Time-Based ACL – Restringindo o Tráfego em Períodos Específicos do Dia

Tempo de leitura: 5 minutos

Você sabe uma que é uma ACL temporizada ou Time-Based ACL?

No artigo de hoje vamos ver, de uma forma bem simples, como utilizar ACLs em roteadores Cisco para criar regras de bloqueio/permissão que levem em consideração o período de tempo. Essas são as chamadas “Time-Based ACL“. Lembramos que esse conceito não é pré-requisito para a certificação CCNA, mas que pode ser muito útil em situações reais.

Para maiores detalhes visitem o site da Cisco sobre ACL.

Time-Based ACL

Uma time-based ACL deve ser utilizada quando você desejar restringir o tráfego na rede baseado em períodos específicos do dia. Por exemplo, se você deseja conceder acesso a Internet aos usuários de uma rede somente em horários específicos do dia ou deseja restringir o acesso telnet aos seus roteadores fora do horário comercial as time-based ACL podem ser utilizadas. As time-based ACL foram introduzidas no Cisco IOS Software Release 12.0.1.T e permitem controlar o acesso baseado no dia/horário. Basicamente a configuração é feita criando-se um time-range e o aplicando em uma ACL.

Vamos verificar o uso desse recurso em dois exemplos bem simples.

Cenário 01: Você trabalha como administrador de rede Cisco e seu chefe lhe passa a seguinte tarefa.

“Precisamos permitir o acesso ao servidor web (ip 192.168.1.254) aos funcionários da empresa somente no horário comercial (9h – 18h / Seg-Sex). Fora do horário comercial, nenhum usuário da rede poderá acessar esse servidor. Os demais tipos de tráfegos devem ser permitidos.”

Num primeiro momento você poderia pensar em resolver dessa forma:

time-range HORARIO-COMERCIAL
periodic weekdays 9:00 to 18:00
!
ip access-list extend DENY-WEB
permit tcp any host 192.168.1.254 eq www time-range HORARIO-COMERCIAL
permit ip any any

Você definiu um time-range chamado HORARIO-COMERCIAL onde configurou o horário da 9am as 18pm nos dias da semana. Em seguida definiu uma ACL chamada DENY-WEB permitindo o tráfego tcp destinado ao servidor e aplicou o time-range na regra. Mas será que isso vai funcionar? Vamos examinar mais de perto as regras.

Suponha que um usuário tentou acessar o servidor segunda-feira as 11h da manhã. A primeira regra da ACL irá dar o match e deixar o tráfego passar. Ótimo, era o que queríamos.

Mas agora vamos supor que o mesmo usuário tentou acessar o servidor na segunda-feira as 07h da manhã, ou seja, fora do horário especificado. A primeira regra não dá match, legal!!! Mas, como podemos perceber, a segunda regra vai permitir passar (permit ip any any) e o tráfego será permitido.

Agora examine a configuração abaixo.

time-range HORARIO-COMERCIAL
periodic weekdays 9:00 to 18:00
!
ip access-list extend DENY-WEB
permit tcp any host 192.168.1.254 eq www time-range HORARIO-COMERCIAL
deny tcp any host 192.168.1.254 eq www

permit ip any any

Viram só…agora sim, muito melhor dessa forma. Repare que agora quando a primeira regra não der match, só será permitido o tráfego que não for direcionado ao servidor 192.168.1.254, pois a segunda regra bloqueia o tráfego destinado a esse endereço.

Cenário 02: Agora seu chefe lhe passou a seguinte tarefa.

“Nossos usuários deverão ter acesso a Internet, durante o horário comercial, somente através do servidor de proxy cujo endereço é 192.168.1.254 porta 3128. Fora do horário comercial os usuários terão acesso liberado. No horário comercial o único acesso liberado será o servidor de proxy. Além do mais, queremos que seja criado apenas um time-range nessa ACL.”

time-range HORARIO-COMERCIAL
periodic weekdays 9:00 to 18:00
!
ip access-list extend DENY-WEB
permit tcp any host 192.168.1.254 eq 3128 time-range HORARIO-COMERCIAL
permit ip any any

Vamos analisar mais de perto as linhas acima. Vamos supor que seja segunda-feira as 10am. Um usuário tenta acessar o site dltec.com.br diretamente, sem o proxy. A primeira regra da ACL não dará match. O período de tempo está dentro do time-range mas o endereço de destino não é o do proxy. Mas a segunda regra irá dar acesso ao site (permit ip any any) e o usuário irá conseguir o site sem ser pelo servidor de proxy.

Bem, uma segunda tentativa poderíamos tentar as regras abaixo.

time-range HORARIO-NAO-COMERCIAL
periodic weekend 0:00 to 23:59
periodic weekdays 0:00 to 8:59
periodic weekdays 18:01 to 23:59
!
time-range HORARIO-COMERCIAL
periodic weekdays 9:00 to 18:00
!
ip access-list extend DENY-WEB
permit tcp any host 192.168.1.254 eq 3128 time-range HORARIO-COMERCIAL
permit ip any any time-range HORARIO-NAO-COMERCIAL

Perceba que dessa forma funciona. Segunda-feira as 10am se um usuário tentar acessar diretamente o endereço dltec.com.br não será permitido, pois a primeira regra nega o acesso. Da mesma forma, a segunda regra não permite o acesso, pois o horário está fora do time-range HORARIO-NAO-COMERCIAL. O pacote será dropado, exatamente como desejávamos, mas nessa solução utilizamos 2 time-range e fugimos do requisito da tarefa.

Agora veja a ACL abaixo.

time-range HORARIO-NAO-COMERCIAL
periodic weekend 0:00 to 23:59
periodic weekdays 0:00 to 8:59
periodic weekdays 18:01 to 23:59
!
ip access-list extend DENY_WEB
permit ip any any time-range HORARIO-NAO-COMERCIAL
permit tcp any host 192.168.1.254 eq 3128

Agora temos uma ACL que permite o tráfego IP apenas no horário definido no time-range HORARIO-NAO-COMERCIAL. Durante o horário comercial os usuários só terão acesso ao servidor de proxy localizado no endereço 192.168.1.254 porta 3128. Todo o resto será bloqueado. E com isso conseguimos atingir nosso objetivo.

Espero que esse artigo lhe seja útil e que você possa utilizar esses conceitos no seu dia-a-dia.

DLTEC ACESSO PREMIUM

Acesse o curso de “CCNA CCENT e CCNA ICND-2 Online” em nossa área Premium.

Prepare-se para o CCNA e aprenda várias tecnologias fundamentais para área de Redes como ACL, STP, RSTP, OSPF, OSPFv3, troubleshooting e muito mais.

Clique aqui para ativar o curso e inciar seus estudos em nossa área de membros premium!

Não é membro premium? Clique aqui e saiba mais sobre a DlteC Premium.


Fonte: Esse artigo foi baseado e traduzido do blog ArdenPackeer.com

Sobre Alexei C Tavares

Graduado em Engenharia Eletrônica/Telecomunicações pela UTFPR, é Co-Fundador da DlteC do Brasil e trabalha com Telecomunicações e Redes desde 1997. É autor de livros, tais como Roteadores e Switches - Guia para Certificação CCNA e CCENT - 2a. Edição.

Fique em contato através das redes sociais - Facebook, Google+.