in de computerwereld is een ACL een van de meest fundamentele componenten van beveiliging.

een toegangscontrolelijsten ” ACL ” is een functie die inkomend en uitgaand verkeer in de gaten houdt en vergelijkt met een set gedefinieerde statements.

in dit artikel gaan we dieper in op de functionaliteit van ACL ’s en beantwoorden we de volgende veelgestelde vragen over ACL’ s?

  1. Wat is een toegangsbeheerlijst?
  2. waarom een ACL gebruiken?,
  3. waar kunt u een ACL plaatsen?
  4. Wat zijn de componenten van een ACL?
  5. Wat zijn de typen ACL ‘ s?
  6. hoe implementeer ik een ACL op een Router?

Wat is een toegangsbeheerlijst?

toegangscontrolelijsten” ACL ‘ s ” zijn netwerkverkeerfilters die inkomend of uitgaand verkeer kunnen regelen.

ACL ‘ s werken aan een set regels die bepalen hoe een pakket doorgestuurd of geblokkeerd moet worden op de interface van de router.

een ACL is hetzelfde als een stateless Firewall, die alleen de pakketten beperkt, blokkeert of toestaat die van bron naar bestemming stromen.,

wanneer u een ACL definieert op een routeringsapparaat voor een specifieke interface, zal al het verkeer dat doorstroomt worden vergeleken met het ACL statement dat het zal blokkeren of toestaan.

de criteria voor het definiëren van de ACL-regels kunnen de bron, de bestemming, een specifiek protocol of meer informatie zijn.

ACL ‘ s zijn gebruikelijk in routers of firewalls, maar ze kunnen ze ook configureren in elk apparaat dat in het netwerk draait, van hosts, netwerkapparaten, servers, enz.

waarom een ACL gebruiken?

het belangrijkste idee van het gebruik van een ACL is om beveiliging te bieden aan uw netwerk., Zonder dat, elk verkeer is ofwel toegestaan om in of uit te gaan, waardoor het kwetsbaarder voor ongewenst en gevaarlijk verkeer.

om de beveiliging met een ACL te verbeteren, kunt u bijvoorbeeld specifieke routeringsupdates weigeren of verkeersstroombeheer bieden.

zoals in de afbeelding hieronder te zien is, heeft het routeringsapparaat een ACL die toegang tot host C weigert in het financiële netwerk, en tegelijkertijd staat het toegang toe tot host D.

met een ACL kunt u pakketten filteren op één of groep IP-adressen of verschillende protocollen, zoals TCP of UDP.,

dus bijvoorbeeld, in plaats van slechts één host in het engineering team te blokkeren, kunt u toegang tot het hele netwerk weigeren en slechts één toestaan. U kunt ook de toegang tot host C beperken.

als de Engineer van host C toegang moet krijgen tot een webserver in het financiële netwerk, kunt u alleen poort 80 toestaan en al het andere blokkeren.

waar kunt u een ACL plaatsen?

de apparaten die worden geconfronteerd met onbekende externe netwerken, zoals het Internet, moeten een manier hebben om verkeer te filteren. Dus, een van de beste plaatsen om een ACL te configureren is aan de rand routers.,

een routeringsapparaat met een ACL kan naar het Internet gericht worden geplaatst en de DMZ (De-Militarized Zone) verbinden, wat een bufferzone is die het openbare Internet en het particuliere netwerk verdeelt.

de DMZ is gereserveerd voor servers die toegang van buitenaf nodig hebben, zoals webservers, app-servers, DNS-servers, vpn ‘ s, enz.

zoals weergegeven in de afbeelding hieronder, toont het ontwerp Een DMZ gedeeld door twee apparaten, een die de vertrouwde zone scheidt van de DMZ en een andere die het scheidt met het Internet (openbaar netwerk).,

de router gericht op het Internet fungeert als een gateway voor alle externe netwerken. Het biedt algemene veiligheid door het blokkeren van Grotere subnetten uit te gaan of in.

U kunt ook een ACL in deze router configureren om te beschermen tegen specifieke bekende Poorten (TCP of UDP).

de interne router, die zich tussen de DMZ en de vertrouwde Zone bevindt, kan worden geconfigureerd met restrictievere regels om het interne netwerk te beschermen. Dit is echter een geweldige plek om een stateful firewall boven een ACL te kiezen.

maar waarom is het beter om een ACL vs., Stateful Firewall om de DMZ te beschermen?

ACL ‘ s worden direct geconfigureerd in de doorstuurhardware van een apparaat, zodat ze de eindprestaties niet in gevaar brengen.

het plaatsen van een stateful firewall om een DMZ te beschermen kan de prestaties van uw netwerk in gevaar brengen.

een ACL-router kiezen om high-performance assets, zoals applicaties of servers, te beschermen kan een betere optie zijn. Hoewel ACL ‘ s mogelijk niet het beveiligingsniveau bieden dat een stateful firewall biedt, zijn ze optimaal voor eindpunten in het netwerk die hoge snelheid en noodzakelijke bescherming nodig hebben.

Wat zijn de componenten van een ACL?,

de implementatie voor ACLs is vrijwel gelijk in de meeste routeringsplatformen, die allemaal algemene richtlijnen hebben voor het configureren ervan.

onthoud dat een ACL een verzameling regels of regels is. U kunt een ACL met enkele of meerdere items, waar elk wordt verondersteld om iets te doen, het kan zijn om alles toe te staan of niets te blokkeren.

wanneer u een ACL-ingang definieert, hebt u de nodige informatie nodig.

  1. volgnummer:
    Identificeer een ACL-vermelding met behulp van een nummer.
  2. ACL-naam:
    Definieer een ACL-ingang met behulp van een naam., In plaats van een reeks getallen te gebruiken, staan sommige routers een combinatie van letters en cijfers toe.
  3. opmerking:
    Sommige Routers staan u toe om opmerkingen toe te voegen aan een ACL, wat u kan helpen om gedetailleerde beschrijvingen toe te voegen.
  4. Statement:
    Een specifieke bron weigeren of toestaan op basis van adres en jokermasker. Sommige routeringsapparaten, zoals Cisco, configureren standaard een impliciete weigeringsverklaring aan het einde van elke ACL.
  5. netwerkprotocol:
    geef aan of IP, IPX, ICMP, TCP, UDP, NetBIOS en meer geweigerd/toegestaan zijn.,
  6. bron of bestemming:
    Definieer het bron-of doeldoel als één IP, een adresbereik (CIDR) of alle adressen.
  7. Log:
    Sommige apparaten kunnen logs bijhouden wanneer ACL-overeenkomsten worden gevonden.
  8. andere Criteria:
    Met geavanceerde ACL ‘ s kunt u verkeer beheren via de prioriteit type Service (ToS), IP-prioriteit en DSCP-prioriteit (Differential services codepoint).

Wat zijn de typen ACL ‘ s?

Er zijn vier soorten ACL ’s die u voor verschillende doeleinden kunt gebruiken, dit zijn standaard, uitgebreid, dynamisch, reflexief en op tijd gebaseerde ACL’ s.,

standaard ACL

De standaard ACL is bedoeld om een netwerk te beschermen met alleen het bronadres.

het is het meest basale type en kan worden gebruikt voor eenvoudige implementaties, maar helaas biedt het geen sterke beveiliging. De configuratie voor een standaard ACL op een Cisco-router is als volgt:

Extended ACL

met de extended ACL kunt u ook bron en bestemming blokkeren voor afzonderlijke hosts of hele netwerken.

u kunt ook een uitgebreide ACL gebruiken om verkeer te filteren op basis van protocolinformatie (IP, ICMP, TCP, UDP).,

De configuratie van een uitgebreide ACL in een Cisco-router voor TCP is als volgt:

dynamische ACL

dynamische ACL ‘s, vertrouw op uitgebreide ACL’ s, Telnet en authenticatie. Dit type ACL ‘ s worden vaak aangeduid als “Lock and Key” en kan worden gebruikt voor specifieke termijnen.

deze lijsten geven een gebruiker alleen toegang tot een bron of bestemming als de gebruiker zich via Telnet bij het apparaat aanmeldt.

het volgende is de configuratie van een dynamische ACL in een Cisco-router.,

reflexieve ACL

reflexieve ACL ’s worden ook IP-sessie-ACL’ s genoemd. Dit type ACL ‘ s filtert verkeer op basis van sessie-informatie in de bovenste laag.

ze reageren op sessies die binnen de router zijn ontstaan om uitgaand verkeer toe te staan of inkomend verkeer te beperken. De router herkent het uitgaande ACL-verkeer en maakt een nieuwe ACL-vermelding voor de inkomende.

wanneer de sessie voltooid is, wordt het item verwijderd.,

de configuratie van een reflexieve ACL in een Cisco router is als volgt:

hoe implementeer je een ACL op je Router?

inzicht in inkomend en uitgaand verkeer (of inkomend en uitgaand) in een router is cruciaal voor een goede ACL-implementatie.

bij het instellen van regels voor een ACL worden alle verkeersstromen gebaseerd op het gezichtspunt van de interface van de router (niet op de andere netwerken).

zoals u kunt zien in de afbeelding hieronder, is inkomend verkeer de stroom die van een netwerk komt, of het nu extern of intern is, naar de interface van de router., De uitgang verkeer, aan de andere kant, is de stroom van de interface uit te gaan in een netwerk.

om een ACL te laten werken, moet u deze toepassen op de interface van een router. Omdat alle routing en forwarding beslissingen worden gemaakt van de hardware van de router, kunnen de ACL statements veel sneller worden uitgevoerd.

wanneer u een ACL-ingang maakt, gaat het bronadres eerst en gaat de bestemming erna. Neem het voorbeeld van de uitgebreide ACL-configuratie voor IP op een Cisco-Router. Wanneer u een Deny/Permit-regel maakt, moet u eerst de bron definiëren en vervolgens het doel-IP.,

de inkomende stroom is de bron van alle hosts of netwerken, en de uitgaande is de bestemming van alle hosts en netwerken.

Wat is de bron Als u verkeer van het Internet wilt blokkeren?

onthoud dat inkomend verkeer van het externe netwerk naar uw routerinterface komt.

dus de bron is een IP-adres van het Internet (een publiek IP-adres van de webserver) of alles (wildcard mask van 0.0.0.0), en de bestemming is een intern IP-adres.,

integendeel, wat als u een specifieke Host blokkeert om verbinding te maken met het Internet?

het inkomende verkeer komt van het interne netwerk naar uw routerinterface en gaat naar het Internet. Dus de bron is het IP van de interne host, en de bestemming is het IP-adres op het Internet.

samenvatting

ACL ‘ s zijn de pakketfilters van een netwerk.

ze kunnen verkeer beperken, toestaan of weigeren dat essentieel is voor de beveiliging., Met een ACL kunt u de stroom van pakketten voor een enkele of groep van IP-adres of verschillende voor protocollen, zoals TCP, UDP, ICMP, enz.

het plaatsen van een ACL op de verkeerde interface of het per ongeluk wijzigen van bron/bestemming kan een negatieve impact hebben op het netwerk. Een enkele ACL-verklaring kan een hele onderneming verlaten zonder het Internet.

om negatieve prestaties te voorkomen is cruciaal om de inkomende en uitgaande verkeersstromen te begrijpen, hoe ACL ‘ s werken en waar ze moeten worden geplaatst., Vergeet niet dat de taak van een router is om het verkeer door te sturen via de juiste interface, zodat een flow kan komen (inkomend) of uitgaan (uitgaand).

hoewel een stateful firewall een veel betere beveiliging biedt, kunnen ze de prestaties van het netwerk in gevaar brengen. Maar een ACLs wordt ingezet recht op de interface, en de router maakt gebruik van de hardware mogelijkheden om het te verwerken, waardoor het veel sneller en nog steeds het geven van een goed niveau van beveiliging.