giới thiệu tổng quan về access control list cho những bạn nào học về chuyên ngành kỹ thuật viễn thông, hy vọng tài liệu sẽ hữu ích cho bạn
ACCESS CONTROL LIST Bảo mật mạng công việc vô quan trọng hệ thống mạng Các nhà thiết kế mạng sử dụng tường lửa (firewall) để bảo vệ mạng từ người dùng không xác thực Tường lửa giải pháp phần cứng giải pháp phần mền để thi hành sách bảo mật Trên thiết bị Router Cisco, cấu hình tường lửa đơn giản cung cấp lọc gói tin sử dụng ACLs (access control lists) Với ACLs, người quạn trị mạng cho phép từ chối gói tin vào mạng Bài viết trình bày kiến thức ACLs ACLs ? ACLs (Access control lists) hay gọi access lists, danh sách câu lệnh hay gọi ACEs (Access control entries), áp dụng Interface đó, đệm vào ra, điều khiểu Router từ chối chuyển tiếp gói tin dựa vào thơng tin IP header TCP/UDP header Mục đích sử dụng ACLs Giới hạn lưu lượng mạng nhằm tăng hiệu mạng Cung cấp điều khiểu luồng truyền thông cách giới hạn phân phát cập nhật tuyến Cung cấp mức bảo mật cho truy cập mạng Điều khiểu loại truyền thông phép chuyển tiếp từ chối Router Khả điều khiển truy cập người dùng Hoạt động ACLs Khi gói tin đến Router, thiết bị kiểm tra đối chiếu với ACEs ACLs để định cho phép gói tin qua Interface hay từ chối Các ACEs ACLs kiểm tra từ ACE đến ACE cuối Nếu ACE thỏa điều kiện ACE sau cần kiểm tra Cuối ACLs ACE khơng tường minh từ chối khơng cho phép gói tin qua Do đó, gói tin khơng thỏa điều kiện ACEs gói tin bị đánh rơi Các loại ACLs IOS Cisco cung cấp hai loại ACLs: ACLs chuẩn ACLs mở rộng - ACLs chuẩn: loại ACLs đơn giản lọc gói tin dựa vào địa IP nguồn Do đó, sử dụng phép từ chối luồng truyền thông từ host mạng cụ thể - ACLs mở rộng: ACLs phức tạp ACLs chuẩn có nhiều điều kiện lọc ACLs chuẩn, điều kiện lọc gồm: Địa IP nguồn Địa IP đích Giao thức Chỉ số cổng ứng dụng ACLs nên đặt đau ? Đặt ACLs chổ vơ quan trọng, làm mạng hoạt động hiệu quả, giảm lượng truyền thông không cần thiết ACLs nêu đặt nơi mà đạt hiệu tốt Chú ý sau giúp xác định vị trí đặt ACLs: - ACLs mở rộng: đặt gần nguồn truyền thơng lọc Theo cách này, luông truyền thông không mong muốn bị từ chối trước vào hạ tầng mạng, giảm lưu lượng mạng, tăng hiệu mạng - ACLs chuẩn: Vì ACLs chuẩn khơng định địa đích nên đặt gần mạng đích Đặt ACLs chuẩn gần nguồn ngăn chặn luồng truyền thông đến đến mạng khác qua Interface áp dụng ACLs Vị trí đặt ACLs loại ACLs phụ thuộc vào: - Mức độ kiểm sát mạng người quản trị: vị trí đặt ACLs phụ thuộc vào khả điều khiển mạng nguồn, mạng đích, hai - Băng thông mạng: lọc lưu lượng mạng không mong muốn nguồn ngăn chặn tiêu tốn băng thông truyền tải đến đích Điều quan mạng băng thơng thấp - Dễ dàng cấu hình: người quản trị mạng muối từ chối lưu lượng mạng đến từ vài mạng, ý tưởng sử dụng ACLs chuẩn áp dụng Router gần đích Bất lợi trường hợp mạng tiêu tốn nhiều băng thông không cần thiết Nếu sử dụng ACLs mở rộng, áp dụng ACLs Router nơi luồng truyền thông xuất phát Điều tiết kiệm băng thông mạng yêu cầu tạo áp dụng ACLs nhiều Router Áp dụng ACLs lên Interface theo hướng vào hay ? - Áp dụng ACLs hướng vào: gói tin vào xử lý lọc trước định tuyến đưa Interface chuyển tiếp Với cách này, chi phí tìm tuyến giảm Cách sử dụng tốt để lọc gói tin nguồn gói tin cần kiểm tra - Áp dụng ACLs hướng ra: gói tin sau định tuyến đưa đệm Interface ra, sau chúng xử lý qua lọc ACLs Cách áp dụng tốt cho trường hợp gói tin đến từ nhiều đệm Interface vào đệm Interface Cấu hình ACLs Cấu hình Standard Ipv4 ACLs Tạo sử dụng ACLs công việc quan trọng, đòi hỏi người quản trị mạng cần có kế hoạch chi tiết rõ ràng Bảng sau ghi chú ý xây dựng sử dụng ACLs Hướng dẫnLợi ích o ACLs cần bám sát sách bảo mật tổ chức triển khai sách bảo mật yêu cầu o Đảm bảo o Chuận bị mô tả mà ACLs bạn muốn làm o Điều tránh bất lợi không mong muốn trình tạo ACLs o Sử dụng trình soạn thảo text để tạo, sửa, lưu ACLs o Giúp tạo thư viện ACLs tái sử dụng sau o Kiểm tra ACLs trước đưa vào sử dụng o Giúp kiểm tra lỗi Chú ý: Do ACLs kiểm tra từ xuống nên tạo ACLs cần ý ACL không phủ định ACLs dưới, lệnh ACLs cụ thể đặt trên; ACLs chung chung nên đặt gần cuối Cấu trúc lệnh cấu hình standard ipv4 numbered ACLs : Router(config)# access-list access-list-number { deny | permit | remark } source [source-wildcard ][ log ] Tham số Giải thích Access-list-number Định danh số ACL, sử dụng số thập phân từ 1-99 1300-1999 DenyTừ chối lưu lượng truyền thông thỏa điều kiện Permit Cho phép lưu lượng qua nến thỏa điều kiện Remark Mô tả chức ACL, làm cho ACL dễ dàng để hiểu Mỗi remark giới hạn 100 ký tự Source Là mạng, host nguồn gói tin Có hai cách để định nguồn gói tin: - Sử dụng 32 bit để định nguồn gói tin; - Hoặc sử dụng từ khóa thay Chú ý: nguồn host ta định source host, sau địa host Nếu nguồn ta dùng từ khóa any source-wildcard 32 bits wildcard mask áp dụng với nguồn Log Thông điệp ghi lại thơng tin gói tin thỏa ACEs Thơng điệp gồm thông tin số ACL mà gói tin phép thơng qua hay từ chối, địa nguồn số gói tin Thơng điệp tạo gói tin thỏa ACE định kỳ phút Cấu trúc lệnh cấu hình standard ipv4 named ACLs : Router(config)#ip access-list standard name Router(config-std-nacl)# [permit | deny | remark] source [sourcewildcard] [log] Cấu hình Extended Ipv4 ACLs Cấu hình extended Ipv4 numbered ACLs Router(config)# access-list access-list-number { deny | permit | remark } source [source-wildcard ] protocol source [source-wildcard] [opterator operand ] [port port-number|name] destination [destination-wildcard] [operator operand] [port port-number|name] [established] Tham số Giải thích Access-list-number Định danh số ACL, sử dụng số thập phân từ 100-199 2000-2699 DenyTừ chối lưu lượng truyền thông thỏa điều kiện Permit Cho phép lưu lượng qua nến thỏa điều kiện Remark Mô tả chức ACL, làm cho ACL dễ dàng để hiểu Mỗi remark giới hạn 100 ký tự Protocol Tên số giao thức Internet Từ khóa thường dùng gồm: IP, TCP, UDP Để thỏa giao thức Internet ta dùng từ khóa IP Source Là mạng, host nguồn gói tin source-wildcard 32 bits wildcard mask áp dụng với nguồn Destination Mạng host đích gói tin Destination-wildcard 32 bits wildcard mask áp dụng với đích Operator So sánh cổng nguồn cổng đích Tốn tử so sánh gồm: lt(less than), gt (greater than), eq (equal), neq (not equal), range(vùng loại trừ) Port Số thập phân tên cổng TCP UDP Established Chỉ cho phép luồng truyền thông thiết lập kết nối trước Cấu hình extended Ipv4 numbered ACLs Router(config)#ip access-list extended name Router(config-std-nacl)# { deny | permit | remark } source [sourcewildcard ] protocol source [source-wildcard] [opterator operand ] [port port-number|name] destination [destination-wildcard] [operator operand] [port port-number|name] [established] Sau tạo ACLs xong, ta tiến hành áp dụng ACLs lên Interface Router(config-if)# ip access-group {access-list-number | access-listname } {in | out } Nếu áp dụng lên cổng VTY, ta sử dụng lệnh Router(config-if)# ip access-class {access-list-number | access-list-name } {in | out } Sửa ACLs Chúng ta có hai cách để sửa ACLs cấu hình Router Cách 1: Đầu tiên dùng lệnh show access-list để copy ACLs cấu hình Router vào trình soạn thảo đó, sửa lại theo mong muốn, dán lại ACLs sửa vào cấu hình Chú ý trước dán cấu hình ACLs ta cần loại bỏ ACLs cũ lệnh no access-list Khuyến nghị: để đơn giản giám sát, cấu hình chỉnh sửa sau này, sử dụng trình soạn thảo để viết lưu lại lệnh cấu hình ACLs, sau copy dán vào cấu hình chế độ cấu hình tồn cục Khi muốn thay đổi cấu hình ACLs, cần sửa lại lệnh ACLs theo u cầu, xóa cấu hình ACLs cũ với lệnh no access-list, dán cấu hình ACLs vào cấu hình Cách 2: Thay đổi ACEs dựa sơ ACEs Đầu tiên, ta sử dụng lệnh show access-list để xem ACEs cấu hình Router Sau xác định ACE cần sửa xác định vị trí cần chèn ACE Tiếp theo, ta tiến hành thêm sửa xóa ACEs ip access-list [standard | extended] [number | name] //sửa ACE No sequence-number Sequence-number ACE-mới //xóa ACE No sequence-number // chèn ACE Sequence-number ACE-mới Ưu nhược điểm ACLs Ưu điểm: - Tốc độ xử lý gói tin nhanh - Mềm dẽo triển khai sách bảo mật Nhược điểm: - Cấu hình phức tạp - Khơng thể ngăn chặn cơng tầng ứng dụng - Nhạy cảm với loại công giao thức TCP/IP - Không hỗ trợ xác thực người dùng kết nối - Giới hạn khả ghi lại kiện: chúng không ghi lại nội dung thực gói tin để xác định cố gắng làm ... Router(config-if)# ip access- group {access- list- number | access- listname } {in | out } Nếu áp dụng lên cổng VTY, ta sử dụng lệnh Router(config-if)# ip access- class {access- list- number | access- list- name... ipv4 numbered ACLs : Router(config)# access- list access- list- number { deny | permit | remark } source [source-wildcard ][ log ] Tham số Giải thích Access- list- number Định danh số ACL, sử dụng... show access- list để copy ACLs cấu hình Router vào trình soạn thảo đó, sửa lại theo mong muốn, dán lại ACLs sửa vào cấu hình Chú ý trước dán cấu hình ACLs ta cần loại bỏ ACLs cũ lệnh no access- list