Kategoria: ACL – Access Control List

Konfiguracja list ACL

Konfiguracja Listy Standard ACL

(config)# access-list ID {permit / deny} {any / host adres-IP / adres-IP dzika-maska} [log / log-inut]

Tworzy nową listę standard ACL.

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip access-group ID {in / out}

Przypisuje listę standard ACL do konfigurowanego interfejsu sieciowego.

# show ip access-list [ACL]

Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

W przypadku tworzenia podstawowej listy ACL, dotyczącej jednego adresu IP, słowo kluczowe „host” nie jest potrzebne.

Konfiguracja Listy Extended ACL

(config)# access-list ID {permit / deny} protokół(IP, UDP, TCP, ICMP, GRE, ESP, AHP czy OSPF) {any / host źródłowy-adres-IP / źródłowy-adres-IP dzika-maska} źródłowy-port {any / host docelowy-adres-IP / docelowy-adres-IP dzika-maska} docelowy-port [log / log-input]

Tworzy nową listę extended ACL. Poniższe wartości odnoszą się do zakresu portów protokołu UDP bądź TCP.
* eq – „=” równy.
* ne – „≠” nie równy.
* it – „<” mniejszy od.
* gt – „>” większy od.
* range – „range:x to y” zakres od x do y.

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip access-group ID {in / out}

Przypisuje listę extended ACL do konfigurowanego interfejsu sieciowego.

# show ip access-list [ACL]

Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

Numery oraz nazwy portów TCP / UDP

Lista nazwana (Named ACL)

(config)# ip access-list {standard / extended} nazwa-ACL

Tworzy nową listę named ACL.

(config-ext-nacl)# {permit / deny} protokół(IP, UDP, TCP, ICMP, GRE, ESP, AHP czy OSPF) {any / host źródłowy-adres-IP / źródłowy-adres-IP dzika-maska} źródłowy-port {any / host docelowy-adres-IP / docelowy-adres-IP dzika-maska} docelowy-port [log / log-input]

Dodaje nowy wpis do konfigurowanej listy named ACL, z numerem sekwencyjnym większym o 10. Poniższe wartości odnoszą się do zakresu portów protokołu UDP bądź TCP:
* eq – „=” równy.
* ne – „≠” nie równy.
* it – „<” mniejszy od.
* gt – „>” większy od.
* range – „range:x to y” zakres od x do y.

(config-ext-nacl)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# ip access-group nazwa-ACL {in / out}

Przypisuje listę extended ACL do konfigurowanego interfejsu sieciowego.

# show ip access-list [ACL]

Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

Ograniczanie logów względem list ACL

(config)# ip access-list logging interval 0-2147483647(milisekundy)

Ogranicza liczbę zbieranych logów, do jednego na określoną w komendzie liczbę milisekund.

Komendy SHOW

# show ip access-list [ACL]

Wyświetla konfigurację wskazanej listy / wszystkich skonfigurowanych list ACL.

Pozostałe tematy związane z listami ACL

• Teoria list ACL
• Troubleshooting list ACL
• Konfiguracja list ACL
• Konfiguracja listy Time-based ACLs
• Konfiguracja listy Infrastructure ACLs
• Konfiguracja listy Reflexive ACL
• Konfiguracja listy Established ACL
• Konfiguracja listy vACL
• Konfiguracja list ACL IPv6

Troubleshooting list ACL

Zasady postępowania

1. Należy określić do jakich interfejsów została przypisana lista ACL oraz w jakim kierunku jest skierowana [show running-config / show ip interfaces].
2. Przeanalizować konfigurację listy ACL [show access-list / show ip access-list / show running-config] pod kontem:
   1. Złej kolejności wpisów (najpierw najbardziej szczegółowe wpisy).
   2. Kierunku działania listy ACL (Jaka sieć i gdzie się znajduję).
   3. Kierunku działania portów (np. docelowym portem w ruchu od klienta do serwera jest port 80, natomiast w drodze powrotnej może to być port 40567).
   4. Ostatniego wpisu blokującego pozostały ruch sieciowy.

Protokół ICMP nie należy ani do TCP ani UDP lecz może znajdować w się w zapisie IP lub dedykowanym ICMP.

Pozostałe tematy związane z listami ACL

• Teoria list ACL
• Troubleshooting list ACL
• Konfiguracja list ACL
• Konfiguracja listy Time-based ACLs
• Konfiguracja listy Infrastructure ACLs
• Konfiguracja listy Reflexive ACL
• Konfiguracja listy Established ACL
• Konfiguracja listy vACL
• Konfiguracja list ACL IPv6

Teoria list ACL

ACL (Access Control list)

• W systemie Cisco IOS dostępne są następujące rodzaje list ACL:
  • Standard ACL – Definiowana numerami od 1 do 99 oraz od 1300 do 1999, stanowi podstawową wersję listy ACL, wykorzystywaną w systemie Cisco IOS. W swojej strukturze wykorzystuje jedynie źródłowy adres IP, przez co powinna być stosowana blisko puli adresów docelowych. Lista ta może być wykorzystana do sprecyzowania adresów korzystających z translacji NAT, PAT czy dostępu do zdalnej konfiguracji urządzenia np. za pomocą protokołu SSH.
  • Extended ACL – Definiowana numerami od 100 do 199 oraz od 2000 do 2699, stanowi rozszerzoną wersję listy ACL, wykorzystywaną w systemie Cisco IOS. W swojej strukturze wykorzystuje zarówno źródłowy jak i docelowy adres IP oraz źródłowy jak i docelowy port, bądź też zakres wielu portów warstwy czwartej. Lista ta powinna być wykorzystana blisko źródłowej puli adresów IP, dzięki czemu nadaje się do szczegółowej kontroli nad przesyłanym ruchem sieciowym czy do określania jaki ruch sieciowy powinien być zabezpieczony połączeniem IPSec.
  • Established ACL – Wykorzystuje proces ustanawiania sesji TCP, pomiędzy urządzeniami sieciowymi, badając gdzie znajduje się inicjator komunikacji. Tym samym sesja nawiązana przez urządzenie ze strefy wewnętrznej (LAN) zostanie przepuszczana, natomiast komunikacja zainicjowana ze strefy zewnętrznej (WAN) zostanie zablokowana.
  • Reflexive ACL – Umożliwia filtrowanie pakietów IP w oparciu o informacje zawarte w pamięci sesji, warstwy czwartej. Listy refleksyjne mogą być stosowane w celu przepuszczania bądź blokowania nadchodzącego ruch sieciowego, istniejącej sesji TCP bądź UDP, zgodnie ze strefą z której pochodzi dana sesja. W przypadku sesji zainicjowanej z sieci wewnętrznej (LAN) ruch zostanie przepuszczony, natomiast sesja zainicjowana z sieci zewnętrznej (WAN) zostanie porzucona.
  • Time-based ACL – Zawiera wpisy filtrujące ruchu sieciowy w określonym przedziale czasu.
  • Infrastructure ACL – Znajduje zastosowanie na ruterze brzegowym gdzie filtruje zbędny ruch sieciowy zezwalając na wymianę np. tras routingu pomiędzy ruterem a dostawcą ISP czy zdalnym zarządzaniem a blokując podejrzany ruch sieciowy, często wykorzystywany w atakach na sieci firmowe.
  • Dynamic ACL:
    • Lock-and-Key ACL – Rodzaj dynamicznej listy dostępu, wymagającej przeprowadzenia procesu uwierzytelniania użytkownika końcowego. Po odebraniu pierwszych danych nadchodzących z nowego adresu IP, lista Lock-and-Key ACL spróbuje uwierzytelnić użytkownika końcowego wysyłającego wskazany ruch sieciowy, za pomocą połączenia Telnet bądź SSH. Po przyznaniu dostępu, źródłowy adres IP nadchodzącej transmisji zostaje dopisany do listy ACL, a nadchodzący ruch sieciowy zostaje przepuszczony.

Podstawowe listy ACL (Standard)

• Rodzaje list Standard ACL:
  • Numeryczne – Od 1 do 99 oraz od 1300 do 1999.
  • Nazwane – Wykorzystują ciąg znaków (Nazwy).
• Filtracja ruchu na podstawie:
  • Źródłowego adresu IP.

Rozszerzone listy ACL (Extended)

• Rodzaje list Extended ACL:
  • Numeryczne – Od 100 do 199 oraz od 2000 do 2699.
  • Nazwane – Wykorzystują ciąg znaków (Nazwy).
• Filtracja ruchu na podstawie:
  • Źródłowego oraz docelowego adresu IP.
  • Źródłowego oraz docelowego numeru portu.
  • Rodzaju ruchu np. IP, UDP, TCP.
  • Oraz innych.

Wspólne właściwości list ACL

• Domyślnie każda lista ACL jest zakończona niewidoczną komendą blokującą cały ruch sieciowy [access-list 1 deny any] (Implicit deny). Jej przeciwieństwo stanowi komenda przepuszczająca cały ruch sieciowy [access-list 1 permit any].
• Proces przeszukiwania listy ACL zaczyna się od góry i następuje do momentu znalezienia pierwszego pasującego wpisu. Dlatego zaleca się wstawianie bardziej szczegółowych wpisów nad wpisami mniej szczegółowymi. Np. adres 192.168.50.1/32 powinien znaleźć się nad wpisem 192.168.50.0/24.

Dobre praktyki w tworzeniu list ACL

• Lista ACL posiada licznik, wskazujący ile z przesłanych przez urządzenie pakietów, zostało dopasowanych do pojedynczego wpisu listy. Zasada ta nie dotyczy ostatniego domyślnego wpisu (Implicit deny), który domyślnie nie posada licznika, aby to zmienić należy ręcznie dopisać ostatnią komendę blokującą pozostały ruch sieciowy wraz z pod-komendą odblokowującą licznik [access-list 1 deny any log].
• W przypadku usunięcia listy ACL z poziomu globalnej konfiguracji, bez jednoczesnego ucięcia wpisu ACL z poziomu interfejsu sieciowego. Nadchodzący bądź wychodzący ruch sieciowy nie bezie filtrowany.
• W przypadku wprowadzania zmian w konfiguracji listy ACL, zaleca się jej tymczasowe odpięcie od interfejs sieciowego na czas przeprowadzanych zmian, w celu uniknięcia pomyłek mogących zablokować część bądź cały ruch sieciowy.

Różnice pomiędzy listami ACL

• Podstawowe listy ACL mogą zawierać pojedynczy źródłowy adres IP bez maski czy komendy „host” [access-list 1 deny 192.168.1.1].
• Rozszerzone listy ACL nie mogą zawierać pojedynczego adres IP bez maski czy komendy „host” [access-list 101 deny ip host 192.168.1.1 any].
• Podstawowe listy ACL powinny znajdować się jak najbliżej celu pakietu, dzięki czemu ryzyko przypadkowego zablokowania pożądanego ruchu sieciowego zostanie zmniejszone.
• Rozszerzone listy ACL powinny znajdować się jak najbliżej źródła, aby uniknąć rozprzestrzeniania nadmiarowego ruchu sieciowego który i tak zostanie odrzucony.

Pozostałe tematy związane z listami ACL

• Teoria list ACL
• Troubleshooting list ACL
• Konfiguracja list ACL
• Konfiguracja listy Time-based ACLs
• Konfiguracja listy Infrastructure ACLs
• Konfiguracja listy Reflexive ACL
• Konfiguracja listy Established ACL
• Konfiguracja listy vACL
• Konfiguracja list ACL IPv6