Nguyên tắc hoạt động của Access list

Ví dụ có danh sách ACL sau: 1-câu lệnh ACL1 2-câu lệnh ACL2 3-câu lệnh ACL3 4-câu lệnh ACL4 5-Deny all Chú ý: Ta thấy câu lệnh thứ 5 deny all luôn khớp với tất cả các gói tin, ta không c

1 Giới thiệu chung, ACL là gì? : Danh sách các câu lệnh dùng để quản lý truy cập (vào, ra) trên thiết

bị với các hành động tương ứng cho phép (allow) hoặc cấm (deny)

Nguyên tắc hoạt động của Access list

Access-list là một danh sách gồm nhiều dòng Khi được truy xuất, ACL sẽ được đọc và thực hiện từng dòng một từ trên xuống dưới, dòng nào chứa thông tin khớp với thông tin của gói tin đang được xem xét, dòng ấy sẽ được thực hiện ngay và các dòng còn lại sẽ được bỏ qua.

Một nguyên tắc nữa cần lưu ý là các dòng mới được khai báo sẽ được tự động thêm vào cuối ACL, tuy nhiên dòng cuối cùng thực sự của một ACL luôn là một dòng ngầm định ‘deny’ tất cả, có nghĩa là nếu gói tin không match bất cứ dòng nào đã khai báo của ACL, nó sẽ bị deny

2 TCP conversation ports

3. Cơ chế hoạt động

- Cơ chế lọc gói tin dựa trên các thông số trong header gói tin như: IP nguồn, IP đích, Port nguồn, port đích, trạng thái…

- Các lệnh (luật) trong danh sách ACL xử lý theo thứ tự từ trên xuống dưới, nếu có 1 luật thỏa mãn thì thoát luôn ACL mà không thực hiện các luật phía dưới.

Ví dụ có danh sách ACL sau:

1-câu lệnh ACL1

2-câu lệnh ACL2

3-câu lệnh ACL3

4-câu lệnh ACL4

5-Deny all

Chú ý: Ta thấy câu lệnh thứ 5 (deny all) luôn khớp với tất cả các gói tin, (ta không cấu hình lệnh này

nhưng mặc định có trong danh sách, không hiển thị khi dùng lệnh Show access list)

Do vậy theo thứ tự thực hiện trên xuống thì nếu từ trên xuống không có câu lệnh nào khớp với gói tin vào thì sẽ thực hiện câu lệnh cuối này, và điều đó có nghĩa là gói tin bị loại bỏ.

Do vậy ta cần có ít nhất một câu lệnh cho phép (allow) trong danh sách ACL

- ACL có nhiều ứng dụng, và cần phải được đặt lên interface, line, giao thức hoặc dịch vụ hỗ trợ ACL và phải đặt theo hướng vào hay hướng ra.

- Mỗi interface, line, giao thức hoặc dịch vụ hỗ trợ có thể sử dụng 1 hoặc nhiều ACL.

4. Một vài đặc điểm ACL?

- Các entry trong ACL đc xử lý theo thứ tự.

- Cơ chế lọc bằng cách kiểm tra các thông số trong header gói tin.

- ACL có nhiều ứng dụng, và cần phải được đặt lên interface, line, giao thức hoặc dịch vụ hỗ trợ ACL.

- Mỗi interface, line, giao thức hoặc dịch vụ hỗ trợ có thể sử dụng 1 hoặc nhiều ACL.

- Hỗ trợ hầu như tất cả giao thức nhưng mỗi giao thức nên có riêng một ACL.

- Cuối mỗi ACL luôn có 1 explicit entry [deny all] => cần phải cẩn thận.

- Không thể xóa, sửa entry trong numbered ACL.

5 Phân loại ACL

Có nhiều cách để phân loại ACL, dựa theo tên gọi ACL được chia làm number ACL và named ACL, hoặc dựa trên cơ chế lọc thì ACL đc chia thành standard ACL và extend ACL; hay dựa trên độ linh hoạt thì ACL có thể chia thành static ACL và complex ACL…

Standard ACL

Standard ACL là những bản tin ACL đơn giản nhất Chúng được đánh số từ

1-99 nếu là number ACL Standard ACL chỉ lọc địa chỉ nguồn trong header của

IP packet, vì thế chúng hoạt động tại lớp 3 trong mô hình OSI hay lớp

internet trong mô hình TCP/IP

Standard ACL có thể được đặt theo chiều inbound (vào) hoặc outbound (ra) trên router (ta hiểu rằng vào hay ra là chiều tương đối đối với mỗi interface), tuy nhiên bản tin standard ACL nên được đặt càng gần destination, và

thường theo chiều outbound Vì standard ACL chỉ kiểm tra địa chỉ IP nguồn, nên vị trí đặt cần chỉ ra chính xác chiều gói tin sẽ được cho phép qua hoặc không được cho phép qua

Cấu hình Standard ACL

Format Standard ACL

Router(config)#access-list [list number] [permit / deny] [source IP add] [wildcardmask]

Trong đó:

[list number] đánh số cho standard ACL từ 1-99

[permit / deny]: cho phép hoặc không cho phép gói tin qua router [source IP add]: địa chỉ IP nguồn của gói tin

[wildcard mask]: wildcard mask của địa chỉ IP

Đặt Standard ACL lên interface:

[list number] đánh số cho standard ACL từ 1-99

[permit / deny]: cho phép hoặc không cho phép gói tin qua router [source IP add]: địa chỉ IP nguồn của gói tin

[wildcard mask]: wildcard mask của địa chỉ IP

Trong đó:

[list number] Số của ACL đã xác định trước

[in / out]: Chọn hướng inbound hoặc outbound

Extended ACL

Extended ACL là những bản tin ACL mở rộng, cho phép lọc đa dạng hơn so với standard ACL nên thường được sử dụng nhiều hơn Extended ACL được đánh số từ 100 đến 199, extended ACL cho phép port number (application), source-destination IP address , protocol và nhiều tùy chọn Vì thế extended ACL hoạt động tại lớp 3 và lớp 4 mô hình OSI

Extended ACL cũng thể được cấu hình inbound hoặc outbound trên interface, tuy nhiên vì extended ACL lọc chính xác source/destination IP Address nên vị trí đặt cần tránh tình trạng hao tổn băng thông mạng không cần thiết khi gói tin bị discard “lang thang” trước khi bị deny Người ta thường thực hiện điều này bằng cách đặt ACL gần source

Extended ACL được sử dụng nhiều để thiết lập các routing policy trên router Các entry trong Extended ACL rất đa dạng, và có khả năng tùy biến cao, hỗ trợ phòng chống nhiều kiểu tấn công

Cấu hình Extended ACL

Format Standard ACL:

Router(config)#access-list [list number] [permit / deny] [protocol] [source specification] [destination specification] [protocol qualification] [logging]

Trong đó:

[list number] đánh số cho standard ACL từ 1-99

[permit / deny]: cho phép hoặc không cho phép gói tin qua router

[protocol]: Giao thức (từ lớp 3 trở lên) của gói tin (lớp 3: “ospf”, “eigrp”, ; lớp 4: “tcp”, “udp”; “icmp”; “ip” đại diện bất kỳ giao thức nào)

[source specification]: Là một chuỗi entry bao gồm [source IP add] [wildcard mask] [source port number (với protocol là TCP hoặc UDP)]

[destination specification]: Là một chuỗi entry bao gồm [des IP add]

[wildcard mask] [des port number (với protocol là TCP hoặc UDP)]

[protocol qualification]: Các tùy chọn hỗ trợ phụ thuộc vào entry [protocol], tăng cường tính năng bảo mật hoặc thực hiện những tác vụ lọc dữ liệu đặc biệt

port] [port number]

Trong đó:

[optional port] chỉ ra khoảng port cần được kiểm tra

[port number] chỉ ra chính xác port làm mốc cho [optional port]

[logging]: Ghi lại thông tin về những gói tin match các entry trong ACL

Inbound hay Outbound

Khi nhắc tới lọc theo chiều nào (inbound hoặc outbound) phải gắn liền với mỗi interface trên router, trên mỗi interface cho phép nhiều ACL nên cho phép lọc nhiều chiều tùy vào mỗi ACL

-> Inbound: Các bản tin hướng vào interface

-> Outbound: Các bản tin hướng ra từ interface

Lọc inbound sẽ tiêu tốn ít tài nguyên CPU hơn, do gói tin được lọc trước khi được forward; ngược lại, lọc outbound sẽ tốn nhiều thời gian hơn vì gói tin

được lọc sau khi forward Tuy nhiên chiều lọc rất quan trọng và đặt chính xác là yêu cầu cơ bản

Named Access Control List

Có thể là standard ACL hoặc extended ACL nhưng được đặt tên bằng ký tự (vì thế, trong nhiều trường hợp named ACL giúp admin quản lý danh sách ACL hiệu quả hơn)

Vì thế nên không giới hạn số lượng ACL Cho phép xóa sửa entry trong ACL, entry mới sẽ đặt ở cuối Một vài dạng ACL (reflexive ACL) yêu cầu cấu hình với named ACL

Cấu hình named ACL

Router(config)ip access-list [standard / extended] [name]

Router(config-std-nacl)#[permit / deny] …

Trong đó:

[standard / extended] là loại ACLs

[name] là tên đặt cho ACLs

[permit / deny]… là cấu hình entry cho named ACLs: Hoàn toàn Tương tự cấu hình standard / extended ACLs kể từ entry [permit /deny]