Een toegangscontrolelijst maken en configureren
EenToegangscontrolelijst (ACL)is een hulpmiddel dat wordt gebruikt om het IT-beveiligingsbeleid af te dwingen. Het specificeert welke gebruikers of systeemprocessen (onderwerpen) toegang krijgen tot bronnen (objecten), en welke bewerkingen zijn toegestaan op bepaalde objecten.
Elke toegangspoging van een onderwerp tot een object dat geen overeenkomende vermelding in de ACL-configuratie heeft, wordt geweigerd. Dit betekent dat de manier waarop u de toegangslijst toepast, bepaalt wat de toegangslijst daadwerkelijk doet.
Er zijn veel gebruiksscenario's voor toegangslijsten. Als u uw toegangslijst bijvoorbeeld toepast op...
- Een interface, en al het verkeer dat door uw toegangslijst wordt geïdentificeerd, wordt via die interface toegestaan.
- A vertaling van netwerkadressen (NAT)-configuratie, waarna al het verkeer dat door de toegangslijst wordt geïdentificeerd, wordt verwerkt via een NAT.
- A VPN configuratie, dan wordt al het verkeer dat u identificeert met uw toegangslijst vervolgens gecodeerd en via de VPN-tunnel verzonden.
- Een routekaart, waarna alle advertenties die overeenkomen met uw toegangslijsten worden geaccepteerd door een routeringsproces.
- Quality of Service (QoS), waarna al het verkeer dat overeenkomt met uw toegangslijst dienovereenkomstig prioriteit krijgt of de prioriteit wordt verlaagd.
Voor de doeleinden van dit artikel gaan we ons concentreren op de toegangslijst die op interfaces wordt toegepast, omdat dit het meest voorkomende gebruiksscenario voor een toegangslijst is. U kunt bijvoorbeeld een toegangslijst configureren op een firewall interface om alleen bepaalde hosts toegang te geven tot webgebaseerde bronnen op internet, terwijl andere worden beperkt. Met de juiste combinatie van toegangslijsten krijgen beveiligingsmanagers de macht die ze nodig hebben om het beveiligingsbeleid effectief af te dwingen.
Besturingssystemen Om goed te kunnen functioneren, zijn applicaties, firewall- en routerconfiguraties afhankelijk van toegangscontrolelijsten. Wanneer u een toegangslijst op een router aanmaakt, is deze inactief totdat u die router vertelt wat hij ermee moet doen en op welke verkeersrichting u de toegangslijst wilt toepassen: inkomend of uitgaand.
Wanneer een toegangslijst wordt toegepast op inkomende pakketten op een interface worden deze pakketten via de toegangslijst verwerkt voordat ze naar de uitgaande interface worden gerouteerd. Pakketten die worden geweigerd, worden niet gerouteerd omdat ze worden weggegooid voordat het routeringsproces wordt aangeroepen. Wanneer een toegangslijst wordt toegepast op uitgaande pakketten op een interface worden deze pakketten naar de uitgaande interface gerouteerd en vervolgens via de toegangslijst verwerkt voordat ze in de wachtrij worden geplaatst.
Soorten toegangslijsten
Er zijn twee hoofdtypen toegangslijsten: standaard ACL en uitgebreide ACL.
Standaard ACL
Standaard-ACL's zijn het oudste type toegangscontrolelijsten. Ze worden gebruikt om netwerkverkeer te filteren door de bron te onderzoeken IP adres in een pakje. U maakt een standaard IP-toegangslijst met behulp van de toegangslijstnummers variërend van 1–99 of 1300–1999 (uitgebreid bereik). Door deze cijfers te gebruiken, vertelt u de router dat u een standaard IP-toegangslijst wilt maken, zodat de router een syntaxis verwacht die alleen het bron-IP-adres specificeert.
Jokertekens worden gebruikt bij toegangslijsten om een individuele host, een netwerk of een bepaald bereik te specificeren
van netwerken. Het jokertekenmasker vertelt de router welke delen van een IP-adres moeten overeenkomen met de toegangslijst en welke niet. Vervolgens verleent het alles van dat netwerk alle of geen toegang.
Standaard ACL's geven er niet om waar de pakketten naartoe gaan, maar concentreren zich op waar ze vandaan komen. Wanneer u moet beslissen op basis van zowel bron- als bestemmingsadressen, kunt u dat met een standaardtoegangslijst niet doen, omdat deze alleen beslist op basis van het bronadres. Het onvermogen van de standaard ACL's om naar een bestemmingsadres te zoeken, maakt het in dergelijke scenario's ineffectief. Dit is waar Extended ACL in het spel komt.
Uitgebreide ACL
Uitgebreide ACL's breiden de functionaliteiten van standaard ACL's uit door niet alleen naar de bron maar ook naar de bestemming te kijken. Hiermee kunt u het bron- en bestemmingsadres opgeven, evenals de protocol- en TCP- en UDP-poortnummers die deze identificeren. Door uitgebreide toegangslijsten te gebruiken, kunt u gebruikers effectief toegang geven tot een fysiek LAN en voorkomen dat ze toegang krijgen tot specifieke hosts, of zelfs tot specifieke services op die hosts.
In middelgrote tot grote ondernemingen kan het beheren van toegangslijsten in de loop van de tijd moeilijk en ingewikkeld worden, vooral als het aantal genummerde ACL's groeit. In dergelijke scenario's worden standaard- en uitgebreide toegangslijsten ongeschikt. Dit brengt ons bij het concept van een benoemde toegangslijst.
Genoemd ACL
Benoemde toegangslijsten zijn slechts een andere manier om standaard- en uitgebreide toegangslijsten te maken. Hiermee kunt u namen gebruiken om standaard- of uitgebreide toegangslijsten te maken en toe te passen. Met benoemde ACL's kunnen standaard en uitgebreide ACL's een naam krijgen in plaats van nummers. Ze zijn handiger dan genummerde toegangslijsten, omdat u een betekenisvolle naam kunt opgeven die gemakkelijker te onthouden en aan een taak te koppelen is. U kunt instructies opnieuw rangschikken of instructies toevoegen aan een benoemde toegangslijst. De naam kan betekenisvol zijn en een indicatie geven van het doel van de lijst. Dit is vooral belangrijk voor documentatie- en onderhoudsdoeleinden.
Hoe toegangscontrolelijsten werken
Toegangslijstinstructies werken vrijwel hetzelfde als pakketfilters die worden gebruikt om pakketten te vergelijken; of voorwaardelijke uitspraken zoals if-then-instructies bij computerprogrammering. Als aan een bepaalde voorwaarde wordt voldaan, wordt een bepaalde actie ondernomen. Als niet aan de specifieke voorwaarde wordt voldaan, gebeurt er niets en wordt de volgende verklaring geëvalueerd.
Er zijn twee belangrijke punten op een router waarop een filterbeslissing moet worden genomen wanneer pakketten door de router gaan:
- Als pakketarriveertin de routerinterface (ingang)
- Als pakketbladerende routerinterface (Afsluiten)
Op deze locaties kunnen ACL-voorwaarden worden toegepast. Wanneer ACL-voorwaarden worden toegepast bij de ingang van de router, wordt dit een inkomend filter. Wanneer het wordt toegepast op het uitgangspunt, wordt het een genoemd uitgaande filter. Inkomende ACL's filteren het verkeer voordat de router beslist - en moeten in de ingangsinterface worden geplaatst. Uitgaande ACL's filteren het verkeer nadat de router dit heeft besloten - en moeten in de uitgangsinterface worden geplaatst. Een ACL-filtervoorwaarde heeft twee acties: toestaan en weigeren. We kunnen bepaalde soorten verkeer toestaan terwijl we andere blokkeren, of we kunnen bepaalde soorten verkeer blokkeren terwijl we andere toestaan. Eenmaal toegepast, filtert ACL elk pakket dat door de interface gaat. Dit zorgt ervoor dat de firewall of router elk pakket dat in de opgegeven richting door de interface gaat, analyseert en de juiste actie onderneemt.
Er zijn een paar belangrijke regels die een pakket volgt wanneer het wordt vergeleken met een toegangslijst:
- Het wordt altijd vergeleken met elke regel van de toegangslijst in opeenvolgende volgorde, beginnend met de eerste regel van de toegangslijst, tot en met de tweede en derde regel, afhankelijk van het geval.
- Het wordt alleen vergeleken met regels van de toegangslijst totdat er een match is gemaakt. Zodra het pakket voldoet aan de voorwaarde op een regel van de toegangslijst, wordt er op het pakket gereageerd en vinden er geen verdere vergelijkingen plaats.
- Er is een impliciete “deny” aan het einde van elke toegangslijst. Dit betekent dat als een pakket niet voldoet aan de voorwaarde op een van de regels in de toegangslijst, het pakket zal worden weggegooid.
Basisnetwerkconcepten: wat u moet weten
Voordat je de kunst van het configureren en implementeren volledig onder de knie hebt toegangscontrole lijst, moet u twee belangrijke netwerkconcepten begrijpen: subnetmasker en wildcardmasker.
Subnetmasker: Subnetmaskers worden door een computer gebruikt om te bepalen of een computer zich op hetzelfde netwerk of op een ander netwerk bevindt. Een IPv4-subnetmasker is een 32-bits reeks van enen (enen) gevolgd door een blok nullen (nullen). De enen geven het netwerkvoorvoegsel aan, terwijl het volgende blok met nullen de host-ID aanduidt. In een subnetmasker zijn het de netwerkbits (de enen (1-en)) waar we het meest om geven. In VLSM-subnetten of CIDR-notatie gebruiken we /24, wat eenvoudigweg betekent dat een subnetmasker 24 enen heeft en de rest uit nullen bestaat.
IP adres | 11000000.00000000.00000010.10000010 | /24 | 192.0.2.130 |
Subnetmasker | 11111111.11111111.11111111.00000000 | /24 | 255.255.255.0 |
Tabel 1.0 IP-adres en subnetmasker in binair en decimaal formaat
Masker met jokertekens: Een jokertekenmasker lijkt sterk op een subnetmasker, behalve dat de enen en de nullen zijn omgedraaid. Het is het tegenovergestelde van een subnetmasker. Waar een één (1) staat, vervang je deze door een nul (0), en waar een nul (0) staat, vervang je deze door een 1 (één).
Om uw jokertekenmasker uit het subnetmasker te berekenen, trekt u gewoon uw subnetmasker af van 255.255.255.255. Als u bijvoorbeeld het /24-subnetmasker van het bovenstaande adres wilt aftrekken, dat wil zeggen: 255.255.255.255 – 255.255.255.0 = 0.0.0.255. Zoals u kunt zien, komt u uit op een wildcardmasker van 0.0.0.255. Als u een toegangslijst configureert met een IP-adres met een CIDR-notatie, moet u een jokertekenmasker gebruiken.
Tabel 2.0 IP-adres en subnetmasker in binair en decimaal formaat
Let op het volgende als u een wildcard gebruikt:
- Wanneer er een nul (0) in een jokerteken staat, betekent dit dat het octet in het adres exact moet overeenkomen. Als u bijvoorbeeld 172.16.30.0 0.0.0.255 gebruikt, vertelt de router dat hij de eerste drie octetten exact moet matchen.
- Wanneer een 255 aanwezig is in een jokerteken, betekent dit dat het octet in het adres elke waarde kan hebben. Als u bijvoorbeeld 172.16.30.0 0.0.0.255 gebruikt, vertelt de router dat het vierde octet elke waarde kan hebben.
- Het jokerteken is altijd één getal kleiner dan de blokgrootte. Als u bijvoorbeeld een blokgrootte van 8 gebruikt, is het jokerteken 7.
Hoe u een standaardtoegangslijst maakt
Met het bovenstaande inzicht laten we u nu zien hoe u een standaardtoegangslijst kunt maken. Hier is de syntaxis die wordt gebruikt voor het maken van een standaardtoegangslijst:
|_+_|De verdeling van de verschillende delen van de syntaxis is als volgt:
- <1-99 or 1300-1999>Specificeert het standaard ACL IP-nummerbereik
- VergunningSpecificeert het pakket dat moet worden doorgestuurd (naar vergunning het geconfigureerde bron-IP-adresverkeer)
- OntkennenSpecificeert pakketten die moeten worden afgewezen (dat wil zeggen (naar ontkennen het geconfigureerde bron-IP-adresverkeer)
- Bron-adrHet bron-IP-adres dat moet overeenkomen
- Bron-wildcardHet jokertekenmasker dat moet worden toegepast op het eerder geconfigureerde IP-adres om het bereik aan te geven.
IP adres | 11000000.00000000.00000010.10000010 | /24 | 192.0.2.130 |
Subnetmasker | 11111111.11111111.11111111.00000000 | /24 | 255.255.255.0 |
Masker met jokertekens | 00000000.00000000.00000000.11111111 | /24 | 0.0.0.255 |
Tabel 2.0 IP-adres en subnetmasker in binair en decimaal formaat
Let op het volgende als u een wildcard gebruikt:
- Wanneer er een nul (0) in een jokerteken staat, betekent dit dat het octet in het adres exact moet overeenkomen. Als u bijvoorbeeld 172.16.30.0 0.0.0.255 gebruikt, vertelt de router dat hij de eerste drie octetten exact moet matchen.
- Wanneer een 255 aanwezig is in een jokerteken, betekent dit dat het octet in het adres elke waarde kan hebben. Als u bijvoorbeeld 172.16.30.0 0.0.0.255 gebruikt, vertelt de router dat het vierde octet elke waarde kan hebben.
- Het jokerteken is altijd één getal kleiner dan de blokgrootte. Als u bijvoorbeeld een blokgrootte van 8 gebruikt, is het jokerteken 7.
Hoe u een standaardtoegangslijst maakt
Met het bovenstaande inzicht laten we u nu zien hoe u een standaardtoegangslijst kunt maken. Hier is de syntaxis die wordt gebruikt voor het maken van een standaardtoegangslijst:
|_+_|De verdeling van de verschillende delen van de syntaxis is als volgt:
- <1-99 or 1300-1999>Specificeert het standaard ACL IP-nummerbereik
- VergunningSpecificeert het pakket dat moet worden doorgestuurd (naar vergunning het geconfigureerde bron-IP-adresverkeer)
- OntkennenSpecificeert pakketten die moeten worden afgewezen (dat wil zeggen (naar ontkennen het geconfigureerde bron-IP-adresverkeer)
- Bron-adrHet bron-IP-adres dat moet overeenkomen
- Bron-wildcardHet jokertekenmasker dat moet worden toegepast op het eerder geconfigureerde IP-adres om het bereik aan te geven.

Figuur 1.0 hierboven toont een internetwerk van twee routers met drie LAN's inclusief één seriële WAN-verbinding voor een logistiek bedrijf. Als netwerkingenieur voor dit bedrijf bent u gevraagd een standaardtoegangslijst te gebruiken om te voorkomen dat gebruikers in de beheereenheid toegang krijgen tot de Operations-server die is aangesloten op de Remote_Router, terwijl alle andere gebruikers daar toegang toe hebben. EN .
Eerst en vooral moet u het jokerteken voor de toegangslijst uitzoeken (wat feitelijk het omgekeerde is van het subnetmasker) en waar u de toegangslijst moet plaatsen. Standaardtoegangslijsten worden volgens de vuistregel het dichtst bij de bestemming geplaatst, in dit geval de E0-interface van de Remote_Router. Om deze implementatie te bereiken, zullen we dus een toegangscontrolelijst configureren en deze toepassen op de E0 uitgaande interface van de Remote_Router. Hier vindt u de vereiste parameters voor deze configuratie.
- Netwerk identificatie:192.168.10.128
- Wildcard:255.255.255.255 – 255.255.255.224 = 0,0.0,31
De onderstaande tabel geeft een overzicht van de toegangslijstopdrachten die voor deze taak moeten worden gebruikt.
Remote_Router#config t | Ga naar de globale configuratiemodus |
Remote_Router(config)#access-list 10 ontkennen 192.168.10.128 0.0.0.31 | Weiger beheerder LAN-toegang tot de Operations-server |
Remote_Router(config)#access-list 10 staat alles toe | Laat alle anderen toe |
Remote_Router(config)#interface ethernet 0 | Ga naar de interfaceconfiguratiemodus |
Remote_Router(config-if)#ip-toegangsgroep 10 uit | Toegangslijst toepassen staat op de interface als een uitgaande lijst |
Bevestig de invoer van de toegangslijst | |
Remote_Router#toon toegangslijsten | Toon alle geconfigureerde toegangslijsten |
Toegangslijst verwijderen | |
Remote_Router(config)#no access-list 10 | Verwijder de gehele toegangslijstvermelding |
Remote_Router(config)#end | Keer terug naar de vorige exec-modus |
Remote_Router#sh toegangslijsten | Bevestig of de toegangslijst is verwijderd |
Externe_Router# | Niets om weer te geven, de toegangslijst is verwijderd |
Een uitgebreide toegangslijst maken
Vervolgens laten we u nu zien hoe u een uitgebreide toegangslijst kunt maken. Hier is de opdrachtsyntaxis voor het configureren van een uitgebreide genummerde toegangscontrolelijst:
|_+_|De verdeling van de verschillende delen van de bovenstaande syntaxis is als volgt:
- <100-199 or 2000-2699>Specificeert het standaard ACL IP-nummerbereik
- Toestaan of weigerenSpecificeert of verkeer moet worden toegestaan of geweigerd op basis van de volgende criteria
- ProtocolHet protocoltype, dat wil zeggen IP, TCP, UDP, ICMP of een ander IP-subprotocol
- Bron-adrHet bron-IP-adres dat moet overeenkomen
- Bron-wildcardHet jokertekenmasker dat moet worden toegepast op het eerder geconfigureerde IP-adres om het bereik aan te geven.
- Bestemming-adrHet bestemmings-IP-adres dat moet overeenkomen
- Bestemming-wildcardHet bijbehorende jokertekenmasker dat moet worden toegepast.
Als netwerkbeheerder voor het netwerk weergegeven in Figuur 1.0 hierboven, is u gevraagd een toegangslijst te configureren die FTP en Telnet-toegang tot de Operations-server terwijl andere protocollen zijn toegestaan.
Deze taak omvat het gebruik van een uitgebreide toegangslijst. Om deze implementatie te bereiken, zullen we een toegangscontrolelijst configureren met behulp van de FTP- en telnet-poortnummers en deze toepassen op de E0 uitgaande interface van de Remote_Router. Dit zijn de vereiste parameters voor deze configuratie:
- Netwerk identificatie:192.168.10.192
- Wildcard:255.255.255.255 – 255.255.255.224 = 0,0.0,31
- FTP-poortnummer:eenentwintig
- Telnet-poortnummer:23
De onderstaande tabel geeft een overzicht van de toegangslijstopdrachten en configuraties die kunnen worden gebruikt om deze taak te implementeren:
Remote_Router#config t | Ga naar de globale configuratiemodus |
Remote_Router(config)#access-list 120 tcp weigeren 192.168.10.192 0.0.0.31 eq 21 | Weiger FTP-toegang tot de Operations-server op interface E0 |
Remote_Router(config)#access-list 120 tcp weigeren 192.168.10.192 0.0.0.31 eq 23 | Weiger Telnet-toegang tot de Operations-server op interface E0 |
Remote_Router(config)#access-list 120 permit ip any any | Sta alle andere pakketten/protocollen toe |
Remote_Router(config)#interface ethernet 0 | Ga naar de interfaceconfiguratiemodus voor E0 |
Remote_Router(config-if)#ip-toegangsgroep 120 uit | Pas de toegangslijst op interface E0 toe als uitgaande lijst |
Conclusie
ACL's kunnen een effectief hulpmiddel zijn om de beveiligingspositie van uw organisatie te vergroten. Maar onthoud altijd dat er geen actie wordt ondernomen voordat de toegangslijst in een specifieke richting op een interface wordt toegepast.
Als u echter niet voorzichtig genoeg bent, kunnen er verkeerde configuraties optreden. Eventuele verkeerde configuraties in het netwerktoegangsbeleid op uw firewall of router kunnen leiden tot ongewenste netwerkblootstelling. Met een zorgvuldige planning en het naleven van best practices zoals het principe van de minste privileges en andere belangrijke ACL-regels kunnen de meeste van deze problemen echter worden vermeden. Elk van deze regels heeft een aantal krachtige implicaties bij het filteren van IP-pakketten met toegangslijsten. Houd er daarom rekening mee dat het maken van effectieve toegangslijsten enige oefening vergt.
Veelgestelde vragen over de toegangscontrolelijst
In welke configuratie heeft een uitgaande ACL-plaatsing de voorkeur boven een inkomende ACL-plaatsing?
Voor een uitgaande interface moet een uitgaande ACL worden gebruikt. Het filtert pakketten die afkomstig zijn van meerdere inkomende interfaces voordat de pakketten de interface verlaten.
In welke configuratiemodus moet u zich bevinden om een nieuwe ACL te maken?
U moet zich in de bevoorrechte EXEC-modus bevinden om een nieuwe ACL te kunnen maken. U kunt dit bereiken door de opdracht in te voeren inschakelen .
Welk configuratiecommando voor de routekaart komt overeen met routes die worden geïdentificeerd door een ACL of een prefixlijst?
Om een routekaart te configureren zodat deze overeenkomt met een ACL-lijst, moet u eerst de routekaart maken met de opdracht:
routekaart naam { vergunning | ontkennen } [ volgnummer ]
Geef vervolgens de opdracht:
overeenkomst IP adres acl_id [ acl_id ] [...] [ prefix-lijst ]
Wat is de opdrachtsyntaxis om de IPv6 ACL-configuratiemodus te openen?
U kunt IPv6 gebruiken in een toegangslijst en de router in de IPv6-toegangslijstconfiguratiemodus krijgen met de opdracht:
ipv6-toegangslijst naam