Dieser Artikel ist der Beginn einer neuen Serie, die sich auf die IT-Sicherheit konzentriert, sich jedoch auf die Sicherung von Netzwerken mit Zugriffssteuerungslisten konzentriert, die allgemein als ACLs bezeichnet werden. Zugriffskontrolllisten, deren Funktion und ordnungsgemäße Implementierung werden in Cisco-Prüfungen behandelt, aber die Konzepte und Bereitstellungsstrategien werden auch in Zertifizierungen wie Security + und CISSP behandelt., In diesem Artikel werden wir die verschiedenen Arten von Zugriffskontrolllisten untersuchen und definieren und einige Bereitstellungskonzepte untersuchen, insbesondere das „Warum“, das wir verwenden, und das „Wann“. Zukünftige Artikel konzentrieren sich auf ihre Implementierung auf Cisco-Routern, spezifische Designs für die Genehmigung und Verweigerung von Diensten und wagen sich in die Welt der Firewalls.
Was sind Zugriffskontrolllisten?
ACLs sind ein Netzwerkfilter, der von Routern und einigen Switches verwendet wird, um Datenflüsse in und aus Netzwerkschnittstellen zuzulassen und einzuschränken., Wenn eine ACL auf einer Schnittstelle konfiguriert ist, analysiert das Netzwerkgerät Daten, die durch die Schnittstelle geleitet werden, vergleicht sie mit den in der ACL beschriebenen Kriterien und lässt die Daten entweder fließen oder verbietet sie.
Warum verwenden wir Zugriffssteuerungslisten?
Es gibt eine Vielzahl von Gründen, warum wir ACLs verwenden. Der Hauptgrund ist die Bereitstellung eines grundlegenden Sicherheitsniveaus für das Netzwerk. ACLs sind nicht so komplex und in der Tiefe des Schutzes wie stateful Firewalls, aber sie bieten Schutz auf Schnittstellen mit höherer Geschwindigkeit, wo die Geschwindigkeit der Leitung wichtig ist und Firewalls restriktiv sein können., ACLs werden auch verwendet, um Aktualisierungen für das Routing von Netzwerk-Peers einzuschränken, und können bei der Definition der Flusssteuerung für den Netzwerkverkehr hilfreich sein.
Wann verwenden wir Zugriffskontrolllisten?
Wie bereits erwähnt, sind ACLs für Router nicht so komplex oder robust wie Stateful Firewalls, bieten jedoch eine erhebliche Menge an Firewall-Funktionen. Als IT-Netzwerk-oder Sicherheitsexperte ist die Platzierung Ihrer Abwehrkräfte entscheidend für den Schutz des Netzwerks, seiner Assets und Daten., ACLs sollten auf externen Routern platziert werden, um den Datenverkehr gegen weniger wünschenswerte Netzwerke und bekannte anfällige Protokolle zu filtern.
Eine der gebräuchlichsten Methoden in diesem Fall ist die Einrichtung einer DMZ – oder de-militarisierten Pufferzone in Ihrem Netzwerk. Diese Architektur wird normalerweise mit zwei separaten Netzwerkgeräten implementiert.
Ein Beispiel für diese Konfiguration ist in Abbildung 1.
Der modernste Router bietet Zugriff auf alle externen Netzwerkverbindungen., Dieser Router verfügt normalerweise über weniger restriktive ACLs, bietet jedoch größere Schutzzugriffsblöcke für Bereiche der globalen Routingtabellen, die Sie einschränken möchten. Dieser Router sollte auch vor bekannten Protokollen schützen, die Sie absolut nicht planen, den Zugriff in oder aus Ihrem Netzwerk zuzulassen. Darüber hinaus sollten ACLs hier so konfiguriert sein, dass sie den Netzwerk-Peer-Zugriff einschränken, und können in Verbindung mit den Routingprotokollen verwendet werden, um Aktualisierungen und den Umfang der von Netzwerk-Peers empfangenen oder an Netzwerk-Peers gesendeten Routen einzuschränken.,
Die DMZ ist, wo die meisten IT-Profis platzieren Systeme, die Zugang von außen benötigen. Die häufigsten Beispiele hierfür sind Webserver, DNS-Server und Remotezugriffs-oder VPN-Systeme.
Der interne Router einer DMZ enthält restriktivere ACLs, die das interne Netzwerk vor definierten Bedrohungen schützen sollen. ACLs werden hier häufig mit expliziten Permit-und Deny-Anweisungen für bestimmte Adressen und Protokolldienste konfiguriert.
Woraus besteht eine Zugriffssteuerungsliste?,
Unabhängig davon, welche Routingplattform Sie verwenden, haben alle ein ähnliches Profil zum Definieren einer Zugriffskontrollliste.,s und Zahlen)
- Beispiele hierfür sind IP, IPX, ICMP, TCP, UDP, NETBIOS und viele andere
- Dies sind typischerweise Adressen und können als eine einzelne diskrete Adresse, ein Bereich oder ein Subnetz oder alle adressen
- Diese zusätzlichen Anweisungen fordern zusätzliche Funktionen an, wenn eine Übereinstimmung für die Anweisung gefunden wird., Diese Flags variieren für jedes Protokoll, aber ein gemeinsames Flag, das Anweisungen hinzugefügt wird, ist die Protokollfunktion, die eine Übereinstimmung mit der Anweisung im Routerprotokoll aufzeichnet
Welche Arten von Zugriffskontrolllisten gibt es?
Es gibt verschiedene Arten von Zugriffskontrolllisten und die meisten sind für einen bestimmten Zweck oder ein bestimmtes Protokoll definiert. Auf Cisco-Routern gibt es zwei Haupttypen: Standard und erweitert. Diese beiden Typen sind die am häufigsten verwendeten ACLs und diejenigen, auf die ich mich in diesem und zukünftigen Artikeln konzentrieren werde, aber es gibt auch einige erweiterte ACLs., Einige der erweiterten ACLs umfassen reflexive ACLs und dynamische ACLs und sind wie folgt definiert. Reflexive ACLs, auch IP-Sitzungs-ACLs genannt, werden von einer ausgehenden ACL für Datenverkehr ausgelöst, der aus dem internen Netzwerk initiiert wurde. Der Router identifiziert diesen neuen Verkehrsfluss und erstellt einen Eintrag in einer separaten ACL für den eingehenden Pfad. Sobald die Sitzung beendet ist, wird der Eintrag in der reflexiven ACL entfernt.
Dynamische ACLs oder Lock-and-Key-ACLs werden erstellt, um Benutzern den Zugriff auf einen bestimmten Quell – /Zielhost über einen Benutzerauthentifizierungsprozess zu ermöglichen., Cisco-Implementierungen nutzen IOS-Firewall-Funktionen und behindern bestehende Sicherheitsbeschränkungen nicht.
Implementierung von ACLs auf einer Router-Schnittstelle
Platzierung und Verständnis des Verkehrsflusses ist wichtig, um im Voraus zu verstehen, bevor Sie eine ACL auf einer Router-Schnittstelle konfigurieren. Verständnis für die Platzierung und Auswirkungen von ACLs sind häufige Fragen in CCNA und CCNP Prüfungen und Fehler in ACL Platzierung sind einige der häufigsten Netzwerkadministratoren während der Sicherheitsimplementierung machen. Vertrau mir, es passiert uns allen und ich bin nicht immun gegen dieses., Abbildung 2 liefert ein gutes Beispiel für den Verkehrsfluss, wenn es um das Eindringen und Egress auf einer Router-Netzwerkschnittstelle geht.
Wie Sie in diesem Diagramm sehen können, fließt Ingress-Datenverkehr vom Netzwerk in die Schnittstelle und Egress-Datenverkehr von der Schnittstelle zum Netzwerk. IT-Netzwerk-und Sicherheitsexperten müssen hier genau darauf achten. ACLs beginnen mit einer Quelladresse zuerst in ihrer Konfiguration und Ziel Sekunde., Wenn Sie eine ACL beim Eindringen einer Netzwerkschnittstelle konfigurieren, ist es wichtig zu erkennen, dass hier alle lokalen Netzwerke oder Hosts als Quellen angesehen werden sollten, und genau das Gegenteil für die Egress-Schnittstelle.
Am verwirrendsten ist die Implementierung von ACLs auf der Schnittstelle eines Routers, der einem externen Netzwerk zugewandt ist. Blick zurück auf Abbildung 1. In diesem Beispiel kommt die Eingangsseite vom externen Netzwerk und diese Adressen werden als Quellen betrachtet, während alle internen Netzwerkadressen Ziele sind., Auf der Egress-Seite sind Ihre internen Netzwerkadressen jetzt Quelladressen und die externen Adressen sind jetzt Ziele.
Wenn Sie Ports in erweiterten ACLs hinzufügen, können Sie mounten. Der beste Rat, den ich vor jeder Implementierung habe, besteht darin, Ihre Flows zu dokumentieren und Ihre Quell – /Zieladressen zu notieren. Weitere dieser Implementierungen werden wir später in ACL Configuration-Artikeln behandeln.
Zusammenfassung
Zugangskontrolllisten sind ein grundlegendes Element zur Sicherung Ihrer Netzwerke, und das Verständnis ihrer Funktion und der richtigen Platzierung ist für die Erreichung ihrer besten Wirksamkeit unerlässlich., Zertifizierungstraining umfasst ACLs und es gibt mehrere Fragen zu Prüfungen, die sie betreffen. Während wir in dieser Serie fortfahren, wäre es ratsam, einige der Konzepte an Netzwerksimulatoren oder nicht verwendeten Router-Ports zu testen, um mithilfe von ACLs eine bessere Perspektive zu erhalten und wie sie in tatsächlichen Implementierungen und Prüfungen dargestellt werden können.
Bereit, Ihre Fähigkeiten in der Computer-Vernetzung zu testen? Sehen Sie, wie sie mit dieser Bewertung von Smarterer stapeln. Starten Sie diesen Computer-Netzwerk-Test jetzt