Access Control List
Eine Access Control List (ACL), deutsch Zugriffssteuerungsliste, ist eine Software-Technik, mit der Betriebssysteme und Anwendungsprogramme Zugriffe auf Daten Verbindungen und Funktionen eingrenzen können. Eine ACL legt fest, welcher Benutzer (auch PC oder Netz) welche Dienste Funktionen und Dateien nutzen darf.
Unter Cisco sind Access Listen Zugriffslisten, die auf Layer 3 und Layer 4 den Zugriff auf Resourcen steuern. Accesslisten werden direkt am Router konfiguriert und können sowohl beim eingehenden Datenverkehr als auch beim ausgehenden Datenverkehr für die Weiterleitung herangezogen werden.
Access Listen sind also eine vereinfachte Form von Firewalls.
Die Reihenfolge innerhalb einer ACL ist immer von Oben nach Unten. Wird keine Richtung (in/out) angegeben, so gilt immer Outbound.
ACL Nummernbereich und Protokolle
| Protokoll | Nummernbereich |
|---|---|
| IP | 1-99 |
| Extended IP | 100-199 |
| Apple Talk | 600-699 |
| IPX | 800-899 |
| Extended IPX | 900-999 |
Standard ACL
- Einfachste Art der Access Listen
- Identifikation von Traffic ausschließlich anhand der Source Adresse
Die Syntax ist:
Router(conf)# Access-list <Nummer> <permit/deny> <source> [wildcardmaske]
- Die Nummer darf von 1 bis 99 gewählt werden.
- Die Wildcardmaske ist optional, default ist 0.0.0.0
Zuweisen:
Router(conf-if)# ip access-group <Nummer> <in/out>
Löschen der Konfiguration:
Router(conf)# no access-list <Nummer>
Beispiel
Auf Router A geben wir permit (erlauben) zu 192.168.20.3 und deny (verbieten) zu 192.168.20.2
RA(config)#access-list 10 permit 192.168.20.3 0.0.0.0 RA(config)#access-list 10 deny 192.168.20.2 0.0.0.0 RA(config)#int s0 RA(config-if)#ip access-group 10 inBeachten Sie in ist gleich inbound
Jetzt führen wir folgendes für Router B aus und geben permit Rechte zu allen PCs die an Router A angeschlossen sind und deny zu allen PCs die an Router C angeschlossen sind.
RB(config)#access-list 11 permit 192.168.10.0 0.0.0.255 RB(config)#int s0 RB(config-if)#ip access-group 11 in RB(config)#access-list 12 deny 192.168.30.0 0.0.0.255 RA(config)#int s1 RA(config-if)#ip access-group 12 in
Extended ACL
- Identifikation von Traffic möglich anhand von
- Quell-Adresse
- Ziel-Adresse
- Layer 4-Protokoll
- Quell-Port
- Ziel-Port
Die Syntax ist:
access-list [permit|deny] NNN PROTOCOL SOURCE [PORTSPEC] DEST [PORTSPEC] [established] [log|log-input]
Bedeutung
- permit: paket darf durch
- deny: paket wird verworfen
- PROTOCOL: Art des Protokolls:
- ip für alles (keine PORTSPEC erlaubt)
- icmp
- udp
- tcp
- diverse andere Protokolle.
- SOURCE: erlaubte Sourcen
- any alle moeglichen
- host XXX nur maschine XXX (XXX==IP-Adresse)
- XXX YYY alles, was auf IP-Adresse XXX und Netzmaske YYY paßt.
- PORTSPEC: Source/Zielportangabe. Sourceport direkt nach Sourceadresse, Zielport direkt nach Zieladresse,
- eq XXX port = XXX
- lt XXX port kleiner XXX
- gt XXX port kleiner XXX
- neq XXX port != XXX
- range XXX YYY Port zwischen XXX und YYY einschliesslich für einige XXX und YYY koennen Namen verwendet werden, für viele nicht.
- DEST: siehe SOURCE
- established: Nur für TCP gültig, matcht auf alle Pakete ohne SYN-Flag (SYN ist Verbindungseröffnung).
- log: syslog-Meldung für matchende Pakete erzeugen
- log-input: syslog-Meldung für matchende Pakete erzeugen, mit Angabe des Interfaces (erst ab 11.2).
ACLs muessen, damit sie wirksam sind, noch einem Interface zugeordnet werden.
Named ACLs
Es werden ACLs mit Namen generiert um die Verwendbarkeit mehrerer ACLs zu verbessern.
Syntax:
Router(config)# ip access-list standard|extended ACL_name