ACL -Lists ACCESS-A Lista de Controle de Acesso ou ACL (Ingls, Access Control List) um

conceito de segurana de computador utilizado para promover a separao de privilgios.

uma maneira de determinar as permisses de acesso apropriadas para um determinado objeto,
dependendo de certos aspectos do processo de fazer o pedido. ACLs permitem que voc
controle o fluxo de trfego em equipamentos de rede como roteadores e switches. Seu principal
objetivo filtrar o trfego, permitindo ou negando o trfego de rede de acordo com algumas
condies. No entanto, eles tambm tm outros usos, como para distinguir "o trfego
interessante" (trfego importante o suficiente para desencadear ou manter uma conexo) em
ISDN. Os administradores de rede devem encontrar maneiras de impedir o acesso no
autorizado rede, permitindo o acesso de usurios internos para os servios necessrios.
Embora as ferramentas de segurana, tais como: senhas, equipamentos de callback e
dispositivos de segurana fsica so teis, eles muitas vezes no tm a flexibilidade de filtragem
bsica de trfego e os controles especficos a maioria dos administradores preferem. Por
exemplo, um administrador de rede pode permitir que os usurios acessem a Internet, mas para
evitar que usurios externos acesso telnet LAN.
ACLs so definidas pelo protocolo, endereo ou porto. Para controlar o fluxo de trfego em uma
interface, voc deve definir uma ACL para cada protocolo ativado na interface. ACLs controlar o
trfego em uma direo de cada vez, em uma interface. Voc precisa criar uma ACL
separadamente para cada direo, uma para o trfego de entrada e outra para sada. Por fim,
cada interface pode ter mltiplos protocolos e orientaes definidas. Se o roteador tem dois
configurado para interfaces IP, AppleTalk e IPX, so necessrias 12 ACLs separadas. Uma ACL
por protocolo, multiplicado por dois para a direo de entrada e sada, multiplicado por dois para
o nmero de portas. (Ver figura).
Uma lista de acesso uma lista seqencial de filtros, cada um define um conjunto de critrios e
de uma ao
Razes para criar uma ACL.
Limite de trfego de rede e melhorar o desempenho da rede. Ao restringir o trfego de vdeo,
por exemplo, o ACL pode reduzir significativamente a carga da rede e, assim, melhorar o
desempenho da mesma.
Fornecer o fluxo de trfego de controle. ACLs podem restringir o envio de atualizaes de
roteamento. Se as atualizaes so necessrias por causa das condies da rede, largura de
banda preservada.
Fornecer um nvel bsico de segurana para acesso rede. Por exemplo, ACLs pode permitir
que um host para acessar uma parte da rede e impedir que outro acesso para a mesma rea.
Por exemplo, o Host A tem permisso para acessar o acesso de Recursos Humanos da rede e
Host B deve ser negado a essa rede.
Decidir quais tipos de trfego so encaminhados ou bloqueados nas interfaces do roteador.
Permitir trfego de correio a ser encaminhado, mas bloquear todo o trfego telnet.
Permitir que um administrador para controlar quais reas da rede pode acessar um cliente.
Analisar certos hosts para permitir ou negar o acesso a partes de uma rede. Conceder ou
negar permisso para que os usurios acessem certos tipos de arquivos, como FTP ou HTTP.
Se ACLs no esto configurados no roteador, todos os pacotes que passam pelo roteador tem
acesso a todas as partes da rede.
ACL Funcional
A ordem em que so colocados instrues da ACL importante (veja a Figura 9.3). O software
verifica Cisco IOS se os pacotes atender cada declarao condio na ordem do topo da lista
para baixo. Uma vez que encontra uma correspondncia, ele executa a ao de aceitar ou
rejeitar, e outras instrues da ACL no so verificadas. Se uma indicao de condio que
permite que todo o trfego est localizado no topo da lista, qualquer frase que est abaixo no
verificado.
Se o maior nmero de instrues de condio exigida em uma lista de acesso, voc deve
apagar e recriar toda a ACL com as novas instrues de condio.
A lista de acesso so usados como filtros de segurana e trfego de filtro, e identificao de
pacotes
Como um quadro entra em uma interface, as verificaes de router se as Camada 2 jogos de
endereo ou se um quadro de broadcast. Se o endereo do quadro aceite, a informao de
quadro removido e a ACL roteador olhando para o interface de entrada. Se uma ACL existe,
ento verificado se ou no o pacote corresponde s condies da lista. Se o pacote coincida
com as condies, executou a ao de aceitar ou rejeitar o pacote. Se o pacote aceito na
interface, ele comparado com as entradas na tabela de roteamento para determinar a
interface de destino e lig-lo a essa interface. Em seguida, o roteador verifica se a interface de
destino tem uma ACL. Se uma ACL existe, o pacote comparado com os juzos de lista e se o
pacote corresponde a uma frase, realizada a aceitao ou rejeio do pacote. Se nenhum
ACL ou o pacote for aceite, o pacote encapsulado no novo protocolo de camada 2 e enviado
atravs da interface para o prximo dispositivo. (Veja a figura 9.4)
Se uma camada de filtro individual de uma lista de acesso no est definido na seqncia
correta, a lista de acesso no ir funcionar corretamente. Como uma reviso, as instrues da
ACL operam em uma seqncia lgica. Se a condio for atendida, o pacote permitido ou
negado, eo resto das instrues da ACL no so verificadas. Se todas as instrues da ACL
no so coincidncias, uma implcita negar qualquer afirmao que diz (negar qualquer) no final
da lista, por padro, colocado. Regras para implementar e criar uma ACL. Uma lista de
acesso por protocolo, por direo.
Filtre os pacotes de entrada chamado antes do processo de roteamento, enquanto o filtro de
pacotes de sada chamado aps o processo de roteamento
Voc deve aplicar as listas de acesso padro que so o mais prximo possvel para restringir o
destino. (Veja a figura (a))
Voc deve aplicar listas de acesso estendidas que so to perto da fonte para restringir. (Veja
a figura (a))
Filtros que usam uma lista de acesso padro geralmente deve estar no lugar perto do alvo (a),
enquanto uma lista de acesso estendida pode ser o mais prximo origem.
Use a referncia da interface de entrada e sada como olhar o porto de dentro do roteador.

As declaraes so processadas seqencialmente a partir do topo da lista at o final at que
seja encontrada uma correspondncia, se no for encontrado, o pacote rejeitado.
A negam qualquer (negar qualquer) implicou o fim de todas as listas de acesso. Isto no
aparece na lista de configuraes. (Ver figura abaixo)
Todos os finais com uma lista de acesso negar qualquer implcita, que descarta todos os
pacotes que no correspondem a linha da lista.
As entradas na lista de acesso devem filtrar a partir do particular para o geral. Voc deve
primeiro negar hosts especficos e ltimos grupos ou filtros gerais.

condio Primeiro jogo examinado. A licena ou negar SOMENTE examina se o jogo
verdade.
Nunca trabalhe com uma lista de acesso que usado ativamente.
Use um editor de texto para criar comentrios que descrevem a lgica, em seguida, completar
as instrues que executam a lgica.
sempre, novas linhas so adicionados no fim da lista de acesso. O comando no-lista de
acesso x apaga toda a lista. Voc no pode adicionar e remover linhas seletivamente em ACL
numerada.
Uma lista de acesso de IP envia um host ICMP chamado fora de alcance para o emissor do
pacote rejeitado e descarta o pacote no balde bit.
Cuidados devem ser tomados quando uma lista de acesso descartado. Se a lista de acesso
aplicado a uma interface de sada e remove-lo, dependendo da verso do IOS, pode haver um
qualquer negar (negar qualquer) por padro aplicado interface, e todo o trfego pra.
Os filtros de sada no afetam o trfego que se origina no roteador local. Tipos de ACL. ACL
padro. ACLs padro verificar o endereo de origem dos pacotes IP para ser encaminhado.
Com a comparao permitido ou nega o acesso a um conjunto de protocolos como endereos
de rede, sub-rede e host. Por exemplo, os pacotes que entram em F0 / 0 para definir o endereo
de origem e protocolo so verificadas. Se lhes for dada permisso, os pacotes so roteados
atravs do roteador para uma interface de sada. Se a permisso for negada, a regra na
interface de entrada. Extenso ACL. As ACLs estendidas so usadas mais frequentemente do
que ACLs padro porque fornecem maior controle. As ACLs estendidas verificar o endereo de
origem e de destino de pacotes, e tambm protocolos e nmeros de porta. Isso proporciona
flexibilidade para estabelecer o que as verificaes de ACL. Voc pode permitir ou negar o
acesso para pacotes com base em onde o pacote e seu destino eo tipo de protocolo e
endereos de porta originou. Uma ACL estendida pode permitir o trfego de e-mail F0 / 0 para
destinos especficos S0 / 0, enquanto se recusam a transferncia de arquivos e navegao na
web. Uma vez que os pacotes eliminados, alguns protocolos de retornar um pacote para o
remetente, indicando que o destino no foi alcanado.
No final do perodo do ACL estendida, mais preciso obtido com um campo que especifica o
protocolo de controlo de transmisso (TCP) e o nmero da porta da Datagram Protocol (UDP).
Os nmeros de porta conhecidos parar o TCP / IP so mostrados na Fig. Operaes lgicas
podem ser especificados como igual (eq), desigual (NEQ), maior que (gt) e menor que (lt)
aqueles que fizeram ACLs estendidas em protocolos especficos. As ACLs estendidas usar o
nmero da lista de acesso entre 100 e 199 (tambm 2000-2699 em recente IOS).
Um fluxo de deciso estendido lista de acesso. A colocao deve ser colocado onde eles tm
o maior impacto no aumento da eficincia da rede. Extenso ser colocado o mais prximo
possvel do trfego negado. Norma deve ser colocado o mais prximo ao destino como
possveis listas de acesso de sintaxe. Sintaxe listas de acesso padro (ACLs padro): access-
list nmero_identificador [de licenciamento] | negam a condio de sintaxe listas de acesso
(ACLs estendida detalhada): Para o protocolo IP: lista de acesso access-list-number [dinmica
dynamic-name [minutos de tempo de espera]] {negar | licena} fonte fonte protocolo-curinga
destino destino curinga [precedncia precedncia] [cof cof] [log | log-entrada] [tempo-intervalo
de tempo-range-name] Para o protocolo ICMP: lista de acesso access-list-number [dinmica
dinmica-name [minutos de tempo de espera]] {negar | licena} fonte icmp fonte-curinga destino
destino curinga [tipo icmp | icmp-cdigo [[icmp-type] | [icmp-mensagem]]
[precedenceprecedence] [cof cof] [log | log-entrada] [tempo-intervalo de tempo-escala-name]
Para o protocolo TCP: lista de acesso access-list-number [dinmica dinmica-name [timeout
minutos]] {negar | licena} fonte tcp fonte-curinga [operador [port]] destino destino curinga
[operador [port]] [estabelecido] [precedncia precedncia] [cof cof] [log | log-entrada] [tempo-
intervalo de tempo-escala-name] Para o protocolo UDP: lista de acesso access-list-number
[dinmica nome dinmico [minutos de tempo de espera]] {negar | licena} fonte udp fonte-
curinga [operador [port]] destino destino curinga [operador [port]] [precedncia precedncia] [cof
cof] [log | log-entrada] [tempo-intervalo de tempo-escala-name] 9.6.3. Aplicar lista de acesso a
uma interface de interface tipo_de_interfaz nmero # ip access-group [em | out]
O comando access-group ip usando uma lista de acesso especfico para criar um filtro em uma
interface para pacotes de entrada ou sada. A lista de acesso 110 usada pelo pacote de filtro
de entrada na interface Token Ring. A lista de acesso 111 usado para filtrar os pacotes de
sada na mesma interface.
Mscara Wildcard.
Uma mscara curinga simplesmente um agrupamento de 32 bits dividido em quatro blocos de
oito bits cada (octetos). O aparecimento de uma mscara provavelmente vai lembrar mscara
de sub-rede. Mas no h nenhuma relao.
Mscaras curinga so usados juntamente com um valor de IP para selecionar endereos IP,
isso graas mscara curinga indica seus zeros e sobre quais as partes devem ser
comparados ou no. Um zero indica que o bit para ser comparado e um indica que ignorar.
Normalmente mscaras curinga so utilizados no protocolo de roteamento OSPF eo clculo de
listas de acesso (ACLs) para especificar que a rede / sub-rede / host envolvido nos ACLs.
Por exemplo, suponha que usar o IP 192.168.1.0 com a mscara curinga 0.0.0.255 para
selecionar endereos IP. Zeros esto nos dizendo que devemos comparar os valores dos trs
primeiros octetos e cada octeto da sala nos diz que no importa o valor tem que octeto.
Portanto valores devem ser selecionados como:
192.168.1.1
192.168.1.23
E eles vo ficar 192.168.1.145 IP descartados como:
192.168.2.145
100.168.1.0
192.167.1.76
Isto , com o curinga mascarar 0.0.0.255 todos os IPs que so selecionados devem ter os trs
primeiros octetos do formulrio 192.168.1 trs, enquanto seu quarto octeto, e um escondido
pela mscara, voc pode assumir qualquer valor .
Suponha que o curinga mascarar 0.0.255.255 e IP 10.1.0.0, que valores sero selecionados a
partir da lista?
10.1.1.1 10.2.1.1 20.1.0.1 10.1.255.255 10.10.0.1
10.1.20.2 11.1.3.2 100.1.0.0 10.10.1.1 10.3.0.1
De fato, os IPs selecionados so:
10.1.1.1 10.1.20.2 10.1.255.255
IPs selecionados tero os dois primeiros octetos do formulrio de 10,1, enquanto que no
importa o que os valores ocupam as posies dos terceiro e quarto octetos.
No entanto, nem tudo so interpretados como mscaras curinga rapidamente. At agora, temos
visto exemplos onde os bytes ou bits eram todos zero ou um.
Agora imagine um curinga mascarar 0.0.0.15 maneira associada com o 192.168.1.48 IP, o que
IPs sero selecionados?
fcil ver que o primeiro trs octetos tre deve ser da forma 192.168.1.
Em relao ao quarto octeto da nota mscara curinga que sua expresso binrio:
0000 1111
Isto , no se deve considerar o valor dos ltimos quatro bits quando comparado com o nmero
48, que em binrio escrita como: 0011 0000
Considere-se, por exemplo, se o 192.168.1.51 IP seleccionado. Note-se que 51 escrito
como:
0011 0011
Ao aplicar a mscara curinga, ignorar o valor dos ltimos quatro bits:
0011 0011
Note-se que a ignorar o valor destes bits o nmero resultante de 48 e, portanto, a prpria IP
seleccionados. fcil de ver a lista de valores a ser seleccionada, simplesmente calcular o valor
das combinaes da
0011 0000
a
0011 1111
Isto , dar a 192.168.1.48 IP para 192.168.1.63. em suma, o IP 192.168.1.48 0.0.0.15 mscara
wildcard seleciona um intervalo de endereos IP.
A aplicao chave de mscara wildacard usar para compor ACL. ACLs so a filtragem de
pacotes IP e permitir ou rejeitar pacotes baseados em IP de origem (ACL padro) ou com base
no IP de origem, IP de destino e protocolo (TCP, UDP, icm, ...) (ACLs estendidas ). Como visto
nos exemplos acima, as mscaras wildacard nos permitir selecionar intervalos IPs.
Usando mscaras curinga. Exemplo 1.
Dado o seguinte endereo IP e uma mscara curinga IP 202 20 0 0
Wildcard Mscara 0 0255255