Access Control List ACL ? Access–list dùng để giám sát lưu lượng vào cổng Các điều kiện so sánh dựa vào access-list định nghĩa trước, đơn giản (standard access list) hay phức tạp (extended access list) ACL danh sách câu lệnh áp đặt vào cổng (interface) router Danh sách cho router biết loại packet chấp nhận (allow) loại packet bị hủy bỏ (deny) Sự chấp nhận huỷ bỏ dựa vào địa nguồn, địa đích số port Tại phải sử dụng access list ? Access Control List mô hình mạng - Quản lý IP traffic - Hỗ trợ mức độ bảo mật cho truy cập mạng, thể tính lọc packet qua router Các ứng dụng access list - Permit deny packet di chuyển qua router - Permit deny truy cập từ xa từ router Các loại access list ACL chia thành loại : • • Standard ACL Extended ACL ACL tạo cho tất routed-network-protocol (IP, IPX…) để lọc packet qua router Hoạt động ACL ACL thực theo trình tự câu lệnh danh sách cấu hình tạo accesslist Nếu có điều kiện so khớp (matched) danh sách thực hiện, câu lệnh cịn lại khơng kiểm tra nữa.Trường hợp tất câu lệnh danh sách không khớp (unmatched) câu lệnh mặc định “deny any” thực Cuối access-list mặc định lệnh loại bỏ tất (deny all) Vì vậy, access-list cần phải có câu lệnh permit Thứ tự kiểm tra câu lệnh ACL • • • Khi packet vào interface, router kiểm tra xem có ACL inbound interface hay khơng, có packet kiểm tra đối chiếu với điều kiện danh sách Nếu packet cho phép (allow) tiếp tục kiểm tra bảng routing để định chọn interface để đến đích Tiếp đó, router kiểm tra xem outbound interface có ACL hay khơng Nếu khơng packet gửi tới mạng đích Nếu có ACL outbound interface, kiểm tra đối chiếu với điều kiện danh sách ACL Lưu đồ hoạt động inbound ACL Thuật ngữ liên quan: - Wilcard mask: wilcard mask bit địa IP bỏ qua so sánh với địa IP khác wildcard mask có nghĩa bỏ qua vị trí bit so sánh với địa IP, xác định vị trí bit phải giống Với Standard access-list, không thêm wildcard mask câu lệnh tạo access-list 0.0.0.0 ngầm hiểu wildcard mask - Inbound outbound: Khi áp dụng access–list cổng, phải xác định access–list phải dùng cho luồng liệu vào (inbound) hay (outbound) Mặc định access–list áp dụng với luồng liệu outbound - Chiều luồng liệu xác định cổng router Chẳng hạn, lấy ví dụ hình bên dưới: RouterA muốn loại bỏ (deny) tất luồng liệu từ host PCB (150.1.1.2) tới PCA (152.1.1.2) Có hai nơi có thể áp dụng access–list RouterA: inbound access–list áp dụng cổng serial hay outbound access–list áp dụng cổng Ethernet Tốt nhất là áp dụng access–list cổng gần nơi luồng dữ liệu sẽ bị loại bo Giới thiệu Wildcard mask Wildcard mask gồm 32 bit, chia thành octet, octet có bit Nó xác định bit địa IP bỏ qua so sánh địa với địa khác Bit ‘1’ wildcard mask có nghĩa bỏ qua vị trí bit so sánh, bit ‘0’ xác định vị trí bit phải giống Với standard access list, khơng thêm wildcard-mask câu lệnh tạo access-list mặc định wildcard-mask 0.0.0.0 Wildcard mask subnet mask Mặc dầu có cấu trúc 32 bit giống chúng hoạt động khác Các bit subnet mask xác định phần network, subnet, phần host địa IP Các bit wildcard-mask xác định bit địa IP kiểm tra hay bỏ qua cho mục đích điều khiển truy cập • Wildcard host Wildcard mask dùng cho host hay gọi wildcard-host có dạng : 0.0.0.0 (kiểm tra tất bit) Ví dụ: 172.30.16.29 0.0.0.0 Ý nghĩa: kiểm tra ACL, kiểm tra tất bit địa dùng để so khớp Wildcard mask cho host đại diện từ khóa “host”: Ví dụ: host 172.30.26.29 Ví dụ: Câu lệnh ACL cho phép host sau Router(config)#access-list permit 172.30.16.29 0.0.0.0 hoặc: Router(config)#access-list permit host 172.30.16.29 • Wildcard any Wildcard mask cho tất host gọi wildcard-any có dạng: 255.255.255.255 (không kiểm tra tất bit) Ý nghĩa: chấp nhận tất địa Wildcard mask dùng cho tất host đại diện từ khố “any” Ví dụ: Router(config)#access-list permit 0.0.0.0 255.255.255.255 hoặc: Router(config)#access-list permit any Giới thiệu Standard ACL • Inbound outbound Khi áp dụng access-list cổng, phải xác định access-list dùng cho luồng liệu vào (inbound) hay (outbound) Chiều luồng liệu xác định cổng router Standard access list Sử dụng standard ACL ta muốn block hay allow tất traffic từ network xác định, deny toàn protocol Standard ACL quan tâm tới source address Standard ACL kiểm tra địa nguồn packet Nó làm việc với host network address hay nói cách khác deny permit tất traffic từ thiết bị nguồn xác định Kiểm tra packet với standard access list Cấu hình standard access-list Router(config)# access-list access-list-number { permit | deny } source [wildcard-mask] Trong đó: access-list-number có giá trị từ đến 99 Wildcard-mask không cấu hình lấy giá trị mặc định là:0.0.0.0 Dùng lệnh no ip access-list access-list-number để xóa entry access list Router(config-if)# ip access-group access-list-number { in | out } Câu lệnh có tác dụng gán ACL vào interface đặt chế độ kiểm tra cho luồng traffic vào (inbound) hay (outbound) khỏi interface Dùng lệnh no ip access-group access-list-number để không áp đặt ACL vào interface Có nghĩa huỷ bỏ câu lệnh Cấu hình Standard ACL Chỉ permit cho traffic thuộc mạng 172.16.0.0/16 lưu thông qua cổng E0 E1 router Deny host 172.16.4.13/24 truy cập vào mạng 172.16.3.0/24 Topology Yêu cầu Cấm tất traffic từ PC1 truy cập đến mạng 192.168.20.0/24 RouterB(config)#access-list deny 192.168.10.2 0.0.0.0 Hoặc: RouterB(config)#access-list deny host 192.168.10.2 RouterB(config)#access-list permit any RouterB(config)#interface fa0/0 RouterB(config-if)#ip access-group out Giới thiệu Extended ACL Extended ACL cung cấp điều khiển linh hoạt standard ACL Nó kiểm tra địa nguồn địa đích packet Nó kiểm tra protocol, port, tham số khác Extended ACL quan tâm tới source address, destination address, IP protocol (TCP, UDP) số thông tin khác số port …(telnet :23, … ) Kiểm tra packet với extended eccess list Cấu hình Extended access-list • Router(config)# access-list access-list-number { permit | deny } protocol source-address source-wildcard destination-addresss destination-wildcard operation operand Trong đó: - access-list-number có giá trị từ 100 – 199 - protocol udp tcp - operator thường dùng equ - operand số port dịch vụ hay tên dịch vụ Ví dụ: ta dùng số port 23 hay dùng tên dịch vụ telnet Câu lệnh dùng để tạo một dòng ACL (ACL entry) ACL access-listnumber • Router(config-if)# ip access-group access-list-number { in | out } Trong đó, access-list-number số hiệu (có giá trị 100 – 199) danh sách ACL ta tạo Câu lệnh có ý nghĩa gán danh sách ACL vào interface chọn hướng (inbound outbound) traffic kiểm tra Cấu hình Extended ACL Cấu hình router mơ hình mạng để cấm FTP traffic từ host thuộc subnet 172.16.4.0 đến host thuộc subnet 172.16.3.0, cho phép tất traffic lại hoạt động bình thường Cấm Telnet từ subnet 172.16.4.0 khỏi cổng E0, cho phép tất traffic lại Topology Yêu cầu: - Cấm PC1 truy cập đến PC3 dịch vụ www - Cấm PC2 truy cập đến PC4 dịch vụ FTP - Cấm PC1 ping đến PC3 RouterA(config)#access-list 100 deny tcp host 192.168.10.10 host 192.168.20.30 eq www RouterA (config)#access-list 100 deny tcp host 192.168.10.20 host 192.168.20.40 eq 20 RouterA (config)#access-list 100 deny tcp host 192.168.10.20 host 192.168.20.40 eq 21 RouterA (config)#access-list 100 deny icmp host 192.168.10.10 host 192.168.20.30 RouterA (config)#access-list 100 permit ip any any RouterA (config)#interface fa0/0 RouterA (config-if)#ip access-group 100 in FPT có hai loại: FPT(21)và FPT-DATA(20) - Cổng 20 dùng cho việc truyền liệu - Còn 21 dùng để truyền commands Nếu chặn port 20 cho phép port 21, authenticate thành công thực số lệnh FTP server ví dụ lệnh ls LAB 4-2: EXTENDED ACCESS-LIST Mô tả: Router A cho phép tất lưu lưu lượng từ PCC (150.1.1.2) đến PCA (152.1.1.2) từ chối tất lưu lượng từ PCC (150.1.1.2) tới PCB (152.1.1.3) Extened Access-list sử dụng cần lọc địa IP nguồn đích –Router A RouterB nối đường serial đặt địa IP hình RouterA RouterB có địa IP secondary tạo cổng Ethernet để làm điểm kiểm tra –Access-list dùng để lọc ngõ vào cổng serial RouterA, cho phép gói từ PCC 150.1.1.2 tới PCA khơng cho phép gói từ PCC tới PCB Cấu hình: Router A: ! hostname RouterA ! no ip domain-lookup ! interface Ethernet0 ip address 152.1.1.2 255.255.255.0 secondary ← Địa chỉ IP thứ hai để làm điểm kiểm tra ip address 152.1.1.3 255.255.255.0 secondary ip address 152.1.1.1 255.255.255.0 no keepalive ← vô hiệu hóa keepalive router cho phép cổng ethernet0 vẫn up không kết nới bên ngồi ! interface Serial0 ip address 195.1.1.4 255.255.255.0 ip access-group 100 in ← Dùng Access-list 100 cho tất lưu lượng vào đường serial0 ! no ip classless ip route 150.1.1.0 255.255.255.0 Serial0 ← dùng định tuyến tĩnh (không dùng định tuyến động) ip route 151.1.1.1 255.255.255.255 Serial0 access-list 100 permit ip host 150.1.1.2 host 152.1.1.2 log ← tổng hợp tin thông tin gói thoả điều kiện access-list 100 deny ip host 150.1.1.2 host 152.1.1.3 log ← Loại tất gói IP từ 150.1.1.2 tới 152.1.1.3; tổng hợp tin thông báo gói thoả điều kiện (Chú ý: tất gói khác ngầm hiểu bị loại bỏ; tất access list kết thúc câu lệnh loại bỏ tất cả) ! ! line line vty login ! end Router B: ! hostname RouterB ! interface Loopback0 ip address 150.1.1.1 255.255.255.255 ! interface Ethernet0 ip address 150.1.1.2 255.255.255.0 secondary ip address 150.1.1.1 255.255.255.0 no keepalive ! interface Serial0 ip address 195.1.1.10 255.255.255.0 clock rate 64000 ! no ip classless ip route 152.1.1.0 255.255.255.0 Serial0 ! line line vty login ! end ... tra packet với standard access list Cấu hình standard access- list Router(config)# access- list access- list- number { permit | deny } source [wildcard-mask] Trong đó: access- list- number có giá trị... lấy giá trị mặc định là:0.0.0.0 Dùng lệnh no ip access- list access- list- number để xóa entry access list Router(config-if)# ip access- group access- list- number { in | out } Câu lệnh có tác dụng gán... Router(config) #access- list permit 0.0.0.0 255.255.255.255 hoặc: Router(config) #access- list permit any Giới thiệu Standard ACL • Inbound outbound Khi áp dụng access- list cổng, phải xác định access- list