Access control list (Zoznam pravidiel)
Riadi prístup k nejakému objektu. Sú používane v aplikaciach, často u sieťových prvkoch a aj operačných systémoch ked riadime prístup k nejakým súborom. Ak niekto potrebuje prístup k nejakému súboru najprv to prejde cez ACL a skontroluje sa či je to povolené.
ACL v ciscu:
Na aktívnych prvkoch Cisca su ACL vlastnosti na IOSu. Môžeme ich používať na rôzných miestach ale najčastejšie suú využívane pre riadenie siete, lepšie povedane na filtrovanie paketov. Je veľa typov ACL a rôzne typi sa dajú aplikovať na rôzne miesta. Nejake rôzne ACLka ako IP ACL alebo Mac ACL. Hlavne delenie je podla typu adries. Najčastejšie to je IP a MAC ACL, ale tiež mame menej využívane dnes IPv6 ACL, ktoré môžu byť Port alebo Router. Pri konfigurácií sa používaju prefixy namiesto WIldcard masky. Ďalej sa to delí podľa toho kam dané ACL aplikujeme. Môžeme ho aplikovať na L2 alebo L3 no taktiež aj na špeciálnej VLAN map. Máme aj vlastné typy ACL a to buď štandardný, rozšírený alebo pomenované.
ACL hlavne slúži na:
- ako základne sieťové zabezpečenie k blokovaniu alebo povolenie routovacej prevádzky.
- ku kontrole šírky pásma
- policy based routing (politika základného routovania)
- vynútenie sieťových politik
- a identifikáciu prevádzky siete ( QoS, NAt)
Stručna charakteristika ACL:
- ACL je sekvene riadeni zoznam pravidiel permit a deny a týmto pravidlam sa hovorí ACE (Access Control Entries).
- ACL môžeme identifikovať číslom alebo menom.
- Nove pravidla sa vždy pridajú na koniec zoznamu.
- Používa sa pravidlo first-fit je to zoznam na prechádzanie od začiatku ku koncu a ked dojde k zhode tak už to ďalej nepokračuje .
- Každý neprázdny zoznam má na konci defaultné pravidlo, ktoré zakazuje všetko (deny any) a prázdny zoznam povoluje všetko.
- Je dobré umiestniť viac špecifické pravidla na začiatok a ostatné na konci.
- Keď sa v ACL ukáže deny tak sa pošle ICMP host nedosiahnuteľný (unreachable).
- Filtrovanie spomaluje zariadenie.
- Odchadzajúce pravidla (outbound filters) neovplivňuje prevádzku, ktorý prechádza lokálnymi routermi.
Ak chceme upraviť nejaké ACL tak ho musíme vo väčšine prípadov zmazať a vytvoriť nanovo preto sa odporúča ACL vytvoriť v nejakom textovom editore.
Pri ACL sa Cisco rozhodlo nepoužívať klasicke masky podsieti ale tzv. wildcard masky. Je to trošku menšie skopomlikovanie ale nie je to nič veľmi zložité. Je len zapotrebu túto vlastnosť nezabudnúť pri konfiguráciu pretože by mohli nastať rady problémov. Táto maska sa označuje tiež aj ako iversní maska . Je to opačná maska ako subnet mask.
Najčastejšie sa ACL delí na 2 typy
Standard ACL –staršie ACL a menej možnosti konfigurácie
Extended ACL- novšie , zložitejšie ale s viac ACL možnosťami
Standard ACl:
- Používa sa v číslach od 1-99 a 1300-1999 v rozširenom mode.
- Je jednoduché na konfiguráciu
- Filtruje len podla zdrojovej adresy
- Používa sa pre blokovanie prevádzky blízko cieľa
Extended ACL:
- Používaju sa čísla od 100-199 a 2000-2699 v rozširenom mode
- Pozerá sa na Ip zdroja a cieľa
- Kontroluje položky v hlave vrstvy 3 a 4
- Môže blokovať prevádzku kdekoľvek
Taktiež máme aj ACL pre VTY
To sú virtuálne porty napríklad Virtual Terminal ( VTY kam môžeme pristupovať cez telnet alebo ssh) Na VTY by sme mali aplikovať len jedno ACL lebo keď sa vytvára viac spojení medzi viacerími uživatelmi nemôže rozlíšiť nevie zistiť skade sa ktorý použivateľ pripojí.
Konfiguracia ACL
Extended:
R1>enable
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#access-list 101 deny ip host 10.0.0.3 40.0.0.3 0.0.0.0
R1(config)#access-list 101 permit ip any any
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip access-group 101 in
R1(config-if)#exit
R1(config)#
Standard:
R2>enable
R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#access-list 1 deny host 10.0.0.3
R2(config)#access-list 1 permit any
R2(config)#interface fastEthernet 0/1
R2(config-if)#ip access-group 1 out