Dva stavy: PERMIT nebo DENIED - omezujeme nebo povolujeme provoz na síti. "Provide traffic flow control".

Využití ACL:

  • Snížení využití sítě - podniková síť zakáže streamované video - zvýší se volná přenosová kapacita.
  • Základní bezpečnost - omezení rizikových činností - například port 25.
  • Omezení dostupných služeb - zákaz telnetu, ICQ, 27025, http, ...

Porty

0 - 1023 Well know ports
1023 - 49151 Registred ports
49152 - 65535 Private and dynamic ports

Vybrané porty

21 FTP
23 Telnet
25 SMTP
53 DNS
69 TFTP
80 HTTP
143 IMAP
161 SNMP
194 IRC
443 HTTPS
520 RIP
531 AOL

Působnost ACL je zaměřena na 3. a 4. vrstvu ISO/OSI - IP adresa zdroje nebo příjemce a číslo portu požadované služby.

VŽDY NA KONCI ACL JE "DENY ANY" - implicit deny

Rozdělení ACL

I

Inbound - na příchozí pakety

Outbound - na odchozí pakety

II

Standard - filtrace je pouze na adresu zdroje. Cílová IP a port nejsou podstatné.

R1(config)#access-list 20 deny 192.168.1.0 0.0.0.128 - zakazujeme komunikace ze sítě 192.168.1.0/25

Čísla standard ACL 0-99 a 1300-1999

Extended - kontrolují protokol, zdrojovou a cílovou adresu, TCP nebo UDP

R1(config)#access-list 110 permit tcp 192.168.1.0 0.0.0.128 any eq 80 - povolujeme komunikaci na portu 80 ze sítě 192.168.1.0/25

Čísla extended ACL 100-199 a 2000-2699

Wild card maska:

  255. 255. 255. 255 plná maska
- 255. 255. 255. 128 maska sítě
  0. 0. 0. 128 wild card maska

Pojmenované ACL - písmena a čísla, název by měl být psán velkými písmeny, nesmí být mezery, tečky a čárky.

ANY vs HOST

Při určování, zda povolit komunikaci nebo ji zakázat můžeme definovat pravidla pro celou síť - ANY nebo pro jednotlivá síťová zařízení - HOST

  • Zápis any je zástupem 0.0.0.0 255.255.255.255 - tedy jakékoliv IP adresy
  • Zápis host je zástupem 0.0.0.0 v masce adresy - tedy IP adresy právě jednoho zařízení

R1(config)#access-list 20 remark - povolení přístupu z jedné sítě mimo jedno zařízení - popis

R1(config)#access-list 20 deny host 192.168.1.14 - zákaz pro zařízení

R1(config)#access-list 20 permit 192.168.1.0 0.0.0.128 - povolení sítě

R1(config)#access-list 20 deny any - implicit deny

3P

Access list je možné definovat pro zařízení, směr komunikace a typ IP protokolu:

  • One ACL per protocol (IPv4 a IPv6)
  • One ACL per direction (out or in)
  • One ACL per interface

Umístění ACL

Při zadávání ACL je nutné si dobře naplánovat jejich smysl. Ideálně zakreslit do schématu sítě. Umístění ACL je dáno jejich smyslem, je podstatný rozdíl mezi standard a extended ACL. ACL se umisťují na určitý interface s definováním směru působnosti.

Standard ACL - umí pouze omezovat komunikaci dle zdrojové IP adresy. Pak je tedy nutné dát standardní ACL co nejblíže CÍLI komunikace - tedy na nejbližší router k cílové síti.

Extended ACL - omezuje komunikaci mimo jiné i dle služeb (čísla portů). Pro tuto vlastnost se dává co nejblíže ke ZDROJI komunikace- tedy na nejbližší router ke zdrojové síti.

Konfigurace standardního ACL pro zařízení

R1(config)#access-list 20 remark - popis, komentování celého ACl nebo jednotlivých řádků

R1(config)#access-list 20 deny host 192.168.1.14 - zákaz pro zařízení

R1(config)#access-list 20 permit 192.168.1.0 0.0.0.128 - povolení sítě

R1(config)#access-list 20 deny any - implicit deny

R1(config)#int fast 0/0

R1(config-if)#ip access-group 1 out

Výmaz ACL

R1(config)#no access-list 20

Pojmenovaný standard ACL

R1(config)#ip access-list standard OMEZENI

R1(config-std-nacl)#deny host 192.168.11.10

R1(config-std-nacl)#permit any

R1(config-std-nacl)#exit

R1(config)#int fast 0/0

R1(config-if)#ip access-group OMEZENI out

Změna ACL

Nezle samostatně měnit řádky. Může se pouze smazat celý ACL. Jak postupovat:

  1. R1#sh run | include access-list 20
  2. Zkopírovat zápis do Notepadu (nebo jiného obyčejného editoru)
  3. Provéz v editoru změny
  4. Vymazat ACl - R1(config)#no access-list 20
  5. Vložit řádky z editoru do terminálu

Druhý způsob je využít číslené označení jednotlivých zápisů.

R1#sh access-list 20

Standard IP access list20

10 deny 192.168.1.14

20 permit 192.168.1.0 0.0.0.128

30 deny all

R1#conf term

R1(config)#ip access-list stantard 20

R1(config-std-nacl)#no 10

- výmaz řádku 10

R1(config-std-nacl)#10 deny host 192.168.1.10

- nový řádek s číslem 10

R1(config-std-nacl)#15 deny host 192.168.1.15

- nový řádek s číslem 15

R1(config-std-nacl)#end

Počet zásahů ACL - počet pokusů o komunikaci, kterou ACL zakazuje

R1#sh access-list

Standard IP access list 20

10 deny 192.168.1.10 (3 match(es))

15 deny 192.168.1.15 (1 match(es))

20 permit 192.168.1.0 0.0.0.128

Permit se nesleduje, ale počet deny ano.

Výmaz počítadla

R1#clear access-list counters 20

ACL pro VTY a ACL

R1(config)#line vty 0 4

R1(config-line)#login local

R1(config-line)#transport input ssh

R1(config-line)#access-class 30 in

R1(config-line)#exit

R1(config)#access-list 30 permit 192.168.10.0 0.0.0.255

R1(config)#access-list 30 deny any

Extended ACL

R1(config)#access-list 120 permit tcp 192.168.1.0 0.0.0.255 any eq 80

nebo

R1(config)#access-list 120 permit tcp 192.168.1.0 0.0.0.255 any eq http

Schéma příkazu:

  • access-list 120 - zadání ACL s číslem
  • permit - povolit
  • tcp - tcp spojení
  • 192.168.1.0 0.0.0.255 - IP adresa nebo rozsah pro odchozí adresu
  • any - IP adresa nebo rozsah pro cílovou adresu
  • eq 80 (http) - služba nebo číslo portu

Příchozí spojení:

R1(config)#access-list 130 permit tcp any 192.168.20.0 0.0.0.255 eq 80 established

Zde established znamená možnost navázat spojení jako odpověď na službu - například http. Established má smysl pouze pro TCP spojení.

Extended ACL pro www:

R1(config)#ip access-list extended SURFING

R1(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.250 eq 80

R1(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.250 eq 443

R1(config-ext-nacl)#exit

R1(config)#ip access-list extended BROWSING

R1(config-ext-nacl)#permit tcp any 192.168.20.0 0.0.0.255 established

R1(config-ext-nacl)#exit

R1(config)#int fast 0/0

R1(config-if)#ip access-group SURFING in

R1(config-if)#ip access-group BROWSING OUT


Ze sítě 192.168.1.0 je povolen přístup na www (http nebo https) na síť 192.168.20.0 a zpět je povoleno přijímat spojení.