Listy kontroli dostępu (ACL) Opracowanio na podstawie materiałów kursu CCNA Listy kontroli dostępu (ACL) Wykład: Zaawansowane sieci komputerowe Prowadzący: dr inż. Sławomir Nowak

Listy ACL obsługują wiele aspektów pracy w sieci. Wprowadzenie Administratorzy sieci muszą dysponować narzędziami, które uniemożliwiają niepożądanym użytkownikom dostęp do sieci oraz udostępniają niezbędne usługi użytkownikom wewnętrznym. Listy ACL obsługują wiele aspektów pracy w sieci. ACL to sekwencyjna lista instrukcji zezwoleń i zakazów, które są stosowane w odniesieniu do adresów lub protokołów wyższych warstw.

Listy ACL są listami warunków, Wprowadzenie Listy ACL są listami warunków, które stosuje się względem ruchu przechodzącego przez interfejs routera. Wskazują one routerowi, jakie rodzaje pakietów mają być akceptowane i odrzucane. Listy ACL filtrują ruch w sieci i określają czy pakiety mają być przekazywane, czy blokowane na interfejsach routera.

Po co stosuje się listy ACL? Ograniczenie ruchu w sieci i zwiększenie wydajności. Zapewnienie podstawowych zabezpieczeń podczas dostępu do sieci. Możliwość decydowania o typie ruchu przenoszonego lub blokowanego na poziomie interfejsów routera. Umożliwienie administratorowi określania obszarów sieci, do których użytkownik może mieć dostęp. Zezwolenie lub zabronienie niektórym hostom dostępu do wybranej części sieci. Możliwość przyznawania i odbierania użytkownikom praw dostępu do określonych usług (np. FTP lub HTTP).

Listy ACL na interfejsach routerów w sieci

Jakie informacje podlegają filtrowaniu?

Rozmieszczanie list ACL Listy ACL są definiowane osobno dla każdego protokołu, kierunku oraz interfejsu.   Jedna lista ACL kontroluje ruch na interfejsie w jednym kierunku dla danego protokołu. Jeśli router ma dwa interfejsy skonfigurowane dla protokołów IP, AppleTalk i IPX, potrzebnych będzie 12 oddzielnych list ACL.

Problemy rozwiązywane przy pomocy ACL Ograniczenie ruchu w sieci i zwiększenie wydajności sieci. Na przykład listy ACL, które ograniczają ruch w ramach połączeń wideo, mogą bardzo zmniejszyć obciążenie sieci i zwiększyć jej wydajność.

Problemy rozwiązywane przy pomocy ACL Umożliwienie kontroli ruchu w sieci. Listy ACL mogą ograniczyć dostarczanie aktualizacji tras. Jeśli warunki w sieci nie wymagają aktualizacji, pozwala to zaoszczędzić pasmo.

Problemy rozwiązywane przy pomocy ACL Zapewnienie podstawowych zabezpieczeń podczas dostępu do sieci. Listy ACL mogą umożliwić jednemu hostowi dostęp do części sieci, uniemożliwiając jednocześnie dostęp do tej samej części innemu hostowi. Na przykład host A ma dostęp do sieci „Zasoby ludzkie", podczas gdy host B nie ma do niej dostępu.

Problemy rozwiązywane przy pomocy ACL Decydowanie o typie ruchu przenoszonego lub blokowanego na poziomie interfejsów routera. Listy ACL mogą zezwalać na routing ruchu pocztowego (e-mail), ale blokować ruch Telnet.

Kolejność instrukcji na liście ACL jest istotna. Działanie list ACL Lista ACL jest grupą instrukcji przepuszczających lub blokujących ruch na przychodzącym lub wychodzącym interfejsie routera. Kolejność instrukcji na liście ACL jest istotna. Jeśli niezbędne jest dodanie nowych instrukcji warunkowych do listy kontroli dostępu, należy usunąć całą listę i utworzyć ją na nowo, tym razem z nową instrukcją warunku. Aby ułatwić modyfikację listy ACL, dobrze jest użyć edytora tekstu (na przykład Notatnika) i wkleić listę do konfiguracji routera.

Tworzenie list ACL rt1(config)#access-list numer parametry Listy ACL tworzy się w trybie konfiguracji globalnej. Podczas konfigurowania list ACL w routerze każda z nich musi mieć unikalny identyfikator. W tym celu przypisuje im się liczby. Tworzenie listy dostępu realizowane jest przez polecenie rt1(config)#access-list numer parametry Numer listy określa jej rodzaj. Administratorzy powinni znać numery list ACL

Numery list ACL <1-99> standardowa lista dostępu IP <100-199> rozszerzona lista dostępu IP <1000-1099> lista dostępu IPX SAP <1100-1199> rozszerzona lista dostępu 48-bitowych adresów MAC <1200-1299> lista dostępu adresu skonsolidowanego IPX <1300-1999> standardowa lista dostępu IP (rozszerzony zakres) <200-299> lista dostępu typu-kodu protokołu <300-399> lista dostępu DECnet <600-699> lista dostępu Appletalk <700-799> lista dostępu 48-bitowych adresów MAC <800-899> standardowa lista dostępu IPX <900-999> rozszerzona lista dostępu IPX <2000-2699> rozszerzona lista dostępu IP (rozszerzony zakres)

Polecenie access-list Przy wydawaniu polecenia access-list należy określić, czy zezwalamy na dostęp (permit) czy nie (deny): access-list numer permit ... lub access-list numer deny ...

Polecenie access-list Następnie określamy adres IP lub nazwę hosta. access-list numer permit A.B.C.D [...] lub access-list numer deny A.B.C.D [...] ...i na tym można zakończyć lub zdefiniować dodatkowo tzw bity blankietowe

Polecenie access-group Po utworzeniu listy ACL można gotową listę przypisać do interfejsu. W tym celu wybieramy odpowiedni interfejs i przypisujemy mu (w trybie konfiguracji interfejsu) jedną ze zdefiniowanych list za pomocą polecenia: access-group numer_listy_dostępu in access-group numer_listy_dostępu out Określenie in lub out określa listę jako wyjściową lub wejściową (patrząc od strony „wnętrza” routera).

Polecenie access-list i access-group przykład

no ip access-list numer Usuwanie list dostępu Listę kontroli dostępu usuwamy za pomocą polecenia no ip access-list numer Ponieważ listy nie można edytować, usuwana jest od razu cała lista

Maski blankietowe Maska blankietowa jest łączona w parę z adresem IP. Zera i jedynki w systemie dwójkowym maski opisują sposób obsługi odpowiadających im bitów adresu IP w poleceniu. Tam, gdzie w masce blankietowej bit jest ustawiony na 1, możliwe jest dowolne dopasowanie z adresem IP (zgodne lub nie). Tam gdzie jest 0, dopasowanie badanego pakietu musi być zgodne (czyli 0 pokazuje na wartość, która będzie sprawdzana). Masek blanietowych nie należy mylić z maskami podsieci!!!

Maski blankietowe – przykład dopasowania

Maski blankietowe Dla list ACL są stosowane dwa specjalne słowa kluczowe: opcje any i host. Opcja any zastępuje adres IP i maskę 255.255.255.255. Maska ta poleca ignorowanie całego adresu IP lub akceptację dowolnego. Opcja host zastępuje maskę 0.0.0.0. Maska ta oznacza, że wszystkie bity adresu IP muszą być zgodne lub że dopasowywany jest tylko jeden host.

Opcje any i host

deny any na końcu listy deny any Uwaga: no końcu standardowej listy ACL umieszczone jest domyślnie polecenie deny any Jeśli nie uda się za pomocą poleceń listy dopasować pakietu, jest on automatycznie odrzucany!

Weryfikowanie list ACL Polecenie show ip interface wyświetla informacje o interfejsie IP oraz informuje, czy dla interfejsu ustawiono listy ACL.

Weryfikowanie list ACL Polecenie show access-lists służy do wyświetlania zawartości wszystkich list ACL na routerze. Aby wyświetlić określoną listę, jako opcję tego polecenia należy podać nazwę lub numer listy ACL.

Weryfikowanie list ACL Polecenie show running-config również służy do wyświetlania list dostępowych na routerze oraz informacji o ich przypisaniu do interfejsów.

Weryfikowanie list ACL – częste błędy Tworząc listy ACL, uczestnicy kursu zazwyczaj popełniają następujące błędy: używają nieprawidłowych masek blankietowych; nie przypisują listy ACL do interfejsu; tworzą filtry w złym kierunku dla danego interfejsu.

Listy standardowe - podsumowanie Pełna składnia polecenia standardowej listy ACL wygląda następująco: Router(config)#access-list numer-listy-dostępu {deny | permit | remark} źródło [maska-blankietowa-źródła ] [log] Słowo kluczowe remark służy do wprowadzania wyjaśnień opisujących listę kontroli dostępu. Długość wyjaśnienia jest ograniczona do 100 znaków. log powoduje wysłanie na konsolę komunikatu związanego z dopasowaniem

Listy standardowe - podsumowanie Na przykład zamiast: access-list 1 permit 171.69.2.88 można zapisać: access-list 1 remark Umożliwia wyłącznie dostęp stacji roboczej Kowalskiego

Listy standardowe - podsumowanie Aby usunąć standardową listę ACL, należy użyć odmiany polecenia z wyrazem no. Składnia jest następująca: Router(config)#no access-list numer-listy-dostępu

Listy standardowe - podsumowanie Polecenie ip access-group łączy istniejącą standardową listę ACL z interfejsem: Router(config-if)#ip access-group {numer-listy-dostępu | nazwa-listy-dostępu} {in | out}

Listy rozszerzone - wprowadzenie Rozszerzone listy ACL umożliwiają większy zakres kontroli. Rozszerzone listy ACL sprawdzają źródłowe i docelowe adresy pakietów oraz protokoły i numery portów. Dostęp można umożliwiać lub blokować na podstawie adresów nadawcy i odbiorcy pakietu, typu protokołu oraz portu. Na jednej liście ACL można konfigurować wiele instrukcji. W przypadku masek blankietowych w instrukcji można również używać słów kluczowych host i any.

Listy rozszerzone numer l.r. zawiera się w zakresie od 100 do 199. Pierwsza część rozszerzonej listy ACL dla adresów IP jest taka sama, jak w przypadku listy standardowej. numer l.r. zawiera się w zakresie od 100 do 199. rt1(config)#access-list 101 deny ... rt1(config)#access-list 101 permit ...

rt1(config)#access-list 101 deny protokół ... Listy rozszerzone Następnie ustala się rodzaj protokołu, dla którego realizowane jest dopasowanie: rt1(config)#access-list 101 deny protokół ... Numer lub nazwa protokołu IP: ahp, eigrp, esp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, pcp, pim, tcp, udp

Listy rozszerzone Następnie podawany jest adres nadawcy z maską blankietową, a po nim — adres odbiorcy (również z maską blankietową). rt1(config)#access-list 101 permit tcp 172.16.0.1 0.0.0.0 192.168.0.0 0.0.255.255 ...

Listy rozszerzone Następnie ustala się szczegółowe parametry dotyczące dopasowanie pakietów. Najważniejsze dotyczą numerów odpowiednich portów: eq Dopasowywanie tylko pakietów z danym numerem portu gt Dopasowywanie tylko pakietów z większym numerem portu lt Dopasowywanie tylko pakietów z mniejszym numerem portu Można też włączyć rejestrowanie dopasowań dla danej pozycji: log - Rejestrowanie dopasowań

Zdefiniowane numery portów

Zdefiniowane numery portów – cd.

Przypisywanie do interfejsów Przypisywanie do interfejsów jest analogiczne jak w przypadku list standatrowych. Polecenie ip access-group służy do łączenia istniejącej rozszerzonej listy ACL z interfejsem: Router(config-if)#ip access-group numer-listy-dostępu {in | out}

Nazwane listy ACL Nazwane listy ACL dla protokołu IP wprowadzono w wersji 11.2 systemu Cisco IOS. Są to standardowe i rozszerzone listy ACL, które mają nazwy zamiast numerów. Zalety nazwanych list dostępowych są następujące: intuicyjna identyfikacja listy za pomocą nazwy alfanumerycznej, brak ograniczenia do 99 prostych i 100 rozszerzonych list ACL, możliwość modyfikowania list ACL bez konieczności ich usuwania i rekonfiguracji.

Tworzenie nazwanych list ACL Konfiguracja nazwanej listy ACL jest podobna do konfiguracji listy standardowej lub rozszerzonej. Pierwsza różnica polega na tym, że zamiast początkowego polecenia access-list w nazwanej liście ACL stosuje się polecenie: ip access-list Następnie należy wpisać parametr extended lub standard oraz określić nazwę tworzonej listy: ip access-list extended test ...

Tworzenie nazwanych list ACL

Tworzenie nazwanych list ACL

Rozmieszczane list ACL Standardowa lista kontroli dostępu powinna zostać umieszczona możliwie najbliżej miejsca docelowego. Najpierw uczestnicy powinni zadecydować, który router znajduje się najbliżej miejsca docelowego, a następnie wybrać interfejs najbliższy względem tego miejsca. Rozszerzona lista kontroli dostępu powinna zostać umieszczona możliwie najbliżej miejsca źródłowego. Uczestnicy powinni zadecydować, który router jest najbliżej, a następnie wybrać właściwy interfejs. Standardowe listy ACL nie określają adresów docelowych, tak więc należy umieszczać je jak najbliżej celu.

Ustawianie list ACL na portach wirtualnych List ACL można skonfigurować także dla terminala wirtualnego. Rt1(config)#access-list 2 permit 172.16.1.0 0.0.0.255 Rt1(config)#access-list 2 permit 172.16.2.0 0.0.0.255 Rt1(config)#access-list 2 deny any Listę dostępową należy zastosować za pomocą następujących poleceń: Rt1(config)#line vty 0 4 Rt1(config-line)#login Rt1(config-line)#password secret Rt1(config-line)#access-class 2 in Standardowe listy ACL nie określają adresów docelowych, tak więc należy umieszczać je jak najbliżej celu.

Ustawianie list ACL na portach wirtualnych Proces tworzenia listy kontroli dostępu dla linii vty jest taki sam, jak w przypadku interfejsu. Jednak stosowanie listy ACL do linii terminala wymaga użycia polecenia access-class zamiast access-group. W przypadku linii wirtualnych można stosować jedynie numerowane listy kontroli dostępu. Dla wszystkich linii terminali wirtualnych należy stosować takie same ograniczenia, ponieważ użytkownik może próbować uzyskać dostęp do dowolnej z nich. Standardowe listy ACL nie określają adresów docelowych, tak więc należy umieszczać je jak najbliżej celu.

Jej zadaniem jest ochrona wewnętrznej sieci przed intruzami. Zapory Zapora jest elementem architektury sieci umieszczonym między użytkownikiem światem zewnętrznym. Jej zadaniem jest ochrona wewnętrznej sieci przed intruzami. Listy ACL powinny być używane przez routery zaporowe, ponieważ są one często umieszczane między siecią wewnętrzną a zewnętrzną, taką jak Internet. Standardowe listy ACL nie określają adresów docelowych, tak więc należy umieszczać je jak najbliżej celu.

Administracja routerem (WWW) Standardowe listy ACL nie określają adresów docelowych, tak więc należy umieszczać je jak najbliżej celu.

Administracja routerem (WWW) Standardowe listy ACL nie określają adresów docelowych, tak więc należy umieszczać je jak najbliżej celu.

Podsumowanie Standardowe listy ACL nie określają adresów docelowych, tak więc należy umieszczać je jak najbliżej celu.

Podsumowanie Aby utworzyć i stosować listy kontroli dostępu, należy przestrzegać następujących reguł: Dla każdego protokołu i kierunku powinna istnieć osobna lista. Standardowe listy kontroli dostępu powinny być stosowane jak najbliżej miejsca docelowego. Rozszerzone listy kontroli dostępu powinny być stosowane jak najbliżej źródła. To, czy interfejs jest przychodzący, czy wychodzący, należy ustalić, patrząc na port "z wnętrza routera". Instrukcje są przetwarzane po kolei od początku listy do jej końca, aż do znalezienia instrukcji pasującej. Jeśli nie znaleziono pasującej instrukcji, pakiet jest odrzucany. Na końcu każdej listy kontroli dostępu znajduje się niejawna instrukcja deny any. Ta instrukcja nie jest wyświetlana na listingu konfiguracji. Pozycje na liście kontroli dostępu powinny dokonywać filtracji w kolejności od szczegółowych do ogólnych. Na początku powinny znajdować się zakazy dostępu dotyczące konkretnych hostów, a na końcu filtry ogólne lub przeznaczone dla grup.

Podsumowanie Najpierw sprawdzany jest warunek zgodności. Instrukcja zezwolenia lub zakazu jest sprawdzana tylko wtedy, gdy warunek zgodności jest spełniony. Nigdy nie należy pracować z aktualnie aktywną listą. Należy użyć edytora tekstu do utworzenia komentarzy, które opisują logikę instrukcji. Następnie należy wpisać instrukcje realizujące tę logikę. Nowe wiersze są zawsze dodawane na końcu listy kontroli dostępu. Całą listę można usunąć przy użyciu polecenia no access-list x. Nie jest możliwe selektywne dodawanie ani usuwanie wierszy z numerowanych list ACL. Lista kontroli dostępu IP spowoduje wysłanie do nadawcy odrzuconego pakietu wiadomości ICMP o niedostępności hosta i usunięcie pakietu. Przy usuwaniu listy kontroli dostępu należy zachować ostrożność. Jeśli usunięto listę, która działa na pracującym interfejsie, niektóre wersje systemu IOS zastosują domyślną instrukcję deny any w odniesieniu do interfejsu i cały ruch na nim zostanie zatrzymany. Filtry ruchu wychodzącego nie wpływają na ruch, którego źródłem jest lokalny router.