Accessing the WAN – Chapter 5 Access Control Lists Accessing the WAN – Chapter 5
Objectives How ACLs are used Configure standard ACLs Configure extended ACLs Complex ACLs Implement, verify and troubleshoot ACLs
Říkají routeru, které pakety mají být povoleny a které zakázány. What are ACLs? ACL jsou seznamy podmínek, kterými se testují pakety, které se pokoušejí projít přes router. Říkají routeru, které pakety mají být povoleny a které zakázány. ACLs are lists of conditions used to test network traffic that tries to travel across a router interface. These lists tell the router what types of packets to accept or deny.
How ACLs are Used Steps in a TCP conversation Při práci s ACL se nám bude hodit představa o tom, jak funguje TCP.
Na konci je neviditelné „Zahodit všechno, co prošlo až sem“. How ACLs Work Zkouší se, zda jednotlivé podmínky (= řádky) seznamu pasují na paket. Po první splněné podmínce se další řádky už nezkoumají a rozhodne se, zda paket propustit nebo zahodit. Na konci je neviditelné „Zahodit všechno, co prošlo až sem“.
How ACLs are Used Types and formats of ACLs Standardní filtrují jen podle zdrojové adresy. To je jejich velká slabina. Rozšířené umějí filtrovat podle mnoha dalších věcí. Jsou mnohem šikovnější.
How ACLs are Used Numbering and Naming ACLs Standardní Rozšířené Pojmenované značení 1 – 99 100 - 199 JMENO
How ACLs are Used Where ACLs should be placed in a network Standardní umístíme až na konec trasy, těsně ke vstupu příjemce. Rozšířené umístíme hned na začátek trasy, těsně k výstupu ze zdroje.
How ACLs are Used Creating ACLs Založte přístupové listy na bezpečnostní politice vaší firmy. Připravte si popis, co mají listy dělat. Na vytvoření, editaci a ukládání listů použijte textový editor. Vyzkoušejte listy na zkušební síti, než je nasadíte naostro.
Configure Standard ACLs How to configure a standard ACL
Configure Standard ACLs How to configure a standard ACL
Configure Standard ACLs Wildcard masks Všechna místa v adrese jsou mi lhostejná. Projde tedy kdokoliv = any. Na všech místech v adrese mi záleží. Projde tedy jen jediný = host.
Configure Standard ACLs How to apply a standard ACL to an interface Vytvořit řádky, které budou patřit do listu číslo 1. Toto je jeden z nich: Určit, na který interface to přijde ... ... a přilepit to na něj.
Configure Standard ACLs How to apply a standard ACL to an interface Povolí, aby z rozhraní S0/0/0 odcházely jen pakety ze sítě 192.168.10.0
Configure Standard ACLs Editing numbered ACLs Do listu lze jen přidávat, a to jen na konec. Chceme-li něco změnit, musíme list zrušit a napsat ho znovu. Dělat to pomocí primitivního editoru v routeru by bylo na mašli. Proto je lépe využít jiný editor. Uděláme to takto:
Configure Standard ACLs Zobrazit list příkazem „show“. Editing numbered ACLs Zvýraznit řádky, které chceme změnit, vzít je do schránky. Vsadit řádky ze schránky do textového editoru, tam je změnit. Vzít je do schránky. Vymazat původní list příkazem „no access-list“. Ze schránky zkopírovat upravené řádky do routeru.
Configure Standard ACLs Named ACL
Configure Standard ACLs pojmenovaný Editing named ACLs V pojmenovaném listu můžeme řádky očíslovat, ... ... a pak mezi ně vsunout nový řádek.
Configure Extended ACLs How to configure extended ACLs
Configure Extended ACLs How to configure extended ACLs
Configure Extended ACLs How to apply an extended ACL to an interface
Configure Extended ACLs How to create named extended ACLs
Complex ACLs Three types of complex ACLs Uživatelé jsou blokováni, dokud se nepřipojí pomocí Telnetu. Při tom prokáží znalost hesla a jsou povoleni. Příchozí provoz je povolen jen pokud je reakcí na žádost z routeru. Přístup je řízen podle času nebo dne v týdnu.
Complex ACLs How and when to use dynamic ACLs
Complex ACLs How and when to use reflexive ACLs Provoz zvenku, reagující na naši žádost – OK, povoleno. Provoz zvenku, který jsme si nevyžádali – zakázáno.
Complex ACLs How and when to use time-based ACLs Můžeme např. zakázat nedůležitý provoz v době špičky.
Complex ACLs Troubleshooting ACL problems Tady jsme nejdřív všechno zakázali, ... ... a tady se snažíme ještě něco povolit, ale to už je pozdě.
Complex ACLs Troubleshooting ACL problems Tady jsme povolili TCP, ale TFTP používá UDP. ip
Summary An Access List (ACL) is: Standard ACLs Extended ACLs A series of permit and deny statements that are used to filter traffic Standard ACLs Identified by numbers 1 - 99 and 1300 - 1999 Filter traffic based on source IP address Extended ACLs Identified by number 100 -199 & 2000 - 2699 Filter traffic based on Source IP address Destination IP address Protocol Port number
Summary Named ACL ACL’s use Wildcard Masks (WCM) Used with IOS 11.2 and above Can be used for either standard or extended ACL ACL’s use Wildcard Masks (WCM) The inverse of a subnet mask 0 check the bit 1 ignore the bit
Summary Implementing ACLs Verifying & troubleshooting ACLs 1st create the ACL 2nd place the ACL on an interface Standard ACLs are placed nearest the destination Extended ACLs are placed nearest the source Verifying & troubleshooting ACLs Show access-list Show interfaces Show run
Summary Complex ACLs Dynamic ACLs Reflexive ACLs Time based ACLs