Cybersecurity-Docs

Listas de Controle de Acesso (ACLs)

Data de Publicação: 18 de Agosto de 2025
Autora: Patrícia Canossa Gagliardi

Introdução

Uma Lista de Controle de Acesso (ACL) é uma das ferramentas mais fundamentais e poderosas na caixa de ferramentas de um administrador de rede e de segurança. Em sua essência, uma ACL é uma sequência de regras de permissão (permit) e negação (deny) que são aplicadas a pacotes que tentam atravessar uma interface de um roteador ou firewall. Elas atuam como um filtro granular, inspecionando o cabeçalho de cada pacote e decidindo seu destino com base em uma política predefinida. As ACLs são a base para a segurança da rede, o controle de fluxo de tráfego e a otimização de performance.

1. A Lógica de Processamento de uma ACL: As Regras do Jogo

Para usar ACLs de forma eficaz, é crucial entender como um roteador as processa. Existem três regras fundamentais:

Processamento Sequencial (Top-Down): As regras em uma ACL são processadas em ordem, de cima para baixo. O roteador compara o pacote com a primeira regra, depois com a segunda, a terceira, e assim por diante.
Primeira Correspondência (First-Match Logic): Assim que um pacote corresponde a uma regra na lista, a ação (permit ou deny) é executada e o roteador para de processar o resto da ACL. O pacote não é comparado com nenhuma outra regra subsequente.
Negação Implícita (Implicit Deny): No final de toda ACL existe uma regra invisível e intransponível: deny any any (negar tudo de qualquer origem para qualquer destino). Isso significa que, se um pacote não corresponder a nenhuma regra de permit na lista, ele será descartado. Por essa razão, toda ACL funcional deve ter pelo menos uma instrução permit.

2. Os Tipos de ACLs: Padrão vs. Estendida

A granularidade do filtro determina o tipo da ACL.

ACLs Padrão (Standard)

Função: Filtram o tráfego baseando-se apenas no endereço IP de origem. Elas não conseguem diferenciar tipos de tráfego (HTTP, ICMP, etc.) ou destinos.
Lógica: A decisão é um simples “sim” ou “não” para todo o tráfego vindo daquele IP de origem.
Identificação: Tradicionalmente usam números de 1 a 99.
Exemplo: Bloquear todo o tráfego de um host específico.

access-list 10 deny host 192.168.10.10
access-list 10 permit any

ACLs Estendidas (Extended)

Função: Oferecem um controle muito mais granular. Elas podem filtrar com base em:
- Endereço IP de origem
- Endereço IP de destino
- Protocolo (TCP, UDP, ICMP, etc.)
- Portas de origem e destino (para TCP/UDP), permitindo diferenciar serviços (HTTP, FTP, DNS).
Identificação: Tradicionalmente usam números de 100 a 199.
Exemplo: Permitir que a rede 192.168.10.0 acesse apenas serviços web (porta 80) em qualquer lugar da internet.

access-list 100 permit ip host 192.168.10.0 any eq 80

(Lembre-se da negação implícita no final, que bloqueará todo o resto do tráfego)

ACLs Nomeadas (Named) Tanto as ACLs padrão quanto as estendidas podem ser configuradas com um nome em vez de um número. Esta é a prática moderna recomendada, pois permite identificar o propósito da ACL de forma clara (ex: access-list extended BLOCK_VIDEO).

3. Onde Aplicar? A Regra de Ouro do Posicionamento

A eficácia de uma ACL depende drasticamente de onde ela é aplicada (em qual roteador e em qual interface - entrada ou saída).

ACLs Estendidas: Devem ser aplicadas o mais próximo possível da origem do tráfego. Por serem muito específicas, elas podem filtrar o tráfego indesejado na fonte, impedindo que ele consuma desnecessariamente a largura de banda da rede.
ACLs Padrão: Devem ser aplicadas o mais próximo possível do destino. Como elas só filtram pela origem e não conseguem especificar um destino, aplicá-las perto da fonte poderia acidentalmente bloquear o tráfego daquela origem que seria legítimo para outros destinos.

4. Funções e Aplicações Práticas

As ACLs são usadas para implementar políticas de negócio e segurança de forma granular.

Segurança de Perímetro: No roteador de borda, as ACLs são a primeira linha de defesa, bloqueando tráfego malicioso conhecido da internet e impedindo o uso de protocolos inseguros de dentro para fora (ex: “Impedir Telnet de saída”).
Controle de Acesso Interno: ACLs em roteadores internos, implementam a segmentação de rede. Elas podem, por exemplo, impedir que a rede de Engenharia acesse os servidores de Recursos Humanos, mesmo que ambos estejam na mesma rede corporativa.
Controle de Tráfego por Política: Implementam regras de uso, como “Negar vídeo para Switch1” para economizar banda, ou “Negar FTP” para o servidor S3 por razões de segurança.
Filtragem de Sessões Estabelecidas: ACLs estendidas podem usar o parâmetro established para permitir o tráfego de retorno de conexões TCP que foram iniciadas de dentro da rede, agindo de forma semelhante a um firewall stateful.

Conclusão

As Listas de Controle de Acesso são uma ferramenta indispensável e versátil para a gestão de redes. Elas fornecem os meios para traduzir uma política de segurança abstrata em ações concretas de filtragem de pacotes. O sucesso de sua implementação, no entanto, depende de um entendimento profundo de sua lógica de processamento sequencial, da distinção entre os tipos padrão e estendido, e de um planejamento cuidadoso de seu posicionamento na topologia da rede para garantir tanto a segurança quanto a performance.

This site is open source. Improve this page.