Access
Control
Lists

ds

Lists

ACL

w2

D. Strz

ę

ciwilk PhD

Network Security

Zabezpieczanie sieci

Firewall

(sprz

ę

towe, programowe)

Access control lists

(ACLs)

Standard

Extended

SGGW

Extended

Named Access Control Lists

Inne

Komunikacja TCP

Etapy przy nawi

ą

zywaniu i ko

ń

czeniu poł

ą

czenia TCP

SGGW

Lista ACL

Sekwencyjna lista instrukcji

Router na podstawie ACL przypisuje do pakiet polecenie

permit

lub

deny

...s

ą

sprawdzane

sekwencyjnie

,

SGGW

...s

ą

sprawdzane

sekwencyjnie

,

...s

ą

sprawdzane

tylko do pierwszego

dopasowania (packet

matches) i proces jest przerywany,

... mog

ą

wspiera

ć

ró

ż

ne protokoły

(for all supported routed

protocols),

...ka

ż

dy protokół musi mie

ć

ró

ż

n

ą

ACL

dla ka

ż

dego interfejsu,

...musz

ą

by

ć

przypisane

do kierunku

… na ko

ń

cu jest

implicit “deny any

”

ACL

SGGW

In/outbound ACLsACL

SGGW

Standartowe ACL

Standard Access Lists

numerowane od

1 do 99

.

filtruj

ą

tylko (permit or deny)

source addresses

nie maj

ą

informacji typu

destination information

SGGW

nie maj

ą

informacji typu

destination information

musz

ą

by

ć

umieszczone

as close to the destination

as possible

!

Pracuj

ą

w 3 warstwie modelu OSI

Standartowe ACL

Dlaczego musz

ą

by

ć

umieszczone

as close to the destination as

possible?

SGGW

Je

ś

li zało

ż

ymy standardow

ą

ACL na A to

zablokujemy

ruch do

router D, B oraz C ( wszystkie pakiety maja ten sam source
address)

Standartowe ACL

Jak zablokowa

ć

ruch z PC Paula do Lisy?

Router Name _A____________ Interface _E0________

SGGW

Standartowe ACL

Składnia

SGGW

Standartowe ACL

Składnia

SGGW

Standard Access Control Lists

Składania

SGGW

access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Standard Access Control Lists

Interface in/out

SGGW

Kontrola VTY

Brak edytora

Named Access Control Lists

Lista blokuj

ą

ca komputer na Routerze A, interface E1

SGGW

Show ACL

Show

SGGW

Extended Access
Lists

ds

Lists

ACL

Extended Access Lists

S

ą

numerowane

od 100 do 199

.

S

ą

umieszczane

close to the source

.

Pracuj

ą

w

3 oraz 4

warstwie OSI

Filtrowanie ruch (permit or deny) mo

ż

e by

ć

oparte na:

SGGW

Filtrowanie ruch (permit or deny) mo

ż

e by

ć

oparte na:

source address

destination address

protocol

port number

Dlaczego as close to the source as possible?

Ruch z Juan’s computer do Janet’s

Ruch jest przepuszczany/blokowany na podstawie

adresu destination

,

Routery B, C otrzymaj

ą

cały ruch do D gdzie b

ę

dzie on

zablokowany

SGGW

zablokowany

Extended Access Lists

Jak zablokowa

ć

ruch z Paul do Lisy?

Router Name _B__________ Interface _FA1______

SGGW

Extended Access Lists

Składnia

SGGW

Extended Access Lists

Składnia

SGGW

Przykład Extended Access Lists

Blokowanie ruchu HTTP do servera 192.168.207.27,
pozwalamy pozostały ruch HTTP w sieci 192.168.207.0
Zabroniony jest inny ruch

Keep in mind that there

may be multiple ways

many of

the individual statements in an ACL can be written.

SGGW

the individual statements in an ACL can be written.

Wildcard Masks

IP Address and subnet mask:

204.100.100.0

255.255.255.0

IP Address and wildcard mask:

204.100.100.0

0.0.0.255

SGGW

204.100.100.0

0.0.0.255

IP Address

10.10.150.95

0.0.0.0

(This address

must match exactly!)

Wildcard Masks

Dopasowanie hosta – metody

Standard access lists:

Access-List 10 permit 192.168.150.50 0.0.0.0

Access-List 10 permit 192.168.150.50

SGGW

Access-List 10 permit 192.168.150.50

Access-List 10 permit host 192.168.150.50

Extended access lists:

Access-list 110 deny ip 192.168.150.50 0.0.0.0 any

Access-list 110 deny ip host 192.168.150.50 any

Wildcard Masks

Dopasowanie dla podsieci

Ex 1

Address:

192.168.50.0

Subnet Mask:

255.255.255.0

Access-list 25 deny 192.168.50.0 0.0.0.255

SGGW

Ex 2

Address:

172.16.0.0

Subnet Mask:

255.255.0.0

Access-list 12 permit 172.16.0.0 0.0.255.255

Ex 3

Address:

10.0.0.0

Subnet Mask:

255.0.0.0

Access-list 125 deny udp 10.0.0.0 0.255.255.255 any

Wildcard Masks

Dopasowanie zakresu podsieci

Ex 1

Address:

10.250.50.112

Subnet Mask:

255.255.255.224

Access-list 125 permit udp 10.250.50.112

0.0.0.31

any

SGGW

Access-list 125 permit udp 10.250.50.112

0.0.0.31

any

255.255.255.255

-

255.255.255.224

________________

Wildcard:

0.0.0.31

Wildcard Masks

Dopasowanie zakresu podsieci

Ex 2

Address Range:

192.168.16.0

to

192.168.16.127

Access-list 125 deny ip

192.168.16.0 0.0.0.127

any

SGGW

Access-list 125 deny ip

192.168.16.0 0.0.0.127

any

(This ACL would block the lower half of the subnet.)

192.168.16.127

-

192.168.16.0

________________

Wildcard: 0.0.0.127

Wildcard Masks

Dopasowanie zakresu podsieci

Ex 3

Address:

172.250.16.32

to

172.250.31.63

Access-list 125 permit ip 172.250.16.32 0.0.15.31 any

SGGW

Access-list 125 permit ip 172.250.16.32 0.0.15.31 any

172.250.31.63

-

172.250.16.32

_____________

Wildcard: 0.0.15.31

Match everyone

Dopasowanie everyone

Ex 4

For standard access lists:

Access-List 15

permit any

SGGW

Access-List 15

permit any

lub

Access-List 15 deny

0.0.0.0 255.255.255.255

For extended access lists:

Access-List 175 permit ip

any any

lub

Access-List 175 deny tcp

0.0.0.0 255.255.255.255 any

Porty - Numbers

Well Known Ports

0 do 1023

Registered Ports

1024 do 49 151

SGGW

1024 do 49 151

Dynamic and/or Private Ports

49 152 do 65 535

http://www.iana.org/assignments/port-numbers

Porty - Numbers

Well Known Ports

0 do 1023

Registered Ports

1024 do 49 151

SGGW

1024 do 49 151

Dynamic and/or Private Ports

49 152 do 65 535

ACL

SGGW

ACL

Locate

extended ACLs

as close as possible to the

source

of the traffic denied.

Standard ACLs

do not specify destination addresses,

place them

as close to the destination as possible

SGGW

ACL names are

case sensitive

Remark keyword

to include comments (remarks)

ACL

Show ACL

SGGW

Lab

ds

Implementing and Troubleshooting ACLs