FORGALOMIRÁNYÍTÓK. 11. Hozzáférési listák (ACL-ek) CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

CCNA 2.

A FORGALOMIRÁNYÍTÓK

ÉS A

FORGALOMIRÁNYÍTÁS ALAPJAI

FORGALOMIRÁNYÍTÓK

11. Hozzáférési listák (ACL-ek)

CISCO HÁLÓZATI AKADÉMIA PROGRAM

IRINYI JÁNOS SZAKKÖZÉPISKOLA

CCNA 2.


ÉS A


1. A hozzáférési listák működésének alapelvei 2. Hozzáférési listák



CCNA 2.


ÉS A


ACL jellemzők Jellemzők – –

– –

–

Forgalomirányító interfészén keresztülhaladó forgalomra vonatkozóan lépnek érvénybe Ezek a listák írják elő a router számára, hogy a csomagokat fogadja el, vagy utasítsa vissza az interfészeken (szűrik a forgalmat) Forgalomfelügyelet, a hálózatról kiinduló és oda befutó elérések bizonságossá tétele Interfészenként (pl. Fa0/0, S0/0, stb.), protokollonként (pl. IP, IPX, stb), irányonként (bejövő, kimenő) egy ACL lehet aktív Az ACL-ek a forrás- és a célcímekre, a protokollokra és a felsőbb rétegbeli portszámokra nézve adnak meg feltételeket.



CCNA 2.


ÉS A


ACL jellemzők ACL-eket a következő okok miatt szokás létre hozni •

•

•

•

• •

Korlátozható a hálózat forgalma, és növelhető a teljesítménye. A mozgóképforgalom korlátozásával például az ACL-ek jelentősen csökkenthetik a hálózat terhelését, és ebből következően növelhetik teljesítményét. Biztosítják a forgalom szabályozását. Az ACL-ek segítségével az útvonalfrissítések továbbítása is korlátozható. Ha a hálózati környezet miatt nincs szükség a frissítésekre, sávszélességet lehet megtakarítani. Alapszintű hálózati hozzáférés-szabályozást biztosítanak. Az ACL-ek engedélyezhetik például a hálózat egy részének elérését egy állomás számára, és megtilthatják egy másiknak. Eldönthetjük, hogy milyen típusú forgalom továbbítódjon és milyen törlődjön a forgalomirányító interfészein. Például engedélyezhetjük az elektronikus levelek továbbítását, de a telnetet tilthatjuk. A rendszergazdák szabályozhatják, hogy az ügyfelek a hálózat mely részeihez férhetnek hozzá. Ki lehet választani bizonyos állomásokat, és számukra engedélyezni vagy megtiltani a hálózat egy részének elérését A felhasználók számára engedélyezni vagy tiltani lehet bizonyos szolgáltatások, például az FTP vagy a HTTP elérését.



CCNA 2.


ÉS A


ACL működése Az ACL-ek felépítése – – –

–

–

Minden lista egy vagy több sorból áll Fontos szerepet játszik az utasítások megadásának sorrendje Az IOS szoftver a csomagokat minden utasítás feltételeivel összeveti, a lista tetejétől az alja felé haladva Ha egy hozzáférési listát további feltételekkel kell bővíteni, akkor a teljes ACL listát törölni kell, új feltételekkel újra létre kell hozni (szövegszerkesztő használata) Minden lista végére egy implicit tiltás (deny any) kerül, ha a lista legalább egy elemből áll

Az ACL-ek kiértékelése – – –

Csomag paramétereit a lista elemeivel hasonlítja össze, az első sortól az utolsóig Egyezés esetén a lista végrehajtódik, a kiértékelés végetér Ha nincs egyezés a csomag eldobásra kerül (deny any!!!)



CCNA 2.


ÉS A


ACL működése Az ACL-ek felépítése – – –

–

–

Minden lista egy vagy több sorból áll Fontos szerepet játszik az utasítások megadásának sorrendje Az IOS szoftver a csomagokat minden utasítás feltételeivel összeveti, a lista tetejétől az alja felé haladva Ha egy hozzáférési listát további feltételekkel kell bővíteni, akkor a teljes ACL listát törölni kell, új feltételekkel újra létre kell hozni (szövegszerkesztő használata) Minden lista végére egy implicit tiltás (deny any) kerül, ha a lista legalább egy elemből áll

Az ACL-ek kiértékelése – – –

Csomag paramétereit a lista elemeivel hasonlítja össze, az első sortól az utolsóig Egyezés esetén a lista végrehajtódik, a kiértékelés végetér Ha nincs egyezés a csomag eldobásra kerül (deny any!!!)



CCNA 2.


ÉS A


ACL–ek definiálása (létrehozása) ACL létrehozása, konfigurálása – – –

Létrehozás access-list paranccsal történik globális konfigurációs módban Interfészhez rendelés protokollfüggő access-group paranccsal Amikor egy ACL-t hozzárendelünk egy interfészhez, akkor ki kell választanunk, hogy a bejövő vagy a kimenő forgalomra vonatkozzon.

ACL listaszámok – – – – – –

Normál IP: 1-99, 1300-1999 Kiterjesztett IP: 100-199, 2000-2699 AppleTalk: 600-699 Normál IPX: 800-899 Kiterjesztett IPX: 900-999 IPX/SAP: 1000-1099

Nevesített ACL-ek –

Nem rendelkeznek számmal, számuk korlátlan



CCNA 2.


ÉS A


ACL–ek definiálása (létrehozása) Router(config)# access-list 1 deny 192.168.1.2 0.0.0.0

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# interface FastEthernet 0/0 Router(config-if)# ip access-group 1 in

Törlése:

Router(config)# no access-list 1



CCNA 2.


ÉS A


ACL–ek létrehozásának legfontosabb szabályai • •

• • •

• •

Irányonként és protokollonként egy ACL-t kell létrehozni. A normál hozzáférési listákat a célhoz a lehető legközelebb kell alkalmazni. A kiterjesztett hozzáférési listákat a forráshoz a lehető legközelebb kell alkalmazni. A kimenő és a bejövő jelzőket úgy kell használni, mintha a forgalomirányító belsejéből néznénk a portokat. Az utasítások feldolgozása sorban, a lista tetejétől az alja felé haladva történik, amíg a forgalomirányító egyezést nem talál. Ha nincs egyezés, a forgalomirányító eldobja a csomagot. Minden hozzáférési lista alján egy implicit deny any (mindent letilt) szabály található. Ez szabály nem jelenik meg az utasításlista alján. A hozzáférési listák utasításait a specifikusabbaktól az általánosabbak felé haladva kell megadni. Az egyes állomásokra vonatkozó tiltásokat kell először megadni, a csoportokra vonatkozó vagy általános szűrőket utolsóként kell elhelyezni.



CCNA 2.


ÉS A


Helyettesítő maszk használata ACL forrás, vagy célcím megadása –

IP szám és helyettesítő maszk együttes használata

Helyettesítő (wildcard) maszk értelmezése – – –

32 bites szám pontozott decimális jelöléssel (4 oktettre bontva) Amelyik bit a maszkban 0, az a bit az IP számban nem változhat Amelyik bit a maszkban 1, az a bit az IP számban változhat.

Helyettesítő maszk „helyettesítése” – –

192.168.1.1 0.0.0.0  host 192.168.1.1 0.0.0.0 255.255.255.255  any



CCNA 2.


ÉS A


Helyettesítő maszk alkalmazása Teljes C osztályú címtartomány megfeleltetése – 193.224.80.0 0.0.0.255 – Elfogadható bitminta számolása 11000001.11000001.01010000.00000000 00000000.00000000.00000000.11111111 11000001.11000001.01010000.nnnnnnnn

Páros IP számok megfeleltetése a tartományból – 193.224.80.0 0.0.0.254 – Elfogadható bitminta számolása 11000001.11000001.01010000.00000000 00000000.00000000.00000000.11111110 11000001.11000001.01010000.nnnnnnn0



CCNA 2.


ÉS A


Az ANY és a HOST kulcsszó • •

•

Az ACL-ekben két különleges kulcsszót használunk, ezek az any és a host. Az any kulcsszó a 0.0.0.0 IP-címmel és a 255.255.255.255 helyettesítő maszkkal egyenértékű. Lényegében bármely vele összehasonlított címmel egyezést mutat. A host kulcsszó a 0.0.0.0 maszk helyettesítésére alkalmas. Az ilyen maszknál az ACL-ben és a csomagban szereplő cím minden bitjének egyeznie kell. Ezzel a módszerrel mindig csak egyetlen címet lehet kiválasztani.



CCNA 2.


ÉS A


Az ANY és a HOST kulcsszó



CCNA 2.


ÉS A


ACL-ek ellenőrzése ACL ellenőrzésének lehetősége – – –

Futó konfiguráció vizsgálata ACL-ek vizsgálata ACL hozzárendelések vizsgálata

Router# show running-config

Router# show access-lists Router# show ip interface



CCNA 2.


ÉS A


1. A hozzáférési listák működésének alapelvei 2. Hozzáférési listák



CCNA 2.


ÉS A


Normál ACL-ek Jellemzők – – – – –

Csomagszintű (3. réteg) vizsgálat Csak az irányítandó IP csomagok forráscímet képes ellenőrizni Adott protokollkészlet forgalmát engedélyezi vagy tiltja Célhoz minél közelebbi router/interfészhez célszerű rendelni Hozzáférési lista tartományok: 1-99 és 1300-1999

Normál ACL megadása –

access-list <listaszám> [] [log]



CCNA 2.


ÉS A


Normál ACL-ek Router(config) access-list 1 remark A fonok gepenek tiltasa Router(config)# access-list 1 deny 192.168.1.2 0.0.0.0 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# access-list 1 deny any



CCNA 2.


ÉS A


Kiterjesztett ACL-ek Jellemzők – – – – –

A kiterjesztett ACL-eket gyakrabban használjuk, mivel szélesebb körű ellenőrzést tesznek lehetővé Forrás, célcím, protokoll és port egyeztetésére egyaránt képesek Forráshoz minél közelebbi interfészhez célszerű rendelni Hozzáférési lista tartományok: 100-199 és 2000-2699 A kiterjesztett ACL-ek logikai műveleteket – egyenlő (equal, eq), nem egyenlő (not equal, neq), nagyobb mint (greater than, gt), kisebb mint (less than, lt) – is képesek végezni a megadott protokollokon.

Kiterjesztett ACL megadása –

access-list <listaszám> <deny | permit | remark> <protokoll> [ <portszám>] CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

CCNA 2.


ÉS A


Kiterjesztett ACL-ek Router(config) access-list 101 remark Telnet tiltása Router(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq telnet

Router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any Router(config)# access-list 101 deny any any



CCNA 2.


ÉS A


Kiterjesztett ACL-ek



CCNA 2.


ÉS A


Nevesített IP ACL-ek Jellemző –

Normál és kiterjesztett listák készítése listaszámok nélkül

Előnyök – – –

Szöveges név alapján könnyebb az ACL-ek azonosítása Nincs korlátozás a nevesített ACL-ek használatában Nevesített ACL működés közben (törlés és újrakonfigurálás nélkül) is módosíthatóak. Az új sorok a lista végére kerülnek Router(config)# ip access-list extended test Router(config-ext-nacl)# permit ip host 192.168.1.2 host 172.16.1.2 Router(config-ext-nacl)# permit tcp host 192.168.1.3 host 172.16.1.2 eq www



CCNA 2.


ÉS A


ACL-ek elhelyezése • Ha a forgalmat szűrni kívánjuk, az ACL-t oda kell elhelyezni, • •

•

ahol általa a legnagyobb mértékben lehet növelni a hatékonyságot. Ha az ACL-ek megfelelő helyen vannak, akkor nemcsak a forgalom szűrése végezhető el, de a teljes hálózat működése hatékonyabbá tehető. Az általános szabály úgy hangzik, hogy a kiterjesztett ACL-t olyan közel kell helyezni a tiltott forgalom forrásához, amennyire csak lehetséges. A normál ACL-ek célcímet nem tartalmaznak, így ezeket a célhoz kell a lehető legközelebb elhelyezni.



CCNA 2.


ÉS A


ACL-ek elhelyezése



CCNA 2.


ÉS A


Tűzfalak •

•

• • •

A tűzfal egy hálózatszerkezeti elem, amely a felhasználó és a külvilág között elhelyezkedve védi a belső hálózatot a támadásoktól. A tűzfal-forgalomirányítókon, melyek gyakran a belső és a külső hálózat (pl. az Internet) között helyezkednek el, ACL-eket kell használni. Ezek szabályozzák a belső hálózat meghatározott részébe irányuló és az onnan kilépő forgalmat. A tűzfal-forgalomirányítók elfedik a belső hálózat struktúráját. ACL-eket a hálózat egyes részei között elhelyezett forgalomirányítókon is használhatunk a belső hálózat részei között haladó forgalom ellenőrzésére. A védekezés alapvető eleme az ACL-ek létrehozása a hálózat szélein lévő határ-forgalomirányítókon. Így alapszintű védelmet nyújthatunk egy magánjellegű hálózatrész számára a külső hálózat vagy a hálózat kevésbé ellenőrzött részei felől érkező veszélyekkel szemben.



CCNA 2.


ÉS A


Tűzfalak



CCNA 2.


ÉS A


Virtuális terminálok ACL védelme Jellemzők – – – –

Virtuális interfészhez csak számozott listát lehet rendelni Minden virtuális vonalon ugyanazon szabályokat kell megadni A vty-hozzáférés korlátozásával a hálózat biztonságát lehet növeli. A vty-vonalak elérése telnet protokollon keresztül történik, vagyis fizikai kapcsolat ekkor nem jön létre a forgalomirányítóval. Emiatt csak egyfajta vty hozzáférési lista létezik.

ACL létrehozása –

Az előbb megismert módszerek szerint

ACL hozzárendelés –

access-class paranccsal



CCNA 2.


ÉS A


Virtuális terminálok ACL védelme

Router(config) access-list 1 Korlatozas Router(config)# access-list 1 permit 192.168.1.1 0.0.0.0 Router(config)# access-list 1 deny 192.168.1.0 0.0.0.255 Router(config)# line vty 0 4 Router(config-line)# login Router(config-line)# password cisco Router(config-line)# access-class 1 in



CCNA 2.


ÉS A


Ellenőrző kérdések 1.

2.



CCNA 2.


ÉS A



4.



CCNA 2.


ÉS A





CCNA 2.


ÉS A



7.

8.



CCNA 2.


ÉS A



10.



CCNA 2.


ÉS A





CCNA 2.


ÉS A


Köszönöm a figyelmet!



FORGALOMIRÁNYÍTÓK. 11. Hozzáférési listák (ACL-ek) CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

Recommend Documents