den här artikeln är början på en ny serie centrerad i IT-säkerhet, men fokuserad på att säkra nätverk med åtkomstkontrolllistor, vanligtvis kallade ACLs. Åtkomstkontrolllistor, deras funktion och korrekt genomförande omfattas av Cisco-tentor, men begreppen och distributionsstrategierna omfattas också av certifieringar som Security + och CISSP., I den här artikeln kommer vi att undersöka och definiera de olika typerna av åtkomstkontrolllistor och undersöka vissa distributionskoncept, särskilt ”varför” vi använder dem och ”när”. Framtida artiklar kommer att fokusera på deras genomförande på Cisco routrar, specifika mönster för att tillåta och neka tjänster och ge sig in i brandväggarnas Värld.
Vad är Åtkomstkontrolllistor?
ACLs är ett nätverksfilter som används av routrar och vissa växlar för att tillåta och begränsa dataflöden till och från nätverksgränssnitt., När en ACL är konfigurerad på ett gränssnitt analyserar nätverksenheten data som passerar genom gränssnittet, jämför det med de kriterier som beskrivs i ACL, och tillåter antingen data att flöda eller förbjuder det.
Varför använder vi Åtkomstkontrolllistor?
det finns en mängd olika anledningar till att vi använder ACL. Den främsta anledningen är att tillhandahålla en grundläggande säkerhetsnivå för nätverket. ACL är inte lika komplexa och i djupet av skydd som stateful brandväggar, men de ger skydd på högre hastighet gränssnitt där linjehastighet är viktigt och brandväggar kan vara restriktiva., ACL används också för att begränsa uppdateringar för routing från nätverks kamrater och kan vara avgörande för att definiera flödeskontroll för nätverkstrafik.
när använder vi Åtkomstkontrolllistor?
som jag nämnde tidigare är ACL för routrar inte lika komplexa eller robusta som stateful firewalls, men de erbjuder en betydande mängd brandväggskapacitet. Som ett IT-nätverk eller säkerhet professionell, placering av ditt försvar är avgörande för att skydda nätverket, dess tillgångar och data., ACL bör placeras på externa routrar för att filtrera trafik mot mindre önskvärda nätverk och kända sårbara protokoll.
en av de vanligaste metoderna i det här fallet är att ställa in en DMZ-eller demilitariserad buffertzon i nätverket. Denna arkitektur implementeras normalt med två separata nätverksenheter.
ett exempel på denna konfiguration ges i Figur 1.
den mest yttre routern ger tillgång till alla externa nätverksanslutningar., Denna router har vanligtvis mindre restriktiva ACL, men ger större skydd åtkomstblock till områden av de globala routningstabeller som du vill begränsa. Denna router bör också skydda mot välkända protokoll som du absolut inte planerar att tillåta åtkomst till eller ut ur ditt nätverk. Dessutom bör ACLs här konfigureras för att begränsa nätverks-peer-åtkomst och kan användas tillsammans med routingprotokollen för att begränsa uppdateringar och omfattningen av rutter som tas emot från eller skickas till nätverkskamrater.,
DMZ är där de flesta IT-proffs placerar system som behöver åtkomst från utsidan. De vanligaste exemplen på dessa är webbservrar, DNS-servrar och fjärråtkomst eller VPN-system.
den interna routern för en DMZ innehåller mer restriktiva ACL som är utformade för att skydda det interna nätverket från mer definierade hot. ACLs här konfigureras ofta med explicit tillstånd och nekar uttalanden för specifika adresser och protokolltjänster.
vad består en Åtkomstkontrolllista av?,
oavsett vilken routningsplattform du använder har alla en liknande profil för att definiera en åtkomstkontrolllista.,
- exempel inkluderar IP, IPX, ICMP, TCP, UDP, NETBIOS och många andra
- dessa är vanligtvis adresser och kan definieras som en enda diskret adress, ett intervall eller subnät, eller alla adresser
- dessa ytterligare satser begär ytterligare funktioner när en matchning hittas för uttalandet., Dessa flaggor varierar för varje protokoll, men en gemensam flagga som läggs till i uttalandena är loggfunktionen som registrerar en matchning till uttalandet i routerloggen
vilka typer av Åtkomstkontrolllistor finns det?
det finns flera typer av åtkomstkontrolllistor och de flesta definieras för ett distinkt syfte eller protokoll. På Cisco routrar finns det två huvudtyper: standard och utökad. Dessa två typer är de mest använda ACL och de jag kommer att fokusera på i detta och framtida artiklar, men det finns några avancerade ACL också., Några av de avancerade ACLs inkluderar reflexiva ACLs och dynamiska ACLs och de definieras enligt följande. Reflexiva ACLs, även känd som IP-Session ACLs, utlöses från en utgående ACL för trafik initierad från det interna nätverket. Routern identifierar det nya trafikflödet och skapar en post i en separat ACL för den inkommande sökvägen. När sessionen avslutas tas posten i den reflexiva ACL bort.
dynamiska ACL eller lås-och-nyckel ACL skapas för att tillåta användaråtkomst till en specifik källa / destination värd genom en användarautentiseringsprocess., Cisco implementeringar använder IOS brandväggsfunktioner och hindrar inte befintliga säkerhetsrestriktioner.
implementering av ACL på ett routergränssnitt
placering och förståelse av trafikflödet är viktigt att förstå på framsidan innan du konfigurerar ett ACL på ett routergränssnitt. Förståelse av placeringen och effekterna av ACLs är vanliga frågor i CCNA och CCNP tentor och misstag i ACL placering är några av de vanligaste som nätverksadministratörer gör under säkerhetsgenomförandet. Tro mig, det händer oss alla och jag är inte immun mot den., Figur 2 ger ett bra exempel på trafikflödet när det gäller inträngning och avstigning på en router nätverksgränssnitt.
som du kan se från det här diagrammet, tränger trafikflöden från nätverket in i gränssnittet och släpper ut flöden från gränssnittet till nätverket. IT-nätverk och säkerhetspersonal måste ägna stor uppmärksamhet här. ACLs börjar med en källadress först i sin konfiguration och destination andra., När du konfigurerar en ACL på inträngning av ett nätverksgränssnitt är det viktigt att inse att alla lokala nätverk eller värdar bör ses som källor här, och det exakta motsatsen till utskrivningsgränssnittet.
det som gör detta mest förvirrande är genomförandet av ACLs på gränssnittet för en router som står inför ett externt nätverk. Titta tillbaka på Figur 1. I det exemplet kommer ingresssidan från det externa nätverket och dessa adresser anses vara källor, medan alla interna nätverksadresser är destinationer., På avgångssidan är dina interna nätverksadresser nu källadresser och de externa adresserna är nu destinationer.
När du lägger till portar i utökade ACL kan förvirring montera. Det bästa råd jag har innan någon implementering är att dokumentera dina flöden och notera dina källadresser/destinationsadresser. Vi kommer att täcka fler av dessa implementeringar senare i ACL konfigurationsartiklar.
sammanfattning
åtkomstkontrolllistor är en princip för att säkra dina nätverk och förstå deras funktion och korrekt placering är avgörande för att uppnå bästa möjliga effektivitet., Certifieringsutbildning omfattar ACLs och det finns flera frågor om tentor som berör dem. När vi fortsätter i denna serie skulle det vara klokt att testa några av begreppen på nätverkssimulatorer eller oanvända routerportar för att få ett bättre perspektiv med hjälp av ACLs och hur de kan representeras i faktiska implementeringar och på tentorna.
redo att testa dina färdigheter i datanätverk? Se hur de staplar upp med denna bedömning från Smarterer. Starta detta datornätverk test nu