Criando Listas de Controle de Acesso IP Padrão

Objetivos

Neste tutorial apresentarei o processo de configuração de uma Lista de Acesso para controlar o tráfego de rede não desejado, bem como utilizá-las para implementar um recurso mínimo de segurança no ambiente. Mostrarei um exemplo fictício de uma lista padrão apresentada no tutorial “Conceitos das Listas de Acesso – ACL’s”.

Pré-requisitos:

Conhecer os modos de configuração de um roteador, salvar um arquivo de configuração, bem como os conceitos básicos do protocolo TCP/IP, tais como, endereços de rede, máscaras de sub-rede, protocolos TCP/UDP e portas de conexão.

Parte 1 – Relembrando Conceitos de ACL’s

Os roteadores fornecem uma filtragem básica de pacotes, como por exemplo, o bloqueio de acesso a determinados recursos na internet. Uma ACL nada mais é que uma seqüência de instruções que permitem ou negam acesso a determinada rede ou recursos disponíveis noutras redes.

Não podemos nos esquecer que toda Lista de Controle de Acesso é primeiramente criada e depois aplicada a uma determinada interface do roteador, ao processar o pacote o roteador verifica as instruções definidas numa ACL e com base nessas informações aceita ou recusa o pacote.

Também é muito importante saber que a partir do momento que criarmos uma linha de instrução, o equipamento passa a verificar essa ACL e logo após estará implícito um deny any no final, por exemplo, digamos que eu queira liberar o tráfego FTP para uma determinada rede, se apenas definir essa instrução o restante do tráfego será negado justamente por causa da negação implícita no final da regra. Para solucionar este problema devemos ter bem definidas todas as condições de tráfego da rede a ser liberado e especificá-los em cada linha da ACL.

Caso não seja definida nenhuma Lista de acesso ao roteador, todo tráfego que passará nas interfaces será devidamente liberado a todas redes, tanto de entrada quanto de saída.

Parte 2 – Implementando Listas de Acesso IP Padrão

Primeiramente vamos verificar a configuração das interfaces de nosso equipamento. Para esse tutorial utilizaremos um roteador Cisco 1720.

Com o comando show running-config, teremos a saída:

Pressionamos a barra de espaço para continuar:

Podemos assim verificar que existem quatro interfaces seriais denominadas Serial 0, Serial 1, Serial 2, Serial 3 e uma interface FastEthernet denominada FastEthernet0.

Vamos desenvolver o seguinte exemplo:

Atualmente nossa organização possui quatro conexões de WAN que interligam quatro filiais denominadas V, X, Y, Z. Além dessas conexões possuímos uma interface Fastethernet que conecta os usuários da Rede Local Matriz, conforme segue a figura abaixo:

Nosso objetivo é criar uma lista de acesso padrão que permita os usuários da Rede Local acessarem as filiais V, X e Y, porém não poderão acessar os recursos da filial Z.

Vamos até a console do roteador e digitamos os seguintes comandos:

Vejam que o processo de configuração das listas de acesso acontece no modo de configuração global do roteador, logo após do comando access-list devemos definir o número desta lista. Em nosso exemplo definimos o número 20, visto que estamos criando uma lista padrão e o intervalo vai de 1 a 99. Também devemos definir o endereço da rede que será negado o acesso que é 192.168.33.0 da rede local matriz.

Feito isso, precisamos informar que o restante do tráfego será liberado, ou seja, nosso objetivo é apenas negar o acesso da LAN matriz à filial Z. Vejamos então:

É importante lembrar que o comando permit any no final está simplesmente liberando o restante do tráfego que passará por determinada interface, é como fazer o seguinte:

access-list 20 permit 0.0.0.0 255.255.255.255

Até o momento nossa regra foi criada, porém ainda não foi definido onde será aplicada. Nunca esqueçam que primeiro criamos a regra e logo após aplicamos à interface. Nesse exemplo devemos aplicar esta regra na interface Serial 3, pois conforme abordado nos conceitos de ACL’s, uma lista de acesso IP padrão é aplicada o mais próximo do destino, como o destino é a rede Z devemos fazer a configuração nesta interface.

Com esse comando negamos que o tráfego da LAN Matriz (192.168.33.0) saia pela interface Serial 3 (192.168.54.0) da rede Z.

Conclusão:

Neste tutorial mostrei como configurar uma Lista de Acesso IP Padrão através de um exemplo fictício de uma organização com quatro links seriais e uma conexão de rede local.