(T) Teoria list ACL**

Teoria list ACL

ACL (Access Control list)

• W systemie Cisco IOS dostępne są następujące rodzaje list ACL:
  • Standard ACL – Definiowana numerami od 1 do 99 oraz od 1300 do 1999, stanowi podstawową wersję listy ACL, wykorzystywaną w systemie Cisco IOS. W swojej strukturze wykorzystuje jedynie źródłowy adres IP, przez co powinna być stosowana blisko puli adresów docelowych. Lista ta może być wykorzystana do sprecyzowania adresów korzystających z translacji NAT, PAT czy dostępu do zdalnej konfiguracji urządzenia np. za pomocą protokołu SSH.
  • Extended ACL – Definiowana numerami od 100 do 199 oraz od 2000 do 2699, stanowi rozszerzoną wersję listy ACL, wykorzystywaną w systemie Cisco IOS. W swojej strukturze wykorzystuje zarówno źródłowy jak i docelowy adres IP oraz źródłowy jak i docelowy port, bądź też zakres wielu portów warstwy czwartej. Lista ta powinna być wykorzystana blisko źródłowej puli adresów IP, dzięki czemu nadaje się do szczegółowej kontroli nad przesyłanym ruchem sieciowym czy do określania jaki ruch sieciowy powinien być zabezpieczony połączeniem IPSec.
  • Established ACL – Wykorzystuje proces ustanawiania sesji TCP, pomiędzy urządzeniami sieciowymi, badając gdzie znajduje się inicjator komunikacji. Tym samym sesja nawiązana przez urządzenie ze strefy wewnętrznej (LAN) zostanie przepuszczana, natomiast komunikacja zainicjowana ze strefy zewnętrznej (WAN) zostanie zablokowana.
  • Reflexive ACL – Umożliwia filtrowanie pakietów IP w oparciu o informacje zawarte w pamięci sesji, warstwy czwartej. Listy refleksyjne mogą być stosowane w celu przepuszczania bądź blokowania nadchodzącego ruch sieciowego, istniejącej sesji TCP bądź UDP, zgodnie ze strefą z której pochodzi dana sesja. W przypadku sesji zainicjowanej z sieci wewnętrznej (LAN) ruch zostanie przepuszczony, natomiast sesja zainicjowana z sieci zewnętrznej (WAN) zostanie porzucona.
  • Time-based ACL – Zawiera wpisy filtrujące ruchu sieciowy w określonym przedziale czasu.
  • Infrastructure ACL – Znajduje zastosowanie na ruterze brzegowym gdzie filtruje zbędny ruch sieciowy zezwalając na wymianę np. tras routingu pomiędzy ruterem a dostawcą ISP czy zdalnym zarządzaniem a blokując podejrzany ruch sieciowy, często wykorzystywany w atakach na sieci firmowe.
  • Dynamic ACL:
    • Lock-and-Key ACL – Rodzaj dynamicznej listy dostępu, wymagającej przeprowadzenia procesu uwierzytelniania użytkownika końcowego. Po odebraniu pierwszych danych nadchodzących z nowego adresu IP, lista Lock-and-Key ACL spróbuje uwierzytelnić użytkownika końcowego wysyłającego wskazany ruch sieciowy, za pomocą połączenia Telnet bądź SSH. Po przyznaniu dostępu, źródłowy adres IP nadchodzącej transmisji zostaje dopisany do listy ACL, a nadchodzący ruch sieciowy zostaje przepuszczony.

Podstawowe listy ACL (Standard)

• Rodzaje list Standard ACL:
  • Numeryczne – Od 1 do 99 oraz od 1300 do 1999.
  • Nazwane – Wykorzystują ciąg znaków (Nazwy).
• Filtracja ruchu na podstawie:
  • Źródłowego adresu IP.

Rozszerzone listy ACL (Extended)

• Rodzaje list Extended ACL:
  • Numeryczne – Od 100 do 199 oraz od 2000 do 2699.
  • Nazwane – Wykorzystują ciąg znaków (Nazwy).
• Filtracja ruchu na podstawie:
  • Źródłowego oraz docelowego adresu IP.
  • Źródłowego oraz docelowego numeru portu.
  • Rodzaju ruchu np. IP, UDP, TCP.
  • Oraz innych.

Wspólne właściwości list ACL

• Domyślnie każda lista ACL jest zakończona niewidoczną komendą blokującą cały ruch sieciowy [access-list 1 deny any] (Implicit deny). Jej przeciwieństwo stanowi komenda przepuszczająca cały ruch sieciowy [access-list 1 permit any].
• Proces przeszukiwania listy ACL zaczyna się od góry i następuje do momentu znalezienia pierwszego pasującego wpisu. Dlatego zaleca się wstawianie bardziej szczegółowych wpisów nad wpisami mniej szczegółowymi. Np. adres 192.168.50.1/32 powinien znaleźć się nad wpisem 192.168.50.0/24.

Dobre praktyki w tworzeniu list ACL

• Lista ACL posiada licznik, wskazujący ile z przesłanych przez urządzenie pakietów, zostało dopasowanych do pojedynczego wpisu listy. Zasada ta nie dotyczy ostatniego domyślnego wpisu (Implicit deny), który domyślnie nie posada licznika, aby to zmienić należy ręcznie dopisać ostatnią komendę blokującą pozostały ruch sieciowy wraz z pod-komendą odblokowującą licznik [access-list 1 deny any log].
• W przypadku usunięcia listy ACL z poziomu globalnej konfiguracji, bez jednoczesnego ucięcia wpisu ACL z poziomu interfejsu sieciowego. Nadchodzący bądź wychodzący ruch sieciowy nie bezie filtrowany.
• W przypadku wprowadzania zmian w konfiguracji listy ACL, zaleca się jej tymczasowe odpięcie od interfejs sieciowego na czas przeprowadzanych zmian, w celu uniknięcia pomyłek mogących zablokować część bądź cały ruch sieciowy.

Różnice pomiędzy listami ACL

• Podstawowe listy ACL mogą zawierać pojedynczy źródłowy adres IP bez maski czy komendy „host” [access-list 1 deny 192.168.1.1].
• Rozszerzone listy ACL nie mogą zawierać pojedynczego adres IP bez maski czy komendy „host” [access-list 101 deny ip host 192.168.1.1 any].
• Podstawowe listy ACL powinny znajdować się jak najbliżej celu pakietu, dzięki czemu ryzyko przypadkowego zablokowania pożądanego ruchu sieciowego zostanie zmniejszone.
• Rozszerzone listy ACL powinny znajdować się jak najbliżej źródła, aby uniknąć rozprzestrzeniania nadmiarowego ruchu sieciowego który i tak zostanie odrzucony.

Pozostałe tematy związane z listami ACL

• Teoria list ACL
• Troubleshooting list ACL
• Konfiguracja list ACL
• Konfiguracja listy Time-based ACLs
• Konfiguracja listy Infrastructure ACLs
• Konfiguracja listy Reflexive ACL
• Konfiguracja listy Established ACL
• Konfiguracja listy vACL
• Konfiguracja list ACL IPv6