Come proteggere la nostra rete grazie al router con ACL standard ed estese

Naviga SWZ: Home Page » Articoli
Articolo del 1511422652
Autore: Fabio Ferraro
Categoria: sicurezza





ACL Estese
Le ACL Estese (extended caratterizzate dai numeri attestati nei range tra 100 e 199 o tra 2000 e 2699) sono più complete delle standard poiché consentono il filtraggio del traffico IP tramite: indirizzo IP sorgente, indirizzo IP destinazione, protocolli e le porte.

L’operatore può assumere i seguenti valori:

1)   lt -- less than
2)  gt -- greater than
3)  eq -- equal to
4)  neq -- not equal to

Il numero di porta può essere sostituito dal nome del protocollo di interesse: Telnet e coì via.

La regola di composizione di questo tipo di ACL Standard è il seguente:

access-list numerodassegnare {deny | permit} protocol source source-wildcard destination destination-wildcard [operator operand] [established] [precedence precedence] [log]

Se vogliamo impostare le porte e non ricordiamo i numeri o non ricordiamo bene la sintassi del comando, possiamo in ogni momento, utilizzare il simbolo ?.

Come proteggere la nostra rete grazie al router con ACL standard ed estese - immagine 18
Esempio di ACL Estese
Vediamo qualche esempio di ACL estese, sulla nostra microrete utilizzata per i test se vogliamo limitare il traffico FTP:

access-list 20 deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 21
access-list 20 permit ip 192.168.2.0 0.0.0.255 any
(da considerare che c´è il 20 deny any any – implicito)

nella programmazione dell´interfaccia g 0/0 dove c´è l´ipotetico server FTP:
ip access-group 20 out

Altri esempi sono:

access-list 125 permit TCP any host 192.168.30.80 eq 80

Questa riga di comando consente di far passare traffico TCP proveniente da chiunque diretto all’host 192.168.30.80 sulla porta 80.

access-list 125 permit tcp any host 193.43.116.10 eq 53 (DNS)

Stesso discorso per il servizio DNS.

access-list 125 deny ICMP any any

In questo caso vietiamo qualsiasi tentativo di ping (ICMP).

ACL Named

Rispetto alle ACL con il numero queste che sostituiscono il nome al numero possono essere modificate senza essere cancellate e ricreate come le Standard e le Estese con il numero. In questa titologia di ACL, utilizzeremo il comando ip access-list.

ACL sulle linee vty

Per ragioni di sicurezza si può negare o permette agli utenti l´accesso al router tramite virtual terminal, in questo caso bisogna controllare tutte le linee vty, essenziale differenza quella di sostituire access-class ad access-list.

Controllo delle ACL

Per eseguire delle verifiche sulle ACL possiamo utilizzare i seguenti comandi:

1)  show access-list

Come proteggere la nostra rete grazie al router con ACL standard ed estese - immagine 19

2) show ip interface

Come proteggere la nostra rete grazie al router con ACL standard ed estese - immagine 20
3) show running-config


Come proteggere la nostra rete grazie al router con ACL standard ed estese - immagine 21


Conclusioni

Abbiamo acquisito rispetto agli articoli precedenti le basi e le nozioni per creare delle ACL  ACE  basate su indirizzi IPV4 (nonostante tutto ancora i più utilizzati) e gestirne gli instradamenti. Esercitatevi dunque in ogni possibile potenziale combinazione di rete, ma ricordate sempre che non c´è lavoro o esercizio eseguito al meglio senza una progettazione di laboratorio con tanto di test, quindi simulate le reti da implementare in modo da prevenire problematiche o sviste. In ogni caso per ottimizzare ogni risorsa e ottenere una  migliore protezione, rivolgetevi sempre ad un consulente specializzato in networking e sicurezza.



« Precedente     1  2  3  4 [5]  ]

Pagine Totali: 5