Podkast 21T42 ACL Wildcard [Konfiguracja]

Wi臋cej miejsc do pos艂uchania:

Spotify

WERSJA TEKSTOWA:

Cze艣膰, witam Ci臋 w dzisiejszym odcinku mojego podcastu. Temat – wildcard ACL – czyli access listy i u偶ywanie wildcard-贸w.

Mo偶e na pocz膮tek ciekawostka – r贸偶ni producenci podchodz膮 do tego r贸偶nie – je偶eli chodzi o Cisco, to tradycyjnie, wymy艣li艂o i stosowa艂o tak膮 koncepcj臋 jak wildcard. R贸偶ni si臋 on od maski tym, 偶e jest jej odwrotno艣ci膮. Je偶eli masz mask臋 24 bitow膮 tzn. 偶e u偶ywasz 24 bit贸w – wa偶ne s膮 24 bity, liczone od lewej strony w postaci binarnej, dla danego adresu. Natomiast je艣li chodzi o wildcard, odwrotno艣膰 polega na tym, 偶e brane s膮 pod uwag臋 od prawej strony bity, kt贸re s膮 wskazane. Czyli je艣li wska偶esz trzy bity w wildcard, to jest dziesi臋tna warto艣膰 – 7, to b臋dziesz bra艂 pod uwag臋 tylko trzy bity od prawej strony, je偶eli rozpiszesz sobie binarnie dany adres IP.

Wi臋c w zale偶no艣ci od tego, co chcesz osi膮gn膮膰, mo偶na u偶ywa膰 jednej i drugiej wersji. Oczywi艣cie w Cisco przy Akcess Listach jest dost臋pny tylko wildcard, ale np w Arubie, je艣li si臋 pisze Akcess Listy, dost臋pne s膮 tylko maski. Jednocze艣nie zalet膮 i wad膮 wildcard jest to, 偶e nie musi by膰 ci膮g艂a. O ile maski, w przypadku sieci IP, musz膮 by膰 ci膮g艂e, nie mo偶e wyst膮pi膰 jaki艣 bit niemaskowany pomi臋dzy. Tzn. je艣li patrzysz na mask臋 24 bity, to licz膮c od lewej, wszystkie 24 bity musz膮 by膰 maskowane albo 23, 22,21. Nie mo偶e by膰 tak, 偶e jest maska 24 bity, a 6 bit mo偶e by膰 maskowany, lub nie. Takiej opcji w maskach nie ma. W wildcard natomiast jest. Je偶eli wybierzesz sobie wildcarda nie 3 bity po prawej stronie, tylko jedynie 4 bit b臋dzie wildcardem. Czyli wyobra藕 sobie, 偶e masz od prawej strony cztery pozycje – dwie i dwie – wybierasz warto艣膰 8 – czyli to b臋dzie czwarty bit. Pierwszy ma warto艣膰 1, kolejny ma warto艣膰 2 (sumuj膮 si臋 i ju偶 jest 3), kolejny ma 4, czyli jest 7, kolejny ma 8. Czyli, je艣li wpiszesz dziesi臋tnie w wildcardzie 8, to maskujesz tylko jeden bit – konkretniej 4 bit, kt贸ry jest liczony od prawej strony. To daje pewne dodatkowe mo偶liwo艣ci, mo偶esz powiedzie膰, 偶e chcesz maskowa膰 tylko 4 bit. Access lista, kt贸ra b臋dzie stosowana z wildcardem b臋dzie maskowa膰 ten jeden bit. Tzn b臋dziesz m贸g艂 mie膰 nieci膮g艂o艣膰 w blokowaniu ruchu dla poszczeg贸lnych host贸w. Jest to bez w膮tpienia ciekawostka, da si臋 to tak zrobi膰 i to b臋dzie dzia艂a膰. W praktyce jednak nie obserwuje tego typu implementacji, dlatego, 偶e troubleshooting jest bardzo ci臋偶ki, czyli szukanie problem贸w. Je偶eli si臋 okazuje, 偶e co艣 nie dzia艂a, to teraz analizowanie takich skomplikowanych koncepcji blokowania w access li艣cie jest po prostu czasoch艂onne i trudno mo偶e by膰 je znale藕膰.

Wyobra藕 sobie, 偶e nie masz 3 wpis贸w w access li艣cie, tylko masz tych wpis贸w 1000. Jak b臋dziesz wtedy analizowa艂 dla ka偶dego z tych wpis贸w, czy ten wpis blokuje w艂a艣nie ten pakiet? By艂oby to niesamowicie skomplikowane wi臋c w praktyce nie stosuje si臋 tego typu podej艣cia. Pewnie w艂a艣nie z tego powodu Aruba zrezygnowa艂a ze stosowania wildcard贸w, zostawiaj膮c stosowanie maski jako pewnego ujednolicenia sposobu my艣lenia czy kwalifikowania pakietu do Akcess listy, czy w zakresie routingowym lub gateway-a. To s膮 plusy i minusy, je艣li chodzi o stosowanie wildcarda. Warto wiedzie膰, je艣li spotkasz si臋 z sytuacj膮, 偶e wildcard jest u偶ywany, to warto mie膰 na uwadze, 偶e tak膮 specyfik臋 ta koncepcja ma i mo偶na j膮 w ten spos贸b wykorzysta膰.

Kolejnym elementem, kt贸ry jest bardzo istotny w klasycznych access listach, jest kolejno艣膰 wpis贸w. W moim przyk艂adzie, kt贸ry tutaj omawiam bazuj膮c na materiale Mateusza, b臋dziesz m贸g艂 go zobaczy膰 w poniedzia艂ek, polega na tym, 偶e s膮 np wpisane dwa hosty w access li艣cie a dopiero w trzecim wpisie jest deny sieci z konkretnym wildcardem i to powoduje kombinacje tych r贸偶nych element贸w. Mo偶esz powiedzie膰 og贸lnie w deny, w tym trzecim wpisie wycina艂bym ca艂y ruch z tych trzech bit贸w ostatnich, bo tak m贸j wildcard wskazuje, ale ja chc臋 dla tych dw贸ch konkretnych host贸w dodatkowo zezwoli膰. Wpisujesz taki ruch, czy tak膮 dodatkow膮 access list臋 i wtedy pakiet, kt贸ry jest analizowany, zawsze jest analizowany od g贸ry, potem kolejny wpis. Je偶eli nie ma kwalifikacji do danego wpisu, czyli ACL entry do kolejnych wpis贸w.

Tak to dzia艂a i mo偶na sobie w ten spos贸b u艂atwi膰 lub utrudni膰 w zale偶no艣ci od tego jak膮 koncepcj臋 zbudujesz. Tu bez w膮tpienia bardzo kluczowy jest element jasno艣ci. Jest on powi膮zany z tym, czy tylko ty pracujesz na danym routerze, czy to ma by膰 jasne te偶 dla innych cz艂onk贸w zespo艂u, czy to jest jaka艣 polityka, kt贸ra jest bardziej zaawansowana i tych wpis贸w jest bardzo du偶o. R贸偶ne te czynniki nale偶a艂oby wsi膮艣膰 pod uwag臋, zastanawiaj膮c si臋 czy wildcarda bardziej zaawansowanego, wymy艣lnego stosowa膰, czy zrobi膰 to w rozbiciu na r贸偶ne wpisy. Mo偶esz zastosowa膰 ci膮g艂o艣膰, tak 偶eby by艂a wi臋ksza jasno艣膰, a zrobi膰 wi臋cej wpis贸w w access li艣cie, wi臋c to jest alternatywa, kt贸r膮 mo偶esz wykona膰. Im to jest ja艣niejsze, tym uwa偶am lepiej. Oczywi艣cie ma to swoj膮 drug膮 stron臋. Je偶eli brakuje ci pami臋ci na danym urz膮dzeniu i musisz optymalizowa膰 ilo艣膰 wpis贸w w access li艣cie, to wtedy mo偶na si臋 uciec do takich sztuczek, ale to powoduje trudno艣ci potem w debugowaniu. Je偶eli masz rozbite np na pi臋膰 lub dziesi臋膰 osobnych regu艂, t膮 sam膮 funkcjonalno艣膰, co masz w jednym wildcardzie, sie膰 z nietypowym wildcardem, wtedy b臋dziesz mia艂 tak膮 sytuacj臋, 偶e jak robisz troubleshooting i sprawdzasz trafienia w poszczeg贸lne elementy, to maj膮c rozbicie na 10, b臋dziesz wiedzia艂, w kt贸re wpisy access listy trafiaj膮. Je偶eli natomiast b臋dziesz mie膰 to zagregowane w ramach wildcarda, to b臋dziesz widzia艂, 偶e one si臋 tam pojawiaj膮, ale kt贸ry wpis dotyczy ruchu, kt贸ry akurat analizujesz b臋dzie Ci bardzo trudno zanalizowa膰. B臋dziesz musia艂 wej艣膰 w g艂臋bszy poziom debugingu, czyli logowania ruchu wyszukiwania tego konkretnego pakietu, kt贸ry potrzebujesz. Je偶eli to jest 艣rodowisko produkcyjne, to jest jeszcze trudniej, bo tego ruchu jest tam du偶o, wi臋c nawet logowanie pewnego typu ruchu jest problematyczne, bo po prostu masz wi臋cej rzeczy do przejrzenia. Je偶eli to rozbijesz na wi臋cej regu艂, to nawet logowanie dla danej regu艂y jest prostsze, bo tego ruchu do analizy, b臋dziesz mia艂 zwyczajnie du偶o mniej.

Takie s膮 plusy i minusy stosowania koncepcji bardziej zaawansowanych koncepcji wildcardowych. Mam nadziej臋, 偶e ci pomog艂em. Je偶eli chcia艂by艣 zobaczy膰, jak konfiguruje si臋 taki przyk艂ad, bardzo prosty zreszt膮, 偶eby艣 m贸g艂 to 艂atwiej zrozumie膰, to w poniedzia艂kowym materiale, mo偶esz go obejrze膰. Gdyby艣 chcia艂 go sam prze膰wiczy膰, to w artykule na blogu te偶 mo偶esz skopiowa膰 wszystkie pokazywane polecenia. Na dzi艣 to tyle, dzi臋kuj臋 Ci za uwag臋 i do us艂yszenia ju偶 za tydzie艅 馃檪


Autor: Darek Koralewski

Od pocz膮tku swojej kariery, czyli od 2004 roku, zajmuj臋 si臋 sieciami komputerowymi ze szczeg贸lnym uwzgl臋dnieniem ich bezpiecze艅stwa oraz sieciami programowalnymi. Mam na swoim koncie ca艂膮 list臋 certyfikat贸w r贸偶nych producent贸w, dwa najwa偶niejsze to te po艣wiadczaj膮ce najwy偶szy poziom wiedzy eksperckiej z zakresu rozwi膮za艅 Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwi膮zania Aruba ACDX#1255. Wi臋cej informacji mo偶esz znale藕膰 na moich portalach spo艂eczno艣ciowych.