Oggi inizieremo a conoscere l'elenco di controllo degli accessi ACL, questo argomento richiederà 2 lezioni video. Vedremo la configurazione di una ACL standard e nel prossimo video tutorial parlerò della lista estesa.
In questa lezione tratteremo 3 argomenti. Il primo è cos'è un ACL, il secondo è qual è la differenza tra un elenco di accesso standard e uno esteso e alla fine della lezione, come laboratorio, esamineremo l'impostazione di un ACL standard e la risoluzione dei possibili problemi.
Allora, cos'è un ACL? Se hai studiato il corso fin dalla prima lezione video, ricordi come abbiamo organizzato la comunicazione tra vari dispositivi di rete.
Abbiamo anche studiato il routing statico su vari protocolli per acquisire competenze nell'organizzazione delle comunicazioni tra dispositivi e reti. Siamo ormai arrivati alla fase di apprendimento in cui dovremmo preoccuparci di garantire il controllo del traffico, cioè di impedire ai “cattivi” o agli utenti non autorizzati di infiltrarsi nella rete. Ciò potrebbe riguardare, ad esempio, le persone del reparto vendite SALES, illustrato in questo diagramma. Qui mostriamo anche il reparto finanziario ACCOUNTS, il reparto gestionale MANAGEMENT e la sala server SERVER ROOM.
Quindi, il reparto vendite può avere un centinaio di dipendenti e non vogliamo che nessuno di loro possa raggiungere la sala server tramite la rete. Viene fatta un'eccezione per il responsabile delle vendite che lavora su un computer Laptop2: può avere accesso alla sala server. Un nuovo dipendente che lavora su Laptop3 non dovrebbe avere tale accesso, ovvero se il traffico dal suo computer raggiunge il router R2, dovrebbe essere interrotto.
Il ruolo di un ACL è filtrare il traffico in base ai parametri di filtro specificati. Includono l'indirizzo IP di origine, l'indirizzo IP di destinazione, il protocollo, il numero di porte e altri parametri, grazie ai quali è possibile identificare il traffico ed eseguire alcune azioni con esso.
Pertanto, ACL è un meccanismo di filtraggio di livello 3 del modello OSI. Ciò significa che questo meccanismo viene utilizzato nei router. Il criterio principale per il filtraggio è l'identificazione del flusso di dati. Se, ad esempio, vogliamo impedire all'utente con il computer Laptop3 di accedere al server, dobbiamo prima identificare il suo traffico. Questo traffico si muove nella direzione Laptop-Switch2-R2-R1-Switch1-Server1 attraverso le corrispondenti interfacce dei dispositivi di rete, mentre le interfacce G0/0 dei router non c'entrano nulla.
Per identificare il traffico, dobbiamo identificarne il percorso. Fatto ciò possiamo decidere dove esattamente dobbiamo installare il filtro. Non preoccupatevi dei filtri in sé, ne parleremo nella prossima lezione, per ora dobbiamo capire il principio su quale interfaccia va applicato il filtro.
Se guardi un router, puoi vedere che ogni volta che il traffico si sposta, c'è un'interfaccia in cui entra il flusso di dati e un'interfaccia attraverso la quale questo flusso esce.
In realtà ci sono 3 interfacce: l'interfaccia di input, l'interfaccia di output e l'interfaccia propria del router. Ricorda solo che il filtro può essere applicato solo all'interfaccia di input o output.
Il principio di funzionamento dell'ACL è simile a un pass per un evento a cui possono partecipare solo gli ospiti il cui nome è presente nell'elenco delle persone invitate. Un ACL è un elenco di parametri di qualificazione utilizzati per identificare il traffico. Ad esempio, questo elenco indica che tutto il traffico è consentito dall'indirizzo IP 192.168.1.10 e il traffico da tutti gli altri indirizzi è negato. Come ho detto, questo elenco può essere applicato sia all'interfaccia di input che a quella di output.
Esistono 2 tipi di ACL: standard ed estesi. Una ACL standard ha un identificatore da 1 a 99 o da 1300 a 1999. Si tratta semplicemente di nomi di elenchi che non presentano alcun vantaggio l'uno rispetto all'altro man mano che la numerazione aumenta. Oltre al numero è possibile assegnare all'ACL il proprio nome. Gli ACL estesi sono numerati da 100 a 199 o da 2000 a 2699 e possono anche avere un nome.
In una ACL standard, la classificazione si basa sull'indirizzo IP di origine del traffico. Pertanto, quando si utilizza un elenco di questo tipo, non è possibile limitare il traffico diretto a qualsiasi fonte, è possibile solo bloccare il traffico proveniente da un dispositivo.
Un ACL esteso classifica il traffico in base all'indirizzo IP di origine, all'indirizzo IP di destinazione, al protocollo utilizzato e al numero di porta. Ad esempio, puoi bloccare solo il traffico FTP o solo il traffico HTTP. Oggi esamineremo l'ACL standard e dedicheremo la prossima lezione video agli elenchi estesi.
Come ho detto, un ACL è un elenco di condizioni. Dopo aver applicato questo elenco all'interfaccia in entrata o in uscita del router, il router controlla il traffico rispetto a questo elenco e, se soddisfa le condizioni stabilite nell'elenco, decide se consentire o negare questo traffico. Spesso le persone hanno difficoltà a determinare le interfacce di input e output di un router, anche se qui non c'è nulla di complicato. Quando parliamo di interfaccia in entrata, ciò significa che su questa porta verrà controllato solo il traffico in entrata e il router non applicherà restrizioni al traffico in uscita. Allo stesso modo, se parliamo di un'interfaccia di uscita, ciò significa che tutte le regole si applicheranno solo al traffico in uscita, mentre il traffico in entrata su questa porta sarà accettato senza restrizioni. Ad esempio, se il router ha 2 porte: f0/0 e f0/1, l'ACL verrà applicato solo al traffico in ingresso nell'interfaccia f0/0 o solo al traffico proveniente dall'interfaccia f0/1. Il traffico in entrata o in uscita dall'interfaccia f0/1 non sarà influenzato dall'elenco.
Pertanto, non lasciarti confondere dalla direzione in entrata o in uscita dell'interfaccia, dipende dalla direzione del traffico specifico. Quindi, dopo che il router ha controllato che il traffico corrisponda alle condizioni ACL, può prendere solo due decisioni: consentire il traffico o rifiutarlo. Ad esempio, puoi consentire il traffico destinato a 180.160.1.30 e rifiutare il traffico destinato a 192.168.1.10. Ogni elenco può contenere più condizioni, ma ciascuna di queste condizioni deve consentire o negare.
Diciamo che abbiamo una lista:
Proibire _______
Permettere ________
Permettere ________
Vietare _________.
Innanzitutto, il router controllerà il traffico per vedere se soddisfa la prima condizione; se non corrisponde, controllerà la seconda condizione. Se il traffico corrisponde alla terza condizione, il router interromperà il controllo e non lo confronterà con il resto delle condizioni dell'elenco. Eseguirà l'azione "consenti" e passerà al controllo della porzione successiva di traffico.
Nel caso in cui non sia stata impostata una regola per nessun pacchetto e il traffico passa attraverso tutte le righe della lista senza soddisfare nessuna delle condizioni, viene distrutto, perché ogni lista ACL per impostazione predefinita termina con il comando nega qualsiasi - cioè scarta qualsiasi pacchetto, che non rientra in nessuna delle regole. Questa condizione ha effetto se nella lista è presente almeno una regola, altrimenti non ha effetto. Ma se la prima riga contiene la voce Deny 192.168.1.30 e l'elenco non contiene più alcuna condizione, alla fine dovrebbe esserci il comando consent any, cioè consentire qualsiasi traffico tranne quello proibito dalla regola. È necessario tenerne conto per evitare errori durante la configurazione dell'ACL.
Voglio che ricordi la regola base per creare una lista ASL: posizionare l'ASL standard il più vicino possibile alla destinazione, cioè al destinatario del traffico, e posizionare l'ASL estesa il più vicino possibile alla sorgente, cioè al mittente del traffico. Queste sono raccomandazioni Cisco, ma in pratica ci sono situazioni in cui ha più senso posizionare una ACL standard vicino alla sorgente del traffico. Ma se durante l’esame ti imbatti in una domanda sulle regole di posizionamento dell’ACL, segui i consigli di Cisco e rispondi in modo inequivocabile: standard è più vicino alla destinazione, esteso è più vicino alla fonte.
Ora diamo un'occhiata alla sintassi di un ACL standard. Esistono due tipi di sintassi dei comandi nella modalità di configurazione globale del router: sintassi classica e sintassi moderna.
Il tipo di comando classico è access-list <numero ACL> <deny/allow> <criteria>. Se si imposta <numero ACL> da 1 a 99, il dispositivo riconoscerà automaticamente che si tratta di un ACL standard e, se è compreso tra 100 e 199, si tratta di un ACL esteso. Poiché nella lezione di oggi stiamo esaminando un elenco standard, possiamo utilizzare qualsiasi numero da 1 a 99. Quindi indichiamo l'azione che deve essere applicata se i parametri corrispondono al seguente criterio: consentire o negare il traffico. Considereremo il criterio più avanti, poiché è utilizzato anche nella sintassi moderna.
Il tipo di comando moderno viene utilizzato anche nella modalità di configurazione globale Rx(config) e assomiglia a questo: ip access-list standard <numero/nome ACL>. Qui puoi utilizzare un numero da 1 a 99 o il nome dell'elenco ACL, ad esempio ACL_Networking. Questo comando mette immediatamente il sistema in modalità sottocomando della modalità standard Rx (config-std-nacl), dove è necessario inserire <deny/enable> <criteria>. Il tipo moderno di squadre presenta più vantaggi rispetto a quello classico.
In un elenco classico, se digiti access-list 10 aware ______, quindi digiti il comando successivo dello stesso tipo per un altro criterio e ti ritroverai con 100 comandi di questo tipo, quindi per modificare uno qualsiasi dei comandi immessi, dovrai elimina l'intero elenco dell'elenco di accesso 10 con il comando no access-list 10. Ciò eliminerà tutti i 100 comandi perché non è possibile modificare alcun singolo comando in questo elenco.
Nella sintassi moderna il comando è diviso in due righe, la prima delle quali contiene il numero della lista. Supponiamo che tu abbia una lista access-list standard 10 aware ________, access-list standard 20 descend ________ e così via, allora hai la possibilità di inserire liste intermedie con altri criteri tra loro, ad esempio access-list standard 15 descend ________ .
In alternativa, è possibile semplicemente eliminare le righe dell'elenco di accesso standard 20 e ridigitarle con parametri diversi tra le righe dell'elenco di accesso standard 10 e quelle dell'elenco di accesso standard 30. Pertanto, esistono vari modi per modificare la sintassi ACL moderna.
È necessario prestare molta attenzione durante la creazione degli ACL. Come sai, gli elenchi vengono letti dall'alto verso il basso. Se posizioni una linea in alto che consente il traffico da un host specifico, sotto puoi posizionare una linea che vieta il traffico dall'intera rete di cui fa parte questo host ed entrambe le condizioni verranno verificate: il traffico verso un host specifico verrà essere consentito il passaggio e il traffico proveniente da tutti gli altri host di questa rete verrà bloccato. Pertanto, posiziona sempre le voci specifiche in cima all'elenco e quelle generali in fondo.
Pertanto, dopo aver creato un ACL classico o moderno, è necessario applicarlo. Per fare ciò, devi andare alle impostazioni di un'interfaccia specifica, ad esempio f0/0 utilizzando il comando interfaccia <tipo e slot>, andare alla modalità sottocomando dell'interfaccia e inserire il comando ip access-group <numero ACL/ nome> . Si prega di notare la differenza: quando si compila un elenco, viene utilizzato un elenco di accesso e quando lo si applica, viene utilizzato un gruppo di accesso. È necessario determinare a quale interfaccia verrà applicato questo elenco: l'interfaccia in entrata o l'interfaccia in uscita. Se l'elenco ha un nome, ad esempio Rete, lo stesso nome viene ripetuto nel comando per applicare l'elenco a questa interfaccia.
Ora prendiamo un problema specifico e proviamo a risolverlo utilizzando l'esempio del nostro diagramma di rete utilizzando Packet Tracer. Quindi, abbiamo 4 reti: reparto vendite, reparto contabilità, gestione e sala server.
Compito n. 1: tutto il traffico diretto dai reparti vendite e finanziari al reparto di gestione e alla sala server deve essere bloccato. La posizione di blocco è l'interfaccia S0/1/0 del router R2. Per prima cosa dobbiamo creare un elenco contenente le seguenti voci:
Chiameremo l'elenco "Management and Server Security ACL", abbreviato in ACL Secure_Ma_And_Se. Segue il divieto del traffico dalla rete del dipartimento finanziario 192.168.1.128/26, il divieto del traffico dalla rete del dipartimento vendite 192.168.1.0/25 e l'autorizzazione di qualsiasi altro traffico. Alla fine dell'elenco è indicato che viene utilizzato per l'interfaccia in uscita S0/1/0 del router R2. Se non abbiamo una voce Permetti qualsiasi alla fine dell'elenco, tutto il resto del traffico verrà bloccato perché l'ACL predefinito è sempre impostato su una voce Nega qualsiasi alla fine dell'elenco.
Posso applicare questo ACL all'interfaccia G0/0? Certo che posso, ma in questo caso verrà bloccato solo il traffico del reparto contabilità e il traffico del reparto vendite non sarà limitato in alcun modo. Allo stesso modo è possibile applicare una ACL all'interfaccia G0/1, ma in questo caso il traffico del dipartimento finanziario non verrà bloccato. Naturalmente possiamo creare due liste di blocchi separate per queste interfacce, ma è molto più efficiente combinarle in una lista e applicarla all'interfaccia di output del router R2 o all'interfaccia di input S0/1/0 del router R1.
Sebbene le regole Cisco stabiliscano che un ACL standard dovrebbe essere posizionato il più vicino possibile alla destinazione, lo posizionerò più vicino alla fonte del traffico perché voglio bloccare tutto il traffico in uscita ed è più sensato farlo più vicino al fonte in modo che questo traffico non sprechi la rete tra due router.
Ho dimenticato di parlarvi dei criteri, quindi torniamo rapidamente indietro. Puoi specificare qualsiasi come criterio: in questo caso, qualsiasi traffico proveniente da qualsiasi dispositivo e da qualsiasi rete verrà negato o consentito. Puoi anche specificare un host con il suo identificatore: in questo caso la voce sarà l'indirizzo IP di un dispositivo specifico. Infine, puoi specificare un'intera rete, ad esempio 192.168.1.10/24. In questo caso, /24 indicherà la presenza di una maschera di sottorete 255.255.255.0, ma è impossibile specificare l'indirizzo IP della maschera di sottorete nell'ACL. In questo caso, ACL ha un concetto chiamato Wildcart Mask, o “maschera inversa”. Pertanto è necessario specificare l'indirizzo IP e la maschera di ritorno. La maschera inversa si presenta così: è necessario sottrarre la maschera di sottorete diretta dalla maschera di sottorete generale, ovvero il numero corrispondente al valore dell'ottetto nella maschera diretta viene sottratto da 255.
Pertanto è necessario utilizzare il parametro 192.168.1.10 0.0.0.255 come criterio nell'ACL.
Come funziona? Se nell'ottetto della maschera di ritorno è presente uno 0, il criterio viene considerato corrispondente all'ottetto corrispondente dell'indirizzo IP della sottorete. Se c'è un numero nell'ottetto del backmask, la corrispondenza non viene verificata. Pertanto, per una rete 192.168.1.0 e una maschera di ritorno 0.0.0.255, tutto il traffico proveniente da indirizzi i cui primi tre ottetti sono uguali a 192.168.1., indipendentemente dal valore del quarto ottetto, verrà bloccato o consentito a seconda l'azione specificata.
Usare una maschera inversa è facile e torneremo alla maschera Wildcart nel prossimo video in modo da poter spiegare come lavorarci.
28:50 min
Grazie per stare con noi. Ti piacciono i nostri articoli? Vuoi vedere contenuti più interessanti? Sostienici effettuando un ordine o raccomandando agli amici, Sconto del 30% per gli utenti Habr su un analogo unico di server entry-level, che è stato inventato da noi per te: (disponibile con RAID1 e RAID10, fino a 24 core e fino a 40 GB DDR4).
Dell R730xd 2 volte più economico? Solo qui In Olanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - da $99! Leggi
Fonte: habr.com