Podcast 21T38 ACL [Konfiguracja]

WERSJA TEKSTOWA:

Cześć, witam Cię w dzisiejszym odcinku mojego podcastu. Temat to Access Listy w najprostszej postaci – typowa sytuacja, gdzie nie mamy Firewall-a, mamy tylko router, na którym chcielibyśmy zastosować prostą politykę bezpieczeństwa.

Ogólny scenariusz już mamy, pytanie jakie są zalety stosowania Access List na routerze? Przede wszystkim, jeżeli mamy małą sieć i nie mamy innych dodatkowych, bardziej zaawansowanych urządzeń, to możemy odseparować ruch pomiędzy poszczególnymi kategoriami systemów, użytkowników lub VLANów – w zależności od tego co potrzebujemy zrobić. Jeszcze jedna, bardzo ważna funkcjonalność to to, że możemy zrobić to stanowo na większości dzisiejszych routerów. Jeżeli sesja jest nawiązywana w jednym kierunku, to jest automatycznie dodawany do bazy znanych sesji wpis dla ruchu powracającego, który zezwala nam na odpowiedni ruch. W związku z tym, możemy pisać bardziej restrykcyjne Access Listy, które będą pozwalały na wychodzenie pewnego ruchu a powrót tylko dla sesji, które są nawiązane np od bardziej zaufanej strony, czyli od wewnątrz.

Jak pisać Access Listy? Schemat jest bardzo prosty. Najpierw tworzymy Access Listę i robimy wpis. Wpisy mają oznaczenie a kolejność ma znaczenie, ponieważ każdy pakiet, który będzie przechodził przez dany interface, na którym jest podpięta Access Lista, będzie sprawdzany w jej kontekście.

Zacznijmy od najprostszego przykładu: mamy Access Listę Standard – jest ona najmniej wymagająca, jeśli chodzi o podanie ilości informacji. Mówi ona, że mamy podać minimalnie informacje o Source Address IP – o adresie źródłowym IP, który będzie sprawdzany. Wyobraź sobie, że mamy router, przechodzi przez niego pakiet, Access Listę mamy podpiętą na kierunku wyjściowym z tego routera i każdy pakiet, który przechodzi przez to łącze, na którym jest Access Lista, będzie sprawdzany w kontekście wszystkich wpisów Access Listy. Jeżeli zastosujemy Access Listę Standard, czyli tylko Source Address IP będzie sprawdzany, w tym momencie mamy sprawdzanie każdego pakietu w nagłówku IP, pod kątem IP source adresu.

Mamy też oczywiście inne możliwości, możemy zastosować Access Listę Advanced, gdzie mamy możliwość podania i source address i destination address oraz dodatkowych parametrów, typu protokół TCP, nr portu. Możemy stosować dodatkowe opcje, w zależności od tego, co chcemy. Trzymajmy się jednak tego scenariusza, że mamy prostą sieć i chcemy ograniczyć komunikację od danych hostów do jakiś systemów. Wtedy Access Lista Standard, jest najczęściej zupełnie wystarczająca, bo bazujemy na IP i to jeszcze, kto wywołuje to połączenie, tj. source IP.

Możemy też opcjonalnie wykorzystać te Access Listy na poziomie L2. Są też takie możliwości. Możemy pisać pewne reguły i blokować ruch dotyczący konkretnych MAC adresów albo OUI w zależności od możliwości danego producenta. To już dużo rzadziej wykorzystywany scenariusz, ale możliwy. Jeślibyśmy chcieli np blokować w naszej sieci, przynajmniej po OUI, czyli po części MAC adresu informacji dotyczącej producenta, np wszystkie telefony, tego producenta, którego chcemy wskazać, mają być blokowane.

W bardziej zaawansowanym scenariuszu możemy wskazać, że określony Access Listą dany zakres MAC adresów, ma być przypisany w dalszej części konfiguracji np do VLAN-u Voice. Możemy w ten sposób dołączać telefony do VLAN-u Voice a nie grupować całego ruchu razem z transferem data, czyli z pakietami innego typu. Więc mamy tutaj dwie typowe kategorie Access Listy Standard i Advanced – tutaj warto się na chwilę zatrzymać nad wątkiem kierunku. Już pisząc Access Listę, powinieneś mieć na uwadze, w którym miejscu będzie ona zastosowana. Dlatego, że jeżeli napiszesz np source adres IP 192.168.1.200 ma być blokowany a Ty myślałeś pierwotnie o kierunku wyjściowym na interface WAN-owym danego routera, czyli wychodzącym gdzieś do Internetu, ale zamiast tego ktoś inny, albo Ty po jakimś czasie stwierdziłeś – przypisze go na interface LAN-owym, to zauważ, że każdy pakiet, który będzie przechodził w danym kierunku, będzie miał trochę inne parametry tego nagłówka IP. Czyli jeśli mówisz, że jeżeli source IP z końcówką 200 ma być blokowany i przypiszesz go na kierunku Out LAN-u, to pakiet, który będzie szedł od strony tego peceta, nie będzie się w tą regułę łapał, przejdzie przez router i będzie wysłany dalej. Z kolei pakiet, który będzie wracał z Internetu, będzie miał destination address IP naszego lokalnego peceta, czyli w regułę wychodzącą od strony LAN-u, gdzie przypomnę była reguła, że source IP z końcówką 200 będzie blokowany, również się nie załapie. Adres IP z końcówką 200 będzie w pakiecie, ale akurat w nagłówku destination IP a nie source IP.

To, w którym miejscu umieszczasz Access Listę, jest bardzo istotne, żeby to sobie zwizualizować i wiedzieć, w jakim kierunku na interface. Kolejną ważną rzeczą jest zaplanowanie, jak chcesz zorganizować kolejność wpisów w Access Liście. Ogólna zasada jest taka, że od najbardziej specyficznych do najbardziej ogólnych. Jeżeli chcesz blokować coś specyficznego np jednego hosta, to ten wpis powinien być na górze. Jeżeli natomiast chcesz zezwalać ją całej sieci, ten wpis powinien być niżej. Niektórzy producenci w swoich rozwiązaniach umożliwiają automatyczne sortowanie Access Listy. Ja nie jestem zwolennikiem tego rozwiązania, ponieważ tracisz pewną kontrolę nad logiką tej Access Listy. Może to mieć sens, jeśli masz w niej tysiąc wpisów – spotykam takie sytuacje w swojej praktyce. Jeżeli jest taka sytuacja, że taka Access Lista, tak zbudowana rośnie, z czasem dokładane są kolejne systemy i najczęściej nie są odejmowane wpisy ze starych systemów, czy starych pecetów, bo nie wiadomo, co działa. Człowiek, który obsługuje Access Listę, raczej tylko dopisuje do niej, nic nie usuwa. Przez to te Access Listy z czasem rosną.

Trzeba brać pod uwagę, że w takim przypadku automatyczne sortowanie może mieć trochę więcej sensu, dlatego, że to urządzenie stara się ułożyć od najbardziej do najmniej specyficznych. Więc nie blokujemy sobie niczego nieświadomie. Pisanie tych Access List ma sens i skaluje się tylko w małych środowiskach i do małej ilości wpisów. Jeżeli już chcemy czy mamy potrzebę większej ilości hostów, systemów, budować politykę, to zdecydowanie polecam rozwiązanie firewall-owe lub rozwiązanie router-owe. Mają one możliwość grupowania obiektów, bo takie routery już widzę. Jest to kwestia softu, ponieważ zarówno router, jak i firewall najczęściej bazują na analizie co najmniej L3, L4 a najczęściej wyżej, w zależności od rodzaju firewall-a. Umożliwiają one również analizowanie kierunku, czyli jeżeli analizujemy sesję z tej strony, to najczęściej wykorzystywane jest przy strefach, to, żeby ruch powrotny był wpuszczany i to zarówno firewall, jak i router współczesny też to potrafi.

Podsumowując, w zależności od tego, co potrzebujesz wykonać, jak dużo środków masz do wydania, możesz użyć zwykłego routera współczesnego i pewne reguły na nim pisać. Jest tylko jedno zastrzeżenie, które wynika z praktyki – źle się to skaluje, jeżeli masz dużo małych lokalizacji i chcesz na indywidualnych routerach w każdej lokalizacji pisać jakieś Access Listy – wtedy, to się w ogóle nie nadaje do praktycznego wykorzystania. Access Listy na routerze nadają się praktycznie tylko wtedy, kiedy masz malutkie środowisko, masz jeden router, nad którym panujesz lub przynajmniej w jednym miejscu, na jednym routerze te Access Listy piszesz. Wtedy ma to sens i można w ten sposób z tego korzystać. Warto korzystać, jeśli nie masz innych możliwości, po to, żeby ten ruch sobie ograniczyć.

W większych środowiskach zdecydowanie ważne jest centralne zarządzanie tymi politykami, nawet jeżeli masz implementacje na poziomie tych małych lokalizacji, to żeby był jakiś nadrzędny system zarządzania polityką propagujący te wszystkie nasze zasady dla wszystkich lokalizacji. Tyle, jeżeli chodzi o Access Listy, jeżeli masz jakieś pytania – pisz w komentarzu. Jeśli natomiast chcesz zobaczyć konfigurację, to w poniedziałkowym odcinku jest możliwość zobaczenia jak wygląda przykładowa konfiguracja Access Listy na routerze Cisco.

Tyle na dziś, dziękuję Ci za uwagę i do zobaczenia już za tydzień. 🙂