Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

CCNA2 – Module 11 Access Control Lists. Was ist eine ACL? access-list 2 deny host 172.16.1.1 access-list 2 permit 172.16.1.0 0.0.0.255 access-list 2 deny.

Ähnliche Präsentationen


Präsentation zum Thema: "CCNA2 – Module 11 Access Control Lists. Was ist eine ACL? access-list 2 deny host 172.16.1.1 access-list 2 permit 172.16.1.0 0.0.0.255 access-list 2 deny."—  Präsentation transkript:

1 CCNA2 – Module 11 Access Control Lists

2 Was ist eine ACL? access-list 2 deny host access-list 2 permit access-list 2 deny access-list 2 permit any Eine sequentielle Liste zusammengehöriger Paketfilter-Regeln (hier erkennbar an der " 2 ", Reihenfolge ist relevant) die auf den Datenverkehr eines Interfaces angewandt werden und nur für eine Richtung des Verkehrs gelten (hier " in ")! Außerdem gilt die ACL nur für ein bestimmtes Protokoll (auch durch die " 2 " bestimmt – zugehörige Schlüssel später). ip access-group 2 in

3 ACL Arbeitsweise einer Interface-ACL (am Eingang eines Interfaces) Permit - + Anhand Routing- Tabelle zum Ausgangs-Interf. switchen. Match? : + - Permit Für uns - + Paket Impliziter Deny Verwerfen

4 Gesamter Prozess im Überblick

5 Aufbau einer ACL 1. access-list Die Nummer legt fest zu welcher ACL (Sammlung von Filterregeln) diese Regel gehört. 2. permit | deny Passende Pakete zulassen oder ablehnen. 3. Je nach ACL-Typ (Standard, Extended) unterschiedliche Bedingungen möglich. Beispiel: access-list 2 permit

6 Aufbau der Filterbedingungen bei Standard-ACLs Bei Standard-ACLs kann nur die Absender-IP- Nummer geprüft werden. Die Bedingung besteht aus 2 Teilen: 1. Teil: Eine einzelne IP-Nummer oder eine Netz- Identifikations-Nummer (Net-ID). 2. Teil: Eine Wildcard-Maske die bestimmt welche Bits des ersten Teils für den Prüfvorgang relevant sind. Die Wildcard-Mask hat also eine ähnliche Wirkung wie eine Subnet-Mask wobei ein gravierender Unterschied besteht: 1-Bits kennzeichnen hier die irrelevanten Bits. 0-Bits kennzeichnen die auf Übereinstimmung zu prüfenden Bits

7 Wildcard-Mask Maske ist gleichbedeutend zu ( - ist dont care): Filterregel lautet damit: Betroffen sind alle IP-Nummern mit folgendem Muster

8 Wildcard-Mask Im Gegensatz zu einer Subnet-Mask können nach dem ersten 1-Bit auch wieder 0-Bits auftreten (gemischt). IP-Nummer: Wildcard-Mask: Betroffen sind alle IP-Nummern nach folgendem Muster: D.h. folgende Host-Bereiche im Netz /24 sind betroffen: 16-31, 48-63, 80-95, , , , ,

9 Wildcard-Mask – Sonderformen Ist genau eine IP- Nummer (also ein Host). Kurzform host Beispiel: access-list 2 permit host Hier ist kein Bit relevant. Kann also gleich als geschrieben werden. Hierfür gibt es die Kurzform any Beispiel: access-list 2 deny any

10 Befehle rund um ACL's access-list... ip access-list... ip access-group [in|out] show running-config show ip interface show access-lists

11 Nummernbereiche für ACL's Die ACL-Nummer (beachten Sie erneut, dass sich dahinter im allgemeinen mehrere Regeln verbergen) legt fest welche Art von ACL vorliegt. *) *) Der unterste Bereich – Standard ACL's – beginnt nicht bei 0 sondern bei 1!!

12 Extended ACL's Können folgende Test's durchführen: Protokoll (z.B. IP, ICMP, TCP, UDP, IGRP) Quell-IP-Nummer Ziel-IP-Nummer Ziel-Port-Nummer bzw. Ziel-Port-Bereiche Verbindungsaufbau bzw. bestehende Verbindungen Vereinfachter Syntax: access-list {permit|deny} [ ] [ ] [established]

13 Named ACL's Anstatt über Nummern kann eine ACL über aussagekräftige Namen bezeichnet werden. Keine Beschränkung der ACL-Anzahl. Einzelne Regeln können aus der ACL entfernt werden ohne gleich die ganze ACL löschen zu müssen. ACHTUNG: Erweiterung der ACL nur sequentiell am Ende möglich. Standard und Extended ACL's möglich.

14 Named ACL's Eigener IOS-Mode für Konfiguration. ip access-list {standard|extended} name Im nachfolgenden nacl -Mode können Regeln sequentiell erfasst werden. Bei einzelner Regel bleibt "access-list " einfach weg. Die Regeln beginnen also mit permit oder deny, der restliche Syntax wie schon gehabt. Binden auf Interface wie vorher.

15 Platzierung von ACL's im Netz Standard ACL's können nur die Source- Adresse filtern. Sie sind damit sehr "grob" und unselektiv. Damit sie nicht zu viel abblocken sollten sie nahe am Zielnetzwerk angebracht werden. Extended ACL's können schon am Quellnetzwerk sehr filigran den Teil des nicht erlaubten Netzverkehrs herausfiltern. Da sie damit auch die Netzlast verringern werden sie so nahe wie möglich an der Quelle angebracht.

16 Firewall Exterior Interior Bastion Host als Layer 7 Gateway


Herunterladen ppt "CCNA2 – Module 11 Access Control Lists. Was ist eine ACL? access-list 2 deny host 172.16.1.1 access-list 2 permit 172.16.1.0 0.0.0.255 access-list 2 deny."

Ähnliche Präsentationen


Google-Anzeigen