Sieci komputerowe - ACL

1. Lista kontroli dostępu pozwala blokować lub umożliwiać dane pomiędzy:
  • wybranymi urządzeniami końcowymi
  • wybranymi sieciami
  • wszystkimi sieciami
2. Filtrowanie pakietów (statyczne filtrowanie pakietów) zapewnia kontrolę dostępu do sieci poprzez analizę pakietów wchodzących i wychodzących a następnie przepuszczanie lub blokowanie ich na podstawie zadanych kryteriów tj. adres źródłowy IP, docelowy adres IP, lub protokół. Rolę filtra pakietów spełnia router, którego zadaniem jest przepuszczanie lub odrzucanie ruchu na podstawie ustalonych reguł.

3. Operacja ACL 


Na końcu każdej listy ACL jest umieszczona niejawna odmowa. Wpis ten jest automatycznie dodawany na końcu każdej listy ACL, nawet wtedy, gdy nie został on jawnie ustalony. Niejawna odmowa powoduje odrzucenie całego ruchu.

4. Numerowana lista ACL:
  • od 1 do 99 oraz 1300 do 1999 - standardowa lista IP ACL
  • od 100 do 199 oraz 2000 do 2699 - rozszerzona lista IP ACL
5. Nazywana lista ACL:
  • nazwy mogą zawierać znaki alfanumeryczne
  • sugerowane jest, aby nazwę pisać wielkimi literami
  • nazwy nie mogą zawierać spacji ani znaków interpunkcyjnych
  • wewnątrz listy ACL wpisy mogą być dodawane lub usuwane
6. Maska blankietowa są określane jako maski odwrotne. Powodem jest fakt, że w przeciwieństwie do maski podsieci, gdzie bit 1 oznaczał dopasowanie a bit 0 brak dopasowania, w masce blankietowej sytuacja jest odwrotna. Służy do filtrowania pojedynczych adresów IP lub ich grup.

7. Wytyczne dotyczące dotyczące tworzenia list ACL:
  • Używamy list ACL na routerach pełniących funkcję zapory sieciowej, pomiędzy siecią wewnętrzną a zewnętrzną
  • Używamy list ACL na routerach umieszczonych pomiędzy dwoma częściami własnej sieci, aby kontrolować ruch pomiędzy wybranymi segmentami sieci wewnętrznej
  • Listy ACL powinny być też definiowane na routerach brzegowych
  • Definiujemy listy ACL dla każdego protokołu sieciowego skonfigurowanego na interfejsach routera brzegowego.
Zasada trzy N:
  • jedna lista IP na protokół
  • jedna lista IP na kierunek
  • jedna lista IP na interfejs
8. Najlepsze praktyki:
  • tworząc listy ACL uwzględnienie polityki bezpieczeństwa organizacji zapewniona zostanie realizacja podstawowych założeń dotyczących bezpieczeństwa organizacji
  • przygotowanie opisu akcji jakie będą wykonywane za pomocą list ACL pomoże uniknąć przypadkowego tworzenia potencjalnych problemów związanych z dostępem do sieci lub hostów
  • do tworzenia list ACL należy używać edytora tekstu
  • testuj listy ACL w sieci testowej przed zastosowaniem ich w sieci produkcyjnej
9. Umieszczanie list ACL jest ważne. Rozszerzone listy ACL powinny zostać umieszczone tak blisko źródła filtrowanego ruchu jak tylko jest to możliwe, natomiast standardowe listy ACL należy umieszczać je blisko sieci docelowej, ponieważ nie uwzględniają adresów docelowych.

Router(config)# access-list numer-listy-dostępu {deny | permit remark} źródło [ maska-blankietowa-źródła ] [ log ]

Gdy skonfigurowana jest standardowa lista ACL, jest przypisana do interfejsu za pomocą polecenia ip accessgroup w trybie konfiguracji globalnej:
Router(config-if)# ip access-group { numer-listy-dostępu | nazwa-listy-dostępu } { in | out }

Aby usunąć listę ACL z interfejsu, należy najpierw wpisać na interfejsie polecenie no ip access-group, a następnie wpisać polecenie globalne no access-list, aby usunąć całą listę ACL.

10. Rodzaje list ACL:
  • IPv4 (standardowe: numerowane, nazywane; rozszerzone: numerowane, nazywane)
  • IPv6 (tylko nazywane, funkcjonalność jest podobna do rozszerzonej listy ACL IPv4)