1 / 16

CCNA2 – Module 11 Access Control Lists

CCNA2 – Module 11 Access Control Lists. Was ist eine ACL?. access-list 2 deny host 172.16.1.1 access-list 2 permit 172.16.1.0 0.0.0.255 access-list 2 deny 172.16.0.0 0.0.255.255 access-list 2 permit any. ip access-group 2 in.

brendan-hopper
Download Presentation

CCNA2 – Module 11 Access Control Lists

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. CCNA2 – Module 11Access Control Lists

  2. Was ist eine ACL? access-list 2 deny host 172.16.1.1 access-list 2 permit 172.16.1.0 0.0.0.255 access-list 2 deny 172.16.0.0 0.0.255.255 access-list 2 permit any ip access-group 2 in • Eine sequentielle Liste zusammengehöriger Paketfilter-Regeln (hier erkennbar an der "2", Reihenfolge ist relevant) • die auf den Datenverkehr eines Interfaces angewandt werden • und nur für eine Richtung des Verkehrs gelten (hier "in")! • Außerdem gilt die ACL nur für ein bestimmtes Protokoll (auch durch die "2" bestimmt – zugehörige Schlüssel später).

  3. ACL Anhand Routing-Tabelle zum Ausgangs-Interf.switchen. + + + + Match? Match? Match? Permit Permit Permit - - - - + - : Paket + + - Für uns - Verwerfen Arbeitsweise einer Interface-ACL (am Eingang eines Interfaces) Impliziter Deny

  4. Gesamter Prozess im Überblick

  5. Aufbau einer ACL • access-list <nummer> Die Nummer legt fest zu welcher ACL (Sammlung von Filterregeln) diese Regel gehört. • permit | deny Passende Pakete zulassen oder ablehnen. • <Filterbedingung> Je nach ACL-Typ (Standard, Extended) unterschiedliche Bedingungen möglich. Beispiel: access-list 2 permit 172.16.1.0 0.0.0.255

  6. Aufbau der Filterbedingungen bei Standard-ACL‘s • Bei Standard-ACL‘s kann nur die Absender-IP-Nummer geprüft werden. Die Bedingung besteht aus 2 Teilen: • 1. Teil: Eine einzelne IP-Nummer oder eine Netz-Identifikations-Nummer (Net-ID). • 2. Teil: Eine Wildcard-Maske die bestimmt welche Bit‘s des ersten Teil‘s für den Prüfvorgang relevant sind. • Die Wildcard-Mask hat also eine ähnliche Wirkung wie eine Subnet-Mask wobei ein gravierender Unterschied besteht: • „1“-Bit‘s kennzeichnen hier die irrelevanten Bit‘s. • „0“-Bit‘s kennzeichnen die auf Übereinstimmung zu prüfenden Bit‘s

  7. Wildcard-Mask 172.16.1.0  10101100 00010000 00000001 00000000 0.0.255.255  00000000 00000000 11111111 11111111 Maske ist gleichbedeutend zu („-“ ist „don‘t care“):  00000000 00000000 -------- -------- Filterregel lautet damit: Betroffen sind alle IP-Nummern mit folgendem Muster   10101100 00010000 -------- --------

  8. Wildcard-Mask • Im Gegensatz zu einer Subnet-Mask können nach dem ersten „1“-Bit auch wieder „0“-Bit‘s auftreten (gemischt). IP-Nummer: 172.16.1.17  10101100 00010000 00000001 00010001 Wildcard-Mask: 0.0.0.239  00000000 00000000 00000000 11101111 Betroffen sind alle IP-Nummern nach folgendem Muster:  10101100 00010000 00000001 ---1---- D.h. folgende Host-Bereiche im Netz 172.16.1.0/24 sind betroffen: 16-31, 48-63, 80-95, 112-127, 144-159, 176-191, 208-223, 240-254

  9. Wildcard-Mask – „Sonderformen“ • 172.16.15.5 0.0.0.0 Ist genau eine IP-Nummer (also ein Host). Kurzform  host 172.16.15.5Beispiel: access-list 2 permit host 172.16.15.5 • 172.16.15.5 255.255.255.255  Hier ist kein Bit relevant. Kann also gleich als 0.0.0.0 255.255.255.255 geschrieben werden. Hierfür gibt es die Kurzform  anyBeispiel: access-list 2 deny any

  10. Befehle rund um ACL's • access-list <nummer> ... • ip access-list ... • ip access-group <nummer> [in|out] • show running-config • show ip interface • show access-lists

  11. Nummernbereiche für ACL's Die ACL-Nummer (beachten Sie erneut, dass sich dahinter im allgemeinen mehrere Regeln verbergen) legt fest welche Art von ACL vorliegt. *) *) Der unterste Bereich – Standard ACL's – beginnt nicht bei 0 sondern bei 1!!

  12. Extended ACL's • Können folgende Test's durchführen: • Protokoll (z.B. IP, ICMP, TCP, UDP, IGRP) • Quell-IP-Nummer • Ziel-IP-Nummer • Ziel-Port-Nummer bzw. Ziel-Port-Bereiche • Verbindungsaufbau bzw. bestehende Verbindungen Vereinfachter Syntax: access-list <nummer> {permit|deny} <protocol> <source> <src-mask> [<operand> <operator>][<destination> <dest-mask> <operand> <operator>] [established]

  13. Named ACL's • Anstatt über Nummern kann eine ACL über aussagekräftige Namen bezeichnet werden. • Keine Beschränkung der ACL-Anzahl. • Einzelne Regeln können aus der ACL entfernt werden ohne gleich die ganze ACL löschen zu müssen. ACHTUNG: Erweiterung der ACL nur sequentiell am Ende möglich. • Standard und Extended ACL's möglich.

  14. Named ACL's • Eigener IOS-Mode für Konfiguration.ip access-list {standard|extended} name • Im nachfolgenden nacl-Mode können Regeln sequentiell erfasst werden. • Bei einzelner Regel bleibt "access-list <nummer>" einfach weg. Die Regeln beginnen also mit permit oder deny, der restliche Syntax wie schon gehabt. • Binden auf Interface wie vorher.

  15. Platzierung von ACL's im Netz • Standard ACL's können nur die Source-Adresse filtern. Sie sind damit sehr "grob" und unselektiv. Damit sie nicht zu viel abblocken sollten sie nahe am Zielnetzwerk angebracht werden. • Extended ACL's können schon am Quellnetzwerk sehr filigran den Teil des nicht erlaubten Netzverkehrs herausfiltern. Da sie damit auch die Netzlast verringern werden sie so nahe wie möglich an der Quelle angebracht.

  16. Firewall Exterior Bastion Host als Layer 7 Gateway Interior

More Related