Dnes se začneme učit o seznamu řízení přístupu ACL, toto téma zabere 2 video lekce. Podíváme se na konfiguraci standardního ACL a v dalším videonávodu budu mluvit o rozšířeném seznamu.
V této lekci se budeme zabývat 3 tématy. První je, co je ACL, druhý jaký je rozdíl mezi standardním a rozšířeným přístupovým seznamem a na konci lekce se jako laboratoř podíváme na nastavení standardního ACL a řešení možných problémů.
Co je tedy ACL? Pokud jste kurz studovali od první videolekce, pak si pamatujete, jak jsme organizovali komunikaci mezi různými síťovými zařízeními.
Také jsme studovali statické směrování přes různé protokoly, abychom získali dovednosti v organizaci komunikace mezi zařízeními a sítěmi. Nyní jsme se dostali do fáze učení, kdy bychom se měli starat o zajištění kontroly provozu, tedy zabránění „padouchům“ nebo neoprávněným uživatelům v pronikání do sítě. Může se to týkat například lidí z obchodního oddělení SALES, které je znázorněno na tomto diagramu. Zde také ukazujeme finanční oddělení ÚČTY, manažerské oddělení MANAGEMENT a serverovnu SERVER ROOM.
Obchodní oddělení tedy může mít sto zaměstnanců a my nechceme, aby se některý z nich dostal do serverovny přes síť. Výjimku tvoří manažer prodeje, který pracuje na počítači Laptop2 – může mít přístup do serverovny. Nový zaměstnanec pracující na Laptop3 by neměl mít takový přístup, to znamená, že pokud provoz z jeho počítače dosáhne routeru R2, měl by být zrušen.
Úlohou ACL je filtrovat provoz podle zadaných parametrů filtrování. Zahrnují zdrojovou IP adresu, cílovou IP adresu, protokol, počet portů a další parametry, díky kterým můžete identifikovat provoz a provádět s ním nějaké akce.
ACL je tedy mechanismus filtrování vrstvy 3 modelu OSI. To znamená, že tento mechanismus se používá v routerech. Hlavním kritériem pro filtrování je identifikace datového toku. Například, pokud chceme zablokovat chlapovi s počítačem Laptop3 přístup k serveru, musíme nejprve identifikovat jeho provoz. Tento provoz se pohybuje ve směru Laptop-Switch2-R2-R1-Switch1-Server1 přes odpovídající rozhraní síťových zařízení, zatímco G0/0 rozhraní routerů s tím nemají nic společného.
Abychom identifikovali provoz, musíme identifikovat jeho cestu. Poté se můžeme rozhodnout, kam přesně musíme filtr nainstalovat. Se samotnými filtry si nedělejte starosti, probereme je v další lekci, zatím musíme pochopit princip, na jaké rozhraní má být filtr aplikován.
Když se podíváte na router, můžete vidět, že pokaždé, když se provoz pohybuje, existuje rozhraní, kam proudí data, a rozhraní, přes které tento tok vychází.
Ve skutečnosti existují 3 rozhraní: vstupní rozhraní, výstupní rozhraní a vlastní rozhraní routeru. Pamatujte, že filtrování lze použít pouze na vstupní nebo výstupní rozhraní.
Princip fungování ACL je podobný propustce na akci, které se mohou zúčastnit pouze ti hosté, jejichž jméno je na seznamu pozvaných osob. ACL je seznam kvalifikačních parametrů, které se používají k identifikaci provozu. Tento seznam například uvádí, že veškerý provoz je povolen z adresy IP 192.168.1.10 a provoz ze všech ostatních adres je zakázán. Jak jsem řekl, tento seznam lze aplikovat na vstupní i výstupní rozhraní.
Existují 2 typy ACL: standardní a rozšířené. Standardní seznam ACL má identifikátor od 1 do 99 nebo od 1300 do 1999. Jedná se jednoduše o názvy seznamů, které oproti sobě nemají žádné výhody, jak se číslování zvyšuje. Kromě čísla můžete k ACL přiřadit své vlastní jméno. Rozšířené ACL jsou číslovány od 100 do 199 nebo 2000 až 2699 a mohou mít také název.
Ve standardním ACL je klasifikace založena na zdrojové IP adrese provozu. Proto při použití takového seznamu nemůžete omezit provoz směrovaný na žádný zdroj, můžete pouze blokovat provoz pocházející ze zařízení.
Rozšířený ACL klasifikuje provoz podle zdrojové IP adresy, cílové IP adresy, použitého protokolu a čísla portu. Můžete například blokovat pouze provoz FTP nebo pouze provoz HTTP. Dnes se podíváme na standardní ACL a další video lekci budeme věnovat rozšířeným seznamům.
Jak jsem řekl, ACL je seznam podmínek. Poté, co použijete tento seznam na příchozí nebo odchozí rozhraní routeru, router porovná provoz s tímto seznamem, a pokud splňuje podmínky stanovené v seznamu, rozhodne se, zda tento provoz povolí nebo zakáže. Pro lidi je často obtížné určit vstupní a výstupní rozhraní routeru, i když zde není nic složitého. Když mluvíme o příchozím rozhraní, znamená to, že na tomto portu bude řízen pouze příchozí provoz a router nebude uplatňovat omezení na odchozí provoz. Podobně, pokud mluvíme o výstupním rozhraní, znamená to, že všechna pravidla se budou vztahovat pouze na odchozí provoz, zatímco příchozí provoz na tomto portu bude přijímán bez omezení. Pokud má například router 2 porty: f0/0 a f0/1, pak se ACL použije pouze na provoz vstupující do rozhraní f0/0 nebo pouze na provoz pocházející z rozhraní f0/1. Provoz vstupující nebo opouštějící rozhraní f0/1 nebude tímto seznamem ovlivněn.
Nenechte se proto zmást příchozím nebo odchozím směrem rozhraní, záleží na směru konkrétního provozu. Poté, co router zkontroluje, zda provoz odpovídá podmínkám ACL, může učinit pouze dvě rozhodnutí: povolit provoz nebo jej odmítnout. Můžete například povolit provoz určený pro 180.160.1.30 a odmítnout provoz určený pro 192.168.1.10. Každý seznam může obsahovat více podmínek, ale každá z těchto podmínek musí povolit nebo zakázat.
Řekněme, že máme seznam:
Zakázat _______
Dovolit ________
Dovolit ________
Zakázat _________.
Nejprve router zkontroluje provoz, aby zjistil, zda odpovídá první podmínce, pokud nevyhovuje, zkontroluje druhou podmínku. Pokud provoz odpovídá třetí podmínce, router přestane kontrolovat a nebude jej porovnávat se zbytkem podmínek seznamu. Provede akci „povolit“ a přejde ke kontrole další části provozu.
V případě, že jste pro žádný paket nenastavili pravidlo a provoz projde všemi řádky seznamu bez splnění některé z podmínek, je zničen, protože každý seznam ACL ve výchozím nastavení končí příkazem deny any - tedy zahodit jakýkoli paket, který nespadá pod žádné z pravidel. Tato podmínka platí, pokud je v seznamu alespoň jedno pravidlo, jinak nemá žádný účinek. Pokud ale první řádek obsahuje záznam deny 192.168.1.30 a seznam již neobsahuje žádné podmínky, pak by na konci měl být příkaz allow any, tedy povolit jakýkoli provoz kromě toho, který je pravidlem zakázán. Musíte to vzít v úvahu, abyste se vyhnuli chybám při konfiguraci ACL.
Chci, abyste si zapamatovali základní pravidlo vytváření seznamu ASL: umístěte standardní ASL co nejblíže k cíli, tedy k příjemci provozu, a rozšířené ASL umístěte co nejblíže ke zdroji, tzn. odesílateli provozu. Toto jsou doporučení Cisco, ale v praxi existují situace, kdy má větší smysl umístit standardní ACL blízko zdroje provozu. Pokud ale během zkoušky narazíte na otázku ohledně pravidel pro umístění ACL, řiďte se doporučeními Cisco a odpovězte jednoznačně: standard je blíže k cíli, rozšířený je blíže ke zdroji.
Nyní se podívejme na syntaxi standardního ACL. V režimu globální konfigurace routeru existují dva typy syntaxe příkazů: klasická syntaxe a moderní syntaxe.
Klasickým typem příkazu je access-list <číslo ACL> <deny/allow> <kritéria>. Pokud nastavíte <číslo ACL> od 1 do 99, zařízení automaticky pochopí, že se jedná o standardní ACL, a pokud od 100 do 199, pak jde o rozšířený. Protože se v dnešní lekci podíváme na standardní seznam, můžeme použít libovolné číslo od 1 do 99. Poté označíme akci, kterou je třeba provést, pokud parametry odpovídají následujícímu kritériu – povolení nebo zakázání provozu. Kritérium zvážíme později, protože se také používá v moderní syntaxi.
Moderní typ příkazu se také používá v režimu globální konfigurace Rx(config) a vypadá takto: ip access-list standard <číslo/jméno ACL>. Zde můžete použít buď číslo od 1 do 99, nebo název seznamu ACL, například ACL_Networking. Tento příkaz okamžitě přepne systém do režimu dílčího příkazu standardního režimu Rx (config-std-nacl), kde musíte zadat <deny/enable> <kritérium>. Moderní typ týmů má oproti klasickému více výhod.
Pokud v klasickém seznamu napíšete access-list 10 deny ______, pak zadáte další příkaz stejného druhu pro jiné kritérium a skončíte se 100 takovými příkazy, pak pro změnu kteréhokoli ze zadaných příkazů budete muset vymažte celý seznam přístupových práv 10 pomocí příkazu no access-list 10. Tímto vymažete všech 100 příkazů, protože neexistuje způsob, jak upravit žádný jednotlivý příkaz v tomto seznamu.
V moderní syntaxi je příkaz rozdělen do dvou řádků, z nichž první obsahuje číslo seznamu. Předpokládejme, že máte seznam přístupového seznamu standard 10 deny ________, přístupový seznam standard 20 deny ________ a tak dále, pak máte možnost mezi ně vložit přechodné seznamy s jinými kritérii, například přístupový seznam standard 15 deny ________ .
Alternativně můžete jednoduše odstranit standardní řádky přístupového seznamu 20 a přepsat je s různými parametry mezi řádky přístupového seznamu standardní 10 a standardní přístupový seznam 30. Existují tedy různé způsoby, jak upravit moderní syntaxi ACL.
Při vytváření ACL musíte být velmi opatrní. Jak víte, seznamy se čtou shora dolů. Pokud nahoře umístíte řádek, který umožňuje provoz z konkrétního hostitele, pak níže můžete umístit řádek, který zakáže provoz z celé sítě, jejíž je tento hostitel součástí, a obě podmínky budou zkontrolovány – provoz na konkrétním hostiteli bude být povolen a provoz ze všech ostatních hostitelů této sítě bude blokován. Konkrétní položky proto vždy umístěte na začátek seznamu a obecné na konec.
Takže poté, co jste vytvořili klasický nebo moderní ACL, musíte jej použít. Chcete-li to provést, musíte přejít do nastavení konkrétního rozhraní, například f0/0 pomocí příkazu interface <typ a slot>, přejít do režimu dílčího příkazu rozhraní a zadat příkaz ip access-group <číslo ACL/ jméno> . Všimněte si prosím rozdílu: při sestavování seznamu se používá přístupový seznam a při jeho použití se používá přístupová skupina. Musíte určit, na které rozhraní bude tento seznam použit – na příchozí rozhraní nebo na odchozí rozhraní. Pokud má seznam název, například Networking, stejný název se zopakuje v příkazu pro použití seznamu na toto rozhraní.
Nyní si vezmeme konkrétní problém a pokusíme se jej vyřešit pomocí příkladu našeho síťového diagramu pomocí Packet Tracer. Máme tedy 4 sítě: obchodní oddělení, účetní oddělení, management a serverovna.
Úkol č. 1: Veškerý provoz směřovaný z obchodního a finančního oddělení do oddělení managementu a serverovny musí být zablokován. Místo blokování je rozhraní S0/1/0 routeru R2. Nejprve musíme vytvořit seznam obsahující následující položky:
Nazvěme seznam "Management and Server Security ACL", zkráceně ACL Secure_Ma_And_Se. Následuje zákaz provozu ze sítě finančního oddělení 192.168.1.128/26, zákaz provozu ze sítě obchodního oddělení 192.168.1.0/25 a povolení jakéhokoli dalšího provozu. Na konci seznamu je uvedeno, že se používá pro odchozí rozhraní S0/1/0 routeru R2. Pokud na konci seznamu nemáme položku Povolit jakýkoli, pak bude veškerý další provoz zablokován, protože výchozí seznam ACL je vždy nastaven na položku Zakázat jakýkoli na konci seznamu.
Mohu použít tento ACL na rozhraní G0/0? Samozřejmě mohu, ale v tomto případě bude blokován pouze provoz z účetního oddělení a provoz z obchodního oddělení nebude nijak omezen. Stejným způsobem můžete použít ACL na rozhraní G0/1, ale v tomto případě nebude provoz finančního oddělení blokován. Samozřejmě můžeme pro tato rozhraní vytvořit dva samostatné seznamy bloků, ale mnohem efektivnější je spojit je do jednoho seznamu a ten aplikovat na výstupní rozhraní routeru R2 nebo vstupní rozhraní S0/1/0 routeru R1.
Ačkoli pravidla společnosti Cisco uvádějí, že standardní seznam ACL by měl být umístěn co nejblíže k cíli, umístím jej blíže ke zdroji provozu, protože chci blokovat veškerý odchozí provoz, a dává větší smysl to udělat blíže k zdroj, aby tento provoz neplýtval sítí mezi dvěma routery.
Zapomněl jsem vám říct o kritériích, takže se rychle vraťme. Jako kritérium můžete zadat libovolné – v tomto případě bude veškerý provoz z jakéhokoli zařízení a jakékoli sítě zakázán nebo povolen. Můžete také určit hostitele s jeho identifikátorem – v tomto případě bude záznamem IP adresa konkrétního zařízení. Nakonec můžete zadat celou síť, například 192.168.1.10/24. V tomto případě /24 bude znamenat přítomnost masky podsítě 255.255.255.0, ale není možné zadat IP adresu masky podsítě v ACL. Pro tento případ má ACL koncept zvaný Wildcart Mask neboli „reverzní maska“. Proto musíte zadat IP adresu a návratovou masku. Reverzní maska vypadá takto: od obecné masky podsítě musíte odečíst přímou masku podsítě, to znamená, že číslo odpovídající hodnotě oktetu v dopředné masce se odečte od 255.
Proto byste měli jako kritérium v ACL použít parametr 192.168.1.10 0.0.0.255.
Jak to funguje? Pokud je v oktetu návratové masky 0, považuje se kritérium za odpovídající odpovídajícímu oktetu IP adresy podsítě. Pokud je v oktetu masky číslo číslo, shoda se nekontroluje. Pro síť 192.168.1.0 a návratovou masku 0.0.0.255 bude tedy veškerý provoz z adres, jejichž první tři oktety se rovnají 192.168.1., bez ohledu na hodnotu čtvrtého oktetu, zablokován nebo povolen v závislosti na zadanou akci.
Použití reverzní masky je snadné a k masce Wildcart se vrátíme v dalším videu, abych vám vysvětlil, jak s ní pracovat.
28:50 min
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com