Listy kontroli dostępu to zestaw komend, które definiują które pakiety mogą zostać wpuszczone, lub wypuszczone z sieci w zależności od tego co mają segmenty w nagłówkach. Filtrowanie może odbywać się na podstawie źródłowego adresu ip, w takim wypadku mówimy o standardowych listach dostępowych lub w znacznie rozszerzonej wersji na podstawie źródłowego i/lub docelowego adresu ip, protokołu oraz konkretnego numeru portu tcp/udp. Dodatkowo każda ACL’ka jest przypisywana do interfejsu w konkretnym kierunku (in lub out).
Poprawnie skonfigurowane ACL’ki zapewniają:
- Podstawową optymalizację ruchu w sieci poprzez odrzucanie niepożądanych pakietów
- Dodatkową warstwę zabezpieczeń poprzez ściśle określone reguły, które definiują które hosty/podsieci mogą się ze sobą komunikować
- Ograniczenie dostępu użytkownikom do zasobów sieciowych poprzez filtrowanie ruchu na podstawie protokołów np. ftp lub http/https
Poprawnie skonfigurowane ACL’ki zapewniają:
Standard ACL
Access Control Lists dzielą się zasadniczo na standardowe (tylko ipv4) i rozszerzone (ipv4/ipv6) oraz ze względu na sposób identyfikacji na numeryczne i nazwane.
Standardowe ACL tworzymy poprzez wydanie komendy access-list następnie podajemy identyfikator listy (słownie lub numerycznie). W kolejnym kroku definiujemy czy ruch ma zostać przepuszczony (permit) lub odrzucony (deny). Na końcu polecenia definiujemy zakres adresów, których dotyczy lista dostępowa poprzez podanie adresu ip podsieci/hosta oraz wildcard mask (maska blankietowa) lub poprzez użycie słówka any.
R1(config)#access-list 1 permit 192.168.0.0 0.0.0.255 R1(config)#access-list 1 deny any
Wildcard mask tworzymy następująco:
255.255.255.255
– 255.255.255.000 odejmujemy maskę podsieci
= 000.000.000.255
Do każdej ACL’ki możemy dodatkowo dodać opis w używająć polecenia remark
R1(config)#access-list 1 remark Permit hosts from 192.168.0.0 LAN R1#show running-config | include access-list 1 access-list 1 remark Permit hosts from 192.168.0.0 LAN access-list 1 permit 192.168.0.0 0.0.0.255 access-list 1 deny any
Gotową ACL’kę należy podpiąć do interfejsu we właściwym kierunku (ruch wchodzący – in lub wychodzący out)
R1(config)#interface fastethernet 0/1 R1(config-if)#access-group 1 in
ACL’kę dla dostępu konsolowego lub wirtualnego terminalu dodajemy za pomocą komendy access-class
R1(config)#line vty 0 4 R1(config-line)#access-class 1 in
Logika ACL
Tworząc dowolną listę, należy pamiętać, że szukając dopasowania router, przeszukuje listę do pierwszego pasującego dopasowania. Jeśli na początku listy będą zbyt ogólne wpisy, to istnieje szansa przepuszczenia ruchu, który przy prawidłowej konfiguracji powinien zostać zablokowany.
Extended ACL
Rozszerzone listy dostępu pozwalają na znacznie precyzyjniejsze określenie, jakiego rodzaju ruchu dotyczy konkretna lista poprzez określenie adresu ip źródła i celu, rodzaju protokołu oraz numeru portu.
Rozszerzone ACL tworzymy poprzez wydanie komendy access-list następnie podajemy identyfikator listy (słownie lub numerycznie). W kolejnym kroku definiujemy czy ruch ma zostać przepuszczony (permit) lub odrzucony (deny). Opcjonalnie możemy zdefiniować czy router ma fitrować pakiety tcp/udp lub innego protokołu np. igmp. W rozszerzonych listach oprócz źródłowego adresu ip należy również zdefiniować docelowy zakres adresów, których dotyczy lista dostępowa. Ostatnim krokiem jest podanie portu lub zakresu portów. Ponieważ część protokołów wymaga nawiązania połaczenia w dwóch kierunkach, należy zezwolnić na nawiązanie sesji na żądanie pochodzące z sieci wewnętrznej poprzez opcję established.
R1(config)#access-list 103 permit tcp 192.168.0.0 0.0.0.255 any eq ssh R1(config)#access-list 103 deny any any R1(config)#access-list 104 permit tcp any 192.168.0.0 0.0.0.255 eq 80 R1(config)#access-list 105 permit tcp any 192.168.0.0 0.0.0.255 established
Gotową ACL’kę należy podpiąć do interfejsu we właściwym kierunku (ruch wchodzący – in lub wychodzący out)
R1(config)#interface fastethernet 0/1 R1(config-if)#access-group 105 in
Modyfikacja ACL
Istniejące listy możemy edytować na dwa sposoby. Pierwszy sposób to usunięcie konkretnej listy dostępowej i wprowadzenie jej od nowa. Pamiętać należy jednak, że dana access-lista będzie nadal widnieć pod interfejsami, do których została zastosowana, co może skutkować całkowitym zablokowaniem ruchu, w końcu na końcu każdej access-listy mamy niejawne deny any.
R1(config)#no access-list 103
Drugi sposób to wykorzystanie numerów sekwencyjnych. Wprowadzając nowe pozycje do listy, są one automatycznie numerowane. Możliwe jest usunięcie, lub nadpisanie konkretnej reguły podając jej numer sekwencyjny.
R1#show access-lists
Extended IP access list 103
10 permit tcp 192.168.0.0 0.0.0.255 any eq ssh
20 deny any any
R1(config)#ip access-list extended 103
R1(config-ext-nacl)#no 10
R1#show access-lists
Extended IP access list 103
20 deny any any
IPv6 Access control lists
ACL dla IP w wersji 6 są bardzo podobne do rozszerzonych list dostępowych IPv4, jednakże mają kilka różnić. Wszystkie listy są nazwane (nazwy muszą się różnić od tych dla ipv4), nie mamy już numerowanych list. Z użycia znikły również maski blankietowe (wildcard mask). Z różnic na końcu każdej ACL pojawiają się zawsze niejawnie:
- permit icmp any any nd-na
- permit icmp any any nd-ns
Ponieważ IPv6 porzuciło mechanizm ARP do wykrywania hostów w sieci lokalnej, na rzecz usługi warstwy 3 Neighbor discovery z automatu zezwalamy na stosowanie komunikatów Neighbor Discovery – Neighbor Advertisement (nd-na) oraz Neighbor Discovery – Neighbor Solicitation (nd-ns).
R1(config)#ipv6 access-list NO-ACCESS-LAN R1(config-ipv6-acl)# deny ipv6 any 2001:db8:cafe:30::/64 R1(config-ipv6-acl)# end
Gotową ACL’kę należy podpiąć do interfejsu we właściwym kierunku (ruch wchodzący – in lub wychodzący out)
R1(config)#interface gigabitethernet 0/1 R1(config-if)# ipv6 traffic-filter NO-ACCESS-LAN in
Listę dostępową dla dostępu konsolowego lub wirtualnego terminalu dodajemy tak samo jak w przypadku ACL dla IPv4
R1(config)#line vty 0 4 R1(config-line)#access-class NO-ACCESS-LAN in
Najlepsze praktyki podczas konfiguracji ACL
- Standard ACL zakładamy jak najbliżej celu, ponieważ ruch filtrujemy na podstawie źródła pakietu.
- Extended ACL zakładamy jak najbliżej źródła celu, ponieważ jesteśmy w stanie bardzo precyzyjnie określić który rodzaj ruchy jest przez niepożądany i poprzez takie filtrowanie możemy zaoszczędzić przepustowość w naszej sieci.
- Na końcu każdej ACL dodajemy permit lub deny any, pozwala to dokładniej śledzić statyski naszej listy, ponieważ standardowo każda ACL kończy się niejawną opcją deny any
0 komentarzy