BIT Academy

Cisco Networking Academy

www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor

NETWORK SECURITY v1.0 – CAPITOLUL 08 - ACCESS CONTROL LISTS

1. ACCESS CONTROL LISTS – concepte

2. CLASIFICARE
3. SINTAXA GENERALA
4. NAMED ACL
5. FILTRAREA ACCESULUI PE ECHIPAMENT

1. ACCESS CONTROL LISTS – concepte

• Un ACL este o lista ierarhizata de declaratii (statements) care se numesc:

ACE = ACCESS CONTROL ENTRY
• Un ACE poate fi de tip permit sau deny si este folosit pentru identificarea si prelucrarea traficului;
• ACL se poate folosi la :
• Filtrarea traficului in general
=> lista de acces se aplica pe o interfata
• Filtrarea traficului de management
=> lista de acces de aplica pe liniile vty
• Politici de Quality of Service
=> prioritizarea traficului
• Implementarea mecanismelor de translatie a adreselor (NAT)

Exemplu: doar unele hosturi din reteaua 192.168.1.0/24 pot avea acces la internet:

R(config)# access-list 5 permit 192.168.1.7 0.0.0.0

R(config)# access-list 5 permit 192.168.1.128 0.0.0.63
R(config)# access-list 5 deny any

• Reguli generale
• Access Control Entries – se parcurg de sus in jos (linie cu linie)
• Cand exista o potrivire (match) cu un ACE se opreste parcurgerea ACE si se aplica actiunea
indicata de acel ACE
• Daca nu se potriveste nici un ACE, atunci se va potrivi ultimul ACE – de tip “deny all” –
TRAFICUL CARE NU E PERMIS EXPLICIT , VA FI RESTRICTIONAT IMPLICIT !
• Ultimul ACE - “deny all” - este invizibil .
• Intrebare: ce va face un ACL care nu contine nici un ACE cu permit ?

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
1
 BIT Academy
Cisco Networking Academy
www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor

2. CLASIFICARE

• STANDARD ACL
• Filtreaza traficul doar in functie de adresa IP sursa
• Poate fi numerotat de la 1 la 99 sau de la 1300 la 1999
• Are o sintaxa simpla
• Utilizeaza minim procesorul echipamentului
• EXTENDED ACL
• Filtreaza traficul in functie de criterii complexe:
• Tip protocol (din headerul IP)
• Adrese IP sursa si IP destinatie
• Port sursa si Port destinatie
• Flag-uri TCP (syn, ack, syn+ack)
• Poate fi numerotat de la 100 la 199 sau de la 2000 la 2699
• Are o sintaxa complexa
• Utilizeaza intensiv procesorul echipamentului

• Exemplu pentru standard ACL :

R(config)# access-list 5 permit host 192.168.1.7
• Exemplu pentru extended ACL :
R(config)# access-list 100 permit tcp host 192.168.1.7 any eq 80
• Cuvinte cheie utile:
host = identifica wildcard 0.0.0.0 (trebuie sa se potriveasca toti bitii din adresa IP) => identifica
in mod unic un host
any = wildcard 255.255.255.255 (nu trebuie sa se potriveasca pe nici un bit din adresa IP)
=>orice adresa IP se va potrivi

3. SINTAXA GENERALA

• STANDARD ACL
R(config)# access-list [nr] [actiune] [IP_sursa] [wildcard_sursa] [log]
• Semnificatii:
nr = numar de la 1 la 99 sau de la 1300 la 1999
actiune = permit / deny / remark
IP_sursa = adresa IP sursa a packetului care va fi analizat
wildcard_sursa = wildcard pentru IP sursa
log = se activeaza daca dorim sa avem un mesaj Syslog in consola/vty cand un packet face
match pe un ACE

• EXTENDED ACL
R(config)# access-list [nr] [actiune] [protocol] …
… [IP_sursa] [wildcard_sursa] [operator] [port_sursa] …
… [IP_dest] [wildcard_dest] [operator] [port_dest] …
… [lista_flags] [log]
Semnificatii:
nr = numar de la 100 la 199 sau de la 2000 la 2699
actiune = permit / deny / remark
Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
2
 BIT Academy
Cisco Networking Academy
www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor

protocol = tipul de protocol indicat in headerul network

IP_sursa = adresa IP sursa a packetului care va fi analizat
wildcard_sursa = wildcard pentru IP sursa
operator = poate fi un keyword de comparatie (eq, lt, gt)
port_sursa = stabileste portul sursa ca argument al operatorului anterior

IP_dest = adresa IP destinatie a packetului care va fi analizat

wildcard_dest = wildcard pentru IP destinatie
operator = poate fi un keyword de comparatie (eq, lt, gt)
port_dest = stabileste portul destinatieca argument al operatorului anterior
lista_flags = putem preciza anumite flag-uri din comunicatia de tip TCP (syn, ack, fin) sau dupa
starea conexiunii TCP (established)

4. NAMED ACL

In locul numarului, un ACL poate primi un nume astfel sintaxa de accesare a modului specific de
configurare va fi:

R(config)# ip access-list STANDARD|EXTENDED NAME

…….lista de ACEs

Exemple:

STANDARD :
R(config)# ip access-list standard [NUME]
R(config-std-nacl)# permit 192.168.1.0 0.0.0.255
EXTENDED :
R(config) ip access-list extended [NUME]
R(config-ext-nacl)# permit udp 192.168.1.0 0.0.0.255 host 8.8.8.8 eq 53
Vizualizare:
Router# show ip access-list
Extended IP access list TEST
10 permit udp 192.168.1.0 0.0.0.255 host 8.8.8.8 eq53
20 deny ip any any

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
3
 BIT Academy
Cisco Networking Academy
www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor

5. FILTRAREA ACCESULUI PE ECHIPAMENT

Sunt necesare 4 elemente:

1. Alegerea routerului pe care se va aplica lista de access
2. Definirea listei de acces pe acel router
3. Definirea interfetei pe care se va aplica lista de acces
4. Stabilirea sensului de trafic pe interfata deja definita

APLICAREA LISTEI DE ACCES PE INTERFATA si DIRECTIE

R(config)# interface fastethernet0/0
R(config-if)# ip access-group [nr] [in / out]
R(config-if)# exit

Regula generala : “Cele 3 litere P”

“O singura lista de acces pe protocol, pe directie, pe interfata”

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
4
 BIT Academy
Cisco Networking Academy
www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor

MODUL DE PLASARE AL LISTELOR DE ACCES

Listele de acces standard:

 pentru ca nu este specificata adresa IP destinatie, se plaseaza cat mai aproape de destinatia unde
se doreste filtrarea traficului

Listele de acces extinse:

 pentru ca permit filtrarea traficului dupa mai multe criterii , se recomanda plasarea lor cat mai
aproape de sursa traficului care urmeaza a fi filtrat

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
5
 BIT Academy
Cisco Networking Academy
www.bitacad.net
Stefan Iulian ENACHE – Senior Instructor

FILTRAREA ACCESULUI LA MANAGEMENTULUI UNUI ECHIPAMENT

• Se filtreaza doar pachetele care au ca destinatie liniile vty
• Pasi de configurare:
1. Definirea listei de acces
2. Aplicarea pe liniile vty :
R(config)# line vty 0 4
R(config-line)# ip access-class [nr. sau nume] in

IPv6 ACCESS CONTROL LISTS

Asemanari / Diferente fata de IPv4 ACL:
• Aplicare pe interfata (diferit):
(config-if)# ipv6 traffic-filter [nume] [in/out]
• Aplicare pe liniile vty (identic):
(config-line)# ipv6 access-class [nume] [in/out]
• Nu se utilizeaza wildcard ci doar prefix-length-ul adresei IPv6
• Exista reguli implicite suplimentare la sfarsitul ACL-ului
permit icmp any any nd-ns
permit icmp any any nd-na
deny ipv6 any any
• La vizualizare , sequence number apare la sfarsit si este numerotat

Studentul poate utiliza prezentul material si informatiile continute in el exclusiv in scopul asimilarii cunostintelor pe care le include, fara a afecta dreptul
de proprietate intelectuala detinut de BIT Academy.
6