Säkerhet med ACL | Protokoll och portar
I tidigare avsnitt gick vi igenom hur man konfigurerar och justerar Standard ACL, samt hur dessa kan användas för att säkra VTY-portar. Standard ACL filtrerar endast baserat på source-adress, vilket begränsar dess användningsområde.
För mer detaljerad trafikfiltrering och kontroll används istället Extended IPv4 ACL , som erbjuder fler filtrerings alternativ och används i större utsträckning än Standard ACL.
Typer av Extended IPv4 ACL
Precis som Standard ACL kan Extended ACL konfigureras på två sätt:
- Numrerad Extended ACL – Skapas med kommandot
access-list access-list-number
. - Namngiven Extended ACL – Skapas med kommandot
ip access-list extended access-list-name
.
Konfiguration av numrerad Extended ACL
Proceduren för att konfigurera en Extended ACL är desamma som för Standard ACL – den konfigureras först och tillämpas sedan på ett interface.
Syntax för att skapa en numrerad Extended ACL:
Router(config)# access-list access-list-number {deny | permit | remark text} protocol source source-wildcard [operator {port}] destination destination-wildcard [operator {port}] [established] [log]
Även om det finns många nyckelord och parametrar för Extended ACL, behöver inte alla användas i en konfiguration. Tabellen nedan förklarar syntaxen mer i detalje:
Parameter | Beskrivning |
---|---|
access-list-number | Numret för ACL. Extended ACL använder 100–199 och 2000–2699. |
deny | Blockerar trafik som matchar villkoret. |
permit | Tillåter trafik som matchar villkoret. |
remark text | (Frivilligt) Kommentar för dokumentation (max 100 tecken). |
protocol | Namn eller nummer för ett internetprotokoll. Vanliga nyckelord: ip , tcp , udp , icmp . |
source | Källnätverk eller en enskild IP-adress. any för alla nätverk, host för en specifik IP. |
source-wildcard | (Frivilligt) Wildcard-mask för att specificera ett nätverk eller intervall. |
destination | Destinationsnätverk eller enskild IP-adress. any för alla nätverk, host för en specifik IP. |
destination-wildcard | (Frivilligt) Wildcard-mask för att specificera destination. |
operator | (Valfritt) Jämförelseoperator för portar (lt – mindre än, gt – större än, eq – lika med, neq – inte lika med). |
port | (Frivilligt) TCP/UDP-portnummer eller protokollnamn (ex: eq 80 för HTTP). |
established | (Valfritt) För TCP – tillåter endast etablerade sessioner. |
log | (Frivilligt) Genererar en loggpost vid en matchning. |
Tillämpning av Extended ACL
Kommandot för att tillämpa en Extended ACL på ett interface är detsamma som för en Standard ACL:
Router(config-if)# ip access-group {access-list-number | access-list-name} {in | out}
För att ta bort en ACL från ett interface:
Router(config-if)# no ip access-group {access-list-number | access-list-name}
För att ta bort ACL:n helt från routern:
Router(config)# no access-list access-list-number
ACE-poster: Ordning i Standard och Extended ACL
Ordningen i vilken Access Control Entries (ACE) bearbetas skiljer sig mellan Standard och Extended ACL.
ACL typ | ACE-ordning | Beskrivning |
---|---|---|
Standard ACL | Kan omorganiseras av IOS | Systemet kan optimera och ändra ordningen för att förbättra prestanda. ACE-poster kan placeras i en annan ordning än den de skrevs in i. |
Extended ACL | Bevarar ordningen som konfigurerades | IOS ändrar inte ordningen på ACE-poster i en Extended ACL. ACE bearbetas i den exakta ordningen de skrevs in. |
Gällande ACE-ordning:
- I en Standard ACL kan ACE-poster optimeras internt för att påskynda filtreringen.
- I en Extended ACL är ordningen kritisk, eftersom varje ACE behandlas exakt i den ordning de skrivs in.
Exempel på en Extended ACL konfiguration och syfte
Anta att vi vill blockera HTTP-trafik men tillåta all annan trafik mellan nätverk 192.168.1.0/24 och 192.168.2.0/24.
R1(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80 R1(config)# access-list 101 permit ip any any
Förklaring:
access-list 101 deny tcp
→ Neka TCP-trafik.192.168.1.0 0.0.0.255
→ source-nätverk.192.168.2.0 0.0.0.255
→ Destination-nätverk.eq 80
→ Portnummer 80 (HTTP).permit ip any any
→ Tillåt all annan trafik.
Tillämpa ACL 101 på ett interface (utgående trafik):
R1(config)# interface GigabitEthernet0/1 R1(config-if)# ip access-group 101 out R1(config-if)# end
Sammanfattning
Extended ACL erbjuder en högre grad av kontroll jämfört med Standard ACL genom att möjliggöra filtrering baserat på IP-adress, protokoll och portar. Den kan konfigureras antingen som en numrerad ACL, exempelvis access-list 100
, eller som en namngiven ACL med kommandot ip access-list extended BLOCK-WEB
. När den har skapats tillämpas den på ett interface med kommandot ip access-group
.
Till skillnad från Standard ACL, där ACE-poster kan omorganiseras av systemet, behåller en Extended ACL posterna i den ordning de skrevs in.
För felsökning och övervakning kan administratörer använda nyckelordet log
för att generera loggposter vid matchningar och visa konfigurationen med kommandot show access-lists
.