Come proteggere la nostra rete grazie al router con ACL standard ed estese

Naviga SWZ: Home Page » Articoli
Articolo del 1511422652
Autore: Fabio Ferraro
Categoria: sicurezza






Perché creare le ACL

Se in un router non progettiamo e applichiamo le ACL, verranno inoltrati tutti i pacchetti verso le destinazioni richieste. Bisogna limitare il traffico di rete superfluo e fornirne il controllo di flusso, garantirne una certa sicurezza nell´accedere alla rete e limitare o permetterne l´accesso in base a determinati parametri o dal tipo di traffico. Possiamo quindi decidere quali pacchetti entrano in un´interfaccia e decidere le regole che hanno priorità. 


Come proteggere la nostra rete grazie al router con ACL standard ed estese - immagine 3

Come illustrato nel grafico sopra, nella creazione delle ACL, possiamo scegliere fra due direzioni in base alle nostre necessità (quando diciamo in e out, si deve ragionare dal punto di vista del router): 
 - Inbount (in), i filtri vengono applicati quando il pacchetto raggiunge il router, attraverso l´interfaccia di interesse (che lo deve esaminare);
 - Outbount (out), il filtro ai pacchetti viene eseguito dopo che è già iniziata l´operazione routed (inoltro).

Possiamo programmare le nostre ACL in base al protocollo d´utilizzo, alla direzione (come menzionato precedentemente) e all´interfaccia. Per esempio, se abbiamo due protocolli (IPv4 e IPv6), due interfacce (G0/0 e G0/1), possiamo avere in esecuzione ben 8 ACL separate. 

 2 interfacce * (2 direzioni + 2 protocolli) = 8

Il parametro direzionale è essenziale nelle realizzazioni delle ACL perché va specificato (come vedremo) in una seconda fase sull´interfaccia d´interesse. Quando si creano le ACL è necessario mantenere un ordine sequenziale logico, perché la priorità va alla prima, successivamente alla seconda e così via fino all´ultima. Addirittura, le ACL standard hanno di default, dei comandi di rifiuto pacchetti alla fine. Nel momento in cui il router riscontra il matching (corrispondenza) aziona il comando associato all´ordine di sequenza, precisamente al primo match positivo, termina la ricerca. Quando tutti i test impostati nell´ACL risultano positivi (hanno quindi soddisfatto le condizioni), il pacchetto sarà di nuovo incapsulato in base al livello 2 del modello ISO/OSI, con annesso protocollo sull´interfaccia di uscita. 

WildCard Mask cos´è e come utilizzarla

Le operazioni che verranno applicate dalle ACL si basano in parte, sul concetto di WildCard Mask,  un quartetto di numeri (che possono assumere il valore di 0 o 1), formato da 8 bit (ciascuno) che consente di esaminare quale parte di IP address va considerata nel controllo richiesto dalla ACE (ogni regola dell´ACL è detta access control entry, ed esprime una o più condizioni dell´oggetto da valutare, come l´indirizzo IP, decide quindi se far passare il pacchetto o scartarlo) dell´ACL. 

00000000.00000000.00000000.00000000 (WildCard Mask in 4 ottetti binari)

0.0.0.0 (WildCard Mask in notazione decimale puntata)  indirizzo univoco fisso

Ad esempio, con la sequenza 0.0.0.255 verranno selezionati gli indirizzi che avranno i primi tre gruppi di valore uguale e l´ultimo che può variare da 0 a 255. In pratica, quando si incontra il valore 0, deve essere confrontato l´indirizzo.


Se consideriamo la WildCard Mask 0.0.0.31, verrà eseguito il seguente matching: 


In questo caso il valore 0 presente nella WildCard Mask include i primi 27 bit. I restanti bit ignorano il matching (andrà bene qualsiasi valore). 
Se noi consideriamo la WildCard 0.0.0.0 eseguiamo il match di tutti i bit, se abbiamo 255.255.255.255 (in decimale), ignoriamo tutti i bit dell´ottetto nella fase di confronto. 
Nel caso di una rete 172.16.0.0/8, abbiamo: 

per la normale gestione di rete una Subnet Mask 255.0.0.0, mentre per quanto riguarda la WildCard Mask, avremo 0.255.255.255 (esattamente il contrario). 
Scrivendo il tutto in notazione binaria, abbiamo 

10101000.00010000.00000000.00000000  - IPv4 address
00000000.11111111.11111111.11111111  - WildCard Mask
------------------------------------------------------
10101000.XXXXXXXX.XXXXXXXX.XXXXXXXX

dove con il simbolo X si indica che il bit può assumere qualsiasi valore. 

Tramite la WildCard Mask, possiamo:
- indicare un host specifico;
- una network classful ( e quindi con la Subnet Mask di default /8, /16 e /24);
- comprendere tutte le reti tramite l´opzione any.



« Precedente     1 [2] 3  4  5     Successiva »   ]

Pagine Totali: 5