Prístupové zoznamy

11.1.1. Čo sú prístupové listy (ACL)
ACL je zoznam pravidiel, ktoré sú aplikované na dopravu cez rozhranie routra. Hovoria routru, ktoré typy
paketov povolí alebo blokuje. Umožňujú správu dopravy a zabezpečujú prístup na a zo siete.
Môžu byť vytvorené pre všetky smerované protokoly ako IP alebo IPX.
Router testuje každý paket, podľa podmienok v ACL, tie môžu byť založené na zdrojovej alebo cieľovej adrese,
protokole alebo na čísle portu.
Pre jeden smer, rozhranie a protokol môže byť definovaný 1 ACL. Ak mám 2 rozhrania a 3 protokoly, budem
potrebovať 12 ACL, 3 pre každý protokol, 2 pre vstup a výstup, 2 pre porty.
Primárne dôvody vytvárania ACL:

  1. limitovať sieťovú dopravu, zvýšiť sieťový výkon. Ak niekto sťahuje video, obmedzením tejto činnosti sa zvýši sieťový výkon
  2. kontrola prúdového toku.
  3. poskytnúť základnú úroveň bezpečnosti pre sieťový prístup.
  4. rozhodujú, aký typ trafiku bude prepustený a aký zablokovaný
  5. umožňujú administrátorovi riadiť, do ktorých častí siete / alebo k akým službám (http, telnet,...) budú mať klienti prístup

Ak nie je definovaný ACL na rozhraní, do siete prejdú všetky pakety.
11.1.2. Ako pracuje ACL


cisco

ACL je skupina pravidiel, ktoré definujú či pakety sú akceptované alebo zamietnuté na prichádzajúcom alebo odchádzajúcom rozhraní. Tieto rozhodnutia sú spracované podľa podmienok v ACL, kým sa nenájde zhoda o povolenej a alebo zakázanej akcii, ďalej sa už ACL nekontroluje. Záleží na poradí v akom boli jednotlivé príkazy vložené, CISCO IOS testuje zhora dole. Ak pri pakete nenastane zhoda ani pri jednom príkaze ACL, paket je implicitne odstránený, pretože na konci ACL je príkaz "deny any", ten nie je zobrazený .
Ak je nutné vložiť nové pravidlo do ACL, je ho nutné zmazať a opätovne vytvoriť s novým pravidlami. Je vhodné mať ALC pripravený v textovom editore a tento potom vložiť do konfigurácie routra.
11.1.3. Vytváranie ACL
ACL sa vytvára v GKM. Sú rôzne typy ACL, delia sa podľa čísla, pre každý ACL je pridelené len jedno číslo.


cisco

access-list – slúži na vloženie pravidla Pri vytváraní ACL sa najskôr nadefinujú pravidlá a potom sa ACL pridelí rozhraniu.
access-group – pridelenie ACL jednému alebo viac rozhraniam, ktoré môžu kontrolovať prichádzajúcu alebo odchádzajúcu dopravu. Zadáva sa v konfiguračnom móde rozhrania.
no access-list číslo – zmazanie ACL
Pravidlá pre vytvorenie ACL:
01.   Krok – vytvorenie ACL:
R(config)#access-list <číslo ACL> {permit / deny} <testovacie podmienky>
<číslo ACL> -určuje typ ACL
permit resp. deny–určuje, či príkaz povolí alebo zakáže paket vyhovujúci <testovacím podmienkam>
Zrušenie ACL:
R(config)#no access-list <číslo ACL>
!!! Pri akejkoľvek zmene ACL je potrebné zrušiť celý ACL a vytvoriť ho odznova !!!
02.   Krok – aplikácia ACL na konkrétne rozhranie smerovača
R(config-if)# <protokol> access-group<číslo ACL> {in |out}
<protokol> - ip, ipx, ...
<číslo ACL> - číslo ACL, ktorý sa má aplikovať na rozhranie
in resp. out – či je ACL aplikovaný na prichádzajúce (in) alebo odchádzajúce pakety (out); implicitne je out


11.1.4. Funkcia masky s náhradnými znakmi (wildcard masks)
- 32-bitové číslo rozdelené do 4 oktetov, párované s danou IP adresou. Čísla 0 a 1 definujú, ako spracovať príslušný IP adresový bit. Je prirovnávaný ku žolíku z kariet.
-  sú navrhnuté na filtrovanie individuálnej skupiny IP adries pre prístup alebo blokovania prístupu k zdroju
založenom na IP adrese.

  1. – musí nastať zhoda so zodpovedajúcim bitom IP adresy
  2. – nemusí nastať zhoda so zodpovedajúcim bitom IP adresy Príklady na WM: IP: 172.20.0.0WM: 0.0.0.255

10101100.00010100.00000000.00000000                               Dvojici 172.20.0.0 0.0.0.255 vyhovujú všetky IP
00000000.00000000.00000000.11111111                               adresy tvaru 172.20.0.X
10101100.00010100.00000000.xxxxxxxx
Dvojicu 0.0.0.0 255.255.255.255 možno nahradiť slovom any (vyhovuje ľubovolná IP) Dvojicu A.B.C.D 0.0.0.0 možno nahradiť host A.B.C.D (vyhovuje len jedna IP adresa A.B.C.D)
11.1.5. Overovanie ACL
show ip interface - zobrazí informáciu, či je na rozhraní aplikovaný ACL
show access-lists - zobrazí príkazy všetkých ACL na smerovači
show running-config - zobrazí ACL aj ich aplikáciu na príslušné rozhrania
11.2.1. Štandartný ACL
- kontroluje zdrojovú IP adresu paketu
Porovnaním s ACP je paket blokovaný alebo prepustený pre všetky protokoly, založené na sieti, podsieti alebo adrese hosta. Príklad:
ak paket prichádza na Ea0/0, sú kontrolované zdrojové adresy a protokol. Ak sú povolený, budú smerované na výstupné rozhranie. Ak sú blokované, budú zahodené už na prichádzajúcom rozhraní. Umiestňujú sa čo najbližšie k cieľu paketov, ktorý je potrebné chrániť. Router(config)#access-list access-list-number {deny | permit} source [source-wildcard ] [log] log – ak nastane u paketu prvá zhoda, vypíše na konzolu; ďalej vypisuje štatistiky v 5 min. intervaloch access-list-number - používajú sa s číslami ACL 1-99. Dôležité: príkazy je potrebné radiť od špecifickejších k všeobecnejším!!! Na konci každého ACL je deny all
11.2.2. Rozšírené ACL
Používané častejšie než štandartné, poskytujú väčší rozsah kontroly. Kontrolujú zdrojovú a cieľovú adresu,
protokol a číslo portu.
Umiestňujú sa čo najbližšie k zdroju paketov, ktoré je potrebné filtrovať, používajú sa s číslami ACL 100-199.
Syntax:
R(config)#access-list<číslo ACL>{deny / permit}<protokol> <zdroj. IP adresa>[<WM zdroj. IP adresy><cieľ.
IP adresa> <WM cieľ. IP adresy> <operátor> <operand>][established]
<protokol> -ip, tcp, udp, icmp, igrp, ...
<operátor> <operand> -lt(<) ,gt(>), eq(=) ,neq(=.) číslo portu – testuje u paketu číslo portu
established – v prípade tcp protokolu umožňuje prechod paketu v prípade už nadviazaného spojenia (napr. keď je
nastavený ACK bit)


cisco

Povolí zo siete 172.16.6.0/24 prístup len na služby telnet(port 23) a ftp(porty21, 20) s ľubovoľnou cieľovou ip
adresou (any) a všetky ostatné IP pakety implicitne zakáže
ip access-group command links, pripája existujúci ACL na špecifické rozhranie
Príklad: Router(config-if)#ip access-group access-list-number {in | out}

Príklad:


11.2.3. Pomenované ACL
Sú od verzie CISCO IOS 1.12, umožňujú štandartným alebo rozšíreným ACL prideliť meno namiesto čísla. Výhody pomenovaných ACL:

  1. intuitívna identifikácia oproti číselnému pomenovaniu
  2. odstránenie limitu 798 pri jednoduchom a 799 pri rozšírenom ACL
  3. umožňujú zmenu konfigurácie bez zmazania aktuálnej, ale nový záznam sa vkladá až na koniec. Pri tvorbe pomenovaných ACL je vhodné použiť textový editor.

ip access-list command, vytvorenie ACL
Príklad:


cisco

Na hosta 131.108.101.99 povolí smtp (tcp port 25) a DNS (udp port 53), ostatné IP pakety zakáže; ACL aplikuje na trafik odchádzajúci cez rozhranie fastethernet0/0


11.2.4. Umiestnenie ACL
ALC sú využívané na kontrolovanie dopravy na sieti a na eliminovanie nežiadúcej dopravy na sieti. Správnym umiestnením ACL sieť pracuje efektívnejšie.
11.2.5. Firewall
Slúži na ochranu internej siete proti votrelcom z vonkajšieho sveta. Typicky sieťový firewall pozostáva
z niekoľkých rôznych zariadení, ktoré pracujú spoločne na zabránení nežiadúceho prístupu.
ACL môžu byť použité vo firewalloch, ktoré sú často umiestnené medzi vonkajšou a vnútornou sieťou, ako napr.
internet.
Firewally na okrajoch sieti výrazne prispievajú k zvýšeniu bezpečnosti.
11.2.6. Obmedzenie prístupu na virtuálne terminály
Štandartné alebo rozšírené ACL nie sú určené na filtrovanie telnetu. Je možné nastaviť ACL pre VTY, čím sa
zvýši sieťová bezpečnosť.


cisco

access-group command, aplikovanie ACL na VTY
Podmienky pri konfigurovaní ACL pre VTY:

  1. môžu byť použité len číslované ACL
  2. pre všetky VTY sa používajú rovnaké obmedzenia
  3. môžeme definovať počet prihlásení

V tomto príklade sa cez telnet možno na smerovač prihlásiť len zo sietí 172.16.1.0/24 a 172.16.2.0/24