Sei sulla pagina 1di 6

ACCESS LIST 5B ITIS G.

MARCONI JESI 2016 / 2017 Mancini - Scuppa

ACCESS LIST
INTRODUZIONE
Le ACL (Access Control List) sono una lista di istruzioni da applicare alle interfacce di un router con
lo scopo di gestire il traffico, filtrando inoltre i pacchetti in entrata e in uscita.
Quali obiettivi si vogliono raggiungere tramite il loro uso?

Fornire un livello base di sicurezza (tramite restrizione degli accessi a una specifica rete o
sottorete);
Limitare il traffico e aumentare la performance della rete (ad esempio tramite selezione dei
pacchetti che dovranno essere processati prima di altri);
Decidere quale tipo di traffico pu essere trasmesso (ad esempio possibile permettere
linvio di e-mail ma impedire il Telnet).

Le ACL vengono elaborate dal router in base allordine in cui sono state inserite le varie clausole.
Appena un pacchetto soddisfa una delle condizioni, la valutazione sinterrompe e il resto delle ACL
non viene preso in considerazione. Il pacchetto viene quindi inoltrato o eliminato secondo
listruzione eseguita. Se il pacchetto non soddisfa nessuna delle condizioni viene scartato.

Per il modo in cui vengono eseguite le ACL (in sequenza) occorre quindi inserire le condizioni pi
restrittive allinizio.

POSIZIONAMENTO ACL

Uno degli aspetti fondamentali da ricordare il posizionamento delle ACL, in quanto una
cattiva organizzazione di questultimo pu aver un impatto negativo sulla rete, con gravi
conseguenze:

- maggiori risorse utilizzate dal router nel processare i pacchetti;

- decadimento delle prestazioni della rete, o ancora collasso della rete stessa.

CONFIGURAZIONE DI UNA ACL IN CISCO


ACCESS LIST 5B ITIS G.MARCONI JESI 2016 / 2017 Mancini - Scuppa

Per creare una ACL occorre seguire i seguenti passi.

Definire la ACL con il seguente comando:

access-list number il numero univoco che identifica ogni ACL e che ne definisce il tipo.

permit e deny definiscono le condizioni (permetti e nega) su come devono essere elaborati i
pacchetti (il primo indica che il pacchetto ha il permesso di utilizzare una o pi interfacce
specificate di seguito, il secondo porta alleliminazione del pacchetto stesso).

il termine finale specifica la condizione da soddisfare.

Esempi di access-list number:

Protocollo Intervallo
IP 1-99
Extended IP 100-199
AppleTalk 600-699
IPX 800-899
Extended IPX 900-999
IPX Service Advertising Protocol 1000-1099

Si deve poi applicare la ACL a una o pi interfacce:

Se unaccess-list vuota, il router sottintende permit any, se invece, presenta anche una sola
entry, il router considera un deny any.
Le ACL per il traffico possono essere applicate alle singole interfacce, sia in input che in output:

In input il router applica prima lACL e poi effettua il routing;


In output il router effettua prima il routing e poi applica lACL.
WILDCARD MASK

La wildcard mask un numero di 32-bit diviso in 4 ottetti. Questa indica quali bit di un indirizzo IP
devono essere controllati in unACL: il valore 0 nella wildcard-mask indica che il bit corrispondente
deve essere controllato, il valore 1 che deve essere ignorato.
ACCESS LIST 5B ITIS G.MARCONI JESI 2016 / 2017 Mancini - Scuppa

ACL STANDARD
Le ACL standard vengono utilizzate per bloccare o permettere il traffico da una rete o da un host
specifico o per negare determinati protocolli. Laspetto fondamentale delle ACL standard che il
controllo viene esclusivamente effettuato sullindirizzo sorgente.

Parametri Descrizione
Access-list-number Numero della ACL. Ne indica il nome e il tipo
Permit Permette laccesso se le condizioni sono soddisfatte
Deny Nega laccesso se le condizioni sono soddisfatte
Source Indirizzo sorgente del pacchetto
Source wildcard La wildcard mask che deve essere applicata
Log Attiva i messaggi di log. Questi comprendono lindirizzo sorgente, il numero
di pacchetti e lesito del controllo (permit o deny).

Per eliminare una ACL bisogna utilizzare il comando:

Una volta definite le condizioni si deve applicare la ACL allinterfaccia desiderata:

Parametri Descrizione
In|out Specifica se la ACL va applicata allinterfaccia in entrata o in uscita.

ESEMPIO
Permettere il traffico proveniente dalla rete 172.16.0.0.
ACCESS LIST 5B ITIS G.MARCONI JESI 2016 / 2017 Mancini - Scuppa

ACL ESTESE

Le ACL estese forniscono una maggiore flessibilit e controllo se paragonate a quelle standard.
Infatti, possono effettuare il controllo non solo sullindirizzo del mittente, ma anche su quello del
destinatario, su uno specifico protocollo, sul numero di porta o su altri parametri. Infine risulta
possibile effettuare controlli sui singoli protocolli che compongono la suite.

CONFIGURAZIONE DI UNA ACL ESTESA

Definizione ACL secondo la seguente sintassi:

Parametri Descrizione
Access-list-number Numero dellACL. Ne indica il nome e il tipo. Le ACL estese
utilizzano valori differenti da quelli utilizzati dalle standard.
Permit Permette laccesso se le condizioni sono soddisfatte
Deny Nega laccesso se le condizioni sono soddisfatte
Protocol Il protocollo di comunicazione (IP, TCP, UDP, ICMP, IGRP, )
Source e Destination Indirizzo del mittente e del destinatario.
Souce-wildcard e La wildcard-mask che deve essere applicata allindirizzo sorgente e a
Destination-wildcard quello di destinazione.
Operator operand Un operatore logico (less than, greater than, equal, not equal) e il
numero o il nome della porta TCP o UDP.
Established (Optional) Si utilizza solo con il protocollo TCP: indica una
estabilished connection.
Precedence (Optional) Indica un numero da 0 a 7, che specifica la precedenza del
pacchetto rispetto a un altro.
Log (Optional) Attiva i messaggi di log. Questi comprendono lindirizzo
sorgente, il numero di pacchetti e lesito del controllo.

Applicazione delle ACL a una o pi interfacce:

Parametri Descrizione
Access-list-number Indica il numero della ACL che deve essere legata allinterfaccia.
In|out Specifica se la ACL va applicata allinterfaccia in entrata o in uscita.
ACCESS LIST 5B ITIS G.MARCONI JESI 2016 / 2017 Mancini - Scuppa

Per quanto concerne la cancellazione di una ACL estesa sar sufficiente ripetere gli stessi passi
intrapresi con la versione standard. E comunque consigliabile, prima di effettuare la cancellazione
vera e propria, procedere con la rimozione da tutte le interfacce.
ESEMPIO DI ACL ESTESE

Bloccare esclusivamente il traffico FTP.

ESEMPIO PRATICO, ACL COME FIREWALL

Le ACL possono essere utilizzate per aumentare la sicurezza della rete dagli attacchi provenienti
dallesterno. Tale risultato si ottiene configurando opportunamente il border router, ovvero il
router connesso verso lesterno. In questo caso, appunto, il router avr anche funzione di firewall.
Un esempio di tale architettura potrebbe essere il seguente:

In questa rete si pu pensare, con lutilizzo delle ACL, di forzare tutto il traffico proveniente da
Internet verso lapplication gateway, mentre il router connesso alla LAN interna accetter solo i
pacchetti provenienti da questultimo.
ACCESS LIST 5B ITIS G.MARCONI JESI 2016 / 2017 Mancini - Scuppa

Bisogna comunque evidenziare che lutilizzo delle ACL come firewall non offrono in alcun modo
tutti i vantaggi, la flessibilit e il livello di sicurezza di un classico firewall.

OTTENERE INFORMAZIONI SULLE ACL

Per visualizzare le informazioni sulle ACL si possono utilizzare i seguenti comandi:

Mostra il contenuto di tutte le ACL caricate sul router.

Mostra le informazioni sulle interfacce IP e quindi anche la presenza di uneventuale ACL collegata
allinterfaccia.