado dentro do contexto de at onde o controle do administrador de rede se estende. Nesta figura, o administrador das redes 192.168.10.0/24 e 192.168.11.0/24 (conhecidas como Dez e Onze, respectivamente, neste exemplo) deseja negar o trfego Telnet e FTP de Onze para a rede 192.168.30.0/24 (Trinta, neste exemplo). Ao mesmo tempo, outro trfego deve ter permisso para deixar Dez.

H vrias formas de fazer isso. Uma ACL estendida em R3 que bloqueasse Telnet e FTP em Onze realizaria a tarefa, mas o administrador no controla R3. Alm disso, essa soluo ainda permite ao trfego indesejado cruzar toda a rede apenas para ser bloqueado no destino. Isso afeta a eficincia geral da rede.

Uma soluo utilizar uma ACL estendida de sada que especifique os endereos de origem e de destino (Onze e Trinta, respectivamente) e diga "O trfego Telnet e FTP de Onze no pode ir para Trinta". Coloque essa ACL estendida na porta de sada S0/0/0 de R1.

Uma desvantagem dessa soluo que esse trfego de Dez tambm estaria sujeito a algum processamento por parte da ACL, embora o trfego Telnet e FTP seja permitido.

A melhor soluo se aproximar da origem e colocar uma ACL estendida na interface de entrada Fa0/2 de R1. Isso assegura que pacotes de Onze no entram em R1 e, subsequentemente, no podem cruzar Dez ou mesmo entrar em R2 ou R3. O trfego com outros endereos de destino e portas ainda permitido em R1. Prticas recomendadas ACL

A utilizao das ACLs exige ateno a detalhes e muito cuidado. Equvocos podem sair caros em termos de indisponibilidade, identificao e soluo de problemas e um servio de rede ruim. Antes de comear a configurar uma ACL, o planejamento bsico obrigatrio. A figura apresenta diretrizes que formam a base de uma lista de prticas recomendadas da ACL. Antes de comear a configurar uma ACL padro, revisaremos conceitos importantes da ACL abordados na Seo 1.

Lembre-se de que, ao entrar no roteador, o trfego comparado com instrues ACL com base na ordem em que ocorrem as entradas no roteador. O roteador continua processando as instrues ACL at que haja uma correspondncia. Por essa razo, voc deve ter a entrada ACL mais utilizada na parte superior da lista. Se nenhuma correspondncia for encontrada quando o roteador chegar ao final da lista, o trfego ser negado porque as ACLs tm uma negao implcita para todo o trfego que no atenda a nenhum dos critrios testados. Uma ACL nica com apenas uma entrada de negao tem o efeito de negar todo o trfego. Voc deve ter pelo menos uma instruo de permisso em uma ACL, ou todo o trfego ser bloqueado.

Por exemplo, as duas ACLs (101 e 102) na figura tm o mesmo efeito. A rede 192.168.10.0 teria permisso para acessar a rede 192.168.30.0, mas 192.168.11.0, no. Lgica da ACL padro

Na figura, os pacotes que chegam por Fa0/0 so verificados em relao aos seus endereos de origem:

access-list 2 deny host 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Se forem permitidos, os pacotes sero roteados pelo roteador para uma interface de sada. Se no forem permitidos, os pacotes sero ignorados na interface de entrada. Configurando ACLs padro

Para configurar ACLs padro numeradas em um roteador Cisco, voc deve primeiro criar a ACL padro e ativar a ACL em uma interface.

O comando no modo de configurao global access-list define uma ACL padro com um nmero no intervalo de 1 a 99. O software IOS Cisco release 12.0.1 estendeu esses nmeros, permitindo de 1300 a 1999 fornecer um mximo de 799 ACLs padro possveis. Esses nmeros adicionais so conhecidos como ACLs IP expandidas.

A sintaxe completa do comando ACL padro a seguinte:

Router(config)#access-list access-list-number [deny | permit | remark] source [source-wildcard] [log]

A sintaxe completa do comando da ACL padro para filtrar um determinado host a seguinte:

Router(config)#access-list access-list-number [deny | permit] source [log]

A figura fornece uma explicao detalhada da sintaxe de uma ACL padro.

Por exemplo, para criar uma ACL numerada designada 10 que permitisse a rede 192.168.10.0 /24, voc digitaria:

R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255

Clique no boto Remover ACL na figura.

A forma no desse comando remove uma ACL padro. Na figura, a sada do comando show access-list exibe as ACLs atuais configuradas no roteador R1.

Para remover a ACL, o comando no modo de configurao global no access-list utilizado. A emisso do comando show access-list confirma se a lista de acesso 10 foi removida.

Clique no boto Comentrio na figura.

Normalmente, os administradores criam ACLs e compreendem perfeitamente todas as finalidades de cada instruo dentro da ACL. No entanto, quando uma ACL for revista mais tarde, talvez no seja to bvia quanto j foi.

A palavra-chave remark utilizada na documentao e facilita muito a compreenso das listas de acesso. Cada comentrio limitado a 100 caracteres. A ACL na figura, embora bastante simples, utilizada para fornecer um exemplo. Durante a reviso da ACL na configurao, o comentrio tambm exibido.

O prximo tpico explica como utilizar a mscara curinga para identificar redes especficas e hosts. Mascaramento curinga

Entre as instrues ACLs esto mscaras, tambm chamadas de mscaras curinga. Mscara curinga uma string de dgitos binrios que informam ao roteador que partes do nmero da sub-rede observar. Embora no tenham nenhuma relao funcional com mscaras de sub-rede, as mscaras curinga fornecem uma funo semelhante. A mscara determina a proporo de um endereo IP de origem ou de destino a ser aplicada correspondncia de endereo. Os nmeros 1 e 0 na mscara identificam como tratar os bits de endereo IP correspondentes. No entanto, eles so utilizados para fins diferentes, seguindo regras diferentes.

As mscaras curinga e de sub-rede tm 32 bits e utilizam 1s e 0s binrios. As mscaras de sub-rede utilizam 1s e 0s binrios para identificar a rede, a sub-rede e a poro de host de um endereo IP. As mscaras curinga utilizam 1s e 0s binrio para filtrar endereos IP individuais ou grupos e permitir ou negar acesso a recursos com base em um endereo IP. Definindo mscaras curinga com cuidado, voc pode permitir ou negar um ou vrios endereos IP

As mscaras curinga e de sub-rede so diferentes quanto forma com que comparam 1s e 0s binrios. As mscaras curinga utilizam as seguintes regras para comparar 1s e 0s binrios:

Bit da mscara curinga 0 comparar o valor do bit correspondente no endereo Bit da mscara curinga 1 ignorar o valor do bit correspondente no endereo

A figura explica como mscaras curinga diferentes filtram endereos IP. Ao observar o exemplo, lembre-se de que o 0 binrio significa uma correspondncia e que o 1 binrio significa ignorar.

Nota: as mscaras curinga costumam ser conhecidas como mscaras inversas. A razo que, diferentemente de uma mscara de sub-rede na qual o 1 binrio igual a uma correspondncia e 0 binrio, no, o inverso verdadeiro.

Clique no boto Exemplo de mscara curinga na figura.

Utilizando uma mscara curinga

A tabela na figura mostra os resultados da aplicao de uma mscara curinga 0.0.255.255 a um endereo IP de 32 bits. Lembre-se de que um 0 binrio indica um valor correspondente. Mscaras curinga correspondentes a sub-redes IP

O clculo da mscara curinga pode ser um pouco confuso inicialmente. A figura fornece trs exemplos de mscaras curinga.

O primeiro exemplo que a mscara curinga estipula de que todo bit no IP 192.168.1.1 deve corresponder exatamente. A mscara curinga equivale mscara de sub-rede 255.255.255.255.

No segundo exemplo, a mscara curinga estipula que qualquer coisa corresponder. A mscara curinga equivale mscara de sub-rede 0.0.0.0.

No terceiro exemplo, a mscara curinga estipula que corresponder a qualquer host dentro da rede 192.168.1.0 /24. A mscara curinga equivale mscara de sub-rede 255.255.255.0.

Esses exemplos foram bastante simples e diretos. No entanto, o clculo de mscaras curinga pode ficar um pouco mais difcil.

Clique no boto Mscara curinga 2 na figura.

Os dois exemplos na figura so mais complicados do que os trs ltimos que voc exibiu. No exemplo 1, os dois primeiros octetos e os quatro primeiros bits do terceiro octeto devem corresponder exatamente. Os ltimos quatro bits no terceiro octeto e o ltimo octeto podem ser qualquer nmero vlido. Isso resulta em uma mscara que verifica de 192.168.16.0 a 192.168.31.0

O Exemplo 2 mostra uma mscara curinga que corresponde aos dois primeiros octetos, e o bit menos significativo no terceiro octeto. O ltimo octeto e os sete primeiros bits no terceiro octeto podem ser qualquer nmero vlido. O resultado uma mscara que permitiria ou negaria todos os hosts de sub-redes mpares dentro da rede principal 192.168.0.0.

O clculo das mscaras curinga pode ser difcil, mas voc pode fazer isso facilmente, subtraindo a mscara de sub-rede de 255.255.255.255.

Clique no boto Exemplo 1 na figura.

Por exemplo, suponhamos que voc queira permitir o acesso a todos os usurios da rede 192.168.3.0. Subtraia a mscara de sub-rede, que 255.255.255.0 de 255.255.255.255, conforme a indicao na figura. A soluo produz a mscara curinga 0.0.0.255.

Clique no boto Exemplo 2 na figura.

Agora suponhamos que voc queira permitir o acesso rede para os 14 usurios da sub-rede 192.168.3.32 /28. Como a mscara da sub-rede IP 255.255.255.240, use 255.255.255.255 e subtraia da mscara de sub-rede 255.255.255.240. Desta vez, a soluo produz a mscara curinga 0.0.0.15.

Clique no boto Exemplo 3 na figura.

Neste terceiro exemplo, suponhamos que voc queira apenas comparar as redes 192.168.10.0 e 192.168.11.0. Novamente, voc usa 255.255.255.255 e subtrai a mscara de sub-rede normal, que, neste caso, seria 255.255.254.0. O resultado 0.0.1.255.

Ainda que voc possa obter o mesmo resultado com duas instrues, como:

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

R1(config)# access-list 10 permit 192.168.11.0 0.0.0.255

muito mais eficiente configurar a mscara curinga como:

R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255

Isso pode no parecer mais eficiente, mas quando voc considera se quis comparar a rede 192.168.16.0 a 192.168.31.0 da seguinte forma:

R1(config)# access-list 10 permit 192.168.16.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.17.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.18.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.19.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.20.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.21.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.22.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.23.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.24.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.25.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.26.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.27.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.28.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.29.0 0.0.0.255

R1(config)# access-list 10 permit 192.168.30.0 0.0.0.255 R1(config)# access-list 10 permit 192.168.31.0 0.0.0.255

Voc pode ver que a configurao da seguinte mscara curinga a torna mais eficiente:

R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255 Palavras-chave de mscara curinga

Trabalhar com representaes decimais de bits de mscara curinga binrios pode ser entediante. Para simplificar essa tarefa, as palavras-chave host e any ajudam a identificar as utilizaes mais comuns da mscara curinga. Essas palavras-chave eliminam a entrada de mscaras curinga durante a identificao de um host especfico ou rede. Elas tambm facilitam a leitura de uma ACL, fornecendo dicas visuais sobre a origem ou destino dos critrios.

A opo host substitui a mscara 0.0.0.0. Essa mscara informa que todos os bits de endereo IP devem corresponder ou apenas um host correspondente. A opo any substitui o endereo IP e a mscara 255.255.255.255. Essa mscara diz para ignorar todo o endereo IP ou aceitar qualquer endereo.

Exemplo 1: Processo de mscara curinga com um nico endereo IP

No exemplo, em vez de inserir 192.168.10.10 0.0.0.0, voc pode utilizar host 192.168.10.10.

Exemplo 2: Processo de mscara curinga com a correspondncia de qualquer endereo IP

No exemplo, em vez de inserir 0.0.0.0 255.255.255.255, voc pode utilizar a palavra-chave any sozinha. As palavras-chave any e host

Nesta figura, temos dois exemplos. O Exemplo 1 est exibindo como utilizar a opo any para substituir 0.0.0.0 para o endereo IP com uma mscara curinga 255.255.255.255.

O Exemplo 2 est exibindo como utilizar a opo host para substituir a mscara curinga.

Procedimentos de configurao da ACL padro

Depois de ser configurada, a ACL padro vinculada a uma interface utilizando-se o comando ip access-group:

Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}

Para remover uma ACL de uma interface, primeiro digite o comando no ip access-group na interface e, em seguida, o comando global no accesslist para remover toda a ACL.

A figura lista as etapas e a sintaxe para configurar e aplicar uma ACL padro numerada em um roteador.

Clique no boto Exemplo 1 na figura para obter um exemplo de uma ACL que permita uma nica rede.

Essa ACL s permite ao trfego da rede de origem 192.168.10.0 ser encaminhado por S0/0/0. O trfego das redes que no sejam 192.168.10.0 bloqueado.

A primeira linha identifica a ACL como lista de acesso 1. Ela permite o trfego correspondente aos parmetros selecionados. Nesse caso, o endereo IP e a mscara curinga que identificam a rede de origem so 192.168.10.0 0.0.0.255. Lembre-se de que h uma instruo negar tudo implcita equivalente ao adicionar a linha access-list 1 deny 0.0.0.0 255.255.255.255.

O comando de configurao da interface ip access-group 1 out vincula a ACL 1 interface Serial 0/0/0 como um filtro de sada.

Por isso, a ACL 1 s permite a hosts da rede 192.168.10.0 /24 sair do roteador R1. Ela nega qualquer outra rede, inclusive a rede 192.168.11.0.

Clique no boto Exemplo 2 na figura para obter um exemplo de uma ACL que negue um host especfico.

Essa ACL substitui o exemplo anterior, mas tambm bloqueia o trfego de um endereo especfico. O primeiro comando exclui a verso anterior da ACL 1. A prxima instruo da ACL nega o host de PC1 localizado em 192.168.10.10. Qualquer outro host na rede 192.168.10.0 /24 permitido. Mais uma vez, as instrues negar implcitas correspondem a todas as demais redes.

A ACL novamente reaplicada interface S0/0/0 em uma direo de sada.

Clique no boto Exemplo 3 na figura para obter um exemplo de uma ACL que negue um host especfico e permita algumas sub-redes.

Essa ACL substitui o exemplo anterior, mas ainda bloqueia o trfego do PC1 de host. Ela tambm permite a todo o outro trfego de rede local sair do roteador R1.

Os dois primeiros comandos so iguais aos do exemplo anterior. O primeiro comando exclui a verso anterior da ACL 1 e a prxima instruo da ACL nega o host de PC1 localizado em 192.168.10.10.

A terceira linha nova e permite todos os hosts das redes 192.168.x.x /16. Isso agora significa que todos os hosts da rede 192.168.10.0 /24 ainda correspondem, mas agora os hosts da rede 192.168.11.0, tambm.

A ACL novamente reaplicada interface S0/0/0 em uma direo de sada. Por isso, ambas as redes locais conectadas ao roteador R1 podem deixar a interface S0/0/0 com exceo do host de PC1. Utilizando uma ACL para controlar o acesso VTY

A Cisco recomenda a utilizao de SSH em conexes administrativas para roteadores e switches. Se a imagem do software IOS Cisco em seu roteador no d suporte a SSH, voc pode melhorar parcialmente a segurana das linhas administrativas, restringindo o acesso a VTY. Restringir o acesso a VTY uma tcnica que permite definir quais endereos IP tm permisso de acesso Telnet ao processo EXEC do roteador. Voc pode controlar qual estao de trabalho administrativa ou rede gerencia o seu roteador com uma ACL e uma instruo access-class para as suas linhas VTY. Voc tambm pode utilizar essa tcnica com SSH mais melhorar ainda mais a segurana do acesso administrativo.

O comando access-class no modo de configurao da linha restringe conexes de entrada e de sada entre um VTY especfico (em um dispositivo Cisco) e os endereos em uma lista de acesso.

As listas de acesso padro e estendida se aplicam a pacotes que percorrem um roteador. Elas no foram projetadas para bloquear pacotes com origem dentro do roteador. Por padro, uma ACL estendida de Telnet de sada no impede sesses Telnet iniciadas por roteador.

A filtragem do trfego Telnet normalmente considerada uma funo da ACL IP estendida porque filtra um protocolo de nvel mais alto. No entanto, como voc est utilizando o comando access-class para filtrar sesses Telnet de entrada ou de sada pelo endereo de origem e aplicar filtragem a linhas VTY, voc pode utilizar instrues ACL padro para controlar acesso a VTY.

A sintaxe do comando access-class :

access-class access-list-number {in [vrf-also] | out}

O parmetro in restringe conexes de entrada entre um dispositivo Cisco e os endereos na lista de acesso, e o parmetro out restringe conexes de sada entre um determinado dispositivo Cisco e os endereos na lista de acesso.

Um exemplo que permite VTY 0 e 4 mostrado na figura. Por exemplo, a ACL na figura configurada para permitir a redes 192.168.10.0 e 192.168.11.0 acessar VTYs de 0 a 4. Todas as demais redes tm acesso negado a VTYs.

O seguinte deve ser considerado durante a configurao das listas de acesso em VTYs:

As restries idnticas devem ser definidas em todos os VTYs, porque um usurio pode tentar se conectar a um deles. Editando ACLs numeradas

Durante a configurao de uma ACL, as instrues so adicionadas na ordem em que so inseridas no final da ACL. No entanto, no h nenhum recurso de edio interno que permita editar uma alterao em uma ACL. Voc no pode inserir ou excluir linhas de maneira seletiva.

altamente recomendvel que qualquer ACL seja criada em um editor de texto, como o Bloco de Notas da Microsoft. Isso permite a voc criar ou editar a ACL e, em seguida, col-la no roteador. Em relao a uma ACL existente, voc poderia utilizar o comando show running-config para exibir a ACL, copiar e col-la no editor de texto, fazer as alteraes necessrias e recarreg-la.

Por exemplo, suponhamos que o endereo IP de host na figura tenha sido digitado incorretamente. Em vez do host 192.168.10.100, deveria ter sido o host 192.168.10.11. Aqui esto as etapas para editar e corrigir a ACL 20:

Etapa 1. Exibir a ACL utilizando o comando show running-config. O exemplo na figura utiliza a palavra-chave include para exibir apenas as instrues ACL.

Etapa 2. Realar a ACL, copiar e col-la para o Bloco de Notas da Microsoft. Edite a lista conforme exigido. Quando a ACL for exibida corretamente no Bloco de Notas da Microsoft, realce-a e copie.

Etapa 3. No modo de configurao global, desabilite a lista de acesso utilizando o comando no access-list 20. Do contrrio, as novas instrues seriam adicionadas ACL existente. Em seguida, cole a nova ACL na configurao do roteador.

Deve-se mencionar que durante a utilizao do comando no access-list, nenhuma ACL est protegendo a sua rede. Alm disso, lembre-se de que, se cometer um erro na nova lista, voc ter que desabilit-la e identificar e solucionar o problema. Nesse caso, mais uma vez, a sua rede no tem nenhuma ACL durante o processo de correo. Comentando ACLs

Voc pode utilizar a palavra-chave remark para incluir comentrios sobre entradas em qualquer ACL padro ou estendida. Os comentrios simplificam a compreenso e a verificao da ACL. Cada linha de comentrio limitada a 100 caracteres.

O comentrio pode ficar antes ou depois de uma instruo permit ou deny. Voc deve manter a consistncia quanto ao local onde coloca o comentrio para que fique claro o que cada um descreve em relao a instrues permit ou deny. Por exemplo, seria confuso ter alguns comentrios antes das instrues permit ou deny associadas e outros depois.

Para incluir um comentrio sobre as ACLs padro ou estendida numeradas por IP, utilize o comando de configurao global access-list access-list number remark remark. Para remover o comentrio, utilize a forma no desse comando.

No primeiro exemplo, a ACL padro permite o acesso estao de trabalho que pertence a Jones e nega acesso estao de trabalho que pertence a Smith.

Para uma entrada em uma ACL nomeada, utilize o comando de configurao remark. Para remover o comentrio, utilize a forma no desse comando. O segundo exemplo mostra uma ACL nomeada estendida. Lembre-se da definio anterior de ACLs estendidas, de que elas so utilizadas para controlar nmeros de porta especficos ou servios. No segundo exemplo, o comentrio diz que a estao de trabalho de Jones no tem permisso para utilizar Telnet de sada.

Nomear uma ACL facilita a compreenso de sua funo. Por exemplo, uma ACL para negar FTP poderia se chamar NO_FTP. Quando voc identifica a sua ACL com um nome em vez de um nmero, o modo de configurao e a sintaxe do comando so um pouco diferentes.

A figura mostra as etapas para criar uma ACL nomeada padro.

Etapa 1. Comeando no modo de configurao global, utilizar o comando ip access-list para criar uma ACL nomeada. Os nomes de ACL so alfanumricos, devendo ser exclusivos e no comear com um nmero.

Etapa 2. No modo de configurao da ACL nomeada, utilizar as instrues permit ou deny para especificar uma ou mais condies e determinar se um pacote foi encaminhado ou ignorado.

Etapa 3. Retornar ao modo EXEC privilegiado com o comando end.

Clique no boto Exemplo na figura.

Na figura, a sada do comando da tela mostra os comandos utilizados para configurar uma ACL nomeada padro no roteador R1, a interface Fa0/0 que nega ao host 192.168.11.10 acesso rede 192.168.10.0.

Usar maisculas em nomes da ACL no obrigatrio, mas os destaca durante a exibio da sada do comando running-config. Quando voc concluir a configurao de uma ACL, utilize os comandos show do IOS Cisco para verificar a configurao. Na figura, o exemplo superior mostra a sintaxe do IOS Cisco para exibir o contedo de todas as ACLs. O exemplo inferior mostra o resultado da emisso do comando show access-lists no roteador R1. Os nomes de ACL em maisculas, VENDAS e ENG, se destacam na sada do comando na tela.

Lembre-se de que voc comeou configurando as ACLs inicialmente; voc quis implementar as polticas de segurana da sua organizao. Agora que voc verificou se as ACLs esto configuradas conforme desejado, a prxima etapa confirmar se as ACLs funcionam conforme planejado.

As diretrizes discutidas anteriormente nesta seo sugerem que voc configure as ACLs em uma rede de teste e implemente as ACLs testadas na rede de produo. Embora uma discusso sobre como preparar um cenrio de teste da ACL esteja alm do escopo deste curso, voc precisa saber que confirmar se as suas ACLs funcionam conforme o planejado pode ser um processo complexo e demorado. As ACLs nomeadas tm uma grande vantagem sobre as ACLs numeradas por serem mais fceis de editar. Comeando pelo software IOS Cisco release 12.3, as ACLs IP nomeadas permitem excluir entradas individuais em uma ACL especfica. Voc pode usar nmeros de sequncia para inserir instrues em qualquer lugar da ACL nomeada. Se estiver utilizando uma verso anterior do software IOS Cisco, voc s poder adicionar instrues na parte inferior da ACL nomeada. Como pode excluir entradas individuais, voc pode modificar a sua ACL sem ter que excluir e, em seguida, reconfigurar toda a ACL.

O exemplo na figura mostra uma ACL aplicada interface S0/0/0 de R1. Ela restringiu o acesso ao servidor Web. Observando este exemplo, voc pode ver duas coisas que ainda no viu neste curso:

Clique no boto Sada do roteador na figura.

Na primeira sada do comando show, voc pode ver que a ACL nomeada WEBSERVER tem trs linhas numeradas que indicam regras de acesso para o servidor Web. Conceder acesso a outra estao de trabalho na lista requer apenas a insero de uma linha numerada. No exemplo, a estao de trabalho com o endereo IP 192.168.11.10 est sendo adicionada. A sada do comando show verifica se a nova estao de trabalho agora tem permisso. Testando pacotes com ACLs estendidas

Para obter um controle de filtragem de trfego mais preciso, voc pode utilizar ACLs estendidas numeradas de 100 a 199 e de 2.000 a 2.699, fornecendo um total de 800 ACLs estendidas possveis. As ACLs estendidas tambm podem ser nomeadas.

As ACLs estendidas so mais utilizadas que as ACLs padro porque fornecem um intervalo maior de controle e, por isso, acrescentam sua soluo de segurana. Assim como as ACLs padro, as ACLs estendidas verificam os endereos do pacote de origem, mas tambm verificam o endereo de destino, protocolos e nmeros de porta (ou servios). Isso proporciona um nmero maior de critrios nos quais a ACL se baseia. Por exemplo, uma ACL estendida pode permitir trfego de email simultaneamente de uma rede para um destino especfico enquanto nega transferncias de arquivos e navegao na Web.

A figura mostra o caminho de deciso lgico utilizado por uma ACL estendida criada para filtragem com base nos endereos de origem e de destino, no protocolo e nos nmeros de porta. Neste exemplo, a ACL filtra primeiro o endereo de origem e, em seguida, a porta e o protocolo da origem. Em seguida, ela filtra o endereo de destino, a porta e o protocolo do destino e toma uma deciso final de permitir ou negar.

Lembre-se de que, como as entradas so processadas em ACLs uma depois da outra, uma deciso 'No' no necessariamente equivale a 'Negar'. Na medida em que voc passa pelo caminho de deciso lgico, observe que um 'No' significa ir para a prxima entrada at que todas as entradas sejam testadas. Somente quando todas as entradas foram processadas que a deciso 'Permitir' ou 'Negar' finalizada.

A prxima pgina fornece um exemplo de uma ACL estendida. Testando portas e servios

A possibilidade de filtrar com base no protocolo e no nmero da porta permite criar ACLs estendidas muito especficas. Utilizando o nmero de porta apropriado, voc pode especificar um aplicativo, configurando o nmero de porta ou o nome de uma porta bem conhecida.

A figura mostra alguns exemplos de como um administrador especifica um nmero de porta TCP ou UDP, colocando-o no final da instruo da ACL estendida. Operaes lgicas podem ser utilizadas, como igual (eq), diferente (neq), maior que (gt) e menor que (lt).

Clique no boto Portas na figura.

A figura mostra como gerar uma lista dos nmeros de porta e palavras-chave que voc pode utilizar enquanto cria uma ACL utilizando R1(config)#access-list 101 permit tcp any eq ? .

As etapas procedurais para configurar as ACLs estendidas so iguais a ACLs padro: voc primeiro cria a ACL estendida e s ento a ativa em uma interface. No entanto, a sintaxe do comando e os parmetros so mais complexos para dar suporte aos recursos adicionais fornecidos por ACLs estendidas.

A figura mostra a sintaxe do comando comum para ACLs estendidas. O campo de rolagem fornece detalhes das palavras-chave e dos parmetros. Na medida em que avana neste captulo, h explicaes e exemplos que ampliaro ainda mais a sua compreenso.

Clique no boto Configurando ACLs estendidas na figura.

A figura mostra um exemplo de como voc poderia criar uma ACL estendida especfica para as suas necessidades de rede. Neste exemplo, o administrador de rede precisa restringir o acesso Internet para permitir apenas a navegao no site. A ACL 103 se aplica ao trfego que deixa a rede 192.168.10.0 e a ACL 104 ao trfego que chega rede.

A ACL 103 atende primeira parte do requisito. Ela permite ao trfego proveniente de qualquer endereo na rede 192.168.10.0 ir para qualquer destino, estando sujeito limitao do trfego chegar apenas at as portas 80 (HTTP) e 443 (HTTPS).

A natureza de HTTP exige que esse trfego volte na rede, mas o administrador de rede quer restringir esse trfego a trocas HTTP nos sites solicitados. A soluo em segurana deve negar qualquer outro trfego que chega at a rede. A ACL 104 faz isso bloqueando todo o trfego de entrada, exceto pelas conexes estabelecidas. HTTP estabelece conexes que comeam pela solicitao original e passam pela troca de mensagens ACK, FIN e SYN.

Observe que o exemplo utiliza o parmetro established.

Esse parmetro permite a respostas trafegar com origem na rede 192.168.10.0 /24 e retornar entrada em s0/0/0. Uma correspondncia ocorrer se o datagrama TCP tiver os bits ACK ou de redefinio (RST) definidos, o que indica que o pacote pertence a uma conexo existente. Com o parmetro established, o roteador permitir apenas ao trfego estabelecido voltar e bloquear todos os demais trfegos. Nos diga como configurar uma lista de acesso estendida, aproveitando o exemplo anterior. Lembre-se de que ns queremos permitir aos usurios navegar em sites seguros e no seguros. Primeiro considere se o trfego que voc deseja filtrar est entrando ou saindo. A tentativa de acessar sites na Internet trfego saindo. Receber emails na Internet trfego entrando na empresa. No entanto, durante a considerao de como aplicar uma ACL a uma interface, entrar e sair ganham significados diferentes, dependendo do ponto de vista.

No exemplo da figura, R1 tem duas interfaces. Ela tem uma porta serial, S0/0/0, e uma porta Fast Ethernet, Fa0/0. O trfego de Internet que chega entra pela interface S0/0/0, mas sai pela interface Fa0/0 para alcanar PC1. O exemplo aplica a ACL interface serial em ambas as direes.

Clique no boto Negar FTP na figura.

Este um exemplo da negao de trfego FTP na sub-rede 192.168.11.0 para a sub-rede 192.168.10.0, mas que permite todo o trfego restante. Observe a utilizao de mscaras curinga. Lembre-se de que, como o FTP exige as portas 20 e 21, voc precisa especificar ambas eq 20 e eq 21 para negar FTP.

Com ACLs estendidas, voc pode escolher utilizar nmeros de porta como os do exemplo ou chamar uma porta bem conhecida pelo nome. Em um exemplo anterior de uma ACL estendida, as instrues foram anotadas da seguinte forma:

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data

Observe que para FTP, ftp e ftp-data devem ser mencionados.

Clique no boto Negar Telnet na figura.

Este exemplo nega trfego Telnet de 192.168.11.0, mas permite todo o trfego IP restante de qualquer outra origem para qualquer destino de entrada em Fa0/1. Observe a utilizao das palavras-chave any, o que significa de qualquer lugar para qualquer lugar. Voc pode criar ACLs estendidas nomeadas basicamente da mesma forma como criou ACLs padro nomeadas. Os comandos para criar uma ACL nomeada so diferentes para ACLs padro e estendidas.

Comeando no modo EXEC privilegiado, siga estas etapas para criar uma ACL estendida utilizando nomes.

Etapa 1. Comeando no modo de configurao global, utilizar o comando ip access-list extended name para definir uma ACL estendida nomeada.

Etapa 2. No modo de configurao da ACL nomeada, especificar as condies que voc deseja permitir ou negar.

Etapa 3. Retornar ao modo EXEC privilegiado e verificar a sua ACL com o comando show access-lists [number | name].

Etapa 4. Como opo e etapa recomendada, salvar as suas entradas no arquivo de configurao com o comando copy running-config startupconfig.

Para remover uma ACL estendida nomeada, utilize o comando no modo de configurao global no ip access-list extended name.

A figura mostra a verso nomeada da ACL criada anteriormente. Tipos de ACLs complexas

As ACLs padro e estendidas podem se tornar a base para ACLs complexas, que fornecem funcionalidade adicional. A tabela na figura sumariza as trs categorias de ACLs complexas. Dinmica * usurios que desejam atravessar o roteador so bloqueados at utilizarem Telnet para se conectar ao roteador e serem autenticados. Reflexiva * Permite o trfego de sada e limita o trfego de entrada em relao a sesses com origem dentro do roteador Tempo * Permite o controle de acesso baseado na hora do dia e da semana

O que so ACLs dinmicas?

O lock-and-key um recurso de segurana de filtragem de trfego que utiliza ACLs dinmicas, s vezes conhecidas como ACLs lock-and-key. O lock-and-key s est disponvel para trfego IP. As ACLs dinmicas dependem da conectividade Telnet, da autenticao (local ou remota) e das ACLs estendidas.

A configurao da ACL dinmica comea com a aplicao de uma ACL estendida para bloquear trfego no roteador. Os usurios que desejam atravessar o roteador so bloqueados pela ACL estendida at utilizarem Telnet para se conectar ao roteador e serem autenticados. A conexo Telnet descartada, e uma ACL dinmica de entrada nica adicionada ACL estendida existente. Isso permite o trfego durante um perodo especfico; timeouts ociosos e absolutos so possveis.

Quando utilizar ACLs dinmicas

Algumas razes comuns para utilizar as ACLs dinmicas so as seguintes:

Quando voc quiser que um usurio remoto especfico ou grupo de usurios remotos acesse um host dentro da sua rede, ao mesmo tempo em que conectam nos hosts remotos via Internet. Lock-and-key autentica o usurio e permite acesso limitado pelo seu roteador de firewall a um host ou sub-rede durante um perodo finito. Quando voc deseja que um subconjunto de hosts em uma rede local acesse um host em uma rede remota protegida por um firewall. Com lockand-key, voc s pode habilitar o acesso ao host remoto para o conjunto desejado de hosts locais. Lock-and-key exige que os usurios se autentiquem por meio de um servidor AAA, TACACS+ ou outro servidor de segurana antes de permitir a seus hosts acessar os hosts remotos.

Benefcios de ACLs dinmicas

As ACLs dinmicas tm os seguintes benefcios de segurana em relao a ACLs padro e estendidas estticas:

Utilizao de um mecanismo de desafio para autenticar usurios individuais. Gerenciamento simplificado em grandes redes interconectadas. Em muitos casos, a reduo do volume do processamento do roteador obrigatrio para ACLs. Reduo da oportunidade para invases rede por hackers. Criao de acesso de usurio dinmico por um firewall, sem comprometer outras restries de segurana configuradas.

Na figura, o usurio em PC1 um administrador que exige acesso backdoor rede 192.168.30.0 /24 localizada no roteador R3. Uma ACL dinmica foi configurada para permitir a FTP e HTTP acesso no roteador R3, mas apenas por um tempo limitado. Exemplos de ACL dinmica

Considere um requisito para que um administrador de rede em PC1 obtenha acesso peridico rede (192.168.30.0 /24) pelo roteador R3. Para facilitar esse requisito, uma ACL dinmica configurada na interface serial S0/0/1 no roteador R3.

Embora uma descrio detalhada da configurao para uma ACL dinmica esteja alm do escopo deste curso, til revisar as etapas de configurao.

Clique no boto Config na figura para exibir um exemplo de uma configurao de ACL dinmica.

Passe o mouse sobre cada Etapa na figura para revisar as etapas de configurao da ACL dinmica. O que so ACLs reflexivas?

As ACLs reflexivas foram o trfego de resposta do destino de um pacote de sada conhecido recente a ir para a origem desse pacote de sada. Isso d mais controle sobre o trfego no qual voc tem permisso na sua rede e aumenta os recursos das listas de acesso estendidas.

Os administradores de rede utilizam ACLs reflexivas para permitir trfego IP para sesses com origem em sua rede enquanto negam trfego IP para sesses com origem fora da rede. Essas ACLs permitem ao roteador gerenciar trfego de sesso dinamicamente. O roteador examina o trfego de sada e, quando v uma nova conexo, adiciona uma entrada a uma ACL temporria para permitir respostas. As ACLs reflexivas contm apenas entradas temporrias. Essas entradas so criadas automaticamente quando uma nova sesso IP comea, por exemplo, com um pacote de sada, e as entradas so removidas automaticamente quando a sesso termina.

As ACLs reflexivas fornecem uma forma de filtragem de sesso mais real que uma ACL estendida utilizando o parmetro established apresentado anteriormente. Embora sejam semelhantes em termos conceituais ao parmetro established, as ACLs reflexivas tambm funcionam com UDP e ICMP, que no tm bits ACK ou RST. A opo established tambm no funciona com aplicativos que alteram dinamicamente a porta de origem do trfego de sesso. A instruo permit established s verifica bits ACK e RST, e no endereos de origem e destino.

As ACLs reflexivas no so aplicadas diretamente a uma interface, mas so "aninhadas" em uma ACL IP nomeada estendida que se aplicada interface.

As ACLs reflexivas s podem ser definidas com ACLs IP nomeadas estendidas. Elas no podem ser definidas com ACLs numeradas ou nomeadas padro ou com outras ACLs de protocolo. As ACLs reflexivas podem ser utilizadas com outras ACLs estendidas estticas e padro.

Benefcios de ACLs reflexivas

As ACLs reflexivas tm os seguintes benefcios:

Ajudam a proteger a sua rede contra hackers de rede e podem ser includas em uma defesa de firewall. Fornecem um nvel de segurana contra spoofing e determinados ataques DoS. As ACLs reflexivas so muito mais difceis de falsificar porque mais critrios de filtro devem corresponder para que um pacote tenha permisso. Por exemplo, os endereos de origem e de destino e os nmeros de porta, e no apenas os bits ACK e RST, so verificados. Simples de utilizar e, em comparao com ACLs bsicas, fornecem maior controle sobre quais pacotes entram na sua rede. Exemplo de ACL reflexiva

A figura mostra um exemplo no qual o administrador precisa de uma ACL reflexiva que permita trfego de sada e de entrada ICMP, enquanto permite apenas trfego TCP iniciado dentro da rede. Suponhamos que todo o restante do trfego seja negado. A ACL reflexiva aplicada interface de sada de R2.

Clique no boto Config na figura.

Embora a configurao completa de ACLs reflexivas esteja alm do escopo deste curso, a figura mostra um exemplo das etapas obrigatrias para configurar uma ACL reflexiva.

Passe o mouse sobre cada Etapa na figura para revisar as etapas de configurao da ACL reflexiva. O que so ACLs baseadas em tempo?

As ACLs baseadas em tempo so semelhantes a ACLs estendidas em termos de funo, mas permitem o controle de acesso com base na hora. Para implementar ACLs baseadas em hora, voc cria um intervalo que define horas especficas do dia e da semana. Voc identifica o intervalo com um nome e se refere a ele por uma funo. As restries de hora so impostas na prpria funo.

As ACLs baseadas em tempo tm muitos benefcios, como:

Oferece ao administrador de rede mais controle sobre a permisso ou a negao de acesso a recursos. Permite aos administradores de rede controlar mensagens de registro em log. As entradas ACL podem registrar o trfego em log em determinadas horas do dia, mas no constantemente. Por isso, os administradores podem simplesmente negar acesso sem analisar os muitos logs gerados durante horrios de pico. Exemplo de ACL baseada em tempo

Embora os detalhes da configurao completa de ACLs baseadas em tempo estejam alm do escopo deste curso, o seguinte exemplo mostra as etapas obrigatrias. No exemplo, uma conexo Telnet permitida da rede interna para a rede externa s segundas, quartas e sextas durante o horrio comercial.

Clique no boto Config na figura.

Etapa 1. Definir o intervalo para implementar a ACL e dar a ela um nome EVERYOTHERDAY, neste caso.

Etapa 2. Aplicar o intervalo ACL.

Etapa 3. Aplicar a ACL interface.

O intervalo depende do relgio de sistema do roteador. O recurso funciona melhor com a sincronizao Network Time Protocol (NTP), mas o relgio do roteador pode ser utilizado.

A utilizao dos comandos show descritos anteriormente revela a maioria dos erros ACL mais comuns antes que eles causem problemas na sua rede. Felizmente, voc est utilizando um bom procedimento de teste para proteger a sua rede de erros durante o estgio de desenvolvimento da sua implementao de ACL.

Ao observar uma ACL, verifique-a em relao s regras aprendidas sobre como criar ACLs corretamente. A maioria dos erros ocorre porque essas regras bsicas so ignoradas. Na verdade, os erros mais comuns so inserir instrues ACL na ordem errada e no aplicar critrios apropriados s suas regras.

Vejamos uma srie de problemas comuns e as solues. Clique em cada exemplo medida que l essas explicaes.

Clique no boto Erro n 1 na figura.

O host 192.168.10.10 no tem nenhuma conectividade com 192.168.30.12. Voc consegue ver o erro na sada do comando show access-lists?

Soluo observar a ordem das instrues ACL. O host 192.168.10.10 no tem nenhuma conectividade telnet com 192.168.30.12 por conta da ordem da regra 10 na lista de acesso. Como o roteador processa as ACLs de cima para baixo, a instruo 10 nega o host 192.168.10.10, logo, a instruo 20 no processada. As instrues 10 e 20 devem ser invertidas. A ltima linha permite todo o restante do trfego no TCP em IP (ICMP, UDP etc.).

Clique no boto Erro n 2 na figura.

A rede 192.168.10.0 /24 no pode utilizar TFTP para se conectar rede 192.168.30.0 /24. Voc consegue ver o erro na sada do comando show access-lists?

Soluo a rede 192.168.10.0 /24 no pode utilizar TFTP para se conectar rede 192.168.30.0 /24 porque TFTP utiliza o protocolo de transporte UDP. A instruo 30 na lista de acesso 120 permite todo o restante do trfego TCP. Como utiliza UDP, o TFTP negado implicitamente. A instruo 30 deve ser ip any any.

Essa ACL funcionar se for aplicada a Fa0/0 de R1 ou S0/0/1 de R3, ou S0/0/0 ou R2 na direo de entrada. No entanto, com base na regra sobre como colocar as ACLs estendidas mais prximas da origem, a melhor opo est em Fa0/0 de R1 porque ela permite filtrar trfego indesejvel sem atravessar a infraestrutura de rede.

Clique no boto Erro n 3 na figura.

A rede 192.168.10.0 /24 pode utilizar Telnet para se conectar a 192.168.30.0 /24, mas essa conexo no deve ser permitida. Analise a sada do comando show access-lists e veja se voc consegue encontrar uma soluo. Onde voc aplicaria essa ACL?

Soluo a rede 192.168.10.0 /24 pode utilizar Telnet para se conectar rede 192.168.30.0 /24, porque o nmero da porta Telnet na instruo 10 da lista de acesso 130 est listado na posio errada. Atualmente, a instruo 10 nega qualquer origem com um nmero de porta que seja igual

Telnet que tenta estabelecer uma conexo com qualquer endereo IP. Se quiser negar trfego de entrada Telnet em S0/0/1, voc deve negar o nmero de porta de destino que seja igual a Telnet, por exemplo, deny tcp any any eq telnet.

Clique no boto Erro n 4 na figura.

O host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, mas essa conexo no deve ser permitida. Analise a sada do comando show access-lists.

Soluo o host 192.168.10.10 pode utilizar Telnet para se conectar a 192.168.30.12, porque no h regras que neguem o host 192.168.10.10 ou sua rede como a origem. A instruo 10 da lista de acesso 140 nega a interface do roteador da qual o trfego sairia. No entanto, como esses pacotes saem do roteador, eles tm um endereo de origem 192.168.10.10, e no o endereo da interface do roteador.

Assim como na soluo do Erro 2, essa ACL deve ser se aplicada Fa0/0 de R1 na direo de entrada.

Clique no boto Erro n 5 na figura.

O host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10, mas essa conexo no deve ser permitida. Observe a sada do comando show access-lists e procure o erro.

Soluo o host 192.168.30.12 pode utilizar Telnet para se conectar a 192.168.10.10 porque a direo na qual a lista de acesso 150 aplicada a uma interface em R2 est incorreta. A instruo 10 nega o endereo de origem 192.168.30.12, mas esse endereo s seria a origem se o trfego fosse de sada em S0/0/0 ou de entrada em S0/0/1.