ACL là gì ? - Standard access list - Extended access list

Access Control List (ACL) là gì?

Danh sách quản lý truy cập, nhiệm vụ cơ bản là lọc gói tin.

Một vài đặc điểm ACL?

 - Các entry trong ACL đc xử lý theo thứ tự.

 - Cơ chế lọc bằng cách kiểm tra các thông số trong header gói tin.
 - ACL có nhiều ứng dụng, và cần phải được đặt lên interface, line, giao thức hoặc dịch vụ hỗ trợ ACL.
 - Mỗi interface, line, giao thức hoặc dịch vụ hỗ trợ có thể sử dụng 1 hoặc nhiều ACL.
 - Hỗ trợ hầu như tất cả giao thức nhưng mỗi giao thức nên có riêng một ACL.
 - Cuối mỗi ACL luôn có 1 explicit entry [deny all] => cần phải cẩn thận.
 - Không thể xóa, sửa entry trong numbered ACL.

Standard ACL:
Standard ACL là những bản tin ACL đơn giản nhất. Chúng được đánh số từ 1-99 nếu là number ACL (ACL được ghi tên bằng số). Standard ACL chỉ lọc địa chỉ nguồn trong header của IP packet, vì thế chúng hoạt động tại lớp 3 trong mô hình OSI hay lớp internet trong mô hình TCP/IP.

Standard ACL có thể được đặt theo chiều inbound (vào) hoặc outbound (ra) trên router (ta hiểu rằng vào hay ra là chiều tương đối đối với mỗi interface), tuy nhiên bản tin Standard ACL nên được đặt càng gần destination, và thường theo chiều outbound. Vì Standard ACL chỉ kiểm tra địa chỉ IP nguồn, nên vị trí đặt cần chỉ ra chính xác chiều gói tin sẽ được cho phép qua hoặc không được cho phép qua.

Extended ACL:

Extended ACL là những bản tin ACL mỏ rộng, cho phép lọc đa dạng hơn so với Standard ACL nên thường được sử dụng nhiều hơn. Extended ACL được đánh số từ 100 đến 199, extended ACL cho phép port number (application), source-destination IP address , protocol và nhiều tùy chọn. Vì thế extended ACL hoạt động tại lóp 3 và lớp 4 mô hình OSI.

Extended ACL cũng thể được cấu hình inbound hoặc outbound trên interface, tuy nhiên vì extended ACL lọc chính xác source/destination IP Address nên vị trí đặt cần tránh tình trạng hao tổn băng thông mạng không cần thiết khi gói tin bị discard “lang thang” trước khi bị deny. Người ta thường thực hiện điều này bằng cách đặt ACL gần source. Extended ACL được sử dụng nhiều để thiết lập các routing policy trên router. Các entry trong Extended ACL rất đa dạng, và có khả năng tùy biến cao, hỗ trợ phòng chống nhiều kiểu tấn công.

Cấu hình ACL:

Cấu hình ACL bao gồm 2 bước:

- Định nghĩa một danh sách ACL

- Gán ACL vào port Router

Standard ACL:

Có 2 cách cấu hình để định nghĩa ACL

Ở configured mode:

Cách 1:

access-list [ACL number] [permit/deny] [source ip address/any/host] [wildcard mask]

Cách 2:

ip access-list standard [ACL number hoặc ACL name]

[permit/deny] [source ip address/any/host] [wildcard mask]

Gán ACL vào port, vào interface-configured mode của interface cần áp dụng ALC:

ip access-group [ACL number hoặc ACL name] [in/out]

Giải thích:
[ACL number]: đánh số cho Standard ACL từ 1-99 (dãy mở rộng 1300-1999)
[permit / deny]: cho phép hoặc không cho phép gói tin qua router
[source IP add]: địa chỉ IP nguồn của gói tin
[any]: tất cả các source IP
[host]: chỉ một host IP
[wildcard mask]: wildcard mask của địa chỉ IP
[in/out]: chiều đi vào hay đi ra của gói tin trên cổng router
[ACL name]: thay vì ghi bằng số cho ACL ta ghi bằng tên cho tiện quản lý (VD: deny_mang172.16)

Ví dụ: Cấm các IP chẳn của mạng 192.168.1.0/24 gửi đến

ip access-list standard deny_ipchan
deny 192.168.1.0 0.0.0.254
permit any

Vào interface f0/0:
ip access-group deny_ipchan in

Lưu ý: Mạc định entry cuối của mỗi ACL là deny any nên cần phải có câu lện permit any thì các mạng lẻ mới đi được.

Extended ACL:

Tương tự như Standard ACL cũng có 2 cách cấu hình:
Cách 1:
access-list [ACL number] [permit/deny] [protocol] [source address/any/host] [destination address/any/host] [protocol qualification] [logging]

Cách 2:
ip access-list extended [ACL number hoặc ACL name]

[permit/deny] [protocol] [source address/any/host] [destination address/any/host] [protocol qualification] [logging]

Áp dụng ACL vào port tương tự như Standard ACL:
ip access-group [ACL number hoặc ACL name] [in/out]

Giải thích:
[ACL number] đánh số cho extended ACL từ 100-199 (dãy mở rộng 2000-2699)
[permit / deny]: cho phép hoặc không cho phép gói tin qua router
[protocol]: Giao thức (từ lóp 3 trở lên) của gói tin (lớp 3: “ospf”, “eigrp”,.. ; lớp 4: “tcp”, “udp”; “icmp”; “ip” đại diện bất kỳ giao thức nào)
[source address]: Là một chuỗi entry bao gồm [source IP address] [wildcard mask]
[destination specification]: Là một chuỗi entry bao gồm [destination IP address] [wildcard mask]
[protocol qualification]: Các tùy chọn hỗ trợ phụ thuộc vào entry [protocol], giúp tăng cường
tính năng bảo mật hoặc thực hiện những tác vụ lọc dữ liệu đặc biệt
Nếu [protocol] là TCP hoặc UDP thì [protocol qualification] = [optional port] [port number].
Trong đó:
[optional port] chỉ ra khoảng port cần được kiểm tra
[port number] chỉ ra chính xác port làm mốc cho [optional port]
Nếu [protocol] là ip: router sẽ match tất cả giao thức
[logging]: Ghi lại thông tin về những gói tin match các entry trong ACL

Ví dụ: Cấm các ip lẻ của mạng 192.168.1.0/24 truy cập WEB đến địa chỉ 196.169.1.3

ip access-list extended deny_iple_web
deny tcp 192.168.1.1 0.0.0.254 host 196.169.1.3 eq 80
permit ip any any

Vào interface f0/0:
ip access-group deny_iple_web out

Ta hoàn toàn có thể đặt ACL này trên R2 với chiều in trên port của R2, nhưng đặt điểm của Extended ACL là nên đặt ở Router gần source để tránh các gói tin bị cấm đi lang thang trong mạng vô ích để rồi bị chặn, nhằm giảm traffic

Lưu ý:
80 là port web, chúng ta có thể ghi tên giao thức thay vì ghi số port (VD:www)
Một số port tương ứng với các giao thức:
 ftp       File Transfer Protocol (21)
 pop3       Post Office Protocol v3 (110)
 smtp       Simple Mail Transport Protocol (25)
 telnet     Telnet (23)
 www        World Wide Web (HTTP, 80)

Lưu ý: chung cho cả Standard ACL và Extended ACL là chúng ta nên ưu tiên cấu hình deny trước, Ví dụ: cho phép truy cập web nhưng không cho sử dụng dịch vụ ftp. Nếu theo tuần tự như yêu cầu thì ta cấu hình như sau:

Trường hợp 1:
ip access-list extended permit_web
permit tcp xxxx xxxx eq 80
permit ip any any
(ACL này trở nên vô nghĩa, tạo ACL ra xong rồi cho đi hết)

ip access-list extended deny_ftp
deny tcp xxxx xxxx eq 21
permit ip any any

=> Tạo ra 2 ACL

Trường hợp 2:
ip access-list extended permitweb_denyftp
permit tcp xxxx xxxx eq 80
deny tcp xxxx xxxx eq 21
permit ip any any

=> Tạo nhiều entry, vì câu lệnh "permit ip any any" trong đó bao gồm luôn "permit tcp xxxx xxxx eq 80"

Nếu cấu hình như vậy sẽ làm tăng số lượng ACL và entry trong ACL làm giảm performance của Router vì ngoài thực tế Router có thể có hàng chục hàng trăm ACL. Do vậy trong ví dụ này ta chỉ cần cấu hình:

ip access-list extended deny_ftp
deny tcp xxxx xxxx eq 21
permit ip any any

Vì vậy trước khi vào cấu hình ACL chúng ta phải nghiên cứu rõ yêu cầu để hoạch định ra ACL tối ưu nhất.

LAB cụ thể:

Mô hình LAB bao gồm 3 Router các Router chạy RIPv2, kết nối với các PCs tương ứng bên dưới. Trên máy SERVER chạy dịch vụ WEB, FTP.
Yêu cầu cấu hình ACL sao cho:
-PC3 không nhận gói tin với IP lẻ mạng 192.168.1.0/24
-PC1,2 truy cập WEB,FTP nhưng không ping được SERVER
-PC3 không được sử dụng dịch vụ FTP

Cấu hình:
PC3 không nhận gói tin với IP lẻ mạng 192.168.1.0/24:

Trên R2:
ip access-list standard deny_iple
deny 192.168.1.1 0.0.0.254
permit any

interface f1/0
ip access-group deny_iple out

PC1,2 truy cập WEB,FTP nhưng không ping được SERVER:

Trên R1:

ip access-list extended deny_ping
deny icmp any host 196.169.1.3
permit ip any any

interface f0/0
ip access-group deny_ping in

PC3 không được sử dụng dịch vụ FTP:

Trên R2:
ip access-list extended deny_ftp
deny tcp 172.16.0.0 0.0.255.255 host 196.169.1.3 eq ftp
permit ip any any

interface f1/0
ip access-group deny_ftp in

Lưu ý: Khi cấu hình ACL cần chọn Router và Port áp dụng ACL hợp lý

  - Standard ACL: cấu hình ACL trên Router và port áp dụng của nó gần destination nhất.

  - Extended ACL: cấu hình ACL trên Router và port áp dụng của nó gần source nhất.

Mời các bạn xem video hướng dẫn: