M6 · Segurança

Listas de Controle de Acesso IP (ACLs)

O que é

Uma ACL (Access Control List) é uma lista ordenada de regras configurada em um roteador Cisco que instrui o equipamento a permitir ou descartar pacotes antes de encaminhá-los. Pense nela como um porteiro numa entrada de condomínio: cada pacote que chega ou sai de uma interface é conferido contra a lista de regras, e a primeira que combinar determina o destino do pacote — passa ou cai.

No contexto do CCNA, ACLs são aplicadas em interfaces de roteadores e servem principalmente para controlar quem acessa qual parte da rede. Um exemplo prático do dia a dia: a equipe de TI de uma empresa em São Paulo precisa impedir que computadores do setor de almoxarifado acessem o servidor financeiro, mas sem bloquear o restante da rede. Uma ACL resolve isso com precisão cirúrgica.

Existem dois tipos principais:

  • ACL padrão (standard): analisa apenas o endereço IP de origem do pacote. Simples e rápida, mas pouco granular.
  • ACL estendida (extended): analisa protocolo (TCP, UDP, ICMP, OSPF etc.), IP de origem, IP de destino e números de porta de origem e destino. Muito mais precisa.

Cada uma dessas pode ser numerada (identificada por um número) ou nomeada (identificada por um nome descritivo).

Como funciona

Estrutura e processamento

Uma ACL é composta de uma ou mais ACEs (Access Control Entries) — as linhas de regra. O roteador lê as ACEs de cima para baixo, na ordem em que foram configuradas. Assim que um pacote coincide com uma entrada, o roteador aplica a ação (permit ou deny) e para de verificar o restante da lista.

Se o pacote não coincidir com nenhuma entrada, entra em cena a regra de negação implícita (implicit deny): ao final de toda ACL existe, invisível, uma linha deny any. Isso significa que qualquer tráfego não explicitamente permitido é descartado — um detalhe que pega muita gente de surpresa no exame e na vida real.

Ranges de numeração

Tipo Range principal Range expandido
Standard 1 – 99 1300 – 1999
Extended 100 – 199 2000 – 2699

Wildcard masks

ACLs usam wildcard masks, não subnet masks. A wildcard é o inverso da subnet: onde a subnet tem 1, a wildcard tem 0, e vice-versa.

Exemplos rápidos:

  • /24 → wildcard 0.0.0.255
  • /16 → wildcard 0.0.255.255
  • /32 (host único) → wildcard 0.0.0.0 (ou use host 192.168.1.1)
  • Qualquer endereço → any (equivale a 0.0.0.0 255.255.255.255)

Aplicação em interfaces

Uma ACL só tem efeito quando aplicada a uma interface com uma direção:

  • inbound: o roteador verifica o pacote ao recebê-lo na interface.
  • outbound: o roteador verifica o pacote ao enviá-lo pela interface.

Regra de ouro para posicionamento:

  • ACL padrão → próxima do destino (porque só analisa origem; aplicá-la perto da origem poderia bloquear mais tráfego do que o desejado).
  • ACL estendida → próxima da origem (porque é específica o suficiente para não causar bloqueios indesejados, e evita que pacotes viajem pela rede só para serem descartados no fim).

Na prática

ACL padrão numerada

! Bloqueia a rede 10.20.30.0/24 e permite todo o resto
Router(config)# access-list 10 deny 10.20.30.0 0.0.0.255
Router(config)# access-list 10 permit any

! Aplica na interface GigabitEthernet0/0, saída
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 10 out

ACL padrão nomeada

Router(config)# ip access-list standard BLOQUEIA-ALMOXARIFADO
Router(config-std-nacl)# deny 172.16.50.0 0.0.0.255
Router(config-std-nacl)# permit any
Router(config-std-nacl)# exit

Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip access-group BLOQUEIA-ALMOXARIFADO out

ACL estendida — bloquear HTTP de um host específico

Router(config)# ip access-list extended BLOQUEIA-HTTP
Router(config-ext-nacl)# deny tcp host 192.168.1.55 any eq 80
Router(config-ext-nacl)# deny tcp host 192.168.1.55 any eq 443
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)# exit

Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip access-group BLOQUEIA-HTTP in

> host 192.168.1.55 é equivalente a 192.168.1.55 0.0.0.0. O operador eq 80 significa "igual à porta 80".

ACL estendida — bloquear ping de uma sub-rede para outra

Router(config)# ip access-list extended SEM-PING
Router(config-ext-nacl)# deny icmp 10.0.0.0 0.0.0.255 10.1.0.0 0.0.0.255
Router(config-ext-nacl)# permit ip any any

Editando ACLs — vantagem do modo named

Com ACL numerada em global config, o comando no access-list 10 deny 10.20.30.0 0.0.0.255 deleta a ACL inteira, não só a entrada. Para editar entradas individualmente, use o modo named:

Router(config)# ip access-list standard 10
Router(config-std-nacl)# no 30        ! remove a ACE de sequência 30
Router(config-std-nacl)# 25 deny 10.0.5.0 0.0.0.255   ! insere entre 20 e 30

Resequenciamento

Router(config)# ip access-list resequence 10 10 10
! Renumera a ACL 10 começando em 10, incrementando de 10 em 10

Verificação

Router# show access-lists
Router# show ip interface GigabitEthernet0/0

show ip interface mostra qual ACL está aplicada em cada direção da interface.

Por que cai no exame

  1. Implicit deny — a pegadinha mais recorrente. Uma ACL sem permit any no fim bloqueia tudo que não foi explicitamente permitido. O exame frequentemente mostra uma ACL que parece correta mas quebra a comunicação porque falta essa linha.
  1. Ordem das ACEs importa — se você colocar permit 192.168.1.0 0.0.0.255 antes de deny 192.168.1.10, o host 192.168.1.10 será permitido, porque a primeira regra já o engloba. O exame testa se você entende esse efeito.
  1. Ranges de numeração — saber que standard usa 1–99/1300–1999 e extended usa 100–199/2000–2699 é questão garantida.
  1. Posicionamento correto — "Em qual interface e em qual direção você aplicaria essa ACL?" é uma das perguntas mais comuns. Standard perto do destino, extended perto da origem.
  1. Deletar ACL numerada via global config apaga tudo — se o exame mostrar um no access-list 1 deny ... em global config, a resposta certa é "a ACL inteira é deletada".
  1. Diferença entre host e anyhost 10.0.0.1 é slash 32; any é qualquer endereço. Confundir um com o outro causa bloqueios ou brechas.
  1. ACL estendida: packet deve coincidir com TODOS os parâmetros — protocolo, origem, destino, porta. Se qualquer um não coincidir, a ACE não aplica.
  1. Máximo de 1 ACL por interface por direção — aplicar uma segunda ACL no mesmo sentido substitui a primeira silenciosamente.

Resumo em uma linha

ACLs são filtros de pacotes configurados em interfaces de roteador que processam regras de cima para baixo e sempre terminam com uma negação implícita — standard filtra só a origem, extended filtra protocolo, origem, destino e porta.