ACL Flashcards
Was dienen ACLs?
Eine Access Control List (ACL) erlaubt es, den Verkehr, der durch einen Router von einem Netz in ein anderes fliesst, zu filtern.
Was kan alles gefiltert werden?
Die Filterkriterien können sehr einfach sein, z.B. Quell- oder Ziel-Adresse. Es kann aber auch der Port des Schicht-4 Protokolls (TCP oder UDP) oder ein Protokoll der Schicht 7, 4 oder 3 als Kriterium herangezogen werden. TCP ist verbindungsorientiert. Bevor Daten ausgetauscht werden können, muss eine Verbindung aufgebaut werden (Initialisierung der Parameter, Bereitstellung von Speicher). Dies geschieht mit den Paketen Syn, SynAck, Ack (Drei-Weg-Handshake). Dabei wird ein Source-Port und ein Destination-Port festgelegt. Port-Nummern sind wie Adressen der Schicht 4. Sie geben an, zu welcher Anwendung ein Paket gehört. Wenn man auf Port-Nummern filtern kann, so bedeutet dies, dass man nach Anwendungen filtern kann. Paketfilterung passiert auf den OSI-Schichten drei (Netzwerk) und vier (Transport).
Wo kann man eine ACL einsetzen?
Eine ACL kann auf einer Firewall, am Rand eines Firmennetzes oder zwischen Teilnetzen in einer Firma eingesetzt werden. • Eine ACL muss einem IF zugeordnet werden. • Es kann maximal eine ACL pro Schicht-3-Protokoll, pro IF und pro Richtung (in / out) gesetzt werden.
Welche Arten von ACL gibt es?
Es gibt zunächst zwei Typen von Access-Listen: (1) Standard ACL: Sie filtern nur aufgrund der Quell-IP-Adresse Beispiel: access-list 10 permit 192.168.30.0 0.0.0.255 (2) Extended ACL: Sie filtern aufgrund von • Quell- und Ziel-IP-Adresse • Quell- und Ziel-Port-Nummer • Protokoll (z.B. IP, ICMP, TCP, UDP) Eine ACL kann entweder mit einer Nummer oder mit einem Namen identifiziert werden.
Was dienen die Wildcard masken in ACLs
Bei einer ACL werden wildcard Masken verwendet. Überall wo eine „0“ steht, muss Übereinstimmung sein. Der Inhalt, wo eine „1“ steht, kann ignoriert werden. Bsp.: access-list 10 permit 192.168.30.0 0.0.0.255 Die Wildcard Maske bedeutet: 192.168.30. muss übereinstimmen; anstatt der 0 kann irgendetwas stehen. Ein Paket mit Absender-Adresse 192.168.30.15 geht durch, eines mit 192.168.40.15 wird weggeworfen. Eine wild card mask mit 0.0.0.0 bedeutet, dass nur eine Host-Adresse durchgelassen wird. Die beiden Varianten access-list 10 permit 192.168.30.11 0.0.0.0 und access-list 10 permit host 192.168.30.11 bedeuten dasselbe.
Was gibt es für richtlinien für ACLS
• Benützen Sie ACLs auf einem Router mit Firewall-Funktion zwischen dem internen Netz und dem Internet • Benützen Sie ACLs zwischen internen Netzen, um den internen Verkehr zu kontrollieren • Machen Sie ACLs entsprechend der „Security Policy“ Ihrer Firma • Machen Sie zuerst eine genaue Beschreibung, was die ACL genau machen soll • Benützen Sie einen Text-Editor zum Entwurf der ACL. Dort können Sie korrigieren und dann auf dem Router speichern. • Testen Sie Ihre ACL zuerst in einem Test-Netz bevor Sie sie in ein aktives Netz einfügen. • Nur eine ACL pro Protokoll, pro Richtung und pro IF
Wo sollen eine ACL platizert werden?
Standard ACL: Sie haben nur die Source Adresse als Kriterium. Deshalb muss sie so nahe wie möglich am Ziel platziert werden. Bsp.: Pakete aus dem Netz 192.168.10.0/24 dürfen nicht ins Netz 192.168.30.0/24 gelangen.
Es wird eine Standard ACL auf das IF Serial 0/0/0 des Routers R3 in Richtung inbound gesetzt. Extended ACL: Sie enthält eine Quell- und eine Ziel-Adresse. Sie wird deshalb am besten so nahe
Plazierung einer Standard ACL nahe am Ziel
Abbildung 7.5: Beschränkung der Anzahl von ACLs pro IF
Datennetze 2
wie möglich an die Quelle platziert. Der gefilterte Verkehr muss dann nicht übers Netz.
WIe sucht man nach fehlern bei ACL?
Ein IP-Paket kommt auf einem IF zu Router R. Der Router geht in folgenden Schritten vorwärts: • Analyse der Schicht-2-Adresse: Ist der Rahmen für mich? Falls Nein: Der Rahmen wird weggeworfen. Falls Ja: • Der Schicht-2-Rahmen wird ausgewertet und entfernt. Liegt eine ACL in Eingangsrichtung für das Protokoll IP vor? Falls Nein: Das Paket wird dem Routingprozess übergeben. Falls Ja: Zuerst wird das Paket gegenüber der ACL getestet. • Falls ein Deny-Statements zutrifft: Das Paket wird weggeworfen. • Falls ein permit-Statement zutrifft: Das Paket wird dem Routing-Prozess übergeben. • Falls kein Statement zutrifft: Das Paket wird weggeworfen (implizites deny any any). • Nach dem Routingprozess: Das Paket wird einem IF zugewiesen. • Ist dem IF eine ACL zugewiesen? Falls Nein: Hinaus senden über das betreffende IF und Bildung des zugehörigen Schicht-2-Headers. • Falls auf dem Ausgangs-IF eine ACL in Ausgangs-Richtung definiert ist: Test des Paketes gegen die ACL. Falls ein permit-Statement zutrifft: Das Paket dem IF zuweisen und hinaus senden. Sonst: Paket wegwerfen.