Questo articolo è l’inizio di una nuova serie incentrata sulla sicurezza IT, ma focalizzata sulla protezione delle reti con elenchi di controllo degli accessi, comunemente denominati ACL. Gli elenchi di controllo degli accessi, la loro funzione e la corretta implementazione sono coperti negli esami Cisco, ma i concetti e le strategie di implementazione sono coperti anche in certificazioni come Security + e CISSP., In questo articolo, esamineremo e definiremo i diversi tipi di elenchi di controllo degli accessi ed esamineremo alcuni concetti di distribuzione, in particolare il “perché” li usiamo e il “quando”. Gli articoli futuri si concentreranno sulla loro implementazione sui router Cisco, progetti specifici per consentire e negare i servizi e avventurarsi nel mondo dei firewall.
Quali sono le liste di controllo accessi?
Gli ACL sono un filtro di rete utilizzato dai router e da alcuni switch per consentire e limitare i flussi di dati in entrata e in uscita dalle interfacce di rete., Quando un ACL è configurato su un’interfaccia, il dispositivo di rete analizza i dati che passano attraverso l’interfaccia, li confronta con i criteri descritti nell’ACL e consente il flusso dei dati o li vieta.
Perché usiamo gli elenchi di controllo degli accessi?
Ci sono una serie di motivi che usiamo ACL. Il motivo principale è quello di fornire un livello base di sicurezza per la rete. Gli ACL non sono così complessi e in profondità di protezione come i firewall stateful, ma forniscono protezione su interfacce a velocità più elevata in cui la velocità della velocità di linea è importante e i firewall possono essere restrittivi., Gli ACL vengono utilizzati anche per limitare gli aggiornamenti per il routing da peer di rete e possono essere utili per definire il controllo del flusso per il traffico di rete.
Quando usiamo gli elenchi di controllo degli accessi?
Come ho detto prima, gli ACL per i router non sono così complessi o robusti come i firewall stateful, ma offrono una notevole quantità di funzionalità firewall. Come professionista della rete IT o della sicurezza, il posizionamento delle difese è fondamentale per proteggere la rete, le sue risorse e i suoi dati., Gli ACL devono essere posizionati su router esterni per filtrare il traffico contro reti meno desiderabili e protocolli vulnerabili noti.
Uno dei metodi più comuni in questo caso è quello di impostare una DMZ, o zona cuscinetto de-militarizzata nella rete. Questa architettura è normalmente implementata con due dispositivi di rete separati.
Un esempio di questa configurazione è dato in Figura 1.
Il router più esterno fornisce l’accesso a tutte le connessioni di rete esterne., Questo router di solito ha ACL meno restrittive, ma fornisce blocchi di accesso di protezione più grandi alle aree delle tabelle di routing globali che si desidera limitare. Questo router dovrebbe anche proteggere contro i protocolli ben noti che assolutamente non si prevede di consentire l’accesso dentro o fuori della rete. Inoltre, le ACL qui devono essere configurate per limitare l’accesso peer di rete e possono essere utilizzate in combinazione con i protocolli di routing per limitare gli aggiornamenti e l’estensione delle rotte ricevute o inviate ai peer di rete.,
La DMZ è dove la maggior parte dei professionisti IT posiziona sistemi che necessitano di accesso dall’esterno. Gli esempi più comuni di questi sono server Web, server DNS e sistemi di accesso remoto o VPN.
Il router interno di una DMZ contiene ACL più restrittive progettate per proteggere la rete interna da minacce più definite. Gli ACL qui sono spesso configurati con istruzioni esplicite permit e deny per indirizzi e servizi di protocollo specifici.
In cosa consiste un elenco di controllo accessi?,
Indipendentemente dalla piattaforma di routing utilizzata, tutti hanno un profilo simile per la definizione di un elenco di controllo degli accessi.,s e numeri)
- gli Esempi includono IP, IPX, ICMP, TCP, UDP, NETBIOS e molti altri
- Questi sono in genere gli indirizzi e può essere definito come un discreto singolo indirizzo, un intervallo o una sottorete, o tutti gli indirizzi
- Queste ulteriori dichiarazioni di la richiesta di ulteriori funzioni quando viene trovata una corrispondenza per l’istruzione., Questi flag variano per ogni protocollo, ma un flag comune aggiunto alle istruzioni è la funzione di registro che registra qualsiasi corrispondenza con l’istruzione nel log del router
Quali tipi di elenchi di controllo degli accessi ci sono?
Esistono diversi tipi di elenchi di controllo degli accessi e la maggior parte sono definiti per uno scopo o un protocollo distinto. Sui router Cisco, ci sono due tipi principali: standard ed esteso. Questi due tipi sono gli ACL più utilizzati e quelli su cui mi concentrerò in questo e negli articoli futuri, ma ci sono anche alcuni ACL avanzati., Alcuni degli ACL avanzati includono ACL riflessivi e ACL dinamici e sono definiti come segue. Gli ACL riflessivi, noti anche come ACL di sessione IP, vengono attivati da un ACL in uscita per il traffico avviato dalla rete interna. Il router identificherà questo nuovo flusso di traffico e creerà una voce in un ACL separato per il percorso in entrata. Al termine della sessione, la voce nell’ACL riflessivo viene rimossa.
Gli ACL dinamici o gli ACL lock-and-key vengono creati per consentire all’utente l’accesso a uno specifico host di origine / destinazione tramite un processo di autenticazione dell’utente., Le implementazioni Cisco utilizzano funzionalità firewall IOS e non ostacolano le restrizioni di sicurezza esistenti.
Implementazione di ACL su un’interfaccia router
Posizionamento e comprensione del flusso di traffico è importante capire in anticipo prima di configurare un ACL su un’interfaccia router. La comprensione del posizionamento e dell’impatto delle ACL sono domande frequenti negli esami CCNA e CCNP e gli errori nel posizionamento delle ACL sono alcuni dei più comuni che gli amministratori di rete fanno durante l’implementazione della sicurezza. Fidati di me, succede a tutti noi e io non sono immune a quello., Figura 2 fornisce un buon esempio del flusso di traffico quando si tratta di ingresso ed uscita su un’interfaccia di rete del router.
Come si può vedere da questo diagramma, il traffico di ingresso scorre dalla rete all’interfaccia e i flussi di uscita dall’interfaccia alla rete. Rete IT e professionisti della sicurezza devono prestare molta attenzione qui. Le ACL iniziano con un indirizzo di origine prima nella loro configurazione e seconda destinazione., Quando si configura un ACL all’ingresso di un’interfaccia di rete, è importante riconoscere che tutte le reti locali o gli host dovrebbero essere visti come sorgenti qui, e l’esatto opposto per l’interfaccia di uscita.
Ciò che rende questo più confuso è l’implementazione di ACL sull’interfaccia di un router che si affaccia su una rete esterna. Guarda indietro alla figura 1. In questo esempio, il lato ingresso proviene dalla rete esterna e tali indirizzi sono considerati fonti, mentre tutti gli indirizzi di rete interni sono destinazioni., Sul lato di uscita, gli indirizzi di rete interni sono ora indirizzi di origine e gli indirizzi esterni sono ora destinazioni.
Quando si aggiungono porte in ACL estese, la confusione può montare. Il miglior consiglio che ho prima di qualsiasi implementazione è quello di documentare i flussi e annotare gli indirizzi di origine/destinazione. Tratteremo più di queste implementazioni più avanti negli articoli di configurazione ACL.
Sommario
Gli elenchi di controllo degli accessi sono un elemento fondamentale per proteggere le reti e comprendere la loro funzione e il corretto posizionamento è essenziale per raggiungere la loro migliore efficacia., Formazione di certificazione copre ACL e ci sono diverse domande sugli esami che li riguardano. Mentre continuiamo in questa serie, sarebbe saggio testare alcuni dei concetti su simulatori di rete o porte router inutilizzate per ottenere una prospettiva migliore usando gli ACL e come possono essere rappresentati nelle implementazioni effettive e negli esami.
Pronto a testare le tue abilità in rete di computer? Guarda come si accumulano con questa valutazione di Smarterer. Avvia questo test di rete del computer ora