• Non ci sono risultati.

Extended Access Control List (ACL)

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Extended Access Control List (ACL)"

Copied!
19
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 19 pagine )

Testo completo

(1)

Antonio Cianfrani

Extended Access Control List (ACL)

(2)

Laboratorio di Applicazioni Telematiche– Antonio Cianfrani -- A.A. 2013/2014

Extended ACL (1/4)

Le ACL Extended sono molto spesso usate più delle

standard perché offrono un controllo decisamente maggiore Le ACL Extended controllano gli indirizzi di sorgente e

destinazione dei pacchetti, i protocolli e le porte

Esempio: una ACL extended può permettere traffico e-mail verso una destinazione specifica e negare il file transfer e il web browsing verso la stessa destinazione

La sintassi delle extended ACL è simile a quella delle standard: “access-list”

Il comando “ip access-group” associa una extended ACL ad una interfaccia

(3)

Extended ACL (2/4)

La sintassi delle extended ACL è tale per cui gli statement possono essere molto lunghe

si possono abbreviare con l’uso delle opzioni di host o any

Alla fine delle ACL extended si può aggiungere, per

guadagnare maggiore precisione, il campo che specifica il port number (è opzionale) del TCP o dell’UDP

Si possono anche specificare operazioni logiche, come

uguale (eq), non uguale (neq), più grande di (gt) e minore di (lt).

Gli identificatori delle extended ACL vanno da 100 a 199

(4)

Laboratorio di Applicazioni Telematiche– Antonio Cianfrani -- A.A. 2013/2014

Extended ACL (3/4)

(5)

Extended ACL (4/4)

(6)

Laboratorio di Applicazioni Telematiche– Antonio Cianfrani -- A.A. 2013/2014

Port Numbers

(7)

Named ACL (1/3)

Le ACL “named” permettono di assegnare dei nomi al posto dei numeri alle ACL standard ed estese

Possono essere sia standard che extended

Queste ACL possono essere modificate senza necessariamente cancellarle

E ‘permesso cancellare gli statement e inserirli in una qualsiasi posizione.

Il comando per creare le Named ACL è “ip access-list”

Il comando mette l’utente nella modalità di configurazione delle ACL

(8)

Laboratorio di Applicazioni Telematiche– Antonio Cianfrani -- A.A. 2013/2014

Named ACL (2/3)

(9)

Named ACL (3/3)

(10)

Laboratorio di Applicazioni Telematiche– Antonio Cianfrani -- A.A. 2013/2014

Modificare una Named ACL

(11)

Localizzazione delle ACL (1/7)

Le ACL sono usate per controllare il traffico filtrando dei pacchetti ed eliminando traffico non desiderato sulla rete Una considerazione importante nell’implementare le ACL è dove localizzarle

Se una ACL è posta nel luogo giusto non solo il traffico sarà filtrato ma renderà l’intera rete molto efficiente L’ACL deve essere messa dove ha maggior impatto in quanto ad efficienza

La localizzazione dipende dal tipo di ACL: standard o extended

(12)

Laboratorio di Applicazioni Telematiche– Antonio Cianfrani -- A.A. 2013/2014

Localizzazione delle ACL (2/7)

Supponiamo che la politica della società sia di bloccare il traffico Telnet o FTP dalla rete del router A alla Ethernet LAN Fa0/1 sul router D, mentre qualsiasi altro traffico

deve essere permesso

(13)

Localizzazione delle ACL (3/7)

Si possono usare diversi approcci per giungere al risultato richiesto

Innanzitutto bisogna scegliere il tipo di ACL

L’approccio raccomandato è di usare una extended ACL che specifichi sia l’indirizzo di sorgente che di destinazione

Bisogna individuare il router e la relativa interfaccia su cui applicare l’ACL (e la direzione)

(14)

Laboratorio di Applicazioni Telematiche– Antonio Cianfrani -- A.A. 2013/2014

Localizzazione delle ACL (4/7)

La extended ACL si deve porre nel router A

i pacchetti non attraverseranno la rete Ethernet gestita da A, e neppure le interfacce seriali di B e C e quindi non entreranno in D

Il traffico caratterizzato da indirizzi di sorgente o destinazione diversi sarà permesso

La regola generale è mettere le extended ACL vicino alla sorgente del traffico da bloccare

(15)

Localizzazione delle ACL (5/7)

(16)

Laboratorio di Applicazioni Telematiche– Antonio Cianfrani -- A.A. 2013/2014

Localizzazione delle ACL (6/7)

Le ACL standard non specificano l’indirizzo di destinazione, per cui dovrebbero essere messe più vicino possibile alla destinazione

Per esempio una ACL standard dovrebbe essere configurata sulla Fa0/0 del router D per prevenire il traffico da A

(17)

Localizzazione delle ACL (7/7)

(18)

Laboratorio di Applicazioni Telematiche– Antonio Cianfrani -- A.A. 2013/2014

Limitare l’accesso sulle linee vty (1/2)

Le ACL standard ed estese si applicano a pacchetti che viaggiano attraverso il router

Per scopi di sicurezza agli utenti si può permettere o negare l’accesso al router con virtual terminal, ma negare l’accesso da questo router a qualsiasi destinazione

Poichè non si può controllare su quale linea verrà fatto l’accesso allora si deve porre l’ACL su tutte le linee vty

Il processo per creare la vty ACL è identico a quello di una normale Standard ACL

Per applicarle ad una terminal line si richiede il comando

“access-class” (all’interno della configurazione della line)

(19)

Limitare l’accesso sulle linee vty (2/2)

Riferimenti

Scarica adesso ( PDF - 19 pagine - 408.23 KB )

Documenti correlati

Configurazione della configurazione VPN (Virtual Private Network) avanzata su un router RV130 o RV130W

Se si sceglie questa opzione, immettere un nome di dominio o un indirizzo IP nel campo Identificatore

Guida alla connessione modem-router

Questo documento spiega come configurare i router e i server di accesso Cisco per i modem esterni connessi alle porte asincrone e AUX.. Spiega come configurare il modem per il

FAQ - REGISTRAZIONE UTENTI ED ACCESSO ALL APPLICAZIONE

E’ necessario accedere al portale della Corte dei conti, aprire il link "Accedi a SIRECO" (oppure QUI) e procedere con l’accreditamento. Accedere alla

I router IP

La configurazione tramite la CLI di un router Cisco è sempre fatta nella modalità global configuration mode Altre modalità di configurazione (non globali) sono. accessibili a

Configurazione di un router Accesso e configurazione di base L'accesso al router può avvenire:

z backup fisico: l'interfaccia di backup (ISDN) è logicamente collegata alle sorti di un'altra interfaccia fisica (ad esempio una seriale) ed entra in azione immediatamente non

U1. Solo gli utenti hanno accesso al proprio account

(proprietario del file) di dare il file ad un altro gruppo (quello di Debora), Peter può settare i privilegi come sopra..  Oppure Peter può settare i permessi di lettura ed

Router domestico Wireless-N

(iv)  modificare il Software o creare materiale derivato dal Software; (v) se l'utente esegue una copia del Software o della documentazione, è tenuto a riprodurre anche

Discrimen » La sicurezza è accesso ai diritti

Il governo della sicurezza non può ridursi alla soddisfazione della pur basilare esigenza di protezione dalla criminalità, da un lato, e, dall'altro, per i soggetti