Uitgebreide ACL (Access Control List) 101: toegang en rechten

Met een uitgebreide Access Control List (ACL) kunt u bepalen welk verkeer wel en welk verkeer geen toegang krijgt. De lijst fungeert als een soort poortwachter voor uw netwerk. Zo'n lijst kan de admin die het netwerk instelt meer flexibiliteit en controle geven. De lijst is in hoge mate aanpasbaar zodat er regels over verkeer kunnen worden ingesteld voor meer dan alleen maar het IP-adres. Daarmee kunnen aanvallen op het netwerk worden voorkomen en kan tegelijkertijd het gewenste verkeer worden doorgelaten. Er kan een uitgebreide ACL worden ingesteld om te voorkomen dat specifieke bronnen toegang krijgen via bepaalde poorten op bepaalde computers. Op die manier kunt u uitgaand en binnenkomend verkeer tot op een uiterst nauwkeurig niveau beheren. 

Wat is een uitgebreide Access Control List (ACL)?

Een Access Control List, of toegangscontrolelijst, is een set regels waarmee verkeer tot een netwerk wordt toegelaten of geblokkeerd om zo een basis van beveiliging te verschaffen. Een uitgebreide toegangscontrolelijst is flexibeler en gemakkelijker aan te passen dan een standaard toegangscontrolelijst. Een ACL kan een besturingssysteem laten weten welke gebruikers toegangsrechten hebben voor specifieke systeemobjecten, zoals afzonderlijke bestanden of mappen. Een uitgebreide ACL kan fungeren als een uitbreiding van een standaard ACL met specifiekere parameters. Dat kan de netwerkbeveiliging verbeteren en tegelijk voorrang geven aan de verkeersstroom binnen een netwerk. Netwerkbeveiliging moet voortdurend worden aangepast aan veranderingen in de wereld en de toenemende bedreigingen. Het is nog belangrijker om potentieel malafide actoren tegen te houden en tegelijkertijd het noodzakelijke verkeer ongehinderd door te laten voor een soepel werkende interface voor klanten en werknemers en digitale interactie.

Kenmerken van een uitgebreide ACL

Een standaard ACL laat verkeer al dan niet toe op basis van het IP-adres van de bron, terwijl een uitgebreide ACL pakketten veel specifieker kan filteren. Een uitgebreide ACL kan de toegelaten of geblokkeerde verkeerstypen bepalen aan de hand van meer dan het IP-adres, maar bijvoorbeeld ook op basis van TCP, ICMP en UDP. Een uitgebreide ACL kan verkeer filteren op basis van:

• Adres van de bron
• Adres van de bestemming
• Poortnummer
• Protocol
• Periode

De uitgebreide ACL kan op tal van manieren worden geconfigureerd om mogelijk schadelijk verkeer of aanvallen te blokkeren en tegelijkertijd legitiem en noodzakelijk verkeer door te laten naar afzonderlijke bestemmingen. Specifiek IP-verkeer in het bereik van 100 tot 199 en van 2000 tot 2699 kan voorrang worden verleend. De uitgebreide ACL wordt in het algemeen ook dicht bij de bron toegepast.

Opdrachten in een uitgebreide ACL

De basisindeling van een uitgebreide ACL ziet er als volgt uit: 

access-list access-list number [permit/deny] protocol source IP address

source-wildcard destination destination-wildcard [operator]

Uitleg van deze opdrachten:

• access-list number: het nummer van de ACL in het bereik dat eerder is gespecificeerd
• permit: verkeer dat wordt toegelaten als aan de juiste voorwaarden wordt voldaan
• deny: verkeer dat wordt geweigerd als aan de juiste voorwaarden wordt voldaan
• protocol: filteren toegestaan op basis van een specifiek protocol
• source IP address: het IP-adres of de bron van waaruit het pakket wordt verzonden
• destination-wildcard: geeft een source-wildcard aan om het IP-adres of de reeks IP-adressen van de bestemming te bepalen zodat niet elk IP-adres afzonderlijk hoeft te worden opgegeven
• operator: kan het poortnummer aangeven bij filteren op protocol en gebruikt de volgende opties:
  • eq gelijk: wanneer precies die poort wordt gecontroleerd
  • gt groter dan: geef een bereik aan boven een bepaald poortnummer
  • lt kleiner dan: geef een bereik aan onder een bepaald poortnummer
  • neq niet gelijk aan: de access-list kan aan alle poorten minus één worden toegewezen

Een uitgebreide ACL instellen

Als een bron onbevoegd toegang probeert te krijgen tot uw netwerk en u wilt die poging stoppen zonder al het verkeer tussen de twee IP-adressen te blokkeren, beperkt u de toegang alleen tussen de specifieke poorten. In de eerste plaats moet u het IP-adres van de bron definiëren en dat blokkeren met een wildcard. Vervolgens geeft u de bestemming op waarvoor u de toegang wilt beperken. Hier geeft u de specifieke poorten op waarvoor u de toegang beperkt met behulp van instructies zoals:

Router1# conf t

Router1(config)# access-list [nummer access-list] deny tcp host [bron-IP-adres of -adressen] eq [poortnummer]

Router1(config)# access-list [nummer access-list] deny tcp host [bron-IP-adres of -adressen] eq [poortnummer]

De eerste instructie is bedoeld om de target bij de specifieke poortbestemming te blokkeren, terwijl de tweede instructie datzelfde doet voor HTTPS. De "eq"-opdracht laat verkeer voor opgegeven poorten toe. U kunt deze lijst bekijken met de opdracht "Show Access List" om te controleren of de uitgebreide ACL alle noodzakelijke instructies bevat.

De instructie "deny all" stoppen

Wanneer u alleen maar deny-instructies opgeeft, bevat de ACL een impliciete "DENY ALL"-instructie die uitgesloten moet worden om de gewenste toegang te krijgen en een volledige uitval van het netwerk te voorkomen. Dit is niet opgenomen in de instructie "Show Access List". U kunt dit oplossen door een permit-instructie toe te voegen. Er is een "any any"-instructie nodig omdat anders al het verkeer dat niet overeenkomt met de regels voor access-list zal worden tegengehouden. Gebruik de ACL met het nummer dat eraan is toegewezen en voeg "Permit" toe. U moet de permit configureren en vervolgens IP-adressen van alle variaties binnen de instructie opnemen en toestaan vanaf elke bron naar het bestemmingsadres. Hiermee worden alleen de instructies geweigerd die u eerder hebt beperkt en wordt al het andere verkeer toegestaan.

De ACL toepassen en de richting bepalen

De lijst van de uitgebreide ACL kan nu op een interface worden toegepast. De ACL moet in principe zo dicht mogelijk bij de bron worden geplaatst. Op dit punt moet u aangeven in welke richting het verkeer moet gaan. Er wordt een "in"- of "out"-opdracht gebruikt om te bepalen in welke richting het pakket gaat. Een binnenkomend pakket gebruikt de "in"-opdracht, een uitgaand pakket gebruikt "out". Nadat de uitgebreide ACL is toegepast, heeft het specifiek geblokkeerde verkeer geen toegang meer, terwijl de rest van het verkeer gewoon van de bron naar de bestemming wordt doorgelaten. ACL-lijsten moeten worden geconfigureerd voordat ze worden toegepast en ingeschakeld.

ACL-resources

ACL-lijsten vormen een belangrijk onderdeel van de netwerkbeveiliging. Lijsten van uitgebreide ACL's bieden nog meer aanpassingsmogelijkheden om te zorgen dat essentieel en noodzakelijk verkeer kan worden verzonden tussen de bron en de bestemming en dat onbevoegd of potentieel gevaarlijk verkeer geblokkeerd of beperkt wordt. Het configureren van een uitgebreid ACL-netwerk kan wel tijdrovend zijn. Er zijn organisaties en andere externe partijen die kunnen helpen bij het samenstellen van de lijsten of die daarvoor tutorials aanbieden. De tutorial voor uitgebreide ACL's van Cisco biedt ondersteuning en richting voor het samenstellen van een uitgebreide ACL voor uw netwerk.

Referenties

The Study of Network Security With Its Penetrating Attacks and Possible Security Mechanisms. (Mei 2015). A Monthly Journal of Computer Science and Information Technology.

Access Agent: Improving the Performance of Access Control Lists. (April 2016). International Journal of Scientific & Technology Research.

Configuring Cisco IDS Blocking. (2003). Cisco Security Professional’s Guide to Secure Intrusion Detection Systems.

Cisco Content Services Switch. (2002). Managing Cisco Network Security (Second Edition).

Configuring IP Access Lists. (2007). Cisco.