Nel mondo della rete di computer, un ACL è uno dei componenti fondamentali della sicurezza.
Un controllo di accesso Elenca “ACL” è una funzione che controlla il traffico in entrata e in uscita e lo confronta con un insieme di istruzioni definite.
In questo articolo, approfondiremo la funzionalità delle ACL e risponderemo alle seguenti domande comuni sulle ACL?
- Che cos’è un elenco di controllo accessi?
- Perché usare un ACL?,
- Dove è possibile posizionare un ACL?
- Quali sono i componenti di un ACL?
- Quali sono i tipi di ACL?
- Come implementare un ACL su un router?
Che cos’è un elenco di controllo accessi?
Access Control Lists “ACL” sono filtri del traffico di rete in grado di controllare il traffico in entrata o in uscita.
Gli ACL funzionano su un insieme di regole che definiscono come inoltrare o bloccare un pacchetto sull’interfaccia del router.
Un ACL è lo stesso di un firewall stateless, che limita, blocca o consente solo i pacchetti che scorrono dall’origine alla destinazione.,
Quando si definisce un ACL su un dispositivo di routing per un’interfaccia specifica, tutto il traffico che scorre verrà confrontato con l’istruzione ACL che lo bloccherà o lo consentirà.
I criteri per la definizione delle regole ACL potrebbero essere l’origine, la destinazione, un protocollo specifico o altre informazioni.
Gli ACL sono comuni nei router o nei firewall, ma possono anche configurarli in qualsiasi dispositivo eseguito in rete, da host, dispositivi di rete, server, ecc.
Perché usare un ACL?
L’idea principale di utilizzare un ACL è fornire sicurezza alla rete., Senza di esso, qualsiasi traffico può entrare o uscire, rendendolo più vulnerabile al traffico indesiderato e pericoloso.
Per migliorare la sicurezza con un ACL è possibile, ad esempio, negare specifici aggiornamenti di routing o fornire il controllo del flusso di traffico.
Come mostrato nell’immagine seguente, il dispositivo di routing ha un ACL che nega l’accesso all’host C nella rete finanziaria e, allo stesso tempo, consente l’accesso all’host D.
Con un ACL è possibile filtrare i pacchetti per un singolo o gruppo di indirizzi IP o protocolli diversi, come TCP o UDP.,
Ad esempio, invece di bloccare un solo host nel team di progettazione, è possibile negare l’accesso all’intera rete e consentirne solo uno. Oppure puoi anche limitare l’accesso all’host C.
Se l’ingegnere dell’host C deve accedere a un server Web situato nella rete finanziaria, puoi consentire solo la porta 80 e bloccare tutto il resto.
Dove è possibile posizionare un ACL?
I dispositivi che si trovano ad affrontare reti esterne sconosciute, come Internet, devono avere un modo per filtrare il traffico. Quindi, uno dei posti migliori per configurare un ACL è sui router edge.,
Un dispositivo di routing con un ACL può essere posizionato di fronte a Internet e collegare la DMZ (Zona De-Militarizzata), che è una zona cuscinetto che divide l’Internet pubblico e la rete privata.
La DMZ è riservata ai server che necessitano di accesso dall’esterno, come server Web, server app, server DNS, VPN, ecc.
Come mostrato nell’immagine qui sotto, il design mostra una DMZ divisa da due dispositivi, uno che separa la zona trusted dalla DMZ e un altro che la separa con Internet (rete pubblica).,
Il router rivolto verso Internet funge da gateway per tutte le reti esterne. Fornisce sicurezza generale bloccando sottoreti più grandi di uscire o in.
È anche possibile configurare un ACL in questo router per proteggere da specifiche porte ben note (TCP o UDP).
Il router interno, situato tra la DMZ e la zona Trusted, può essere configurato con regole più restrittive per proteggere la rete interna. Tuttavia, questo è un ottimo posto per scegliere un firewall stateful su un ACL.
Ma perché è meglio posizionare un ACL vs., Firewall stateful per proteggere la DMZ?
Gli ACL sono configurati direttamente nell’hardware di inoltro di un dispositivo, in modo da non compromettere le prestazioni finali.
Posizionare un firewall stateful per proteggere una DMZ può compromettere le prestazioni della rete.
La scelta di un router ACL per proteggere le risorse ad alte prestazioni, come applicazioni o server può essere un’opzione migliore. Anche se le ACL potrebbero non fornire il livello di sicurezza offerto da un firewall stateful, sono ottimali per gli endpoint della rete che necessitano di alta velocità e protezione necessaria.
Quali sono i componenti di un ACL?,
L’implementazione per le ACL è abbastanza simile nella maggior parte delle piattaforme di routing, tutte dotate di linee guida generali per la loro configurazione.
Ricorda che un ACL è un insieme di regole o voci. Puoi avere un ACL con voci singole o multiple, dove ognuna dovrebbe fare qualcosa, può essere permettere tutto o bloccare nulla.
Quando definisci una voce ACL, avrai bisogno delle informazioni necessarie.
- Numero di sequenza:
Identificare una voce ACL utilizzando un numero. - Nome ACL:
Definire una voce ACL utilizzando un nome., Invece di utilizzare una sequenza di numeri, alcuni router consentono una combinazione di lettere e numeri. - Nota:
Alcuni router consentono di aggiungere commenti in un ACL, che può aiutare ad aggiungere descrizioni dettagliate. - Dichiarazione:
Nega o permetti una fonte specifica in base all’indirizzo e alla maschera con caratteri jolly. Alcuni dispositivi di routing, come Cisco, configurano un’istruzione deny implicita alla fine di ogni ACL per impostazione predefinita. - Protocollo di rete:
Specificare se negare / permesso IP, IPX, ICMP, TCP, UDP, NetBIOS, e altro ancora., - Origine o destinazione:
Definire la destinazione di origine o di destinazione come un singolo IP, un intervallo di indirizzi (CIDR) o tutti gli indirizzi. - Log:
Alcuni dispositivi sono in grado di mantenere i registri quando vengono trovate corrispondenze ACL. - Altri criteri:
Gli ACL avanzati consentono di utilizzare il controllo del traffico attraverso il Tipo di servizio (ToS), la precedenza IP e la priorità DSCP (Differentiated Services codepoint).
Quali sono i tipi di ACL?
Esistono quattro tipi di ACL che è possibile utilizzare per scopi diversi, questi sono ACL standard, estesi, dinamici, riflessivi e basati sul tempo.,
ACL standard
L’ACL standard mira a proteggere una rete utilizzando solo l’indirizzo di origine.
È il tipo più semplice e può essere utilizzato per distribuzioni semplici, ma sfortunatamente non fornisce una sicurezza elevata. La configurazione per un ACL standard su un router Cisco è la seguente:
ACL esteso
Con l’ACL esteso, è anche possibile bloccare origine e destinazione per singoli host o intere reti.
È inoltre possibile utilizzare un ACL esteso per filtrare il traffico in base alle informazioni del protocollo (IP, ICMP, TCP, UDP).,
La configurazione di un ACL esteso in un router Cisco per TCP è la seguente:
ACL dinamico
ACL dinamici, si basano su ACL estesi, Telnet, e l’autenticazione. Questo tipo di ACL sono spesso indicati come” Serratura e chiave ” e può essere utilizzato per tempi specifici.
Questi elenchi consentono l’accesso di un utente a un’origine o a una destinazione solo se l’utente si autentica al dispositivo tramite Telnet.
La seguente è la configurazione di un ACL dinamico in un router Cisco.,
ACL riflessivo
ACL riflessivo sono anche indicati come ACL sessione IP. Questi tipi di ACL filtrano il traffico in base alle informazioni sulla sessione del livello superiore.
Reagiscono alle sessioni originate all’interno del router per consentire il traffico in uscita o limitare il traffico in entrata. Il router riconosce il traffico ACL in uscita e crea una nuova voce ACL per l’ingresso.
Al termine della sessione, la voce viene rimossa.,
La configurazione di un ACL riflessivo in un router Cisco è la seguente:
Come implementare un ACL sul router?
La comprensione del traffico in entrata e in uscita (o in entrata e in uscita) in un router è fondamentale per una corretta implementazione dell’ACL.
Quando si impostano le regole per un ACL, tutti i flussi di traffico si basano sul punto di vista dell’interfaccia del router (non sulle altre reti).
Come potete vedere dall’immagine qui sotto, il traffico di ingresso è il flusso proveniente da una rete, sia esterna che interna, nell’interfaccia del router., Il traffico in uscita, d’altra parte, è il flusso dall’interfaccia che esce in una rete.
Affinché un ACL funzioni, applicalo all’interfaccia di un router. Poiché tutte le decisioni di routing e inoltro sono prese dall’hardware del router, le istruzioni ACL possono essere eseguite molto più velocemente.
Quando si crea una voce ACL, l’indirizzo di origine va prima e la destinazione va dopo. Prendiamo l’esempio della configurazione ACL estesa per IP su un router Cisco. Quando si crea una regola Deny / Permit, è necessario prima definire l’origine e quindi l’IP di destinazione.,
Il flusso in entrata è la fonte di tutti gli host o la rete e l’uscita è la destinazione di tutti gli host e le reti.
Qual è la fonte se si desidera bloccare il traffico proveniente da Internet?
Ricorda che il traffico in entrata proviene dalla rete esterna all’interfaccia del router.
Quindi l’origine è un indirizzo IP da Internet (un indirizzo IP pubblico del server Web) o tutto (maschera jolly di 0.0.0.0) e la destinazione è un indirizzo IP interno.,
Al contrario, cosa succede se cosa bloccare un host specifico per connettersi a Internet?
Il traffico in entrata proviene dalla rete interna all’interfaccia del router e va a Internet. Quindi l’origine è l’IP dall’host interno e la destinazione è l’indirizzo IP su Internet.
Sommario
Gli ACL sono i filtri dei pacchetti di una rete.
Possono limitare, consentire o negare il traffico che è essenziale per la sicurezza., Un ACL consente di controllare il flusso di pacchetti per un singolo o gruppo di indirizzi IP o diversi per protocolli, come TCP, UDP, ICMP, ecc.
Posizionare un ACL sull’interfaccia sbagliata o cambiare erroneamente origine / destinazione può creare un impatto negativo sulla rete. Una singola dichiarazione ACL può lasciare un’intera attività senza Internet.
Per evitare prestazioni negative è fondamentale comprendere i flussi di traffico in entrata e in uscita, come funzionano gli ACL e dove posizionarli., Ricorda che il lavoro di un router è quello di inoltrare il traffico attraverso l’interfaccia giusta in modo che un flusso possa provenire (in entrata) o uscire (in uscita).
Sebbene un firewall stateful fornisca una sicurezza molto migliore, può compromettere le prestazioni della rete. Ma un ACLS viene distribuito direttamente sull’interfaccia e il router utilizza le sue funzionalità hardware per elaborarlo, rendendolo molto più veloce e fornendo comunque un buon livello di sicurezza.
Lascia un commento