O que é uma rede ACL?
Uma rede ACL é realmente como qualquer outra rede de computadores, com a exceção de que os roteadores e switches em execução na rede aderem a uma lista predeterminada de permissões de acesso. Os roteadores de rede recebem uma lista de regras, chamadas de lista de controle de acesso (ACL), que podem permitir a admissão básica de ou para um segmento de rede, bem como a permissão para acessar serviços que possam estar disponíveis através deles. Embora uma ACL possa ser usada em outros serviços de computador, como a permissão do usuário para acessar arquivos armazenados em um computador, no caso de uma rede ACL, as regras são aplicadas às interfaces e portas de rede pelas quais os dados de comunicação trafegam.
À medida que os pacotes de dados passam pelas portas controladas em um dispositivo de rede de uma rede ACL, eles são filtrados e avaliados quanto a permissões. Na maioria dos casos, isso ocorre em um roteador ou switch de rede. Alguns programas de firewall embutidos em um sistema operacional, no entanto, também podem ser vistos como uma forma de lista de controle de acesso. Quando um pacote de dados está entrando ou saindo de uma interface no dispositivo de rede, ele é avaliado por suas permissões, sendo verificado na ACL. Se essas permissões não forem cumpridas, o pacote será negado.
Uma ACL é composta de entradas de controle de acesso (ACE). Cada ACE na lista contém as informações pertinentes sobre permissões para pacotes que entram ou saem da interface de rede da ACL. Cada ACE conterá uma declaração de permissão ou negação, bem como critérios adicionais que um pacote precisará atender. Na maioria dos casos, os pacotes são avaliados com base em padrões comuns de protocolo de Internet (IP), como TCP (Transmission Control Protocl), UDP (User Datagram Protocol) e outros na suíte. Dos tipos mais básicos de ACL, apenas o endereço de origem é verificado, enquanto em uma ACL estendida, podem ser estabelecidas regras que verificam os endereços de origem e destino, bem como as portas específicas das quais o tráfego se originou e se destina.
Em uma rede ACL, as listas de controle são construídas em roteadores e switches de rede. Cada fornecedor de hardware de rede pode ter regras separadas sobre como uma ACL deve ser construída. Independentemente de qual fabricante de hardware ou desenvolvedor de software tenha criado a programação que processa pacotes em uma ACL, o aspecto mais importante para implementar uma rede ACL é o planejamento. Em casos de planejamento insuficiente, é perfeitamente possível que um administrador faça logon em um roteador específico, comece a implementar uma ACL nesse roteador e, de repente, fique bloqueado nesse roteador ou em algum segmento de uma rede inteira.
Uma das implementações de rede ACL mais comuns é incorporada ao sistema operacional Internetwork (IOS) proprietário criado pela Cisco Systems®. Nos roteadores e switches Cisco® IOS, a ACL é digitada manualmente por um administrador e é implementada automaticamente à medida que cada item da lista é adicionado. A ACL precisa ser implementada de forma incremental, para que, como um pacote individual corresponda a uma entrada, o restante que se enquadre nas mesmas permissões possa seguir o exemplo. Qualquer alteração na lista significa que ela precisa ser redigitada na íntegra.
Embora não seja tão seguro quanto um firewall para proteger uma rede, uma ACL é útil, além de um firewall para vários cenários. Um administrador pode limitar o tráfego de e para determinadas áreas de uma rede maior ou impedir que o tráfego originado em determinados endereços saia completamente da rede. Os pacotes podem ser monitorados em uma rede ACL para localizar áreas problemáticas na rede, identificar hosts que estão se comportando incorretamente ou rastrear computadores clientes que podem estar infectados por um vírus que está tentando se espalhar. Uma ACL também pode ser usada para especificar o tráfego que precisa ser criptografado entre os nós da rede.