Curs TSCR

ACL

Obiective

Prezentarea mecanismului de filtrare a pachetelor folosind listele pentru controlul accesului. Configurarea listelor pentru controlul accesului

liste standard liste extinse

iltrarea pachetelor

Controlul accesului !ntr"o re#ea$

analiza pachetelor la intrarea !n %i ie%irea din rutere permisiuni %i interdic#ii pe baza unui set predefinit de criterii

iltrarea pachetelor poate fi efectuat& de c&tre rutere' decizia fiind luat& !n func#ie de$

adresele (P surs& %i)sau destina#ie porturile surs& %i)sau destina#ie protocoalele transportate !n pachetul (P

iltrarea pachetelor * exemplu +,-

iltrare a pachetelor * exemplu +.-

Listele pentru controlul accesului

Sunt liste secven#iale care includ$

reguli pentru permisiuni reguli pentru interdic#ii

(nforma#iile supuse analizei sunt extrase din antetul pachetelor (P %i sunt comparate cu specifica#iile fiec&rei reguli. Se poate defini o list& de control ) protocol +(P' (P/ etc- ) interfa#& + ast0thernet 1)1 etc- ) direc#ie +(2 sau O3T-

4odul de fun#ionare ACL +la intrarea !n ruter-

4odul de fun#ionare ACL +la ie%irea din ruterOutbound ACLs

Tipuri ACL pe ruterele Cisco

Liste standard

(Pv5 %i (Pv6 filtreaz& traficul doar pe baza (P"ului surs& se plaseaz& c7t mai aproape de destina#ie

Liste extinse

filtreaz& traficul !n func#ie de

(P surs& %i destin#ie port surs& %i detsina#ie tipul protocolului

se plaseaz& c7t mai aproape de sursa filtrat&

Liste complexe

liste dinamice

liste reflexive
liste temporale

ACL denumite

Listele pentru controlul accesului se pot identifica prin

numere

,"88 %i ,911",888 pentru liste standard ,11",88 %i .111".688 pentru liste extinse nu se pot adauga sau %terge intr&rile din liste con#in caractere alfanumerice nu con#in spa#ii sau semne de punctua#ie trebuie s& !nceap& cu o liter& se pot adauga sau %terge intr&rile din liste

nume

ACL * :est practices

Trebuie respectat& politica de securitate a organiza#iei

se asigur& implementarea ghidului de securitate al organiza#iei a;ut& la evitarea problemelor de acces

Trebuie ad&ugate descrieri privind ceea ce fac regulile

0ste indicat& utilizarea unui editor de etexete pentru editarea %i salvarea regulilor

permite crearea unei biblioteci de ACL"uri reutilizabile

Rgulile trebuie testate !ntr"o re#ea de test !nainte de implementarea !ntr"o re#ea de produc#ie

se evit& erorile costisitoare

Sintaxa comenzilor pentru ACL"urile standard

Configurare ACL standard " exemplu "

access"list . den< host ,8..,6=.,1., access"list . permit ,8..,6=.,1.1 1.1.1..>> access"list . den< ,8..,6=.1.1 1.1..>>..>> access"list . permit ,8..1.1.1 1..>>..>>..>>

Logica ACL"urilor standard

0xemplu ACL standard

S& se blocheze doar accesul de la ,1.1.1.9 !n re#eaua 51.1.1.1

R2>enable R2#configure terminal R2(config)#access-list 1 deny host 10.0.0.3 R2(config)#access-list 1 permit any R2(config)#interface ast!thernet 0"1 R2(config-if)#ip access-group 1 out

ACL standard pentru controlul accesului ?T@

Sintaxa ACL extinse

Configurare ACL extinse " exemple "

0xemplu ACL extins

3tilizarea wildcard mask

:ibliografie

CC2A 0xploration 5.1' Routing Protocols and Concepts