HI!
da ich für mein CCNA exam eine kleine ausarbeitung geschrieben habe, was ACLs angeht, dachte ich mir, dass sich die hier vlt ganz gut macht =)
alle informationen habe ich aus dem Cisco Curiculum vers.3.1.
dieser beitrag wird so wie es aussieht wohl um ein paar befehle erweitert werden...bis dahin, STAY TUNED
Allgemein:
- Accesslisten dienen der Sicherheit in Netzwerken
- Jede Accessliste dient einer bestimmten Regel
- Sie ersetzen Filter, Kennwörter und/oder Rückruffunktionen, da diese oft nicht flexibel genug sind
- Accesslisten könne aus einer Zeile bis hin zu einem komplexen Code bestehen
Was sind Accesslisten:
- Sie wirken auf den Router ein, indem Sie ihm vorgeben, welche bestimmten Datenpakete eine Schnittstelle passieren dürfen und welche nicht.
- Die Zulassung dieser Pakete richtet sich dabei nach Bedingungen der Accessliste
- Auf diese Weiser ermöglich ACLs dem Administrator den Fluss der Daten in seinem Netzwerk zu kontrollieren
Wie und Wo werden ACL’s angewandt:
- ACLs können mit jedem Protokoll (z.B. IP (Internet Protkoll) oder IPX (Internetwork Packet Exchange) angewendet werde.
- Da Sie den Zugriff auf das Netzwerk regeln, werden sie Direkt auf dem Router programmiert
Grundfunktion von ACLs:
- Sie Filtern das Netzwerk, indem sie dem Router vorgeben, ob eine Paket an einer bestimmten Schnittstelle angenommen oder abgewiesen werden soll
- Die Router prüfen jedes einzelne Datenpaket, um zu entscheiden ob es verworfen werden soll, oder ob weiter geleitet werden soll
- Kriterien sind Absenderadresse, Empfängeradresse, Portnummer und Protokolle
Wie muss eine ACL eingerichtet werden:
- ACLs müssen für jeden Port, jedes Protokoll und jede Richtung einzeln definiert werden
- Um vollständige Sicherheit zu gewährleisten muss für Jedes Protokoll eine ACL aktiviert werden
- Eine ACL muss für jede Richtung an der Schnittstelle in Verbindung mit jedem verwendeten Protokoll programmiert werden
Beispiel:
- Ein Router verfügt über zwei aktivierte Schnittstellen, die mit dem Protokollen IP, AppleTalk und IPX arbeiten
- So werden hierbei 12 verschiedene ACLs benötigt
- Eine für jedes Protokoll = 3
- Zwei weitere pro Router für Ein- und Ausgangsrichtung = 6
- Sechs weitere für die Ports = 12
- Rechendefinition…
- Bei der Anzahl der benötigten ACLs wird nicht addiert, sondern Multipliziert
- 3 Protokolle * 2 Richtungen * 2 Ports (jede Richtung benötigt zwei Ports) = 12 ACLs
Aber warum ACLs:
- Sie können die Netzwerkgeschwindigkeit verbessern, indem Sie unwichtigen Datenverkehr unterbinden
- Sie können Routingupdates kontrollieren und Verwalten
- ACLs können zugriffe auf Netzwerke verwalten
- Bestimmter Datenverkehr kann unterbunden werden z.B. Sperren der FTP Ports
- Bestimmente Benutzern kann die Nutzung von Protokollen erteilt werden.
Das Handeln einer ALC:
- Eine besteht aus Anweisungen, die festlegen ob das Paket übertragen werden soll
- Die Entscheidung wird gefällt, indem das Paket mit der Accessliste verglichen wird
- Am ende wird die zutreffende Entscheidung ausgeführt
Abarbeitung der Anweisungen:
- Die Reinfolge der Abfragen ist wichtig, da ALCs linear abgearbeitet werden
- Die IOS-Software Vergleicht das Paket mit der ersten-, dann mit der zweiten-…, dann mit der nTen Abfrage
- Ist z.B. bereits die erste Abfrage negative, so wird das Paket verworfen/die Anweisung ausgeführt
- Wenn eine Bedingung in der ALC Liste vorhanden ist, die den weiteren Datentransfer ohne jede weitere Überprüfung zulässt, dann werden die anderen Abfragen Verworfen
Bearbeiten einer ALC
- Um eine ALC zu bearbeiten, muss die komplett neu geschrieben werden
- Daher empfiehlt es sich dies mit Hilfe eines Editors zu tun (z.B. ein Texteditor)
- Die bearbeitete ALC kann wieder in die Routerkofiguration eingefügt werden
Praktischer Routingablauf:
- Egal ob eine ALC vorhanden oder nicht, es wird immer zu erst geprüft ob das Paket auf der Adressschicht liegt oder ob es sich um einen Broadcastframe handelt
- Anschließend wird die MAC-Adresse überprüft, wenn diese nicht gesperrt ist, sucht der Router auf der Schnittstelle nach ALCs
- Werden in den ALCs passend Anweisungen gefunden, so werden diese abgearbeitet
- Wird das Paket am Ende akzeptiert, so werden seine Daten mit Routentabelle abgeglichen und es wird an sein Zielschnittstelle (Routerintern) weiter geleitet
- Dort wird der Vorgang wiederholt, die Routingtabellen werden neu abgefragt
- Ist auch das erfolgreich, wird das Paket neu gekapselt und auf der Schicht 2 an das nächste Gerät weitergeleitet
Besonderheiten:
- ALCs werden nach ihrer programmierten Reihenfolge abgearbeitet
- Wenn Anweisungen zutreffend sind, werden diese ausgeführt
- Wenn keine der Anweisungen zutreffen sollte, wird die "deny any" Anweisung ausgeführt
- Diese Anweisung ist impliziert und nicht sichtbar, aber sie ist existent
- Wie ihr Name schon sagt, verweigert sie jegliche Weiterleitung der Datenpakete
Praktische Erstellung von Accesslisten:
- Sie werden im globalen Konfigurationsmodus erstellt
- Es viele verschieden Arten von ALCs (Standard-, erweiterte, IPX- und AppleTalk-ACL, etc…)
- Wenn sie konfiguriert werden, muss jede von ihnen durch eine eigene Nummer gekennzeichnet werden
- Diese Nummer gibt den ACL-Typ an und muss in einem entsprechenden Zahlenbereich liegen
Praktische Erstellung von Accesslisten (speziell):
- Es wird zuerst die Anweisung und dann Parameter eingegeben (dazu dient der "access-list" Befehl
- Anschließend wird die ALC einer Schnittstelle zugewiesen (dazu dient der "access-group" Befehl, welcher in der Schnittstellekonfiguration eingegeben werden muss)
- Nun muss noch festgelegt werden, ob die Accessliste die eingehenden oder die Ausgehenden Datenpakete Untersuchen soll
- Dazu sollte man als Netzwerk-Administrator aus der Sicht des Routers denken
Regeln zur Programmierung von Accesslisten:
- Es sollte eine ACL pro Protokoll und Richtung erstellt werden
- Standard-ACLs sollten möglichst nahe am Ziel angewendet werden
- Erweiterte ACLs sollten möglichst nahe an der Quelle angewendet werden
- Verwenden Sie die Begriffe der Eingangs- oder Ausgangsschnittstelle so, als würden Sie den Port vom inneren des Router aus betrachten
- Beachten Sie, dass Anweisungen sequenziell von oben nach unten in der Liste abgearbeitet werden, bis eine Übereinstimmung gefunden wurde; wird keine Übereinstimmung gefunden, wird das Paket abgewiesen
- Beachten Sie, dass am Ende einer jeden ACL eine implizite "deny any-"Anweisung steht. Sie erscheint in der Konfigurationsliste nicht
- Spezifische Hosts sollten zuerst abgewiesen werden, Gruppen oder allgemeine Filter sollten zuletzt kommen
- Die Abgleichbedingung wird zuerst überprüft. Die "permit- oder deny-"Anweisung wird NUR dann geprüft, wenn Übereinstimmung vorhanden ist
- Arbeiten Sie nie mit einer ACL, die aktiv angewendet wird
- Verwenden Sie einen Editor, um Kommentare zu verfassen, die die logische Struktur umreißen; fügen Sie danach die Anweisungen ein, die die Logik ausführen
- Neue Zeilen werden stets am Ende der ACL hinzugefügt. Der Befehl "no access-list XXX" entfernt die gesamte Liste. Bei nummerierten ACLs können keine Zeilen selektiv hinzugefügt oder entfernt werden
- Eine IP-Access-Liste sendet die ICMP-Meldung „Host nicht erreichbar“ an den Absender des abgewiesenen Pakets und verwirft das Paket
- Beim Entfernen einer Access-Liste sollte vorsichtig vorgegangen werden. Wird die ACL auf eine Produktionsschnittstelle angewendet und anschließend entfernt, kann es je nach der IOS-Version zur Anwendung einer standardmäßigen "deny any-"Anweisung auf die Schnittstelle kommen, was eine Unterbrechung des gesamten Datenverkehrs zur Folge hätte
- Ausgangsfilter wirken sich in keiner Weise auf den Datenverkehr aus, der vom lokalen Router erzeugt wird
(Die Regeln der Routerprogrammierung sind Ciscostandart)
da ich für mein CCNA exam eine kleine ausarbeitung geschrieben habe, was ACLs angeht, dachte ich mir, dass sich die hier vlt ganz gut macht =)
alle informationen habe ich aus dem Cisco Curiculum vers.3.1.
dieser beitrag wird so wie es aussieht wohl um ein paar befehle erweitert werden...bis dahin, STAY TUNED
Allgemein:
- Accesslisten dienen der Sicherheit in Netzwerken
- Jede Accessliste dient einer bestimmten Regel
- Sie ersetzen Filter, Kennwörter und/oder Rückruffunktionen, da diese oft nicht flexibel genug sind
- Accesslisten könne aus einer Zeile bis hin zu einem komplexen Code bestehen
Was sind Accesslisten:
- Sie wirken auf den Router ein, indem Sie ihm vorgeben, welche bestimmten Datenpakete eine Schnittstelle passieren dürfen und welche nicht.
- Die Zulassung dieser Pakete richtet sich dabei nach Bedingungen der Accessliste
- Auf diese Weiser ermöglich ACLs dem Administrator den Fluss der Daten in seinem Netzwerk zu kontrollieren
Wie und Wo werden ACL’s angewandt:
- ACLs können mit jedem Protokoll (z.B. IP (Internet Protkoll) oder IPX (Internetwork Packet Exchange) angewendet werde.
- Da Sie den Zugriff auf das Netzwerk regeln, werden sie Direkt auf dem Router programmiert
Grundfunktion von ACLs:
- Sie Filtern das Netzwerk, indem sie dem Router vorgeben, ob eine Paket an einer bestimmten Schnittstelle angenommen oder abgewiesen werden soll
- Die Router prüfen jedes einzelne Datenpaket, um zu entscheiden ob es verworfen werden soll, oder ob weiter geleitet werden soll
- Kriterien sind Absenderadresse, Empfängeradresse, Portnummer und Protokolle
Wie muss eine ACL eingerichtet werden:
- ACLs müssen für jeden Port, jedes Protokoll und jede Richtung einzeln definiert werden
- Um vollständige Sicherheit zu gewährleisten muss für Jedes Protokoll eine ACL aktiviert werden
- Eine ACL muss für jede Richtung an der Schnittstelle in Verbindung mit jedem verwendeten Protokoll programmiert werden
Beispiel:
- Ein Router verfügt über zwei aktivierte Schnittstellen, die mit dem Protokollen IP, AppleTalk und IPX arbeiten
- So werden hierbei 12 verschiedene ACLs benötigt
- Eine für jedes Protokoll = 3
- Zwei weitere pro Router für Ein- und Ausgangsrichtung = 6
- Sechs weitere für die Ports = 12
- Rechendefinition…
- Bei der Anzahl der benötigten ACLs wird nicht addiert, sondern Multipliziert
- 3 Protokolle * 2 Richtungen * 2 Ports (jede Richtung benötigt zwei Ports) = 12 ACLs
Aber warum ACLs:
- Sie können die Netzwerkgeschwindigkeit verbessern, indem Sie unwichtigen Datenverkehr unterbinden
- Sie können Routingupdates kontrollieren und Verwalten
- ACLs können zugriffe auf Netzwerke verwalten
- Bestimmter Datenverkehr kann unterbunden werden z.B. Sperren der FTP Ports
- Bestimmente Benutzern kann die Nutzung von Protokollen erteilt werden.
Das Handeln einer ALC:
- Eine besteht aus Anweisungen, die festlegen ob das Paket übertragen werden soll
- Die Entscheidung wird gefällt, indem das Paket mit der Accessliste verglichen wird
- Am ende wird die zutreffende Entscheidung ausgeführt
Abarbeitung der Anweisungen:
- Die Reinfolge der Abfragen ist wichtig, da ALCs linear abgearbeitet werden
- Die IOS-Software Vergleicht das Paket mit der ersten-, dann mit der zweiten-…, dann mit der nTen Abfrage
- Ist z.B. bereits die erste Abfrage negative, so wird das Paket verworfen/die Anweisung ausgeführt
- Wenn eine Bedingung in der ALC Liste vorhanden ist, die den weiteren Datentransfer ohne jede weitere Überprüfung zulässt, dann werden die anderen Abfragen Verworfen
Bearbeiten einer ALC
- Um eine ALC zu bearbeiten, muss die komplett neu geschrieben werden
- Daher empfiehlt es sich dies mit Hilfe eines Editors zu tun (z.B. ein Texteditor)
- Die bearbeitete ALC kann wieder in die Routerkofiguration eingefügt werden
Praktischer Routingablauf:
- Egal ob eine ALC vorhanden oder nicht, es wird immer zu erst geprüft ob das Paket auf der Adressschicht liegt oder ob es sich um einen Broadcastframe handelt
- Anschließend wird die MAC-Adresse überprüft, wenn diese nicht gesperrt ist, sucht der Router auf der Schnittstelle nach ALCs
- Werden in den ALCs passend Anweisungen gefunden, so werden diese abgearbeitet
- Wird das Paket am Ende akzeptiert, so werden seine Daten mit Routentabelle abgeglichen und es wird an sein Zielschnittstelle (Routerintern) weiter geleitet
- Dort wird der Vorgang wiederholt, die Routingtabellen werden neu abgefragt
- Ist auch das erfolgreich, wird das Paket neu gekapselt und auf der Schicht 2 an das nächste Gerät weitergeleitet
Besonderheiten:
- ALCs werden nach ihrer programmierten Reihenfolge abgearbeitet
- Wenn Anweisungen zutreffend sind, werden diese ausgeführt
- Wenn keine der Anweisungen zutreffen sollte, wird die "deny any" Anweisung ausgeführt
- Diese Anweisung ist impliziert und nicht sichtbar, aber sie ist existent
- Wie ihr Name schon sagt, verweigert sie jegliche Weiterleitung der Datenpakete
Praktische Erstellung von Accesslisten:
- Sie werden im globalen Konfigurationsmodus erstellt
- Es viele verschieden Arten von ALCs (Standard-, erweiterte, IPX- und AppleTalk-ACL, etc…)
- Wenn sie konfiguriert werden, muss jede von ihnen durch eine eigene Nummer gekennzeichnet werden
- Diese Nummer gibt den ACL-Typ an und muss in einem entsprechenden Zahlenbereich liegen
Praktische Erstellung von Accesslisten (speziell):
- Es wird zuerst die Anweisung und dann Parameter eingegeben (dazu dient der "access-list" Befehl
- Anschließend wird die ALC einer Schnittstelle zugewiesen (dazu dient der "access-group" Befehl, welcher in der Schnittstellekonfiguration eingegeben werden muss)
- Nun muss noch festgelegt werden, ob die Accessliste die eingehenden oder die Ausgehenden Datenpakete Untersuchen soll
- Dazu sollte man als Netzwerk-Administrator aus der Sicht des Routers denken
Regeln zur Programmierung von Accesslisten:
- Es sollte eine ACL pro Protokoll und Richtung erstellt werden
- Standard-ACLs sollten möglichst nahe am Ziel angewendet werden
- Erweiterte ACLs sollten möglichst nahe an der Quelle angewendet werden
- Verwenden Sie die Begriffe der Eingangs- oder Ausgangsschnittstelle so, als würden Sie den Port vom inneren des Router aus betrachten
- Beachten Sie, dass Anweisungen sequenziell von oben nach unten in der Liste abgearbeitet werden, bis eine Übereinstimmung gefunden wurde; wird keine Übereinstimmung gefunden, wird das Paket abgewiesen
- Beachten Sie, dass am Ende einer jeden ACL eine implizite "deny any-"Anweisung steht. Sie erscheint in der Konfigurationsliste nicht
- Spezifische Hosts sollten zuerst abgewiesen werden, Gruppen oder allgemeine Filter sollten zuletzt kommen
- Die Abgleichbedingung wird zuerst überprüft. Die "permit- oder deny-"Anweisung wird NUR dann geprüft, wenn Übereinstimmung vorhanden ist
- Arbeiten Sie nie mit einer ACL, die aktiv angewendet wird
- Verwenden Sie einen Editor, um Kommentare zu verfassen, die die logische Struktur umreißen; fügen Sie danach die Anweisungen ein, die die Logik ausführen
- Neue Zeilen werden stets am Ende der ACL hinzugefügt. Der Befehl "no access-list XXX" entfernt die gesamte Liste. Bei nummerierten ACLs können keine Zeilen selektiv hinzugefügt oder entfernt werden
- Eine IP-Access-Liste sendet die ICMP-Meldung „Host nicht erreichbar“ an den Absender des abgewiesenen Pakets und verwirft das Paket
- Beim Entfernen einer Access-Liste sollte vorsichtig vorgegangen werden. Wird die ACL auf eine Produktionsschnittstelle angewendet und anschließend entfernt, kann es je nach der IOS-Version zur Anwendung einer standardmäßigen "deny any-"Anweisung auf die Schnittstelle kommen, was eine Unterbrechung des gesamten Datenverkehrs zur Folge hätte
- Ausgangsfilter wirken sich in keiner Weise auf den Datenverkehr aus, der vom lokalen Router erzeugt wird
(Die Regeln der Routerprogrammierung sind Ciscostandart)
Zuletzt bearbeitet:
