Säkerhet med ACL | Protokoll och portar
I tidigare avsnitt gick vi igenom hur man konfigurerar och justerar Standard ACL, samt hur dessa kan användas för att säkra VTY-portar. Standard ACL filtrerar endast baserat på source-adress, vilket begränsar dess användningsområde.
För mer detaljerad trafikfiltrering och kontroll används istället Extended IPv4 ACL , som erbjuder fler filtrerings alternativ och används i större utsträckning än Standard ACL.
Typer av Extended IPv4 ACL
Precis som Standard ACL kan Extended ACL konfigureras på två sätt:
- Numrerad Extended ACL – Skapas med kommandot
access-list access-list-number. - Namngiven Extended ACL – Skapas med kommandot
ip access-list extended access-list-name.
Konfiguration av numrerad Extended ACL
Proceduren för att konfigurera en Extended ACL är desamma som för Standard ACL – den konfigureras först och tillämpas sedan på ett interface.
Syntax för att skapa en numrerad Extended ACL:
Router(config)# access-list access-list-number {deny | permit | remark text} protocol source source-wildcard [operator {port}] destination destination-wildcard [operator {port}] [established] [log]
Även om det finns många nyckelord och parametrar för Extended ACL, behöver inte alla användas i en konfiguration. Tabellen nedan förklarar syntaxen mer i detalje:
| Parameter | Beskrivning |
|---|---|
| access-list-number | Numret för ACL. Extended ACL använder 100–199 och 2000–2699. |
| deny | Blockerar trafik som matchar villkoret. |
| permit | Tillåter trafik som matchar villkoret. |
| remark text | (Frivilligt) Kommentar för dokumentation (max 100 tecken). |
| protocol | Namn eller nummer för ett internetprotokoll. Vanliga nyckelord: ip, tcp, udp, icmp. |
| source | Källnätverk eller en enskild IP-adress. any för alla nätverk, host för en specifik IP. |
| source-wildcard | (Frivilligt) Wildcard-mask för att specificera ett nätverk eller intervall. |
| destination | Destinationsnätverk eller enskild IP-adress. any för alla nätverk, host för en specifik IP. |
| destination-wildcard | (Frivilligt) Wildcard-mask för att specificera destination. |
| operator | (Valfritt) Jämförelseoperator för portar (lt – mindre än, gt – större än, eq – lika med, neq – inte lika med). |
| port | (Frivilligt) TCP/UDP-portnummer eller protokollnamn (ex: eq 80 för HTTP). |
| established | (Valfritt) För TCP – tillåter endast etablerade sessioner. |
| log | (Frivilligt) Genererar en loggpost vid en matchning. |
Tillämpning av Extended ACL
Kommandot för att tillämpa en Extended ACL på ett interface är detsamma som för en Standard ACL:
Router(config-if)# ip access-group {access-list-number | access-list-name} {in | out}
För att ta bort en ACL från ett interface:
Router(config-if)# no ip access-group {access-list-number | access-list-name}
För att ta bort ACL:n helt från routern:
Router(config)# no access-list access-list-number
ACE-poster: Ordning i Standard och Extended ACL
Ordningen i vilken Access Control Entries (ACE) bearbetas skiljer sig mellan Standard och Extended ACL.
| ACL typ | ACE-ordning | Beskrivning |
|---|---|---|
| Standard ACL | Kan omorganiseras av IOS | Systemet kan optimera och ändra ordningen för att förbättra prestanda. ACE-poster kan placeras i en annan ordning än den de skrevs in i. |
| Extended ACL | Bevarar ordningen som konfigurerades | IOS ändrar inte ordningen på ACE-poster i en Extended ACL. ACE bearbetas i den exakta ordningen de skrevs in. |
Gällande ACE-ordning:
- I en Standard ACL kan ACE-poster optimeras internt för att påskynda filtreringen.
- I en Extended ACL är ordningen kritisk, eftersom varje ACE behandlas exakt i den ordning de skrivs in.
Exempel på en Extended ACL konfiguration och syfte
Anta att vi vill blockera HTTP-trafik men tillåta all annan trafik mellan nätverk 192.168.1.0/24 och 192.168.2.0/24.
R1(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80 R1(config)# access-list 101 permit ip any any
Förklaring:
access-list 101 deny tcp→ Neka TCP-trafik.192.168.1.0 0.0.0.255→ source-nätverk.192.168.2.0 0.0.0.255→ Destination-nätverk.eq 80→ Portnummer 80 (HTTP).permit ip any any→ Tillåt all annan trafik.
Tillämpa ACL 101 på ett interface (utgående trafik):
R1(config)# interface GigabitEthernet0/1 R1(config-if)# ip access-group 101 out R1(config-if)# end
Sammanfattning
Extended ACL erbjuder en högre grad av kontroll jämfört med Standard ACL genom att möjliggöra filtrering baserat på IP-adress, protokoll och portar. Den kan konfigureras antingen som en numrerad ACL, exempelvis access-list 100, eller som en namngiven ACL med kommandot ip access-list extended BLOCK-WEB. När den har skapats tillämpas den på ett interface med kommandot ip access-group.
Till skillnad från Standard ACL, där ACE-poster kan omorganiseras av systemet, behåller en Extended ACL posterna i den ordning de skrevs in.
För felsökning och övervakning kan administratörer använda nyckelordet log för att generera loggposter vid matchningar och visa konfigurationen med kommandot show access-lists.