Hoje começaremos a aprender sobre lista de controle de acesso ACL, este tópico terá 2 videoaulas. Veremos a configuração de uma ACL padrão e no próximo vídeo tutorial falarei sobre a lista estendida.
Nesta lição abordaremos 3 tópicos. A primeira é o que é uma ACL, a segunda é qual é a diferença entre uma lista de acesso padrão e uma lista de acesso estendida e, no final da lição, como laboratório, veremos como configurar uma ACL padrão e resolver possíveis problemas.
Então, o que é uma ACL? Se você estudou o curso desde a primeira videoaula, então se lembra de como organizamos a comunicação entre vários dispositivos de rede.
Também estudamos o roteamento estático em vários protocolos para adquirir habilidades na organização de comunicações entre dispositivos e redes. Chegamos agora à fase de aprendizagem onde devemos nos preocupar em garantir o controle do tráfego, ou seja, evitar que “bandidos” ou usuários não autorizados se infiltrem na rede. Por exemplo, isso pode dizer respeito a pessoas do departamento de vendas VENDAS, representado neste diagrama. Aqui também mostramos o departamento financeiro CONTAS, o departamento de gestão GESTÃO e a sala de servidores SALA DE SERVIDORES.
Portanto, o departamento de vendas pode ter cem funcionários e não queremos que nenhum deles consiga acessar a sala de servidores pela rede. Uma exceção é feita para o gerente de vendas que trabalha em um computador Laptop2 - ele pode ter acesso à sala de servidores. Um novo funcionário trabalhando no Laptop3 não deve ter esse acesso, ou seja, se o tráfego de seu computador atingir o roteador R2, ele deverá ser descartado.
A função de uma ACL é filtrar o tráfego de acordo com os parâmetros de filtragem especificados. Eles incluem o endereço IP de origem, endereço IP de destino, protocolo, número de portas e outros parâmetros, graças aos quais você pode identificar o tráfego e realizar algumas ações com ele.
Portanto, ACL é um mecanismo de filtragem da camada 3 do modelo OSI. Isso significa que esse mecanismo é usado em roteadores. O principal critério de filtragem é a identificação do fluxo de dados. Por exemplo, se quisermos impedir que o cara do computador Laptop3 acesse o servidor, primeiro devemos identificar seu tráfego. Esse tráfego se move na direção Laptop-Switch2-R2-R1-Switch1-Server1 através das interfaces correspondentes dos dispositivos de rede, enquanto as interfaces G0/0 dos roteadores não têm nada a ver com isso.
Para identificar o tráfego, devemos identificar seu caminho. Feito isso, podemos decidir onde exatamente precisamos instalar o filtro. Não se preocupe com os filtros em si, iremos discuti-los na próxima lição, por enquanto precisamos entender o princípio de qual interface o filtro deve ser aplicado.
Se você olhar para um roteador, verá que sempre que o tráfego se move, há uma interface por onde entra o fluxo de dados e uma interface pela qual esse fluxo sai.
Na verdade, existem 3 interfaces: a interface de entrada, a interface de saída e a interface do próprio roteador. Lembre-se apenas de que a filtragem só pode ser aplicada à interface de entrada ou saída.
O princípio de funcionamento do ACL é semelhante ao de um passe para um evento que só pode ser frequentado pelos convidados cujo nome conste da lista de convidados. Uma ACL é uma lista de parâmetros de qualificação usados para identificar o tráfego. Por exemplo, esta lista indica que todo o tráfego do endereço IP 192.168.1.10 é permitido e o tráfego de todos os outros endereços é negado. Como eu disse, esta lista pode ser aplicada tanto à interface de entrada quanto à interface de saída.
Existem 2 tipos de ACLs: padrão e estendida. Uma ACL padrão possui um identificador de 1 a 99 ou de 1300 a 1999. Esses são simplesmente nomes de listas que não apresentam vantagens entre si à medida que a numeração aumenta. Além do número, você pode atribuir seu próprio nome à ACL. As ACLs estendidas são numeradas de 100 a 199 ou de 2000 a 2699 e também podem ter um nome.
Numa ACL padrão, a classificação é baseada no endereço IP de origem do tráfego. Portanto, ao usar tal lista, você não pode restringir o tráfego direcionado a qualquer origem, você só pode bloquear o tráfego originado de um dispositivo.
Uma ACL estendida classifica o tráfego por endereço IP de origem, endereço IP de destino, protocolo usado e número de porta. Por exemplo, você pode bloquear apenas o tráfego FTP ou apenas o tráfego HTTP. Hoje veremos a ACL padrão e dedicaremos a próxima vídeo aula às listas estendidas.
Como eu disse, uma ACL é uma lista de condições. Depois de aplicar esta lista à interface de entrada ou saída do roteador, o roteador verifica o tráfego nessa lista e, se atender às condições estabelecidas na lista, decide se permite ou nega esse tráfego. Muitas vezes as pessoas acham difícil determinar as interfaces de entrada e saída de um roteador, embora não haja nada complicado aqui. Quando falamos em interface de entrada, isso significa que apenas o tráfego de entrada será controlado nesta porta e o roteador não aplicará restrições ao tráfego de saída. Da mesma forma, se estamos falando de uma interface de saída, isso significa que todas as regras serão aplicadas apenas ao tráfego de saída, enquanto o tráfego de entrada nesta porta será aceito sem restrições. Por exemplo, se o roteador tiver 2 portas: f0/0 e f0/1, então a ACL será aplicada apenas ao tráfego que entra na interface f0/0, ou apenas ao tráfego originado na interface f0/1. O tráfego que entra ou sai da interface f0/1 não será afetado pela lista.
Portanto, não se confunda com a direção de entrada ou saída da interface, ela depende da direção do tráfego específico. Assim, depois que o roteador tiver verificado se o tráfego corresponde às condições da ACL, ele poderá tomar apenas duas decisões: permitir o tráfego ou rejeitá-lo. Por exemplo, você pode permitir o tráfego destinado a 180.160.1.30 e rejeitar o tráfego destinado a 192.168.1.10. Cada lista pode conter diversas condições, mas cada uma dessas condições deve permitir ou negar.
Digamos que temos uma lista:
Proibir _______
Permitir ________
Permitir ________
Proibir _________.
Primeiro, o roteador verificará o tráfego para ver se ele corresponde à primeira condição; se não corresponder, verificará a segunda condição. Se o tráfego corresponder à terceira condição, o roteador interromperá a verificação e não o comparará com o restante das condições da lista. Ele executará a ação “permitir” e passará para a verificação da próxima parte do tráfego.
Caso você não tenha definido uma regra para nenhum pacote e o tráfego passe por todas as linhas da lista sem atingir nenhuma das condições, ele é destruído, pois cada lista ACL por padrão termina com o comando deny any - ou seja, descartar qualquer pacote, não se enquadrando em nenhuma das regras. Esta condição entra em vigor se houver pelo menos uma regra na lista, caso contrário não terá efeito. Mas se a primeira linha contiver a entrada deny 192.168.1.30 e a lista não contiver mais nenhuma condição, então no final deverá haver um comando permit any, ou seja, permitir qualquer tráfego exceto aquele proibido pela regra. Você deve levar isso em consideração para evitar erros ao configurar a ACL.
Quero que você se lembre da regra básica para criar uma lista ASL: coloque o ASL padrão o mais próximo possível do destino, ou seja, do destinatário do tráfego, e coloque o ASL estendido o mais próximo possível da origem, ou seja, ao remetente do tráfego. Estas são recomendações da Cisco, mas na prática há situações em que faz mais sentido colocar uma ACL padrão próxima à origem do tráfego. Mas se você se deparar com alguma dúvida sobre as regras de posicionamento da ACL durante o exame, siga as recomendações da Cisco e responda de forma inequívoca: o padrão está mais próximo do destino, o estendido está mais próximo da origem.
Agora vamos dar uma olhada na sintaxe de uma ACL padrão. Existem dois tipos de sintaxe de comando no modo de configuração global do roteador: sintaxe clássica e sintaxe moderna.
O tipo de comando clássico é lista de acesso <número ACL> <deny/allow> <criteria>. Se você definir <Número da ACL> de 1 a 99, o dispositivo entenderá automaticamente que esta é uma ACL padrão, e se for de 100 a 199, então é uma ACL estendida. Como na lição de hoje estamos considerando uma lista padrão, podemos usar qualquer número de 1 a 99. Em seguida, indicamos a ação que precisa ser aplicada se os parâmetros atenderem ao seguinte critério - permitir ou negar tráfego. Consideraremos o critério mais tarde, uma vez que também é usado na sintaxe moderna.
O tipo de comando moderno também é usado no modo de configuração global Rx(config) e se parece com isto: ip access-list standard <ACL number/name>. Aqui você pode usar um número de 1 a 99 ou o nome da lista ACL, por exemplo, ACL_Networking. Este comando coloca imediatamente o sistema no modo de subcomando do modo padrão Rx (config-std-nacl), onde você deve inserir <deny/enable> <criteria>. O tipo moderno de equipes tem mais vantagens em relação ao clássico.
Em uma lista clássica, se você digitar lista de acesso 10 deny ______, digitar o próximo comando do mesmo tipo para outro critério e terminar com 100 desses comandos, para alterar qualquer um dos comandos inseridos, você precisará exclua toda a lista de acesso 10 com o comando no access-list 10. Isso excluirá todos os 100 comandos porque não há como editar nenhum comando individual nesta lista.
Na sintaxe moderna, o comando é dividido em duas linhas, a primeira das quais contém o número da lista. Suponha que se você tiver uma lista de acesso padrão 10 deny ________, lista de acesso padrão 20 deny ________ e assim por diante, então você tem a oportunidade de inserir listas intermediárias com outros critérios entre elas, por exemplo, lista de acesso padrão 15 deny ________ .
Como alternativa, você pode simplesmente excluir as 20 linhas do padrão da lista de acesso e digitá-las novamente com parâmetros diferentes entre as linhas do padrão da lista de acesso 10 e do padrão da lista de acesso 30. Portanto, existem várias maneiras de editar a sintaxe ACL moderna.
Você precisa ter muito cuidado ao criar ACLs. Como você sabe, as listas são lidas de cima para baixo. Se você colocar uma linha no topo que permite o tráfego de um host específico, abaixo você poderá colocar uma linha que proíbe o tráfego de toda a rede da qual esse host faz parte, e ambas as condições serão verificadas - o tráfego para um host específico será será permitido passar e o tráfego de todos os outros hosts desta rede será bloqueado. Portanto, coloque sempre as entradas específicas no topo da lista e as gerais na parte inferior.
Portanto, depois de criar uma ACL clássica ou moderna, você deverá aplicá-la. Para fazer isso, você precisa ir até as configurações de uma interface específica, por exemplo, f0/0 usando o comando interface <tipo e slot>, ir para o modo de subcomando da interface e digitar o comando ip access-group <número ACL/ nome> . Observe a diferença: ao compilar uma lista, é utilizada uma lista de acesso e, ao aplicá-la, é utilizado um grupo de acesso. Você deve determinar a qual interface esta lista será aplicada - a interface de entrada ou a interface de saída. Se a lista tiver um nome, por exemplo, Networking, o mesmo nome é repetido no comando para aplicar a lista nesta interface.
Agora vamos pegar um problema específico e tentar resolvê-lo usando o exemplo do nosso diagrama de rede usando o Packet Tracer. Então, temos 4 redes: departamento de vendas, departamento de contabilidade, gestão e sala de servidores.
Tarefa nº 1: todo o tráfego direcionado dos departamentos de vendas e financeiro para o departamento de gerenciamento e sala de servidores deve ser bloqueado. O local de bloqueio é a interface S0/1/0 do roteador R2. Primeiro devemos criar uma lista contendo as seguintes entradas:
Vamos chamar a lista de "ACL de Gerenciamento e Segurança de Servidores", abreviada como ACL Secure_Ma_And_Se. Isto é seguido pela proibição do tráfego da rede do departamento financeiro 192.168.1.128/26, pela proibição do tráfego da rede do departamento de vendas 192.168.1.0/25 e pela permissão de qualquer outro tráfego. No final da lista está indicado que é utilizado para a interface de saída S0/1/0 do roteador R2. Se não tivermos uma entrada Permitir Qualquer no final da lista, todos os outros tráfegos serão bloqueados porque a ACL padrão é sempre definida como uma entrada Negar Qualquer no final da lista.
Posso aplicar esta ACL à interface G0/0? Claro que posso, mas neste caso apenas o tráfego do departamento de contabilidade será bloqueado e o tráfego do departamento de vendas não será limitado de forma alguma. Da mesma forma, você pode aplicar uma ACL à interface G0/1, mas neste caso o tráfego do departamento financeiro não será bloqueado. É claro que podemos criar duas listas de blocos separadas para essas interfaces, mas é muito mais eficiente combiná-las em uma lista e aplicá-la à interface de saída do roteador R2 ou à interface de entrada S0/1/0 do roteador R1.
Embora as regras da Cisco estabeleçam que uma ACL padrão deve ser colocada o mais próximo possível do destino, irei colocá-la mais perto da origem do tráfego porque quero bloquear todo o tráfego de saída, e faz mais sentido fazer isso mais perto do fonte para que esse tráfego não desperdice a rede entre dois roteadores.
Esqueci de falar sobre os critérios, então vamos voltar rapidamente. Você pode especificar qualquer um como critério - neste caso, qualquer tráfego de qualquer dispositivo e qualquer rede será negado ou permitido. Você também pode especificar um host com seu identificador - neste caso, a entrada será o endereço IP de um dispositivo específico. Finalmente, você pode especificar uma rede inteira, por exemplo, 192.168.1.10/24. Neste caso, /24 significará a presença de uma máscara de sub-rede 255.255.255.0, mas é impossível especificar o endereço IP da máscara de sub-rede na ACL. Para este caso, a ACL possui um conceito denominado Wildcart Mask, ou “máscara reversa”. Portanto você deve especificar o endereço IP e a máscara de retorno. A máscara reversa fica assim: você deve subtrair a máscara de sub-rede direta da máscara de sub-rede geral, ou seja, o número correspondente ao valor do octeto na máscara direta é subtraído de 255.
Portanto, você deve usar o parâmetro 192.168.1.10 0.0.0.255 como critério na ACL.
Como funciona? Se houver 0 no octeto da máscara de retorno, considera-se que o critério corresponde ao octeto correspondente do endereço IP da sub-rede. Se houver um número no octeto backmask, a correspondência não será verificada. Assim, para uma rede 192.168.1.0 e máscara de retorno 0.0.0.255, todo o tráfego proveniente de endereços cujos três primeiros octetos sejam iguais a 192.168.1., independente do valor do quarto octeto, será bloqueado ou permitido dependendo a ação especificada.
Usar uma máscara reversa é fácil, e voltaremos à máscara Wildcart no próximo vídeo para explicar como trabalhar com ela.
28:50 min
Obrigado por ficar com a gente. Gostou dos nossos artigos? Quer ver mais conteúdos interessantes? Apoie-nos fazendo um pedido ou recomendando a amigos, 30% de desconto para usuários do Habr em um análogo exclusivo de servidores básicos, que foi inventado por nós para você: (disponível com RAID1 e RAID10, até 24 núcleos e até 40 GB DDR4).
Dell R730xd 2 vezes mais barato? Só aqui na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US$ 99! Ler sobre
Fonte: habr.com