1

Access Control List (ACL) működése

A rendszergazdáknak meg kell találniuk annak a módját, hogy megakadályozzák a hálózat jogosulatlan elérését, miközben lehetővé teszik a megfelelő hozzáférést. Bár a biztonsági eszközök, mint pl. a jelszavak, a visszahívó berendezések és a fizikai biztonsági eszközök segítséget nyújtanak, gyakran nem rendelkeznek az alapvető forgalomszűréshez szükséges rugalmassággal és a rendszergazdák igényeinek megfelelő vezérlési lehetőségekkel. Például a hálózati rendszergazda lehetővé kívánja tenni a felhasználói számára az Internet elérését, de nem akarja, hogy külső felhasználók telnettel bejelentkezhessenek a LAN-ra.

A forgalomirányítók alapvető forgalomszűrési képességeket biztosítanak, például hozzáférés-vezérlési listákat (Access control list, ACL) az internetes forgalom letiltásához. Az ACL engedélyező és tiltó utasítások szekvenciális sorozata, melyek címekre vagy felsőbb rétegbeli protokollokra alkalmazhatók. Ebben a fejezetben a szabványos és kiterjesztett ACL-ek használatáról fogunk tanulni, mint a hálózati forgalom vezérlési módszeréről, továbbá arról, hogyan használhatók az ACL-ek egy biztonsági megoldás részeként.

Ezenkívül a segédletben tippek, meggondolások, javaslatok és általános útmutatások is szerepelnek az ACL-ek használatával, valamint a létrehozásukhoz szükséges parancsokkal és beállításokkal kapcsolatban. Végül a fejezet példákat tartalmaz a szabványos és kiterjesztett ACL-ekre és a forgalomirányítók interfészein történő alkalmazásukra.

Az ACL-ek utasításlisták, melyeket egy forgalomirányító-interfészre alkalmazunk. Ezek a listák megadják a forgalomirányítónak, hogy milyen csomagokat fogadjon el és milyeneket utasítson vissza. Az elfogadás és a visszautasítás alapja lehet például a forráscím, a célcím vagy a portszám. Az ACL-ek a forgalomirányító-interfészekre történő alkalmazásukkal lehetővé teszik a forgalom felügyeletét és meghatározott csomagok ellenőrzését. Minden forgalmat, amely áthalad egy interfészen, ellenőriznek az ACL-ben megadott feltételek alapján.

Minden irányított hálózati protokollhoz (pl. IP és IPX) készíthetők ACL-ek, amelyekkel a csomagok a forgalomirányítón való áthaladás közben szűrhetők. Az ACL-ek konfigurálhatók a forgalomirányítón

2

egy hálózat vagy alhálózat hozzáférésének vezérlésére. Például a Washington Iskolakörzetben az ACL-ek a hallgatói forgalomnak az adminisztratív hálózatról való kizárására használhatók.

Az ACL-ek úgy szűrik a hálózati forgalmat, hogy vagy továbbítják, vagy visszatartják az irányított csomagokat a forgalomirányító interfészein. A forgalomirányító minden csomagot megvizsgál annak meghatározásához, hogy azt az ACL-ben meghatározott feltétel szerint továbbítani vagy törölni kell. Az ACL-feltételekben szerepelhet a csomag forráscíme, célcíme, a felsőbb szintű protokoll vagy más információ.

Az ACL-eket protokollok szerint kell definiálni. Vagyis ha szabályozni akarjuk egy adott interfész forgalmát, az interfészen engedélyezett összes protokollhoz definiálni kell ACL-t. (Megjegyezzük, hogy bizonyos protokollok szűrőként hivatkoznak az ACL-ekre.) Ha például a forgalomirányító interfésze IP, AppleTalk és IPX protokollokra van konfigurálva, akkor legalább három ACL-t kell megadni. Az ACL-ek alkalmasak a hálózat vezérlésére, mivel segítségükkel rugalmasabban szűrhetők a forgalomirányítók interfészein áthaladó csomagok.

Az ACL-ek használatát számos érv teszi indokolttá. Alkalmasak például a következőkre:

Korlátozható a hálózat forgalma, és növelhető a teljesítménye. ACL-ekkel például megoldható, hogy a forgalomirányító meghatározott csomagokat a protokoll alapján előbbre vegyen. Ezt sorba állításnak nevezzük; ez biztosítja, hogy a forgalomirányító ne dolgozzon fel olyan csomagokat, amelyekre nincs szükség. A sorba állítás korlátozza a hálózati forgalmat és csökkenti a torlódásokat.

Biztosítják a forgalom szabályozását. Például az ACL-ek képesek korlátozni vagy csökkenteni az útvonalfrissítő üzenetek tartalmát. Ilyen korlátozásokkal csökkenteni lehet az egyes hálózatokkal kapcsolatosan terjesztett információkat.

Alapszintű hálózati hozzáférés-szabályozást biztosítanak. Az ACL-ek engedélyezhetik például a hálózat egy részének elérését egy állomás számára, és megtilthatják egy másiknak. Az A jelű állomás elérheti az Emberi erőforrások hálózatot, a B jelű nem. Ha nem konfigurálunk ACL-eket a forgalomirányítón, akkor a forgalomirányítón áthaladó minden csomag eljuthat a hálózat bármely részébe.

Eldönthetjük, hogy milyen típusú forgalom továbbítódjon és milyen törlődjön a forgalomirányító interfészein. Engedélyezhetjük például az e-mail forgalom továbbítását, de ugyanakkor elzárhatunk minden telnet forgalmat.

3

Az ACL-ben az utasítások sorrendje meghatározó. Amikor a forgalomirányító eldönti, hogy továbbítson vagy töröljön egy csomagot, a Cisco Internetwork Operating System (IOS) szoftver összeveti a csomagot minden feltételes utasítással, abban a sorrendben, ahogy az utasításokat létrehozták.

Megjegyzés: Ha az IOS talált egyezést, nem vizsgálja meg a többi utasítást.

Ha olyan feltételt adunk meg, amely minden forgalmat engedélyez, akkor az IOS semmilyen későbbi utasítást nem ellenőriz. Ha további utasításokra van szükség egy szabványos vagy kiterjesztett ACL-ben, akkor törölni kell, majd újra létre kell hozni az ACL-t az új feltételes utasításokkal. Ezért célszerű a forgalomirányító konfigurációját szövegszerkesztővel megváltoztatni, majd TFTP-vel elküldeni a forgalomirányítónak.

Minden szűrni kívánt protokoll számára létrehozhatunk egy ACL-t a forgalomirányító minden egyes interfészén. Bizonyos protokollok esetén külön ACL-t készítünk a bejövő és a kimenő forgalom számára.

Miután egy ACL utasítás ellenőrzött egy csomagot és egyezést talált, letiltható vagy engedélyezhető, hogy a csomag használja a hozzáférési csoport egyik interfészét. A Cisco IOS ACL-jei ellenőrzik a csomagot és a felsőbb rétegbeli fejrészeket.

4

Az ACL egy utasításcsoport, amely meghatározza, hogy a csomagok:

hogyan lépnek be a bejövő interfészeken hogyan haladnak át a forgalomirányítón hogyan hagyják el a kimenő interfészeken a forgalomirányítót

A kommunikációs folyamat ugyanaz, akár használunk ACL-eket, akár nem. Amint egy csomag belép egy interfészen, a forgalomirányító megnézi, hogy a csomagot forgalomirányító vagy híd üzemmódban kell-e feldolgoznia. Ezután ellenőrzi, hogy a bejövő interfésznek van-e ACL-je. Ha van, a csomagot ellenőrzi a lista tartalma alapján. Ha a csomag engedélyezhető, akkor az irányítótábla bejegyzései alapján meghatározza a célinterfészt.

Ezután ellenőrzi, hogy a kimenő interfésznek van-e ACL-je. Ha nincs, a csomag azonnal továbbítható a célinterfészre; ha például az E0-t használja, és ahhoz nincs ACL, akkor a csomag közvetlenül az E0 interfészt használja.

Az ACL utasítások szekvenciálisan, egymás után kerülnek végrehajtásra. Ha a csomag egy feltételnek megfelel, a forgalomirányító a csomagot engedélyezi vagy letiltja, és a további ACL utasításokat figyelmen kívül hagyja. Ha egyetlen ACL utasításnak sem felel meg, egy implicit "mindent letilt" utasítás hajtódik végre. Ez azt jelenti, hogy bár nem látjuk a "mindent letilt" utasítást az ACL utolsó sorában, de mégis oda értendő.

5

A forgalomirányító megtagadja egy csomag célba juttatását, ha az első ellenőrzésnél egyezést talál. Ekkor elveti és a (bit) szemetesbe dobja, és figyelmen kívül hagyja az ACL-ben levő további ellenőrzéseket. Ha a csomag nem egyezik az első ellenőrzési feltétellel, akkor az ACL következő utasítására ugrik.

Az ACL-ek lehetővé teszik annak ellenőrzését, hogy mely ügyfelek léphetnek be a hálózatba. Egy ACL fájl feltételei képesek:

kiszűrni bizonyos állomásokat, és számukra engedélyezni vagy megtiltani a hálózat egy részének elérését

jelszavas azonosítást bevezetni, hogy csak az érvényes belépési azonosítóval és jelszóval rendelkező felhasználók férhessenek hozzá a hálózathoz

hozzáférési engedély megadására a hálózat egyes részeihez, például egyéni felhasználói fájlokhoz és mappákhoz

Az ACL parancsok a gyakorlatban elég hosszú karakterláncok lehetnek.

6

Az ACL-ek létrehozásának ebben a részben átvett legfontosabb feladatai a következők:

Az ACL-eket a globális konfigurációs üzemmódban hozzuk létre. 1-99 közötti ACL azonosítókkal normál ACL utasítások elfogadására utasítjuk a

forgalomirányítót. 100-199 közötti ACL azonosítókkal kiterjesztett ACL utasítások elfogadására utasítjuk a forgalomirányítót.

Az ACL-eket gondosan kell kiválasztani, és azokat logikailag kell sorrendbe állítani. Meg kell adni az engedélyezett IP protokollokat; minden más protokollt le kell tiltani.

Ki kell választani, hogy mely IP protokollokat kell ellenőrizni; a forgalomirányító a többi protokollt nem ellenőrzi. A pontosság javítása érdekében a folyamat későbbi részében megadható egy opcionális célport is.

ACL-ek hozzárendelése az interfészekhez

Bár minden protokollnak vannak speciális feladatai és szabályai, amelyek a forgalom szűréséhez elengedhetetlenek, a legtöbb protokoll esetében általában két alapvető műveletre van szükség. Az elso lépés az ACL létrehozása, a második pedig az ACL alkalmazása az interfészre.

Az ACL-eket egy vagy több interfészhez rendelik hozzá, és a konfigurációtól függően képesek kiszűrni a bejövő és kimenő forgalmat. A kimenő ACL-ek általában hatékonyabbak, mint a bejövők, és ezért előnyben részesítik őket. Bejövő ACL esetén a forgalomirányítónak össze kell vetnie minden csomagot az ACL feltétellel, mielőtt a csomagot egy kimenő interfészre kapcsolná.

Egyedi azonosító hozzárendelése minden ACL-hez

Az ACL-ek konfigurálásakor azonosítani kell az ACL-eket azáltal, hogy egyedi számot rendelünk hozzájuk. Ha egy számot használunk az ACL azonosításához, a számnak a protokollra érvényes megadott tartományba kell esnie.

7

A táblázatban levő protokollokhoz szám alapján is hozzárendelhető a megfelelő ACL. A táblázat felsorolja azoknak az ACL-azonosítóknak a tartományát is, amelyek az egyes protokollokhoz használhatók.

Miután létrehozunk egy számozott ACL-t, hozzá kell rendelni egy interfészhez, hogy használni lehessen. Ha meg akarunk változtatni egy számozott utasításokból álló ACL-t, törölni kell minden utasítást a no access-list listaszám paranccsal.

A helyettesítő maszk egy 32 bites egység, melyet négy bájtra osztunk, tehát minden bájt 8 bitet tartalmaz. A helyettesítő maszkbitben a 0 azt jelenti, hogy a megfelelő bitértéket ellenőrizni kell, az 1-es pedig azt, hogy nem kell ellenőrizni.

A helyettesítő maszk IP-címmel együtt használható. Az egyesek és nullák az IP-cím bitjeinek kezelését adják meg. Az ACL-ek helyettesítő maszkolást használnak egy vagy több cím azonosítására az engedélyezési-letiltási ellenőrzéshez. A helyettesítő maszkolás kifejezés az ACL

8

maszk-bit megfeleltetési folyamatának neve. (A helyettesítő maszkot dzsóker [joker] maszknak is nevezhetnénk, hiszen hasonló a szerepe, mint a kártyában a tetszőleges lapot helyettesíteni tudó dzsóker lapnak.)

Bár a helyettesítő maszkok és az IP alhálózati maszkok is 32 bites egységek, működésük eltérő. Emlékezzünk vissza, hogy a nullák és az egyesek az alhálózati maszkban az IP cím hálózati, alhálózati és állomás részét határozták meg! Ezzel szemben a helyettesítő maszkban a nullák és az egyesek azt adják meg, hogy a megfelelő biteket ellenőrizni kell-e az IP címben az ACL-lel.

Mint már megtanultuk, a helyettesítő maszkban szereplő nullás és egyes bitek alapján az ACL vagy ellenőrzi, vagy figyelmen kívül hagyja a megfelelő biteket az IP címben. Az ábrán a helyettesítő maszkolás folyamata látható.

Tegyük fel, hogy ellenőrizni akarjuk, hogy egy IP-cím engedélyezhető vagy letiltandó alhálózatban van-e! Legyen az IP-cím B osztályú (vagyis az elso két bájt a hálózatazonosító), 8 bites alhálózattal (a harmadik bájt az alhálózatot jelöli)! IP helyettesítő maszkbiteket akarunk használni a 172.30.16.0--172.30.31.0 alhálózati tartományokból származó állomások csomagjainak engedélyezésére. Az ábra példát mutat arra, hogyan használhatók ehhez a helyettesítő maszkok.

Eloször a helyettesítő maszk ellenőrzi az elso két bájtot (172.30) a 0-s bitek felhasználásával. Mivel nem érdekesek az egyes állomáscímek (az állomásazonosító nem .00-ra végzodik), a helyettesítő maszk az 1-esek révén figyelmen kívül hagyja az utolsó bájtot.

A harmadik bájt esetében a helyettesítő maszk 15 (00001111), az IP-cím 16 (00010000). A helyettesítő maszkban levo elso négy nulla megadja a forgalomirányítónak, hogy egyeztetni kell az IP-cím elso négy bitjét (0001). Mivel az utolsó négy bitet figyelmen kívül hagyja, a 16-tól (00010000) 31-ig (00011111) terjedo tartományban minden szám egyezni fog, mivel a 0001-es mintával kezdodnek. Ennek a bájtnak az utolsó (legkisebb helyértéku) négy bitjét a helyettesítő maszk figyelmen kívül hagyja, mivel itt egyesek állnak. Ebben a példában a 172.30.16.0 cím a 0.0.15.255 helyettesítő maszkkal a 172.30.16.0--172.30.31.0 tartománybeli alhálózatokkal egyezik. Más alhálózattal a helyettesítő maszk nem egyezik.

9

A bináris helyettesítő maszkbitek decimális jelölésmódjával nehézkes dolgozni. A helyettesítő maszkolás leggyakoribb elofordulásaira rövidítések használhatók. E rövidítésekkel egyszerubben megadhatók a címellenőrzési feltételek. Tegyük fel például, hogy minden címet engedélyezni akarunk egy ACL-ben! A tetszoleges IP-cím jelölésére be kellene írni a 0.0.0.0 címet, és hogy az ACL figyelmen kívül hagyjon (vagyis ellenőrzés nélkül engedélyezzen) minden értéket, a megfelelő helyettesítő maszkbiteknek csupa egyesbol kellene állniuk (vagyis a maszk 255.255.255.255 lenne). Mindezt megadhatjuk az any parancs használatával a Cisco IOS ACL szoftver számára. A 0.0.0.0

255.255.255.255 begépelése helyett használhatjuk az any kulcsszót önmagában.

Ehelyett például:

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255

használható ez:

Router(config)# access-list 1 permit any

Egy másik gyakori eset, amikor a Cisco IOS megengedi rövidítés használatát az ACL helyettesítő maszkban az, amikor a teljes IP-állomáscím minden bitjét egyeztetni kell. Tegyük fel például, hogy egy bizonyos címet le kell tiltani egy ACL-ellenőrzésben! Az IP-címet teljes címként adnánk meg (pl. 172.30.16.29); ezután annak jelzésére, hogy az ACL ellenőrizze minden bitjét, a megfelelő helyettesítő maszkbitek csupa nullából állnának (vagyis 0.0.0.0). Mindezt megadhatjuk a host

rövidítés használatával a Cisco IOS ACL szoftver számára. A példában a 172.30.16.29 0.0.0.0 helyett használhatjuk a host kulcsszót a cím elott.

Ehelyett például:

Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0

használható ez:

Router(config)# access-list 1 permit host 172.30.16.29

10

Normál ACL-t akkor használunk, ha egy hálózatból minden forgalmat ki akarunk zárni, egy adott hálózatból származó minden forgalmat engedélyezni akarunk, vagy egy teljes protokollkészletet le akarunk tiltani. A normál ACL-ek ellenőrzik az irányítandó csomagok forráscímét. Az ellenőrzés során a hálózat-, alhálózat- és állomáscím alapján vagy letiltják, vagy engedélyezik a kimenetet egy teljes protokollkészlet számára. Például ellenőrzik az E0-s interfészre érkező csomagok forráscímét és protokollját. Ha engedélyezhetők, a csomagokat továbbítják az ACL-hez rendelt S0 interfészen keresztül. Ellenkező esetben törlik őket.

11

Mint tudjuk, az access-list globális konfigurációs parancs normál verziójával definiálhatunk

számozott normál ACL-t. Ez a parancs a globális konfigurációs parancsmódban használható. A parancs teljes szintaxisa a következo:

Router(config)# access-list hozzáférési lista száma {deny | permit} forrás

[forrás helyettesítő maszkja] [log]

Ennek a parancsnak a no alakja használható egy normál ACL eltávolítására. Ennek szintaxisa:

Router(config)# no access-list hozzáférési lista száma

A táblázat a szintaxisban használt paraméterek leírásait tartalmazza.

A show access-lists EXEC parancsot az összes ACL lista tartalmának kiíratására alkalmazzuk.

A show access-lists EXEC parancsot használjuk az ACL nevével vagy sorszámával kiegészítve

akkor is, ha egy konkrét ACL tartalmát listázzuk ki. A normál ACL-re vonatkozó következő példa engedélyezi a hozzáférést a három megadott hálózat állomásai számára:

12

access-list 1 permit 192.5.34.0 0.0.0.255

access-list 1 permit 128.88.0.0 0.0.255.255

access-list 1 permit 36.0.0.0 0.255.255.255

!(Megjegyzés: minden más hozzáférés implicit módon le van tiltva.)

A példában a helyettesítő biteket a hálózati cím állomásazonosító részére alkalmazzuk. Minden állomást visszautasítanak, amelynek forráscíme nem egyezik meg az ACL utasításokkal. Sok egyedi cím könnyebb megadása érdekében elhagyható a helyettesítő, ha az csupa nullából áll. Így a következő két konfigurációs parancs hatása azonos:

access-list 2 permit 36.48.0.3

access-list 2 permit 36.48.0.3 0.0.0.0

Az ip access-group parancs hozzárendel egy meglévő ACL-t egy interfészhez. Ne feledjük, hogy

portonként, protokollonként és irányonként csak egy ACL adható meg! A parancs formátuma:

Router(config)#ip access-group hozzáférési lista száma {in | out}

13

Mik a kiterjesztett ACL-ek?

A kiterjesztett ACL-eket leggyakrabban feltételek ellenőrzésére használják, mivel szélesebb körű ellenőrzést biztosítanak, mint a normál ACL-ek. Kiterjesztett ACL-t érdemes használni a vállalaton kívülről jövő internetes forgalom engedélyezésére és az FTP vagy telnet forgalom letiltására. A kiterjesztett ACL-ek ellenőrzik a csomag forrás- és célcímét is. Emellett lehetőség van adott protokollok, portszámok és más paraméterek ellenőrzésére is. Így rugalmasabban definiálható, hogy az ACL miket vizsgáljon meg. A csomagok továbbítását engedélyezni vagy tiltani lehet azok forrása és célja alapján. Egy kiterjesztett ACL például engedélyezheti az E0 interfész felől az S0 interfész felé haladó e-mail forgalmat, de letilthatja a távoli bejelentkezést és a fájlátvitelt.

Tegyük fel, hogy az E0 interfészhez hozzárendelünk egy kiterjesztett ACL-t, vagyis az ACL létrehozásakor precíz, logikai utasításokat fogalmazhatunk meg. Mielőtt egy csomag eljuthatna az interfészre, az interfészhez kapcsolódó ACL leellenőrzi.

A kiterjesztett ACL alapján a csomag engedélyezhető vagy visszautasítható. A bejövő listák esetében ez azt jelenti, hogy az engedélyezett csomagokat továbbra is feldolgozzák. A kimenő listák esetében viszont azt, hogy az engedélyezett csomagokat közvetlenül az E0 interfészre küldik. A visszautasított csomagokat eldobják. A forgalomirányító ACL-je tűzfalas védelmet biztosít az E0 interfész használatának megakadályozására. A csomagok eldobásakor bizonyos protokollok visszaküldenek egy csomagot a küldőnek azzal, hogy a cél nem érhető el.

Egy ACL-ben több utasítás is megadható. Az azonos ACL-hez tartozó utasításoknak ugyanarra az azonosító névre vagy számra kell hivatkozniuk. A feltételek száma tetszőleges lehet, korlátot csak a rendelkezésre álló memória szab. Persze minél több az utasítás, annál nehezebb az ACL megértése és kezelése. A zűrzavart megelőzhetjük az ACL-ek dokumentálásával.

A normál ACL (1-99-ig számozva) nem biztos, hogy olyan fokú forgalomszűrést biztosít, mint amire szükségünk van. A normál ACL-ek a forráscím és maszk alapján szűrik a forgalmat. Emellett a normál ACL-ek engedélyezik, vagy letiltják a teljes TCP protokollkészletet. Előfordulhat, hogy a forgalmat és a hozzáférést ennél pontosabban kívánjuk szabályozni.

14

Az alaposabb forgalomszűréshez kiterjesztett ACL-eket alkalmazhatunk. A kiterjesztett ACL utasítások ellenőrzik a forrás és a cél címét. Ezenkívül egy kiterjesztett ACL utasítás végén további pontosítást tesz lehetővé az TCP vagy UDP protokoll portszámát megadó opcionális mező. Ezek lehetnek a TCP/IP jól ismert portszámai. A legismertebb portszámok az alábbi ábrán láthatók. A kiterjesztett ACL-ek logikai műveleteket is végre tudnak hajtani bizonyos protokollokon. A kiterjesztett ACL-ek a 100-199 tartományt használják.

Az access-list parancs teljes formája:

Router(config)# access-list hozzáférési lista száma {permit | deny}

protokoll forrás [forrásmaszk cél célmaszk muvelet operandus] [established]

Az ip access-group parancs egy meglévő kiterjesztett ACL-t rendel egy interfészhez. Ne feledjük,

hogy interfészenként, irányonként és protokollonként csak egy ACL adható meg! A parancs formátuma:

15

Router(config)# access-list hozzáférési lista száma {in | out}

A kiterjesztett ACL-eket használó cél- és forráscímeket, illetve protokollokat egy szám azonosítja 100-tól 199-ig. A felso szintű TCP- és UDP-portszámokat a kiterjesztett ACL-ek más ellenőrzéseivel együtt azonosítani kell egy 100--199 tartománybeli számmal. A táblázat néhány fenntartott UDP- és TCP-portszámot sorol fel.

16

Az ábra egy olyan kiterjesztett ACL-re mutat példát, amely letiltja az FTP forgalmat.

Az E0 interfészre kiadott ip access-group 101 parancs hozzácsatolja a 101-es ACL-t az E0

interfész kimenetéhez.

A telnet letiltása és minden más engedélyezése az E0 interfészen

access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23

access-list 101 permit ip any any

(implicit módon mindent letilt)

(access-list 101 deny ip 0.0.0.0 255.255.255.255

0.0.0.0 255.255.255.255)

interface ethernet 0

ip access-group 101 out

17

Szabály: "Helyezzük a kiterjesztett ACL-t olyan közel a tiltott forgalom

forrásához, amennyire csak lehetséges!"

Azt már tudjuk, hogy az ACL-ek a forgalmat ellenőrzik a csomagok szűrésével és a célnál levő nemkívánatos forgalom eltávolításával. Az ACL utasítás elhelyezésétől függően a szükségtelen forgalom lecsökkenthető. A távoli pontban letiltott forgalomnak felesleges lefoglalnia hálózati erőforrásokat a célhoz vezető útján.

Tegyük fel, hogy egy vállalat le kívánja tiltani az A jelű forgalomirányító felől a D jelű forgalomirányító E1 portjára csatlakozó kapcsolt Ethernet LAN felé menő telnet vagy FTP forgalmat! A többi forgalmat ugyanakkor engedélyezni kell. Ez a feladat sokféleképpen megoldható. A javasolt megközelítés szerint kiterjesztett ACL-eket kell használni. Ezek a forrás- és a célcímeket is ellenőrzik. Helyezzük el a kiterjesztett ACL-t az A jelű forgalomirányítón; ekkor a csomagok nem haladnak át az A jelű forgalomirányító Ethernet, valamint a B és C jelű forgalomirányítók soros interfészén, és nem lépnek be a D jelű forgalomirányítóba. A más forrással és céllal rendelkező címek továbbra is engedélyezhetők.

A szabály úgy hangzik, hogy a kiterjesztett ACL-t olyan közel kell helyezni a tiltott forgalom forrásához, amennyire csak lehetséges. A normál ACL-ek nem ellenőrzik a célcímeket, ezért olyan közel kell ezeket elhelyezni a célhoz, amennyire csak lehet. Tehát az A jelű forgalomirányító forgalmának letiltásához a D jelű forgalomirányító E0 interfészén egy normál vagy kiterjesztett ACL-t kell elhelyezni.

ACL-eket kell használni a tűzfal-forgalomirányítókon, melyek gyakran a belső és a külső hálózat (pl. az Internet) között helyezkednek el. A tűzfal-forgalomirányítók elszigetelik a belső hálózat struktúráját. ACL-eket használhatunk továbbá a hálózat egyes részei között elhelyezett forgalomirányítókon is a belső hálózat részei között haladó forgalom kontrollálására.

Ha ki akarjuk használni az ACL-ek által nyújtott biztonsági előnyöket, akkor legalább a hálózat határán elhelyezkedő határ-forgalomirányítókra be kell konfigurálni az ACL-eket. Ez alapszintű védelmet nyújt egy magánjellegű hálózatrész számára a külső hálózat vagy a hálózat kevésbé ellenőrzött részei felől érkező veszélyekkel szemben. Ezeken a határ-forgalomirányítókon az ACL-eket a forgalomirányító

18

interfészein konfigurált összes protokollhoz meg lehet adni. Az ACL-eket a bejövő, a kimenő vagy mindkét irányú forgalom szűrésére használhatjuk.

Tűzfal architektúra

A tűzfal-architektúra olyan struktúra, amely köztünk és a környező világ között védelmet biztosít a behatolókkal szemben. A legtöbb esetben a behatolók az Internet által összekötött sok ezer távoli hálózatból érkeznek. Egy hálózati tűzfal általában több különálló gépből áll.

Ebben az architektúrában az Internethez kapcsolódó forgalomirányító (vagyis a külső forgalomirányító) minden forgalmat az alkalmazási átjáróhoz irányít. A belső hálózathoz kapcsolódó forgalomirányító (vagyis a belső forgalomirányító) csak az alkalmazási átjárótól származó csomagokat fogadja el. Gyakorlatilag az átjáró biztosítja a hálózatalapú szolgáltatásokat kifelé és befelé egyaránt. Például csak meghatározott felhasználók kommunikálhatnak az Internettel, vagy csak meghatározott alkalmazások létesíthetnek összeköttetést egy külső és egy belső állomás között. Ha csak a levelezés az egyetlen engedélyezett alkalmazás, akkor csak a levélcsomagok haladhatnak át a forgalomirányítón. Ez megvédi az alkalmazási átjárót, és megakadályozza olyan csomagokkal történő túlterhelését, amelyeket egyébként törölne.

A show ip interface parancs információkat jelenít meg az IP interfészről, és jelzi, hogy meg

vannak-e adva ACL-ek. A show access-lists parancs megjeleníti az összes ACL tartalmát. Egy

ACL nevének vagy számának opcionális megadásával megnézhetjük az adott listát.