a számítógépes hálózatok világában az ACL a biztonság egyik legalapvetőbb összetevője.
az “ACL” hozzáférés-vezérlési listák egy olyan függvény, amely figyeli a bejövő és kimenő forgalmat, és összehasonlítja egy meghatározott utasításkészlettel.
ebben a cikkben mélyen belemegyünk az ACL-ek működésébe, és megválaszoljuk az ACL-ekkel kapcsolatos alábbi gyakori kérdéseket?
- mi a hozzáférés-vezérlési lista?
- miért használjon ACL-t?,
- hol helyezhet el ACL-t?
- melyek az ACL összetevői?
- milyen típusú ACL-ek vannak?
- hogyan lehet végrehajtani az ACL-t egy útválasztón?
mi a hozzáférés-vezérlési lista?
hozzáférés-vezérlési listák Az “ACLs” hálózati forgalomszűrők, amelyek vezérelhetik a bejövő vagy kimenő forgalmat.
az ACLs olyan szabályokon dolgozik, amelyek meghatározzák, hogyan lehet egy csomagot továbbítani vagy blokkolni az útválasztó felületén.
egy ACL ugyanaz, mint egy hontalan tűzfal, amely csak korlátozza, blokkolja, vagy lehetővé teszi a csomagokat, amelyek áramló forrás cél.,
amikor egy adott interfész útválasztó eszközén ACL-t határoz meg, az összes áthaladó forgalom összehasonlításra kerül az ACL utasításokkal, amelyek blokkolják vagy engedélyezik.
az ACL szabályok meghatározásának kritériumai lehetnek a forrás, a cél, egy adott protokoll vagy több információ.
az ACL-ek gyakoriak az útválasztókban vagy a tűzfalakon, de konfigurálhatják azokat a hálózatban futó eszközökben is, a házigazdáktól, a hálózati eszközöktől, a szerverektől stb.
miért használjon ACL-t?
az ACL használatának fő gondolata a hálózat biztonságának biztosítása., Enélkül a forgalom vagy beléphet, vagy kiléphet, így sebezhetőbbé válik a nem kívánt és veszélyes forgalom ellen.
a biztonság javítása érdekében ACL segítségével például megtagadhatja a konkrét útválasztási frissítéseket, vagy megadhatja a forgalomirányítást.
amint az az alábbi képen látható, az útválasztó eszköz ACL-vel rendelkezik, amely megtagadja a hozzáférést a C gazdagéphez a pénzügyi hálózatba, ugyanakkor hozzáférést biztosít a D.
egy ACL segítségével szűrheti a csomagokat egyetlen vagy csoport IP-címre vagy különböző protokollokra, például TCP vagy UDP-re.,
így például ahelyett, hogy csak egy gazdagépet blokkolna a mérnöki csapatban, megtagadhatja a hozzáférést a teljes hálózathoz, csak egyet engedélyezhet. Vagy korlátozhatja a hozzáférést a C.
gazdagéphez is, ha a C gazdagép mérnökének hozzáférnie kell a pénzügyi hálózatban található webszerverhez, akkor csak a 80-as portot engedélyezheti, minden mást blokkolhat.
hol helyezhet el ACL-t?
azoknak az eszközöknek, amelyek ismeretlen külső hálózatokkal, például az Internettel szembesülnek, módot kell biztosítani a forgalom szűrésére. Tehát az ACL konfigurálásának egyik legjobb helye az edge Routerek.,
egy ACL-lel rendelkező útválasztó eszköz helyezhető el az Internet felé, és csatlakoztatható a DMZ-hez (de-militarizált zóna), amely egy pufferzóna, amely elválasztja a nyilvános internetet és a magánhálózatot.
a DMZ olyan szerverek számára van fenntartva, amelyekhez külső hozzáférésre van szükség, például webszerverek, alkalmazásszerverek, DNS-kiszolgálók, VPN-ek stb.
amint az az alábbi képen látható, a tervezés egy DMZ-t mutat, amelyet két eszköz oszt meg, az egyik elválasztja a megbízható zónát a DMZ-től, a másik pedig elválasztja azt az Internettel (nyilvános hálózat).,
az internet felé néző útválasztó átjáróként működik minden külső hálózat számára. Általános biztonságot nyújt azáltal, hogy blokkolja a nagyobb alhálózatok kilépését vagy belépését.
konfigurálhat egy ACL-t is ebben az útválasztóban, hogy megvédje a jól ismert portokat (TCP vagy UDP).
a belső router, amely a DMZ és a Megbízható zóna között helyezkedik el, szigorúbb szabályokkal konfigurálható a belső hálózat védelme érdekében. Ez azonban remek hely egy stateful tűzfal kiválasztására az ACL felett.
de miért jobb egy ACL vs., Stateful tűzfal, hogy megvédje a DMZ?
az ACL-ek közvetlenül az eszköz továbbító hardverében vannak konfigurálva, így nem veszélyeztetik a végteljesítményt.
egy stateful tűzfal elhelyezése a DMZ védelme érdekében veszélyeztetheti a hálózat teljesítményét.
jobb megoldás lehet egy ACL útválasztó kiválasztása a nagy teljesítményű eszközök, például alkalmazások vagy szerverek védelme érdekében. Bár az ACL-ek nem biztosítják azt a biztonsági szintet, amelyet egy stateful tűzfal kínál, optimálisak a hálózat végpontjai számára, amelyek nagy sebességet és szükséges védelmet igényelnek.
melyek az ACL összetevői?,
az ACL-ek implementációja a legtöbb útválasztási platformon nagyon hasonló, amelyek mindegyikének általános útmutatása van a konfiguráláshoz.
ne feledje, hogy az ACL szabályok vagy bejegyzések halmaza. Lehet, hogy egy ACL egy vagy több bejegyzéssel rendelkezik, ahol mindegyiknek tennie kell valamit, lehet, hogy mindent engedélyez, vagy semmit sem blokkolhat.
az ACL-bejegyzés meghatározásakor szükség lesz a szükséges információkra.
- sorszám:
egy ACL-bejegyzés azonosítása egy szám segítségével. - ACL név:
adjon meg egy ACL bejegyzést egy név használatával., Számsor használata helyett egyes Routerek betűk és számok kombinációját teszik lehetővé. - Megjegyzés:
egyes útválasztók lehetővé teszik megjegyzések hozzáadását az ACL-be, ami segíthet részletes leírások hozzáadásában. - utasítás:
tagadni vagy engedélyezni egy adott forrás alapján cím és helyettesítő maszk. Egyes útválasztó eszközök, például a Cisco, alapértelmezés szerint konfigurálnak egy implicit megtagadási nyilatkozatot az ACL végén. - hálózati protokoll:
adja meg, hogy megtagadja / engedélyezi-e az IP, IPX, ICMP, TCP, UDP, NetBIOS stb., - forrás vagy rendeltetési hely:
határozza meg a forrás vagy Célcélt egyetlen IP-ként, Címtartományként (CIDR) vagy minden címként. - Log:
egyes eszközök képesek naplókat tartani, ha ACL-egyezéseket találnak. - egyéb kritériumok:
Az Advanced ACL-ek lehetővé teszik a vezérlő forgalom használatát a szolgáltatás típusa (ToS), az IP elsőbbség, valamint a differenciált szolgáltatások codepoint (DSCP) prioritása alapján.
milyen típusú ACL-ek vannak?
négyféle ACL létezik, amelyeket különböző célokra lehet használni, ezek standard, kiterjesztett, dinamikus, reflexív és időalapú ACL-ek.,
Standard ACL
a standard ACL célja, hogy megvédje a hálózat segítségével csak a forrás címét.
Ez a legalapvetőbb típus, egyszerű telepítésekhez használható, de sajnos nem nyújt erős biztonságot. A Cisco router szabványos ACL konfigurációja a következő:
Extended ACL
a kiterjesztett ACL segítségével blokkolhatja az egyes házigazdák vagy teljes hálózatok forrását és rendeltetési helyét is.
kiterjesztett ACL-t is használhat a protokollinformációk (IP, ICMP, TCP, UDP) alapján történő forgalom szűrésére.,
egy kiterjesztett ACL konfigurációja A Cisco router TCP-hez a következő:
Dynamic ACL
Dynamic ACL, extended ACL, Telnet, and authentication. Az ilyen típusú ACL – ek gyakran nevezik “zár és kulcs”, és lehet használni az adott időkeretek.
Ezek a listák csak akkor engedélyezik a felhasználóhoz való hozzáférést egy forráshoz vagy célállomáshoz, ha a felhasználó telnet-en keresztül hitelesíti az eszközt.
a következő a konfiguráció egy dinamikus ACL egy Cisco router.,
Reflexive ACL
a Reflexive ACL-eket IP session ACL-eknek is nevezik. Az ilyen típusú ACL-ek, szűrje a forgalmat a felső réteg munkamenetére vonatkozó információk alapján.
reagálnak az útválasztón belüli munkamenetekre, hogy engedélyezzék-e a kimenő forgalmat vagy korlátozzák-e a bejövő forgalmat. Az útválasztó felismeri a kimenő ACL forgalmat, majd létrehoz egy új ACL bejegyzést a bejövő számára.
amikor a munkamenet befejeződik, a bejegyzés eltávolításra kerül.,
egy reflexív ACL konfigurációja A Cisco útválasztóban a következő:
hogyan lehet ACL-t végrehajtani az útválasztón?
a forgalom (vagy bejövő és kimenő) megértése egy útválasztóban kritikus fontosságú a megfelelő ACL implementációhoz.
az ACL-re vonatkozó szabályok beállításakor az összes forgalom az útválasztó interfészének (nem a többi hálózatnak) nézőpontján alapul.
amint az az alábbi képen látható, a forgalom bejutása a hálózatból érkező áramlás, legyen az külső vagy belső, az útválasztó felületébe., Az egress forgalom, másrészt, az áramlás a felület megy ki a hálózatba.
az ACL működéséhez alkalmazza azt az útválasztó felületére. Mivel minden útválasztási és továbbítási döntés az útválasztó hardveréből történik, az ACL utasítások sokkal gyorsabban végrehajthatók.
ACL-bejegyzés létrehozásakor a forráscím az első, a cél pedig a következő. Vegyük például a kiterjesztett ACL konfiguráció IP egy Cisco Router. Amikor létrehoz egy tagadás / Engedély szabályt, először meg kell határoznia a forrást, majd a cél IP-t.,
a bejövő áramlás az összes állomás vagy hálózat forrása, a kimenő pedig az összes állomás és hálózat célpontja.
mi a forrás, Ha meg akarja akadályozni az internetről érkező forgalmat?
ne feledje, hogy a bejövő forgalom a külső hálózatról az útválasztó felületére érkezik.
tehát a forrás egy IP-cím az internetről (webszerver nyilvános IP-cím) vagy minden (helyettesítő maszk 0.0.0.0), a cél pedig egy belső IP-cím.,
éppen ellenkezőleg, mi van, ha blokkolni kell egy adott gazdagépet az internethez való csatlakozáshoz?
a bejövő forgalom a belső hálózatról az útválasztó felületére érkezik,majd az internetre. Tehát a forrás a belső gazdagép IP-je, a cél pedig az interneten található IP-cím.
összefoglaló
az ACL-ek egy hálózat csomagszűrői.
korlátozhatják, engedélyezhetik vagy megtagadhatják a biztonság szempontjából elengedhetetlen forgalmat., Az ACL lehetővé teszi a csomagok áramlásának vezérlését egyetlen vagy IP-címcsoporthoz, vagy más protokollokhoz, például TCP, UDP, ICMP stb.
Ha az ACL-t rossz felületre helyezi, vagy tévesen megváltoztatja a forrást/célállomást, negatív hatást gyakorolhat a hálózatra. Egyetlen ACL nyilatkozat elhagyhatja az egész vállalkozást az Internet nélkül.
a negatív teljesítmény elkerülése érdekében kritikus fontosságú a bejövő és kimenő forgalom megértése, az ACL-ek működése és elhelyezése., Ne feledje, hogy az útválasztó feladata a forgalom továbbítása a jobb oldali felületen keresztül, hogy az áramlás akár (bejövő), akár (kimenő) legyen.
bár egy stateful tűzfal sokkal jobb biztonságot nyújt, veszélyeztethetik a hálózat teljesítményét. De egy ACL-t közvetlenül az interfészen telepítenek, az útválasztó pedig hardveres képességeit használja annak feldolgozására, így sokkal gyorsabb, és még mindig jó szintű biztonságot nyújt.
Vélemény, hozzászólás?