Access Control Lists Seznamy pro zen pstupu Accessing

Access Control Lists Seznamy pro řízení přístupu Accessing the WAN – Chapter 5 Version 4. 0 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 1

Objectives § How ACLs are used § Configure standard ACLs § Configure extended ACLs § Complex ACLs § Implement, verify and troubleshoot ACLs © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 2

Standard Access List (ACL) for the Cisco CCNA – Part 1 https: //www. youtube. com/watch? v=4 PPUv. Rj 2 Pv. M © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 3

What are ACLs? ACL jsou seznamy podmínek, kterými se testují pakety, které se pokoušejí projít přes router. Říkají routeru, které pakety mají být povoleny a které zakázány. • ACLs are lists of conditions used to test network traffic that tries to travel across a router interface. These lists tell the router what types of packets to accept or deny.

How ACLs are Used § Steps in a TCP conversation Při práci s ACL se nám bude hodit představa o tom, jak funguje TCP. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 5

How ACLs Work Na konci je neviditelné „Zahodit všechno, co prošlo až sem“. Zkouší se, zda jednotlivé podmínky (= řádky) seznamu pasují na paket. Po první splněné podmínce se další řádky už nezkoumají a rozhodne se, zda paket propustit nebo zahodit.

How ACLs are Used § Types and formats of ACLs Standardní filtrují jen podle zdrojové adresy. To je jejich velká slabina. Rozšířené umějí filtrovat podle mnoha dalších věcí. Jsou mnohem šikovnější. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 7

How ACLs are Used § Numbering and Naming ACLs značení Standardní Rozšířené Pojmenované 1 – 99 100 - 199 JMENO © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 8

How ACLs are Used § Where ACLs should be placed in a network Standardní umístíme až na konec trasy, těsně ke vstupu příjemce. Rozšířené umístíme hned na začátek trasy, těsně k výstupu ze zdroje. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 9

How ACLs are Used § Creating ACLs Založte přístupové listy na bezpečnostní politice vaší firmy. Připravte si popis, co mají listy dělat. Na vytvoření, editaci a ukládání listů použijte textový editor. Vyzkoušejte listy na zkušební síti, než je nasadíte naostro. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 10

Configure Standard ACLs § How to configure a standard ACL Zakaž jednu konkrétní adresu 192. 168. 10. 1 Dovol celý zbytek sítě 192. 168. 10. 0 Zakaž celý zbytek nadřízené sítě 192. 168. 0. 0 Dovol celý zbytek nadřízené sítě 192. 0. 0. 0 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 11

Configure Standard ACLs § How to configure a standard ACL 255 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 12

Configure Standard ACLs § Wildcard masks Oba řádky říkají totéž. Nezáleží mi na žádném místě adresy. Projdou tedy všichni = any. Oba řádky říkají totéž. Na všech místech v adrese mi záleží. Projde tedy jen jediný = host. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 13

Configure Standard ACLs § How to apply a standard ACL to an interface Vytvořit řádky, které budou patřit do listu číslo 1. Toto je jeden z nich: Určit, na který interface to přijde a kterým směrem. . . a přilepit to na něj - out. Bude tedy hlídat výstup ven. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 14

Configure Standard ACLs § How to apply a standard ACL to an interface Povolí, aby z rozhraní S 0/0/0 odcházely jen pakety ze sítě 192. 168. 10. 0 © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 15

Configure Standard ACLs § Editing numbered ACLs Do listu lze jen přidávat, a to jen na konec. Chceme-li něco změnit, musíme list zrušit a napsat ho znovu. Dělat to pomocí primitivního editoru v routeru by bylo na mašli. Proto je lépe využít jiný editor. Uděláme to takto: © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 16

Configure Standard ACLs § Editing numbered ACLs Zobrazit list příkazem „show“. Zvýraznit řádky, které chceme změnit, vzít je do schránky. Vsadit řádky ze schránky do textového editoru, tam je změnit. Vzít je do schránky. Vymazat původní list příkazem „no access-list“. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public Ze schránky zkopírovat upravené řádky do routeru. 17

Configure Standard ACLs § Named ACL © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 18

Configure Standard ACLs pojmenovaný § Editing named ACLs V pojmenovaném listu můžeme řádky očíslovat, . . . a pak mezi ně vsunout nový řádek. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 19

Configure Extended ACLs § How to configure extended ACLs © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 20

Configure Extended ACLs § How to configure extended ACLs © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 21

Configure Extended ACLs § How to apply an extended ACL to an interface © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 22

Configure Extended ACLs § How to create named extended ACLs © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 23

Complex ACLs § Three types of complex ACLs Uživatelé jsou blokováni, dokud se nepřipojí pomocí Telnetu. Při tom prokáží znalost hesla a jsou povoleni. Příchozí provoz je povolen jen pokud je reakcí na žádost z routeru. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public Přístup je řízen podle času nebo dne v týdnu. 24

Complex ACLs § How and when to use dynamic ACLs © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 25

Complex ACLs § How and when to use reflexive ACLs Provoz zvenku, reagující na naši žádost – OK, povoleno. Provoz zvenku, který jsme si nevyžádali – zakázáno. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 26

Complex ACLs § How and when to use time-based ACLs Můžeme např. zakázat nedůležitý provoz v době špičky. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 27

Complex ACLs § Troubleshooting ACL problems Tady jsme nejdřív všechno zakázali, . . . a tady se snažíme ještě něco povolit, ale to už je pozdě. © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 28

Complex ACLs § Troubleshooting ACL problems Tady jsme povolili TCP, ale TFTP používá UDP. ip © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 29

Summary § An Access List (ACL) is: A series of permit and deny statements that are used to filter traffic § Standard ACLs – Identified by numbers 1 - 99 and 1300 - 1999 – Filter traffic based on source IP address § Extended ACLs – Identified by number 100 -199 & 2000 - 2699 – Filter traffic based on • Source IP address • Destination IP address • Protocol • Port number © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 30

Summary § Named ACL – Used with IOS 11. 2 and above – Can be used for either standard or extended ACL § ACL’s use Wildcard Masks (WCM) – The inverse of a subnet mask – 0 check the bit – 1 ignore the bit © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 31

Summary § Implementing ACLs – 1 st create the ACL – 2 nd place the ACL on an interface • Standard ACLs are placed nearest the destination • Extended ACLs are placed nearest the source § Verifying & troubleshooting ACLs – Show access-list – Show interfaces – Show run © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 32

Summary § Complex ACLs – Dynamic ACLs – Reflexive ACLs – Time based ACLs © 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 33

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Public 34