Dit artikel is het begin van een nieuwe serie die is gecentreerd in IT-beveiliging, maar gericht is op het beveiligen van netwerken met toegangscontrolelijsten, gewoonlijk aangeduid als ACL ‘ s. Toegangscontrolelijsten, hun functie en een goede implementatie worden behandeld in Cisco-examens, maar de concepten en implementatiestrategieën worden ook behandeld in certificeringen zoals Security + en CISSP., In dit artikel zullen we de verschillende typen toegangscontrolelijsten onderzoeken en definiëren en enkele implementatieconcepten onderzoeken, met name het “waarom” dat we gebruiken en het “wanneer”. Toekomstige artikelen zullen zich richten op hun implementatie op Cisco-routers, specifieke ontwerpen voor het toestaan en weigeren van diensten, en venture in de wereld van firewalls.
Wat zijn toegangscontrolelijsten?
ACL ‘ s zijn een netwerkfilter dat door routers en sommige switches wordt gebruikt om gegevensstromen in en uit netwerkinterfaces toe te staan en te beperken., Wanneer een ACL is geconfigureerd op een interface, analyseert het netwerkapparaat gegevens die door de interface gaan, vergelijkt het deze met de criteria die in de ACL worden beschreven, en staat het toe dat de gegevens stromen of verbiedt het.
waarom gebruiken we toegangscontrolelijsten?
Er zijn verschillende redenen waarom we ACLs gebruiken. De belangrijkste reden is om een basisniveau van beveiliging voor het netwerk te bieden. ACL ‘ s zijn niet zo complex en diepgaand van bescherming als stateful firewalls, maar ze bieden bescherming op hogere snelheid interfaces waar lijn snelheid is belangrijk en firewalls kunnen restrictief zijn., ACL ‘ s worden ook gebruikt om updates voor routering van netwerkgenoten te beperken en kunnen een belangrijke rol spelen bij het definiëren van flow control voor netwerkverkeer.
wanneer gebruiken we toegangscontrolelijsten?
zoals ik al eerder zei, ACL ‘ s voor routers zijn niet zo complex of robuust als stateful firewalls, maar ze bieden wel een aanzienlijke hoeveelheid firewall mogelijkheden. Als IT-netwerk of beveiligingsprofessional is het plaatsen van uw verdediging van cruciaal belang voor de bescherming van het netwerk, de assets en gegevens., ACL ‘ s moeten op externe routers worden geplaatst om verkeer te filteren op minder wenselijke netwerken en bekende kwetsbare protocollen.
een van de meest voorkomende methoden in dit geval is het instellen van een DMZ, of de-gemilitariseerde bufferzone in je netwerk. Deze architectuur wordt normaal geà mplementeerd met twee afzonderlijke netwerkapparaten.
een voorbeeld van deze configuratie wordt gegeven in Figuur 1.
De meeste externe router biedt toegang tot alle externe netwerkverbindingen., Deze router heeft meestal minder beperkende ACL ‘ s, maar biedt grotere toegangsblokken voor de beveiliging van delen van de Globale routeringstabellen die u wilt beperken. Deze router moet ook beschermen tegen bekende protocollen die u absoluut niet van plan bent om toegang tot of uit uw netwerk toe te staan. Bovendien moeten ACL ‘ s hier worden geconfigureerd om toegang tot netwerkgenoten te beperken en kunnen ze worden gebruikt in combinatie met de routeringsprotocollen om updates en de omvang van routes die worden ontvangen van of verzonden naar netwerkgenoten te beperken.,
de DMZ is waar de meeste IT-professionals systemen plaatsen die toegang van buitenaf nodig hebben. De meest voorkomende voorbeelden hiervan zijn webservers, DNS-servers en remote access-of VPN-systemen.
de interne router van een DMZ bevat meer beperkende ACL ‘ s die ontworpen zijn om het interne netwerk te beschermen tegen meer gedefinieerde bedreigingen. ACL ‘ s worden hier vaak geconfigureerd met expliciete permit en deny statements voor specifieke adressen en protocol services.
waaruit bestaat een toegangsbeheerlijst?,
ongeacht welk routeringsplatform u gebruikt, hebben allen een vergelijkbaar profiel voor het definiëren van een toegangsbeheerlijst.,s en getallen)
- voorbeelden zijn IP, IPX, ICMP, TCP, UDP, NETBIOS en vele anderen
- Dit zijn meestal adressen en kunnen worden gedefinieerd als een enkel discreet adres, een bereik of subnet, of alle adressen
- deze extra statements vragen extra functies wanneer er een overeenkomst is gevonden voor het statement., Deze vlaggen variëren voor elk protocol, maar een gemeenschappelijke vlag toegevoegd aan statements is de log functie die elke overeenkomst met het statement registreert in de router log
welke typen toegangscontrolelijsten zijn er?
Er zijn verschillende typen toegangscontrolelijsten en de meeste zijn gedefinieerd voor een specifiek doel of protocol. Op Cisco-routers zijn er twee hoofdtypen: standaard en uitgebreid. Deze twee types zijn de meest gebruikte ACL ’s en degenen die Ik zal richten op in deze en toekomstige artikelen, maar er zijn een aantal geavanceerde ACL’ s ook., Sommige van de geavanceerde ACL ’s bevatten reflexieve ACL’ s en dynamische ACL ‘ s en ze zijn als volgt gedefinieerd. Reflexieve ACL ‘s, ook bekend als IP Session ACL’ s, worden geactiveerd vanuit een uitgaande ACL voor verkeer gestart vanuit het interne netwerk. De router identificeert deze nieuwe verkeersstroom en maakt een ingang in een aparte ACL voor het inkomende pad. Zodra de sessie eindigt, wordt het item in de reflexieve ACL verwijderd.
dynamische ACL ’s of lock-and-key ACL’ s worden gemaakt om de gebruiker toegang te geven tot een specifieke bron/bestemming host via een authenticatieproces voor de gebruiker., Cisco-implementaties maken gebruik van IOS-Firewall-mogelijkheden en belemmeren de bestaande beveiligingsbeperkingen niet.
implementatie van ACL ‘ s op een routerinterface
plaatsing en begrip van de verkeersstroom is belangrijk om vooraf te begrijpen voordat u een ACL op een routerinterface configureert. Inzicht in de plaatsing en de impact van ACL ‘ s zijn frequente vragen in CCNA en CCNP examens en fouten in ACL plaatsing zijn enkele van de meest voorkomende die netwerkbeheerders maken tijdens de implementatie van de beveiliging. Geloof me, het overkomt ons allemaal en daar ben ik niet immuun voor., Figuur 2 geeft een goed voorbeeld van de verkeersstroom als het gaat om het binnenkomen en verlaten van een router netwerkinterface.
zoals u kunt zien in dit diagram, stromen van het netwerk binnenkomen in de interface en stromen van de interface naar het netwerk verlaten. IT-netwerk-en beveiligingsprofessionals moeten hier goed op letten. ACL ‘ s beginnen met een bronadres eerst in hun configuratie en bestemming tweede., Als je een ACL configureert bij het binnendringen van een netwerk interface is het belangrijk om te herkennen dat alle lokale netwerken of hosts hier als bronnen moeten worden gezien, en precies het tegenovergestelde voor de uitgang interface.
wat dit het meest verwarrend maakt is de implementatie van ACL ‘ s op de interface van een router die geconfronteerd wordt met een extern netwerk. Kijk terug op Figuur 1. In dat voorbeeld komt de binnenkomende kant van het externe netwerk en die adressen worden beschouwd als bronnen, terwijl alle interne netwerkadressen bestemmingen zijn., Aan de uitgang kant, uw interne netwerkadressen zijn nu bronadressen en de externe adressen zijn nu bestemmingen.
Als u poorten toevoegt in uitgebreide ACL’ s, kan verwarring aankoppelen. Het beste advies dat ik heb voordat een implementatie is om uw stromen te documenteren en noteer uw bron/bestemming adressen. We zullen meer van deze implementaties later behandelen in ACL configuratie artikelen.
samenvatting
toegangscontrolelijsten zijn een Principe-element bij het beveiligen van uw netwerken en het begrijpen van hun functie en de juiste plaatsing is essentieel om hun beste effectiviteit te bereiken., Certificeringstraining omvat ACL ‘ s en er zijn verschillende vragen over examens die hen betreffen. Terwijl we verder gaan in deze serie, zou het verstandig zijn om een aantal van de concepten op netwerksimulatoren of ongebruikte routerpoorten te testen om een beter perspectief te krijgen met behulp van ACL ‘ s en hoe ze kunnen worden weergegeven in de werkelijke implementaties en op de examens.
klaar om uw vaardigheden op het gebied van computernetwerken te testen? Zie hoe ze stapelen met deze beoordeling van Smarter. Start deze Computernetwerktest nu