Extended Access Control List 101: Zugriffsmanagement & Berechtigungen

Eine Extended Access Control List (ACL) entscheidet als Regelwerk darüber, welcher Traffic Zugang zu Ihrem Netzwerk erhält – und welcher nicht. Dabei bietet sie Ihrem Systemadministrator das hohe Maß an Flexibilität und Kontrolle, das er für die Einrichtung Ihres Netzwerkes benötigt. Und da sie sich flexibel an Ihre Anforderungen anpassen lässt, können Sie granulare Regeln für Ihren Datenverkehr festlegen, die über die IP-Adresse hinausgehen. So schützen Sie Ihr Netzwerk vor Angriffen, ohne Ihren Datenverkehr zu stören. Eine Extended ACL dient dazu, bestimmten Quellen den Zugriff auf ausgewählte Systeme über spezifische Ports zu verwehren. Auf diese Weise können Sie den eingehenden und ausgehenden Datenverkehr gezielt steuern. 

Was ist eine Extended Access List (ACL)?

Eine Access Control List ist ein Regelwerk, das definiert, welcher Traffic in einem Netzwerk erlaubt bzw. verboten ist – und legt so das Fundament für eine grundlegende Security. Eine Extended Access List bietet mehr Flexibilität und Individualisierungsoptionen als eine klassische ACL. Letztere gibt dem Betriebssystem eines Computers lediglich vor, welche Nutzer auf bestimmte Objekte wie einzelne Dateien und Verzeichnisse zugreifen dürfen. Eine Extended ACL ergänzt diese Standard-ACL um weitere, spezifischere Parameter. Auf diese Weise können Sie den Traffic im Netzwerk priorisieren und Ihre Netzwerksicherheit optimieren. Denn die Welt verändert sich, und die Bedrohungslandschaften entwickeln sich weiter – Ihre Netzwerksicherheit muss mit dieser Dynamik Schritt halten. Und, noch wichtiger: Um Ihren Kunden und Mitarbeitern die beste User-Experience und eine hochwertige digitale Interaktion zu ermöglichen, müssen Sie die Cyberangriffe stoppen, ohne den Traffic zu stören.

Funktionen einer Extended ACL

Eine Standard-ACL entscheidet anhand der Quell-IP-Adresse über die Zulässigkeit des Datenverkehrs. Eine Extended Access Control List hingegen filtert die Pakete wesentlich granularer. Sie gibt über die IP-Adresse hinaus vor, welche Arten von Traffic erlaubt oder verboten sind – zum Beispiel TCP, ICMP und UDP. Die Extended ACL kann nach folgenden Kriterien filtern:

• Quelladresse
• Zieladresse
• Portnummer
• Protokoll
• Zeitrahmen

Die Extended ACL bietet eine breite Palette von Konfigurationsoptionen, die Ihnen helfen, gefährlichen Traffic zu stoppen, während vertrauenswürdige und notwendige Daten ungehindert ihr Ziel erreichen. Dabei kann der IP-Traffic im Bereich 100-199 und 2000-2699 priorisiert werden. In der Regel setzt die Extended Access List in der Regel nah bei der Quelle an.

Was die Befehle einer Extended ACL bedeuten

Eine Extended Access List sieht in der Regel in etwa so aus: 

access-list access-list number [permit/deny] protocol source IP address

source-wildcard destination destination-wildcard [operator]

Diese Befehle bedeuten Folgendes:

• Access-List Number: die Nummer der Access List für den angegebenen Bereich
• Permit: Traffic zulassen, falls die Bedingungen zutreffend sind
• Deny: Traffic nicht zulassen, falls die Bedingungen zutreffend sind
• Protocol: Filterung anhand bestimmter Protokolle möglich
• Source IP Address: die IP-Adresse oder Quelle, von der das Paket stammt
• Destination-Wildcard: Angabe einer Quell-Wildcard, um die Ziel-IP-Adresse oder einen Bereich von IP-Adressen zu bestimmen, damit nicht jede IP-Adresse einzeln eingegeben werden muss
• Operator: Angabe der Portnummer im Falle aktiver Protokollfilter, mit folgenden Optionen:
  • eq Gleich: der angegebene Port wird überwacht
  • gt Größer: ein Bereich ab einem bestimmten Port wird überwacht
  • lt Kleiner: ein Bereich bis zu einem bestimmten Port wird überwacht
  • neq Ungleich: ein bestimmter Port wird von der ACL ausgeschlossen

Wie Sie eine Extended ACL einrichten

Wenn Sie verhindern wollen, dass eine unautorisierte Quelle auf Ihr Netzwerk zugreift, dann müssen Sie nicht den gesamten Traffic zwischen den beiden IP-Adressen stoppen. Sie können auch lediglich die Zugriffe zwischen den konkreten Ports einschränken. Dafür müssen Sie zunächst die Quell-IP-Adresse definieren und mit einer Wildcard-Maske blockieren. Im nächsten Schritt legen Sie das Ziel fest, für das Sie den Zugriff beschränken wollen. Hier bestimmen Sie die entsprechenden Ports, die keinen Zugriff erhalten sollen, zum Beispiel so:

Router1# conf t

Router1(config)# access-list [access-list number] deny tcp host [source IP address or addresses] eq [port number]

Router1(config)# access-list [access-list number] deny tcp host [source IP address or addresses] eq [port number]

Mit dem ersten Befehl blockieren Sie das Ziel am spezifischen Zielport, und mit dem zweiten wiederholen Sie den Vorgang für HTTPS. Der „eq“-Befehl gewährt den Zugang über die vorgegebenen Ports. Diese Liste können Sie über „Show Access List“ einsehen, um sicherzustellen, dass die ACL alle notwendigen Schritte enthält.

Wie Sie den Befehl „deny all“ außer Kraft setzen

Wenn Sie lediglich Deny-Statements einfügen, enthält die ACL eine implizite „DENY ALL“-Anweisung, die deaktiviert werden muss, um den gewünschten Zugriff zu ermöglichen und einen kompletten Netzwerkausfall zu verhindern. Dies wird im Befehl „Access List anzeigen“ nicht angezeigt. Um dies zu beheben, muss ein Permit hinzugefügt werden. Dafür sollten Sie einen „any any“-Befehl verwenden, da sonst der sämtlicher Traffic, der nicht den Regeln der Access List entspricht, verworfen wird. Rufen Sie die Access List mit der ihr zugewiesenen Nummer auf und fügen Sie dann „Permit“ hinzu. Sie müssen den Permit so konfigurieren, dass er IP-Adressen aus allen Variationen innerhalb des Statements einschließt und zulässt – von jeder Quelle bis zur Zieladresse. Auf diese Weise werden nur die Statements blockiert, die Sie zuvor beschränkt haben. Der gesamte übrige Verkehr darf passieren.

Wie Sie die ACL anwenden und die Richtung bestimmen

Die Extended ACL kann nun auf eine Schnittstelle angewendet werden. Dabei sollte sie in der Regel so nah wie möglich an der Quelle platziert werden. Dann müssen Sie dem Traffic vorgeben, in welche Richtung er fließen soll. Dabei wird mit einem „in“- oder einem „out“-Befehl bestimmt, in welche Richtung das Paket geht. Für eingehende Pakete wird der Befehl „in“ verwendet, für ausgehende der Befehl „out“. Mit der Anwendung der Extended ACL wird der Zugriff für den von Ihnen blockierten Traffic beschränkt. Der übrige Datenverkehr kann weiterhin von der Quelle zum Ziel gelangen. ACL-Listen müssen konfiguriert werden, bevor Sie sie anwenden und freischalten können.

ACL-Ressourcen

ACL-Listen sind eine Kernkomponente der Netzwerksicherheit. Erweiterte ACL-Listen lassen sich umfassend individualisieren, um sicherzustellen, dass wichtige und notwendige Datenpakete zwischen Quelle und Ziel übertragen werden, während nicht autorisierter oder potenziell gefährlicher Traffic blockiert oder eingeschränkt wird. Die Konfiguration einer Extended ACL für Ihr Netzwerk kann zeitaufwändig sein. Es gibt aber spezialisierte Unternehmen, Drittanbieter und Ressourcen, die Sie bei der Erstellung der Listen unterstützen und anleiten können. Ein guter Ausgangspunkt ist das Extended ACL-Tutorial von Cisco, das Sie bei der Planung und Entwicklung einer Extended ACL für Ihr Netzwerk unterstützt.

Referenzen

The Study of Network Security With Its Penetrating Attacks and Possible Security Mechanisms. (Mai 2015). A Monthly Journal of Computer Science and Information Technology.

Access Agent: Improving the Performance of Access Control Lists. (April 2016). International Journal of Scientific & Technology Research.

Configuring Cisco IDS Blocking. (2003). Cisco Security Professional’s Guide to Secure Intrusion Detection Systems.

Cisco Content Services Switch. (2002). Managing Cisco Network Security (Second Edition).

Configuring IP Access Lists. (2007). Cisco.