Segurança : Cisco IOS Firewall

Configurando as Listas de Acesso IP

4 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (27 Dezembro 2007) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Conceitos de ACL
     Máscaras
     Sumarização sobre ACL
     ACLs de Processo
     Definir Portas e Tipos de Mensagem
     Aplicar ACLs
     Definir In, Out, Source e Destination
     Editar ACLs
     Solução de Problemas
Tipos de ACLs de IP
     Diagrama de rede
     ACLs Padrão
     ACLs Estendidas
     Lock and Key (ACLs Dinâmicas)
     ACLs Nomeadas de IP
     ACLs Reflexivas
     ACLs Baseadas no Período Utilizando Intervalos de Tempo
     Entradas de ACL IP Comentadas
     Controle de Acesso Baseado em Contexto
     Proxy de Autenticação
     ACLs Turbo
     ACLs Distribuídas Baseadas no Período
     ACLs Recebidas
     ACLs de Proteção de Infra-Estrutura
     ACLs de Trânsito
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento explica como as listas de controle de acesso (ACLs) do IP filtram o tráfego da rede. Também contém descrições breves dos tipos ACL IP, disponibilidade de recurso e um exemplo de uso em uma rede.

Acesse a ferramenta Software Advisor (clientes registrados somente) para determinar o suporte de alguns recursos mais avançados da ACL de IP do Cisco IOS®.

RFC 1700 leavingcisco.com contém números atribuídos de portas bem conhecidas. RFC 1918 leavingcisco.com contém alocação de endereço para Internet privada, endereços IP que normalmente não deveriam ser vistos na Internet.

Observação: As ACLs também podem ser utilizadas para outros fins além de filtrar tráfego IP; por exemplo, para definir o tráfego para Network Address Translate (NAT) ou criptografia ou para filtrar protocolos não-IP como AppleTalk ou IPX. Uma discussão sobre essas funções está fora do escopo deste documento.

Pré-requisitos

Requisitos

Não existem pré-requisitos específicos para este documento. Os conceitos discutidos estão presentes em Cisco IOS® Software Releases 8.3 ou posterior. Isso é observado em cada recurso de lista de acesso.

Componentes Usados

Este documento aborda vários tipos de ACLs. Alguns estão presentes desde o Cisco IOS Software Release 8.3 e outros foram introduzidos em versões posteriores. Isso é observado na discussão de cada tipo.

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Conceitos de ACL

Esta seção descreve os conceitos de ACL.

Máscaras

As máscaras são usadas com os endereços IP nos ACLs de IP para especificar o que deve ser permitido e recusado. As máscaras para a configuração de endereços IP em interfaces começam com 255 e apresentam os valores maiores à esquerda, por exemplo, endereço IP 209.165.202.129 com a máscara 255.255.255.224. As máscaras para ACLs de IP são o inverso, por exemplo, máscara 0.0.0.255. Às vezes, essas máscaras são chamadas de máscaras inversas ou máscaras curinga. Quando o valor da máscara é dividido em binário (0s e 1s), os resultados determinam quais bits do endereço devem ser considerados no processamento do tráfego. Zero (0) indica que os bits do endereço devem ser considerados (correspondência exata) e um (1) significa "não leve em consideração". Esta tabela explica melhor o conceito.

Exemplo de máscara

endereço de rede (tráfego que deve ser processado)

10.1.1.0

máscara

0.0.0.255

endereço de rede (binário)

00001010.00000001.00000001.00000000

máscara (binária)

00000000.00000000.00000000.11111111

Com base na máscara binária, você pode ver que os primeiros três conjuntos (octetos) devem corresponder exatamente ao endereço binário de rede dado (00001010.00000001.00000001). O último conjunto de números "não é levado em consideração" (.11111111). Portanto, todo tráfego que começa com correspondentes de 10.1.1. desde o último octeto significa "não leve em consideração". Dessa forma, com essa máscara, os endereços de rede entre 10.1.1.1 e 10.1.1.255 (10.1.1.x) são processados.

Subtraia a máscara normal de 255.255.255.255 para determinar a máscara inversa ACL. Neste exemplo, a máscara inversa é determinada para o endereço de rede 172.16.1.0 com uma máscara normal de 255.255.255.0.

  • 255.255.255.255 - 255.255.255.0 (máscara normal) = 0.0.0.255 (máscara inversa)

Observe estes equivalentes de ACL.

  • A origem/o caractere geral de origem de 0.0.0.0/255.255.255.255 significa “qualquer um”.

  • A origem/caractere-curinga de 10.1.1.2/0.0.0.0 é o mesmo que "host 10.1.1.2".

Sumarização sobre ACL

Observação: Máscaras de sub-rede também podem ser representadas por uma notação de comprimento fixo. Por exemplo, 192.168.10.0/24 representa 192.168.10.0 255.255.255.0.

Essa lista descreve como sumarizar uma série de redes em uma rede única para otimização da ACL. Considere estas redes.

192.168.32.0/24
192.168.33.0/24
192.168.34.0/24
192.168.35.0/24
192.168.36.0/24
192.168.37.0/24
192.168.38.0/24
192.168.39.0/24

Os dois primeiros octetos e o último octeto são os mesmos para cada rede. Esta tabela é uma explicação de como sumarizá-los em uma única rede.

O terceiro octeto para as redes anteriores podem ser escritos como vistos nesta tabela, de acordo com a posição do bit do octeto e o valor do endereço para cada bit.

Decimal

128

64

32

16

8

4

2

1

32

0

0

1

0

0

0

0

0

33

0

0

1

0

0

0

0

1

34

0

0

1

0

0

0

1

0

35

0

0

1

0

0

0

1

1

36

0

0

1

0

0

1

0

0

37

0

0

1

0

0

1

0

1

38

0

0

1

0

0

1

1

0

39

0

0

1

0

0

1

1

1

M

M

M

M

M

D

D

D

Como os cinco primeiros bits correspondem, as oito redes anteriores podem ser sumarizadas em uma rede (192.168.32.0/21 ou 192.168.32.0 255.255.248.0). Todas as oito combinações possíveis dos três bits de ordem inferior são relevantes para a série de redes em questão. Esse comando define uma ACL que permite essa rede. Se você subtrair 255.255.248.0 (máscara normal) de 255.255.255.255, resulta em 0.0.7.255.

            access-list acl_permit permit ip 192.168.32.0 0.0.7.255
         

Considere esse conjunto de redes para obter mais explicação.

192.168.146.0/24
192.168.147.0/24
192.168.148.0/24
192.168.149.0/24

Os dois primeiros octetos e o último octeto são os mesmos para cada rede. Esta tabela é uma explicação de como sumarizá-los.

O terceiro octeto para as redes anteriores podem ser escritos como vistos nesta tabela, de acordo com a posição do bit do octeto e o valor do endereço para cada bit.

Decimal

128

64

32

16

8

4

2

1

146

1

0

0

1

0

0

1

0

147

1

0

0

1

0

0

1

1

148

1

0

0

1

0

1

0

0

149

1

0

0

1

0

1

0

1

M

M

M

M

M

?

?

?

Diferente do exemplo anterior, você não pode sumarizar essas redes em uma rede única. É necessário um mínimo de duas redes. As redes anteriores podem ser sumarizadas nestas duas redes:

  • Para redes 192.168.146.x e 192.168.147.x, todos os bits correspondem, exceto o último, que é um "não leve em consideração". Esse bit pode ser gravado como 192.168.146.0/23 (ou 192.168.146.0 255.255.254.0).

  • Para redes 192.168.148.x e 192.168.149.x, todos os bits correspondem, exceto o último, que é um "não leve em consideração". Esse bit pode ser gravado como 192.168.148.0/23 (ou 192.168.148.0 255.255.254.0).

Essa saída define uma ACL sumarizada das redes acima.

            access-list 10 permit ip 192.168.146.0 0.0.1.255
access-list 10 permit ip 192.168.148.0 0.0.1.255
         

ACLs de Processo

O tráfego que chega ao roteador é comparado às entradas de ACL baseadas na ordem em que as entradas ocorrem no roteador. São adicionadas novas instruções no final da lista. O roteador continua a procurar até que tenha uma correspondência. Se nenhuma correspondência for encontrada quando o roteador atingir o final da lista, o tráfego será negado. Por esse motivo, deixe as entradas freqüentes no início da lista. Há uma negação implícita para tráfego que não é permitido. Uma ACL de entrada única com apenas uma entrada de negação tem o efeito de negar todo o tráfego. Você deve ter pelo menos uma instrução de permissão em uma ACL ou todo o tráfego será bloqueado. Essas duas ACLs (101 e 102) apresentam o mesmo efeito.

            access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

access-list 102 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 deny ip any any 
         

Neste exemplo, a última entrada é suficiente. As três primeiras entradas não são necessárias porque o TCP inclui Telnet, e IP inclui TCP, User Datagram Protocol (UDP) e Internet Control Message Protocol (ICMP).

            access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 
         

Definir Portas e Tipos de Mensagem

Além de definir a origem e o destino de ACL, é possível definir as portas, os tipos de mensagem ICMP e outros parâmetros. Uma boa fonte de informações para portas bem conhecidas é o RFC 1700 leavingcisco.com. Os tipos de mensagens ICMP estão explicados em RFC 792 leavingcisco.com.

O roteador pode exibir texto descritivo em algumas das portas bem conhecidas. Utilize um ? para obter ajuda.

            access-list 102 permit tcp host 10.1.1.1 host 172.16.1.1 eq ?
  bgp          Border Gateway Protocol (179)
  chargen      Character generator (19)
  cmd          Remote commands (rcmd, 514)

Durante a configuração, o roteador também converte valores numéricos em valores mais amigáveis. Esse é um exemplo onde você digita o número de tipo da mensagem ICMP e ele faz o roteador converter o número em um nome.

            access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 14
         

torna-se

            access-list 102 permit icmp host 10.1.1.1 host 172.16.1.1 timestamp-reply
         

Aplicar ACLs

Você pode definir ACLs sem aplicá-las. Mas, as ACLs não têm efeito até que sejam aplicadas à interface do roteador. Convém aplicar a ACL na interface o mais próximo possível da origem do tráfego. Conforme mostrado neste exemplo, quando você tenta bloquear tráfego da origem para o destino, pode aplicar uma ACL de entrada para E0 no roteador A em vez de uma lista de saída para E1 no roteador C.

confaccesslists-1.gif

Definir In, Out, Source e Destination

O roteador utiliza os termos "in", "out", "source" e "destination" (entrada, saída, origem e destino) como referências. O tráfego do roteador pode ser comparado ao tráfego de uma rodovia. Se você fosse um oficial de trânsito no Rio de Janeiro e quisesse parar um caminhão que viajava de São Paulo para o Espírito Santo, a origem do caminhão seria São Paulo e o destino, Espírito Santo. O bloqueio da estrada poderia ficar na fronteira entre o Rio de Janeiro e o Espírito Santo (out) ou na fronteira entre São Paulo e o Rio de Janeiro (in).

Ao consultar um roteador, esses termos apresentam os significados a seguir.

  • Out — O tráfego já passou pelo roteador e saiu da interface. A origem é o local onde ele estava, no outro lado do roteador, e o destino é o local para onde ele vai.

  • In — O tráfego que chega na interface e, em seguida, passa pelo roteador. A origem é o local onde ele estava e o destino é o local para onde ele vai, do outro lado do roteador.

A ACL de entrada (in) tem uma fonte em um segmento da interface para o qual é aplicado e um destino fora de todas as outras interfaces. A ACL de saída (out) tem origem em um segmento de qualquer interface diferente da interface na qual está aplicada e um destino fora da interface à qual é aplicada.

Editar ACLs

Ao editar uma ACL, você precisará ter muito cuidado. Por exemplo, quando você exclui uma linha específica de uma ACL numerada conforme mostrado aqui, a ACL toda é excluída.

router#configure terminal
  Enter configuration commands, one per line.  End with CNTL/Z.
  router(config)#access-list 101 deny icmp any any
  router(config)#access-list 101 permit ip any any
  router(config)#^Z

  router#show access-list
  Extended IP access list 101
      deny icmp any any
      permit ip any any
  router#
  *Mar  9 00:43:12.784: %SYS-5-CONFIG_I: Configured from console by console

  router#configure terminal
  Enter configuration commands, one per line.  End with CNTL/Z.
  router(config)#no access-list 101 deny icmp any any
  router(config)#^Z

  router#show access-list
  router#
  *Mar  9 00:43:29.832: %SYS-5-CONFIG_I: Configured from console by console

Copie a configuração do roteador para um servidor de TFTP ou um editor de texto, como o Bloco de Notas, para editar ACLs numeradas. Em seguida, faça as alterações e copie a configuração de volta no roteador.

Também é possível fazer isto.

router#configure terminal
  Enter configuration commands, one per line.
  router(config)#ip access-list extended test
  router(config-ext-nacl)#permit ip host 2.2.2.2 host 3.3.3.3
  router(config-ext-nacl)#permit tcp host 1.1.1.1 host 5.5.5.5 eq www
  router(config-ext-nacl)#permit icmp any any
  router(config-ext-nacl)#permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
  router(config-ext-nacl)#^Z
  1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l

  router#show access-list
  Extended IP access list test
      permit ip host 2.2.2.2 host 3.3.3.3
      permit tcp host 1.1.1.1 host 5.5.5.5 eq www
      permit icmp any any
      permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain

   router#configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   router(config)#ip access-list extended test
            
               !--- Entrada de ACL excluída
            
   router(config-ext-nacl)#no permit icmp any any
            
               !--- Entrada de ACL adicionada
            
   router(config-ext-nacl)#permit gre host 4.4.4.4 host 8.8.8.8
   router(config-ext-nacl)#^Z
   1d00h: %SYS-5-CONFIG_I: Configured from console by consoles-l

   router#show access-list
   Extended IP access list test
       permit ip host 2.2.2.2 host 3.3.3.3
       permit tcp host 1.1.1.1 host 5.5.5.5 eq www
       permit udp host 6.6.6.6 10.10.10.0 0.0.0.255 eq domain
       permit gre host 4.4.4.4 host 8.8.8.8

Todas as exclusões são removidas da ACL e as inclusões são feitas no final da ACL.

Solução de Problemas

Como eu removo uma ACL de uma interface?

Vá para o modo de configuração e digite no na frente do comando access-group, conforme mostrado neste exemplo, para remover uma ACL de uma interface.

            interface <interface>
no ip access-group #in|out
            
         

O que eu faço quando muito tráfego é recusado?

Se muito tráfego for recusado, estude a lógica de sua lista ou tente definir e aplicar uma lista adicional mais ampla. O comando show ip access-lists fornece uma contagem de pacotes que demonstra qual entrada de ACL é acessada.

A palavra-chave log no final das entradas individuais da ACL mostram o número da ACL e se o pacote foi permitido ou recusado, além de informações específicas sobre a porta.

Observação: A palavra-chave log-input existe no Cisco IOS Software Release 11.2 ou posterior, e em determinados softwares com base no Cisco IOS Software Release 11.1 criados especificamente para o mercado de provedor de serviço. Os softwares mais antigos não suportam essa palavra-chave. O uso dessa palavra-chave inclui a interface de entrada e o endereço MAC de origem, quando aplicável.

Como depurar o nível do pacote que utiliza um roteador Cisco?

Esse procedimento explica o processo de depuração. Antes de começar, certifique-se de que não haja ACLs aplicadas no momento, que exista uma ACL, e que o switching rápido não esteja habilitado.

Observação: Tenha muito cuidado ao depurar um sistema com tráfego intenso. Você pode depurar o tráfego específico usando uma ACL. Mas, certifique-se do processo e do fluxo de tráfego.

  1. Utilize o comando access-list para capturar os dados desejados.

    Neste exemplo, a captura de dados é definida para o endereço de destino de 10.2.6.6 ou o endereço de origem de 10.2.6.6.

                      access-list 101 permit ip any host 10.2.6.6
    access-list 101 permit ip host 10.2.6.6 any
                   
  2. Desative o switching rápido nas interfaces envolvidas. Você vê o primeiro pacote somente se o switching rápido não estiver desabilitado.

                      config interface
    no ip route-cache
                   
  3. Utilize o comando terminal monitor no modo habilitado para exibir a saída do comando debug e as mensagens de erro do sistema do terminal ou sessão atual.

  4. Utilize o comando debug ip packet 101 ou debug ip packet 101 detail para começar o processo de depuração.

  5. Execute o comando no debug all no modo habilitado e o comando interface configuration para parar o processo de depuração.

  6. Reinicie o cache.

                      config interface
    ip route-cache
                   

Tipos de ACLs de IP

Esta seção do documento descreve os tipos de ACL.

Diagrama de rede

confaccesslists-2.gif

ACLs Padrão

ACLs padrão são o tipo mais antigo de ACL. Elas existem desde antes do Cisco IOS Software Release 8.3. As ACLs padrão controlam o tráfego por meio da comparação do endereço de origem dos pacotes IP com os endereços configurados nas ACL.

Essa é a forma da sintaxe do comando de uma ACL padrão.

            access-list access-list-number {permit|deny}
{host|source source-wildcard|any}
         

Em todas as versões de software, o access-list-number pode ser qualquer número entre 1 e 99. No Cisco IOS Software Release 12.0.1, as ACLs padrão começam a usar números adicionais (1300 a 1999). Esses números adicionais são chamados de ACLs de IP expandidas. O Cisco IOS Software Release 11.2 incluiu a capacidade de usar nome de lista em ACLs padrão.

Uma configuração de curinga de origem/origem de 0.0.0.0/255.255.255.255 pode ser especificada como qualquer um. O caractere curinga poderá ser omitido se for zero. Portanto, o host 10.1.1.2 0.0.0.0 corresponde ao host 10.1.1.2.

Depois de definida, a ACL deve ser aplicada à interface (entrada ou saída). Em versões anteriores do software, out era o padrão quando nenhuma palavra-chave out ou in era especificada. A direção deverá ser especificada em versões posteriores do software.

            interface <interface>
ip access-group number {in|out}
            
         

Este é um exemplo do uso de uma ACL padrão para bloquear todo o tráfego, exceto aquele de origem 10.1.1.x.

            interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255 
         

ACLs Estendidas

As ACLs estendidas foram introduzidas no Cisco IOS Software Release 8.3. As ACLs estendidas controlam o tráfego por meio da comparação dos endereços de origem e de destino dos pacotes IP com os endereços configurados na ACL.

Essa é o formato da sintaxe do comando de ACLs estendidas. As linhas estão distribuídas aqui considerando o espaço.

IP

            access-list
            access-list-number [dynamic
            dynamic-name [timeout
            minutes]]
{deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]

ICMP

            access-list
            access-list-number [dynamic
            dynamic-name [timeout
            minutes]]
{deny | permit} icmp
            source source-wildcard
destination destination-wildcard 
[icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name] 

TCP

            access-list
            access-list-number [dynamic
            dynamic-name [timeout
            minutes]]
{deny | permit} tcp
            source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name] 

UDP

            access-list
            access-list-number [dynamic
            dynamic-name [timeout minutes]]
{deny | permit} udp
            source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]

Em todas as versões de software, o access-list-number pode ser um número entre 101 e 199. No Cisco IOS Software Release 12.0.1, as ACLs estendidas começam a usar números adicionais (2000 a 2699). Esses números adicionais são referidos como ACLs de IP expandidas. O Cisco IOS Software Release 11.2 incluiu a capacidade de usar nome de lista em ACLs estendidas.

O valor 0.0.0.0/255.255.255.255 pode ser especificado como qualquer. Depois de definidas as ACL, devem ser aplicadas à interface (entrada ou saída). Em versões anteriores do software, out era o padrão quando nenhuma palavra-chave out ou in era especificada. A direção deverá ser especificada em versões posteriores do software.

            interface <interface>
ip access-group {number|name} {in|out}
         

Essa ACL estendida é utilizada para permitir tráfego na rede 10.1.1.x (interna) e para receber respostas de pings externos ao mesmo tempo em que pings não solicitados são impedidos, sem que todos os outros tipos de tráfego sejam impedidos.

            interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101 permit ip any 10.1.1.0 0.0.0.255
         

Observação: Alguns aplicativos, como gerenciamento de redes, exigem pings para obter uma função de manutenção de atividade. Se esse for o caso, convém limitar o bloqueio de pings de entrada ou ser mais granular em IPs permitidos/negados.

Lock and Key (ACLs Dinâmicas)

Lock and Key, também conhecido como ACLs dinâmicas, foi introduzido no Cisco IOS Software Release 11.1. Esse recurso é dependente de Telnet, autenticação (local ou remota) e ACLs estendidas.

A configuração de lock and key tem início com a aplicação de uma ACL estendida para bloquear o tráfego no roteador. Usuários que desejam atravessar o roteador são bloqueados pela ACL estendida até serem conectados pela Telnet com o roteador e autenticados. Em seguida, a conexão Telnet cai e uma ACL dinâmica de entrada única é adicionada à ACL estendida existente. Isso permite tráfego por um determinado período de tempo; expirações ociosas e absolutas são possíveis.

Esse é o formato da sintaxe do comando de configuração lock and key com autenticação local.

            username username password password
interface <interface>
ip access-group {number|name} {in|out}
         

A ACL de entrada única nesse comando é dinamicamente adicionada à ACL existente após autenticação.

            access-list access-list-number dynamic name{permit|deny} [protocol]
{source source-wildcard|any} {destination destination-wildcard|any}
[precedence precedence][tos tos][established] [log|log-input]
[operator destination-port|destination port] 

            line vty line_range
            

            login local
         

Este é um exemplo básico de lock and key.

            username test password 0 test
            
               !--- Dez (minutos) é a expiração ociosa.
            
            username test autocommand access-enable host timeout 10


interface Ethernet0/0
  ip address 10.1.1.1 255.255.255.0
  ip access-group 101 in

access-list 101 permit tcp any host 10.1.1.1 eq telnet 
            
               !--- 15 (minutos) é a expiração absoluta.
            
            access-list 101 dynamic testlist timeout 15 permit ip 10.1.1.0 0.0.0.255
172.16.1.0 0.0.0.255


line vty 0 4
login local
         

Depois que o usuário em 10.1.1.2 fizer uma conexão de Telnet para 10.1.1.1, a ACL dinâmica será aplicada. Em seguida, a conexão será descartada e o usuário poderá seguir para a rede 172.16.1.x.

ACLs Nomeadas de IP

ACLs nomeadas de IP foram introduzidas no Cisco IOS Software Release 11.2. Elas permitem que ACLs padrão e estendidas tenham nomes em vez de números.

Esse é o formato da sintaxe do comando de ACLs nomeadas de IP.

            ip access-list {extended|standard} name
            
         

Este é um exemplo de TCP:

            permit|deny tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log] [time-range time-range-name]
         

Este é um exemplo do uso de uma ACL nomeada para bloquear todo o tráfego, exceto a conexão Telnet do host 10.1.1.2 para o host 172.16.1.1.

            interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group in_to_out in

ip access-list extended in_to_out
permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet 
         

ACLs Reflexivas

As ACLs reflexivas foram introduzidas no Cisco IOS Software Release 11.3. ACLs reflexivas permitem que os pacotes IP sejam filtrados de acordo com as informações de sessão de camada superior. Geralmente são utilizadas para permitir o tráfego de saída e para limitar o tráfego de entrada em resposta às sessões que são originadas dentro do roteador.

ACLs reflexivas podem ser definidas apenas com ACLs de IP de nomes estendidos. Não podem ser definidas com ACLs de IP nomeadas padrão ou numeradas, ou com outras ACLs de protocolo. ACLs reflexivas podem ser usadas em conjunto com outras ACLs padrão e estáticas estendidas.

Esta é a sintaxe de vários comandos de ACL reflexiva.

            interface
ip access-group {number|name} {in|out}

ip access-list extended name
permit protocol any any reflect name [timeoutseconds]
ip access-list extended name

evaluate name
            
         

Este é um exemplo da permissão do tráfego externo e interno ICMP, enquanto somente o tráfego TCP iniciado internamente é permitido, outro tráfego é negado.

            ip reflexive-list timeout 120

interface Ethernet0/1
 ip address 172.16.1.2 255.255.255.0
 ip access-group inboundfilters in
 ip access-group outboundfilters out

ip access-list extended inboundfilters
permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
evaluate tcptraffic 

            
               !--- Isso vincula a parte reflexiva da ACL outboundfilters,
!--- chamada tcptraffic, à ACL inboundfilters.
            
            ip access-list extended outboundfilters
permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic
         

ACLs Baseadas no Período Utilizando Intervalos de Tempo

ACLs baseadas no período foram introduzidas no Cisco IOS Software Release 12.0.1.T. Embora sejam semelhantes aos ACLs estendidos com relação à função, eles permitem controle de acesso com base no tempo. Um intervalo de tempo é criado e define períodos específicos do dia e da semana, para implementar ACLs baseadas no período. O intervalo de tempo é identificado por um nome e, em seguida, referenciado por uma função. Portanto, as restrições de tempo são impostas na própria função. O intervalo de tempo segue o relógio do sistema do roteador. O relógio do roteador pode ser utilizado, mas o recurso funciona melhor com a sincronização do NTP (Protocolo de Tempo de Rede).

Estes são os comandos de ACL baseados em tempo.

            
               !--- Define um intervalo de tempo nomeado.
            
            time-range time-range-name
            
            
               !--- Define os horários periódicos. 
            
            periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm 
            
            
               !--- Ou, define os horários absolutos.
            
            absolute [start time date] [end time date]
            
            
               !--- O intervalo de tempo utilizado na ACL atual.
            
            ip access-list name|number <extended_definition>time-rangename_of_time-range
            
         

Neste exemplo, uma conexão de Telnet é permitida de dentro para fora da rede na segunda-feira, na quarta-feira e na sexta-feira durante o horário comercial:

            interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in

access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
eq telnet time-range EVERYOTHERDAY

time-range EVERYOTHERDAY
periodic Monday Wednesday Friday 8:00 to 17:00
         

Entradas de ACL IP Comentadas

Entradas de ACL IP comentadas foram introduzidas no Cisco IOS Software Release 12.0.2.T. Os comentários deixam as ACLs mais fáceis de compreender e podem ser utilizados para ACLs de IP padrão ou estendidas.

Esta é a sintaxe do comando de ACL de IP com nome comentado.

            ip access-list {standard|extended} name
remark remark
            
         

Esta é a sintaxe do comando de ACL de IP numerada comentada.

            access-list access-list-number remark remark
            
         

Este é um exemplo de como comentar uma ACL numerada.

            interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in

access-list 101 remark permit_telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet 
         

Controle de Acesso Baseado em Contexto

O CBAC (Controle de acesso baseado em contexto) foi introduzido no Cisco IOS Software Release 12.0.5.T e requer o conjunto de recursos do Cisco IOS Firewall. O CBAC inspeciona o tráfego que viaja através do firewall para descobrir e gerenciar informações de estado das sessões TCP e UDP. Essa informação é utilizada para criar aberturas temporárias nas listas de acesso do firewall. Configure as listas de ip inspect na direção do fluxo de iniciação do tráfego para permitir o tráfego de retorno e conexões de dados adicionais para sessões permissíveis, sessões originárias da rede interna protegida, para fazer isso.

Esta é a sintaxe para CBAC.

            ip inspect name inspection-name protocol [timeoutseconds]
         

Este é um exemplo do uso de CBAC para inspecionar tráfego externo. A ACL 111 estendida normalmente bloqueia o tráfego de retorno que não seja ICMP sem brechas de abertura de CBAC para tráfego de retorno.

            ip inspect name myfw ftp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw tcp timeout 3600
ip inspect name myfw udp timeout 3600
ip inspect name myfw tftp timeout 3600
interface Ethernet0/1
       ip address 172.16.1.2 255.255.255.0
       ip access-group 111 in
       ip inspect myfw out
access-list 111 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 111 permit icmp any 10.1.1.0 0.0.0.255
         

Proxy de Autenticação

O proxy de autenticação foi introduzido no Cisco IOS Software Release 12.0.5.T. É necessário ter o conjunto de recursos do Cisco IOS Firewall. O proxy de autenticação é usado para autenticar usuários de entrada ou saída ou ambos. Usuários que normalmente são bloqueados por uma ACL podem utilizar uma navegador para passar pelo firewall e autenticar-se em um servidor TACACS+ ou RADIUS. O servidor transmite entradas ACL adicionais até o roteador para permitir que os usuários façam a autenticação.

O proxy de autenticação é semelhante à lock and key (ACLs dinâmicas). Estas são as diferenças:

  • Lock and key é acionado por uma conexão de Telnet ao roteador. O proxy de autenticação é acionado pelo HTTP por meio do roteador.

  • O proxy de autenticação precisa utilizar um servidor externo.

  • O proxy de autenticação pode trabalhar com adição de listas dinâmicas múltiplas. Lock and key só pode adicionar uma.

  • O proxy de autenticação tem uma expiração absoluta mas não um intervalo ocioso. O recurso lock and key tem dois.

Consulte o Cookbook de Configuração do Cisco Secure Integrated Software para obter exemplos de proxy de autenticação.

ACLs Turbo

As ACLs Turbo foram introduzidas no Cisco IOS Software Release 12.1.5.T e são encontradas somente no 7200, 7500 e em outras plataformas de ponta. O recurso turbo ACL foi projetado para processar ACLs de maneira mais eficiente para aprimorar o desempenho do roteador.

Utilize o comando access-list compiled para ACLs tubo. Este é um exemplo de uma ACL compilada:

            access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet
access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq ftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq syslog
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq ntp
         

Depois definir uma ACL padrão ou estendida, utilize o comando global configuration para compilar.

            
               !--- Informe ao roteador para compilar
            
            access-list compiled

Interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0 
            
               !--- Aplica à interface
            
            ip access-group 101 in
         

O comando show access-list compiled mostra estatísticas sobre a ACL.

ACLs Distribuídas Baseadas no Período

ACLs distribuídas baseadas no período foram introduzidas no Cisco IOS Software Release 12.2.2.T para implementar ACLs baseadas no período em roteadores da série 7500 habilitados para VPN. Antes da inclusão do recurso de ACL distribuída baseada no período, as ACLs baseadas no período não eram suportadas em placas de linha para roteadores Cisco 7500 Series Routers. Se as ACLs baseadas no período fossem configuradas, elas se comportavam como ACLs normais. Se uma interface em uma placa de linha fosse configurada com ACLs baseadas no período, os pacotes comutados na interface não eram comutados de forma distribuída por meio da placa de linha, mas encaminhados para o processador de rota para processamento.

A sintaxe de ACLs distribuídas baseadas no período é a mesma usada para ACLs baseada no período, com a adição dos comandos relativos ao status das mensagens do IPC (Inter Processor Communication) entre o processador da rota e a placa de linha.

            debug time-range ipc
show time-range ipc
clear time-range ipc
         

ACLs Recebidas

ACLs de recebimento são utilizadas para aumentar a segurança em roteadores Cisco 12000 por meio da proteção do Gigabit Route Processor (GRP) do roteador contra tráfego desnecessário e potencialmente perigoso. As ACLs de recebimento foram incluídas como um waiver especial ao avanço na manutenção do Cisco IOS Software Release 12.0.21S2 e integradas ao 12.0(22)S. Consulte GSR: Listas de Controle de Acesso Recebidas para obter mais informações.

ACLs de Proteção de Infra-Estrutura

ACLs de infra-estrutura são utilizadas para minimizar o risco e a eficiência do ataque direto infra-estrutura por permissões explícitas de somente tráfego autorizado ao equipamento de infra-estrutura, enquanto permite todos os outros tráfegos de trânsito. Consulte Protegendo Sua Base: Listas de Controle de Proteção de Infra-Estrutura para obter mais informações.

ACLs de Trânsito

Listas de controle de acesso (ACLs) de trânsito são utilizadas para aumentar a segurança da rede, pois permitem explicitamente apenas o tráfego necessário em sua rede ou redes. Consulte Listas de Controle de Acesso de Trânsito: Filtrando sua Borda para obter mais informações.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 23602