In acest articol incepem discutia despre ACL (Access Control List). Vom afla ce sunt acestea, cum functioneaza si de ce avem nevoie de ele intr-o retea. Hai sa incepem !

Informatii despre ACL  😎 

        Un ACL (Access Control List) reprezinta un set de reguli cu scopul de a bloca sau permite accesul dintr-o retea la o anumita resursa. Aceste reguli sunt setate pe Routere sau pe Firewall-uri.

“ACL-urile stau la baza conceptului de securitate (limitare a accesului) intr-o sau dintr-o retea (ex: Din Internet in reteaua Interna – LAN sau invers).”

Gandeste-te la acest concept, ca la un Bodyguard care sta la intrarea unui club in care se organizeaza o petrecere privata. Acesta va avea o lista cu toti invitatii la acea petrecere. Pe masura ce oamenii incearca sa intre in locatie, bodyguard-ul il va verifica pe fiecare in parte; se va uita pe lista (ACL) si va decide pentru fiecare persoana daca are voie in club sau nu. Practic daca te afli pe lista vei fi lasat sa intrii (permit) la petrecere, iar daca nu apari nu vei avea acces (deny) inauntru.

Urmareste tutorialul de mai jos pentru a afla mai multe despre ACL-uri:

       

Pentru inceput trebuie sa cream aceste reguli si sa le includem in ACL. Dupa cum vom vedea mai jos, aceste reguli pot varia: de la permiterea unei retele intregi sa acceseze o alta retea, la permiterea sau respingerea accesului a unui singur PC la un server pe un anumit port (ex: SSH – 22, Web – 80).

Dupa ce cream o astfel de lista de acces si adaugam reguli de permit sau deny, trebuie sa o punem in functie. Mai exact, trebuie sa alegem o interfata a Router-ului (sau a unui Firewall) pe care dorim sa o setam si directia (IN/OUT) in care vrem sa facem aceasta filtrare.

Exista 2 tipuri principale de ACL-uri:

  • ACL Standard
  • ACL Extended

1) ACL Standard

Scopul ACL-urilor de tip Standard este sa faca filtrarea traficului dupa IP-ul sursa !

Cel mai usor mod de a intelege este printr-un exemplu clar:

Sa spunem ca (din motive de securitate) PC-ului din reteaua A, cu IP-ul 10.0.0.8, nu ii vom da voie sa acceseze server-ul din reteaua S. Astfel tot ce trebuie sa facem este sa cream o lista de acces in care sa specificam acest lucru. Regulile acestei liste vor arata astfel:

#deny 10.0.0.8
#permit any

Aceasta regula va fi setata pe R2, pe interfata cea mai apropiata de server (in cazul acesta, cea direct conectata la server) in directia OUT. Am adaugat cea de a 2-a linie (permit any) deoarece, by default, la finalul fiecarui ACL apare o regula “implicita de deny” (#deny any). Noi dorim sa oprim traficul de la PC la server si sa permitem in rest orice alt tip de trafic.

Urmareste tutorialul de mai jos pentru a vedea cum poti sa configurezi un ACL standard:

2) ACL Extended

Scopul ACL-urilor de tip Extended este sa faca filtrarea traficului dupa:

  • IP Sursa
  • IP Destinatie
  • Port Sursa
  • Port Destinatie
  • Protocol (IP, TCP, UDP etc.)

Astfel, acest tip de liste ne ofera o flexibilitate mult mai mare cand vine vorba de control. Putem controla orice flux de trafic indiferent de sursa, destinatie si aplicatie folosita.

Urmareste tutorialul de mai jos pentru a afla mai multe despre ACL-urile Extended:

Sintaxa pentru ACL-urile Standard:

#ip access-list standard NUME

#permit ip_sursa wildcard_mask

Sintaxa pentru ACL-urile Extended:

#ip access-list extended NUME

#permit protocol ip_sursa wildcard_mask port_sursa ip_destinatie wildcard_mask port_destinatie

Setarea ACL-urilor pe Interfete

Cisco ne recomanda urmatoarele:

  • ACL standard se configureaza cat mai aproape de destinatie
  • ACL extended se configureaza cat mai aproape de sursa
#interface Gig 0/1

#ip access-group NUME_ACL [in/out]

Hai sa punem in Practica  🙂 

Cand vine vorba de configurarea ACL-urilor trebuie sa cream urmatoarele:

  1. Lista impreuna cu regulile de permit/deny in functie de nevoi
  2. Interfata pe care dorim sa aplicam aceste reguli
  3. Directia traficului (IN/OUT) de pe interfata

cum functioneaza un acl pe routere cisco

Dupa cum poti sa vezi si in imaginea de mai sus, traficul trimis din reteaua Switch-ului va INTRA (IN) pe interfata Router-ului si va IESII (OUT) pe interfata conectata la Server. Exact opusul se intampla atunci cand server-ul raspunde celui care l-a contactat.

Scenariu #1: Sa presupunem ca dorim sa oprim PC-ul (10.0.0.8) din retea A de a trimite orice tip de trafic catre  Server. In cazul acesta avem nevoie de o regula  care filtreaza dupa IP-ul sursa (ACL Standard).

Citeste si:  Ce este DHCP si cum se Configureaza un Server DHCP ? | Retelistica #10

Regulile vor arata astfel:

cum setez un acl standard pe router cisco

Cum verificam setarile ?  In primul rand vom genera trafic ICMP (ping) de la PC1 catre server (192.168. si dupa cum putem vedea in figura de mai jos, acesta nu merge.

Iata si dovada ca R2 a blocat traficul. Rezultatul comenzii #show access-list ne indica faptul ca avem 8 matches pe regula de deny pentru PC !

traficul icmp e blocat de firewall sau router cisco

Scenariu #2: Sa presupunem ca dorim sa oprim orice tip de trafic Web (HTTP – 80 – si HTTPS – 443 ) din reteaua PC-ului catre Internet. In cazul acesta avem nevoie de o regula mai specifica (de un ACL Extended). Regulile vor arata astfel:

#deny tcp host 10.0.0.8 any eq 80
#deny tcp host 10.0.0.8 any eq 443
#permit ip any any

Astfel, primele 2 reguli vor bloca traficul Web (port-urile 80 si 443) pentru PC catre any (orice destinatie), iar ultima regula va permite orice alt tip de trafic de la orice sursa la orice destinatie.

cum configurez un acl extended pe router sau firewall cisco

Aceasta regula va fi setata cat mai aproape de sursa (pe R1 interfata legata la PC) in directia IN. Acum vom genera trafic web (din consola PC-ului catre Server – 192.168.10.10):

traficul web http este blocat de firewall

La fel ca mai sus, in imaginea de jos sa vezi ca traficul web a fost blocat (6 matches) prima linie din lista:
cum verific configurarea acl extended cu filtrare http pe firewall sau router cisco

Alte exemple (ACL Standard):

  • #deny 192.168.99.0 0.0.0.255 //va permite tot range-ul /24
  • #permit 85.1.245.5 0.0.0.0 //va permite doar acest IP
  • #deny 172.16.0.0 0.0.127.255 //va permite reteaua 172.16.0.0/17

Alte exemple (ACL Extended):

  • #permit ip 172.30.0.0 0.0.0.255 any //permite traficul de la sursa 172.30.0/24 catre orice destinatie
  • #permit tcp host 10.45.21.5 eq 22 any //permite orice trafic SSH de return de la 10.45.21.5
  • #deny udp 172.16.0.0 0.0.0.255 85.98.2.0 0.0.254.255 eq 53

         //blocheaza traficul DNS (port 53 UDP) de la reteaua 172.16.0.0/24 la 85.98.2.0/23

Urmareste cel mai bun tutorial PRACTIC in GNS3 de pana acum, pentru a vedea cum blochez cu adevarat traficul pe un PC cu Windows 7 catre un server Web (pe Ubuntu Linux).

Te Felicit si iti Multumesc 🙂

        Te Felicit pentru ca ai ales sa inveti mai multe si sa devi mai bun si iti multumesc pentru atentia acordata.

In acest tutorial am aflat ce este o retea , care sunt componentele ei (Router, Switch), ce este o adresa IP si cum putem configura aceste echipamente (CLI sau GUI). Da un SHARE acestui articol si ABONEAZA-TE la canalul de YouTube pentru a fi la curent cu ultimele tutoriale! De asemenea, spune-mi ce parere ai despre toate aceste concepte. Lasa un comentariu in sectiunea de mai jos. Conecteaza-te cu mine pe LinkedIn !

Descarca #eBook + “Manual de Comenzi Cisco

ebook gratuit retelistica ramon nastase


Summary
Review Date
Reviewed Item
Securitatea in Retea cu ACL (Access Control List) | Invata Retelistica #9
Author Rating
51star1star1star1star1star

Comments


Ramon

Numele meu este Ramon Nastase, am 23 de ani si sunt Pasionat de IT&C (Retelistica, Linux, Securitate), Training si Dezvoltare Personala. Misunea mea este sa te ajut pe tine sa-ti atingi potentialul maxim in cariera ta din domeniul IT. Practic retelistica de 7 ani, iar in prezent sunt certificat Cisco CCNP R&S si Security, CCNA Voice, CompTIA Security+ si LPIC-102. Livrez cursuri de peste 3 ani, am instruit peste 200 de studenti, si in prezent am postat peste 130 de tutoriale pe YouTube. Toate acestea spun despre mine ca sunt persoana potrivita care sa te indrume, mai departe, pe calea ta din domeniul IT.

Related Posts

Tutoriale

Tutoriale IT

Aceste tutoriale fac parte din seria #TutorialeIT si au scopul de a demonstra diferite concepte care tin de domeniul IT (fie ca este vorba despre Virtualizare, administrare de Servere Windows sau diferite concepte care tin Read more…

Tutoriale

Curs Linux pentru Incepatori

Curs Linux pentru Incepatori GRATUIT pentru oricine doreste sa invete mai multe despre acest Sistem de Operare Linux (cu distributii precum Ubuntu, CentOS, Debian etc.), modul de lucru din linia de comanda (CLI), administrarea de Read more…

Tutoriale

Curs Retele de Calculatoare

Curs Retele de Calculatoare GRATUIT pentru oricine doreste sa invete mai multe despre retele, echipamente de retea si elementele care le compun. SummaryReviewer AdiReview Date 2017-10-19Reviewed Item Curs Retele de Calculatoare | #InvataRetelistica | RamonNastase.roAuthor Read more…