Home 01 - Conceitos 01 - Redes 12 - Seguranca de Redes 02 - Mecanismos de Defesa 01 - Controle de Perímetro

No contexto do controle de perímetro, os roteadores com ACL (Access Control Lists) desempenham um papel de defesa fundamental, permitindo que um equipamento cuja função primária é o encaminhamento de pacotes assuma também a função de um elemento de segurança ativo.

Abaixo, detalho como essas ferramentas operam e se integram à estratégia de defesa de perímetro:

1. O Roteador como Elemento de Segurança

Embora a função básica de um roteador seja conectar segmentos de rede distintos (domínios de broadcast diferentes) através de tabelas de roteamento, ele pode ser configurado para realizar uma crítica de segurança sobre os pacotes que o atravessam. No perímetro, ele atua como o dispositivo que delimita a fronteira entre a rede interna (Intranet) e redes externas não confiáveis (Internet).

2. Funcionamento das Listas de Acesso (ACL)

Uma ACL é uma lista sequencial de instruções de permissão ou negação. O roteador utiliza os argumentos contidos no cabeçalho dos pacotes para compará-los com as regras da lista.

  • Critérios de Filtragem: As críticas baseiam-se em campos como endereço IP de origem e destino, tipo de protocolo de transporte (TCP, UDP, ICMP) e a porta de serviço (socket).
  • Regra de Bloqueio Implícito: Um princípio crucial é que qualquer tráfego que não seja explicitamente permitido por uma regra da ACL será bloqueado automaticamente pela regra final que “bloqueia tudo”.

3. Tipos de ACL e Aplicação no Perímetro

As fontes classificam as ACLs em dois tipos principais, dependendo da profundidade da análise:

  • ACL Padrão (Standard): Possui baixo recurso de verificação, analisando apenas o IP de origem do pacote para decidir se ele pode ser roteado.
  • ACL Estendida (Extended): Oferece maior flexibilidade e detalhes, verificando endereços IP de origem/destino, protocolos e portas específicas. É a mais indicada para perímetros complexos.

Quanto à direção do tráfego, as ACLs podem ser aplicadas de duas formas nas interfaces do roteador:

  • Inbound (Entrada): Os pacotes são processados antes de serem roteados. É considerada eficiente para o perímetro pois economiza processamento ao descartar pacotes maliciosos antes mesmo da pesquisa na tabela de rotas.
  • Outbound (Saída): Os pacotes são roteados primeiro e processados pela ACL logo antes de saírem pela interface.

4. Integração na Defesa de Perímetro

Na arquitetura de segurança, o roteador com ACL é frequentemente utilizado em conjunto com outras camadas:

  • Zonas de Segurança: Ajuda a segmentar a rede em zonas como a DMZ (Zona Desmilitarizada), Intranet e Extranet.
  • Módulos de Firewall: Alguns roteadores corporativos permitem a adição de módulos de hardware ou software de firewall (como o Cisco ASA), transformando o roteador em um dispositivo de segurança robusto que realiza inspeção de estado (stateful).
  • Barreira Primária: Ao inspecionar o tráfego de entrada no perímetro, o roteador consegue barrar ataques conhecidos e reduzir a superfície de exposição dos servidores internos.

Em suma, o uso de ACLs em roteadores é uma prática estratégica que aproveita a infraestrutura de rede existente para criar uma posição inatacável no perímetro, controlando rigorosamente o que entra e sai da organização.