Como as ACLs funcionam

1. O que é ACL e como funciona em rede

Ao gerenciar uma rede, uma das suas principais responsabilidades é decidir qual o tráfego deve ser permitido e o que deve ser bloqueado. É exatamente para isso que as Access Control Lists (ACLs) são projetadas.

Um ACL é um conjunto de regras que filtra o tráfego com base em condições específicas. Você pode aplicar essas regras nos roteadores Cisco ou comutadores da camada 3 para permitir ou negar pacotes.

Existem dois tipos principais de ACLs:

• Standard ACLs operam na camada 3 (camada de rede) e filtram o tráfego com base apenas no endereço IP de origem.
  
• Extended ACLs opere nas camadas 3 e na camada 4 (camadas de rede e transporte), permitindo a filtragem com base no IP de origem e destino, protocolos e até números de porta.

Exemplo do mundo real

Digamos que você queira permitir que o departamento jurídico (192.168.1.0/24) acesse um servidor, mas bloqueie o departamento de RH (192.168.2.0/24).

Veja como seria uma Standard ACL padrão básica:

R1(config)# ip access-list standard 10 
R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255
R1(config-std-nacl)# deny 192.168.2.0 0.0.0.255

O que está acontecendo aqui?

• 10 é o número de identificação do ACL.
• A rede legal pode passar.
• A rede de RH é explicitamente negada.

É assim que você começa a aplicar o controle sobre quem pode acessar o que na sua rede.

2. Access Control Entry (ACE)

Cada regra em uma ACL é chamada de Access Control Entry (ACE). Pense em um ACL como uma lista e cada regra nessa lista é um ás individual.

Vamos dar o exemplo anterior:

Nesta lista de acesso, temos dois ases:

• ACE 10: permite o tráfego da rede 192.168.1.0/24.
• ACE 20: nega o tráfego da rede 192.168.2.0/24.

E essa Mask?

Você deve ter notado algo estranho na sintaxe da ACE, a máscara não parece uma máscara de sub -rede típica …

Isso ocorre porque as ACLs não usam máscaras de sub -rede. Eles usam Wildcard Mask.

O que é a Wildcard Mask?

Uma wildcard mask funciona como o inverso de uma subnet mask.

Ele informa ao roteador quais partes do endereço IP devem corresponder exatamente e quais peças podem variar.

Subnet Mask	Wildcard Mask	Partidas
255.255.255.0	0.0.0.255	Todos os IPs em 192.168.1.0/24
255.255.255.255	0.0.0.0	Um endereço IP específico

Se olharmos para o nosso exemplo:

permit 192.168.1.0 0.0.0.255

Isso significa: permitir tráfego de qualquer dispositivo na rede 192.168.1.0/24.

Se você quiser permitir apenas um endereço IP específico, como 192.168.1.10, você usaria:

permit 192.168.1.10 0.0.0.0

Isso corresponderia somente a esse endereço.

Ordem de leitura

As ACLs são lidas de cima para baixo.
Assim que um pacote corresponde a uma ACE, o roteador para de verificar o restante da lista.

Neste exemplo, o pacote com IP de origem 192.168.1.1 corresponde ao ACE 10, então o roteador o permite. O ACE 20 nunca é avaliado.

3. Negação Implícita

No final de cada ACL, há uma regra de negação implícita.

Isso significa que se um pacote não corresponder a nenhuma das ACEs na lista, ele será negado automaticamente, mesmo que você não veja essa regra na configuração.

Mesmo que nenhuma negação explícita seja escrita, o roteador aplica a negação implícita no final, descartando silenciosamente o pacote.

Esta é uma medida de segurança crítica que garante que somente o tráfego que você permitir explicitamente seja permitido na sua rede.

Agora observe o seguinte caso:

Um pacote vem da fonte 192.168.5.0 que não está listada em nenhuma declaração de permissão ou negação.

Neste exemplo:

• ACE 10 permite tráfego de 192.168.1.0/24
• ACE 20 nega tráfego de 192.168.2.0/24
• Mas 192.168.5.0 não corresponde a nenhuma das regras

Como nenhuma correspondência é encontrada, o pacote é descartado pela negação implícita.

4. ACLs de Inbound e Outbound

Ao configurar uma ACL, você sempre precisará aplicá-la tanto de Inbound quanto de Outbound em uma interface de roteador.

Você pode estar pensando:
“Ok, mas qual é a diferença?”

A diferença está em quando o roteador verifica o tráfego.

Inbound ACLs

Se a ACL for aplicada na Inbound, o roteador inspeciona o tráfego conforme ele entra na interface antes de qualquer decisão de roteamento ser tomada.

Isso significa que o pacote é verificado imediatamente ao chegar à interface. Se for negado, ele não avança mais.

Outbound ACLs

Se a ACL for aplicada na Oubtound, o roteador primeiro toma sua decisão de roteamento e depois verifica o pacote quando ele sai da interface.

Portanto, o tráfego já é aceito pela rota e a ACL atua como o último filtro antes de sair.

5. Conclusão

Vamos recapitular o que é ACL e como funciona:

• Uma ACL é uma lista de regras que permite controlar qual tráfego é permitido ou negado.
• Cada regra é chamada de Access Control Entry (ACE).
• As ACLs são processadas de cima para baixo, e o roteador para na primeira correspondência.
• Se nenhuma regra corresponder, o tráfego será negado pela negação implícita no final.
• As ACLs são aplicadas na Inbound (quando o tráfego entra em uma interface) ou na Outbound (quando ele sai).

Também vimos os dois tipos de ACLs:

• Standard ACLs trabalhar na Camada 3 e filtrar com base no endereço IP de origem.
• Extended ACLs trabalham nas camadas 3 e 4 e podem filtrar com base no IP de origem e destino, protocolo e porta.

O que vem a seguir?

Agora que você entende como as ACLs funcionam, as próximas lições o guiarão através de:

• Configurando uma Standard ACL,
• em seguida configurando uma ACL Extended.

Você verá exatamente como aplicá-los em ambientes reais da Cisco.