FORGALOMIRÁNYÍTÓK. 11. Hozzáférési listák (ACL-ek) CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

Átírás

1 FORGALOMIRÁNYÍTÓK 11. Hozzáférési listák (ACL-ek)

2 1. A hozzáférési listák működésének alapelvei 2. Hozzáférési listák

3 ACL jellemzők Jellemzők Forgalomirányító interfészén keresztülhaladó forgalomra vonatkozóan lépnek érvénybe Ezek a listák írják elő a router számára, hogy a csomagokat fogadja el, vagy utasítsa vissza az interfészeken (szűrik a forgalmat) Forgalomfelügyelet, a hálózatról kiinduló és oda befutó elérések bizonságossá tétele Interfészenként (pl. Fa0/0, S0/0, stb.), protokollonként (pl. IP, IPX, stb), irányonként (bejövő, kimenő) egy ACL lehet aktív Az ACL-ek a forrás- és a célcímekre, a protokollokra és a felsőbb rétegbeli portszámokra nézve adnak meg feltételeket.

4 ACL jellemzők ACL-eket a következő okok miatt szokás létre hozni Korlátozható a hálózat forgalma, és növelhető a teljesítménye. A mozgóképforgalom korlátozásával például az ACL-ek jelentősen csökkenthetik a hálózat terhelését, és ebből következően növelhetik teljesítményét. Biztosítják a forgalom szabályozását. Az ACL-ek segítségével az útvonalfrissítések továbbítása is korlátozható. Ha a hálózati környezet miatt nincs szükség a frissítésekre, sávszélességet lehet megtakarítani. Alapszintű hálózati hozzáférés-szabályozást biztosítanak. Az ACL-ek engedélyezhetik például a hálózat egy részének elérését egy állomás számára, és megtilthatják egy másiknak. Eldönthetjük, hogy milyen típusú forgalom továbbítódjon és milyen törlődjön a forgalomirányító interfészein. Például engedélyezhetjük az elektronikus levelek továbbítását, de a telnetet tilthatjuk. A rendszergazdák szabályozhatják, hogy az ügyfelek a hálózat mely részeihez férhetnek hozzá. Ki lehet választani bizonyos állomásokat, és számukra engedélyezni vagy megtiltani a hálózat egy részének elérését A felhasználók számára engedélyezni vagy tiltani lehet bizonyos szolgáltatások, például az FTP vagy a HTTP elérését.

5 ACL működése Az ACL-ek felépítése Minden lista egy vagy több sorból áll Fontos szerepet játszik az utasítások megadásának sorrendje Az IOS szoftver a csomagokat minden utasítás feltételeivel összeveti, a lista tetejétől az alja felé haladva Ha egy hozzáférési listát további feltételekkel kell bővíteni, akkor a teljes ACL listát törölni kell, új feltételekkel újra létre kell hozni (szövegszerkesztő használata) Minden lista végére egy implicit tiltás (deny any) kerül, ha a lista legalább egy elemből áll Az ACL-ek kiértékelése Csomag paramétereit a lista elemeivel hasonlítja össze, az első sortól az utolsóig Egyezés esetén a lista végrehajtódik, a kiértékelés végetér Ha nincs egyezés a csomag eldobásra kerül (deny any!!!)

6 ACL működése Az ACL-ek felépítése Minden lista egy vagy több sorból áll Fontos szerepet játszik az utasítások megadásának sorrendje Az IOS szoftver a csomagokat minden utasítás feltételeivel összeveti, a lista tetejétől az alja felé haladva Ha egy hozzáférési listát további feltételekkel kell bővíteni, akkor a teljes ACL listát törölni kell, új feltételekkel újra létre kell hozni (szövegszerkesztő használata) Minden lista végére egy implicit tiltás (deny any) kerül, ha a lista legalább egy elemből áll Az ACL-ek kiértékelése Csomag paramétereit a lista elemeivel hasonlítja össze, az első sortól az utolsóig Egyezés esetén a lista végrehajtódik, a kiértékelés végetér Ha nincs egyezés a csomag eldobásra kerül (deny any!!!)

7 ACL ek definiálása (létrehozása) ACL létrehozása, konfigurálása Létrehozás access-list paranccsal történik globális konfigurációs módban Interfészhez rendelés protokollfüggő access-group paranccsal Amikor egy ACL-t hozzárendelünk egy interfészhez, akkor ki kell választanunk, hogy a bejövő vagy a kimenő forgalomra vonatkozzon. ACL listaszámok Normál IP: 1-99, Kiterjesztett IP: , AppleTalk: Normál IPX: Kiterjesztett IPX: IPX/SAP: Nevesített ACL-ek Nem rendelkeznek számmal, számuk korlátlan

8 ACL ek definiálása (létrehozása) Router(config)# access-list 1 deny Router(config)# access-list 1 permit Router(config)# interface FastEthernet 0/0 Router(config-if)# ip access-group 1 in Törlése: Router(config)# no access-list 1

9 ACL ek létrehozásának legfontosabb szabályai Irányonként és protokollonként egy ACL-t kell létrehozni. A normál hozzáférési listákat a célhoz a lehető legközelebb kell alkalmazni. A kiterjesztett hozzáférési listákat a forráshoz a lehető legközelebb kell alkalmazni. A kimenő és a bejövő jelzőket úgy kell használni, mintha a forgalomirányító belsejéből néznénk a portokat. Az utasítások feldolgozása sorban, a lista tetejétől az alja felé haladva történik, amíg a forgalomirányító egyezést nem talál. Ha nincs egyezés, a forgalomirányító eldobja a csomagot. Minden hozzáférési lista alján egy implicit deny any (mindent letilt) szabály található. Ez szabály nem jelenik meg az utasításlista alján. A hozzáférési listák utasításait a specifikusabbaktól az általánosabbak felé haladva kell megadni. Az egyes állomásokra vonatkozó tiltásokat kell először megadni, a csoportokra vonatkozó vagy általános szűrőket utolsóként kell elhelyezni.

10 Helyettesítő maszk használata ACL forrás, vagy célcím megadása IP szám és helyettesítő maszk együttes használata Helyettesítő (wildcard) maszk értelmezése 32 bites szám pontozott decimális jelöléssel (4 oktettre bontva) Amelyik bit a maszkban 0, az a bit az IP számban nem változhat Amelyik bit a maszkban 1, az a bit az IP számban változhat. Helyettesítő maszk helyettesítése host any

11 Helyettesítő maszk alkalmazása Teljes C osztályú címtartomány megfeleltetése Elfogadható bitminta számolása nnnnnnnn Páros IP számok megfeleltetése a tartományból Elfogadható bitminta számolása nnnnnnn0

12 Az ANY és a HOST kulcsszó Az ACL-ekben két különleges kulcsszót használunk, ezek az any és a host. Az any kulcsszó a IP-címmel és a helyettesítő maszkkal egyenértékű. Lényegében bármely vele összehasonlított címmel egyezést mutat. A host kulcsszó a maszk helyettesítésére alkalmas. Az ilyen maszknál az ACL-ben és a csomagban szereplő cím minden bitjének egyeznie kell. Ezzel a módszerrel mindig csak egyetlen címet lehet kiválasztani.

13 Az ANY és a HOST kulcsszó

14 ACL-ek ellenőrzése ACL ellenőrzésének lehetősége Futó konfiguráció vizsgálata ACL-ek vizsgálata ACL hozzárendelések vizsgálata Router# show running-config Router# show access-lists Router# show ip interface

15 1. A hozzáférési listák működésének alapelvei 2. Hozzáférési listák

16 Normál ACL-ek Jellemzők Csomagszintű (3. réteg) vizsgálat Csak az irányítandó IP csomagok forráscímet képes ellenőrizni Adott protokollkészlet forgalmát engedélyezi vagy tiltja Célhoz minél közelebbi router/interfészhez célszerű rendelni Hozzáférési lista tartományok: 1-99 és Normál ACL megadása access-list <listaszám> <permit deny remark> <forrás> [<forrás helyettesítő maszk>] [log]

17 Normál ACL-ek Router(config) access-list 1 remark A fonok gepenek tiltasa Router(config)# access-list 1 deny Router(config)# access-list 1 permit Router(config)# access-list 1 deny any

18 Kiterjesztett ACL-ek Jellemzők A kiterjesztett ACL-eket gyakrabban használjuk, mivel szélesebb körű ellenőrzést tesznek lehetővé Forrás, célcím, protokoll és port egyeztetésére egyaránt képesek Forráshoz minél közelebbi interfészhez célszerű rendelni Hozzáférési lista tartományok: és A kiterjesztett ACL-ek logikai műveleteket egyenlő (equal, eq), nem egyenlő (not equal, neq), nagyobb mint (greater than, gt), kisebb mint (less than, lt) is képesek végezni a megadott protokollokon. Kiterjesztett ACL megadása access-list <listaszám> <deny permit remark> <protokoll> <forráscím> <forrás helyettesítő maszk> <célcím> <célcím helyettesítő maszk> [<operátor> <portszám>]

19 Kiterjesztett ACL-ek Router(config) access-list 101 remark Telnet tiltása Router(config)# access-list 101 deny tcp any eq telnet Router(config)# access-list 101 permit tcp any Router(config)# access-list 101 deny any any

20 Kiterjesztett ACL-ek

21 Nevesített IP ACL-ek Jellemző Normál és kiterjesztett listák készítése listaszámok nélkül Előnyök Szöveges név alapján könnyebb az ACL-ek azonosítása Nincs korlátozás a nevesített ACL-ek használatában Nevesített ACL működés közben (törlés és újrakonfigurálás nélkül) is módosíthatóak. Az új sorok a lista végére kerülnek Router(config)# ip access-list extended test Router(config-ext-nacl)# permit ip host host Router(config-ext-nacl)# permit tcp host host eq www

22 ACL-ek elhelyezése Ha a forgalmat szűrni kívánjuk, az ACL-t oda kell elhelyezni, ahol általa a legnagyobb mértékben lehet növelni a hatékonyságot. Ha az ACL-ek megfelelő helyen vannak, akkor nemcsak a forgalom szűrése végezhető el, de a teljes hálózat működése hatékonyabbá tehető. Az általános szabály úgy hangzik, hogy a kiterjesztett ACL-t olyan közel kell helyezni a tiltott forgalom forrásához, amennyire csak lehetséges. A normál ACL-ek célcímet nem tartalmaznak, így ezeket a célhoz kell a lehető legközelebb elhelyezni.

23 ACL-ek elhelyezése

24 Tűzfalak A tűzfal egy hálózatszerkezeti elem, amely a felhasználó és a külvilág között elhelyezkedve védi a belső hálózatot a támadásoktól. A tűzfal-forgalomirányítókon, melyek gyakran a belső és a külső hálózat (pl. az Internet) között helyezkednek el, ACL-eket kell használni. Ezek szabályozzák a belső hálózat meghatározott részébe irányuló és az onnan kilépő forgalmat. A tűzfal-forgalomirányítók elfedik a belső hálózat struktúráját. ACL-eket a hálózat egyes részei között elhelyezett forgalomirányítókon is használhatunk a belső hálózat részei között haladó forgalom ellenőrzésére. A védekezés alapvető eleme az ACL-ek létrehozása a hálózat szélein lévő határ-forgalomirányítókon. Így alapszintű védelmet nyújthatunk egy magánjellegű hálózatrész számára a külső hálózat vagy a hálózat kevésbé ellenőrzött részei felől érkező veszélyekkel szemben.

25 Tűzfalak

26 Virtuális terminálok ACL védelme Jellemzők Virtuális interfészhez csak számozott listát lehet rendelni Minden virtuális vonalon ugyanazon szabályokat kell megadni A vty-hozzáférés korlátozásával a hálózat biztonságát lehet növeli. A vty-vonalak elérése telnet protokollon keresztül történik, vagyis fizikai kapcsolat ekkor nem jön létre a forgalomirányítóval. Emiatt csak egyfajta vty hozzáférési lista létezik. ACL létrehozása Az előbb megismert módszerek szerint ACL hozzárendelés access-class paranccsal

27 Virtuális terminálok ACL védelme Router(config) access-list 1 Korlatozas Router(config)# access-list 1 permit Router(config)# access-list 1 deny Router(config)# line vty 0 4 Router(config-line)# login Router(config-line)# password cisco Router(config-line)# access-class 1 in

28 Ellenőrző kérdések 1. 2.

29 Ellenőrző kérdések 3. 4.

30 Ellenőrző kérdések 5.

31 Ellenőrző kérdések

32 Ellenőrző kérdések

33 Ellenőrző kérdések 10.

34 Köszönöm a figyelmet!