Oggi illustreremo come proteggere la nostra rete aziendale e in particolare gli inoltri verso destinazioni remote utilizzando le ACLs realizzate nei router CISCO. Ricordiamo che quando noi inviamo un pacchetto nella nostra rete verso destinazioni remote, questo viene instradato dal gateway predefinito in base alle tabelle d´instradamento. Utilizzeremo Il software di simulazione per le progettazioni di reti realizzato dalla stessa Cisco: il Packet Tracer.

 

 

Quando si creano le ACLs, possiamo scegliere (in base agli obiettivi da raggiungere) fra due direzioni: 
 - Inbount (in), i filtri vengono applicati quando il pacchetto raggiunge il router, attraverso l´interfaccia di interesse (che lo deve esaminare);
 - Outbount (out), il filtro ai pacchetti viene eseguito dopo che è già iniziata l´operazione routed (inoltro).

Quando parliamo di in e out, il riferimento su cui basarsi è ragionare dal punto di vista del router. Possiamo programmare le nostre ACLs in base al protocollo d´utilizzo, alla direzione (come menzionato precedentemente) e all'interfaccia. Per esempio, se abbiamo due protocolli (IPv4 e IPv6), due interfacce (G0/0 e G0/1), possiamo avere in esecuzione ben 8 ACLs separate. 

 2 interfacce * (2 direzioni + 2 protocolli) = 8

Il parametro direzionale è essenziale nelle realizzazioni delle ACLs perché va specificato (come vedremo) in una seconda fase sull´interfaccia d'interesse. Quando si creano le ACLs è necessario mantenere un ordine sequenziale logico, perché la priorità va alla prima, successivamente alla seconda e così via fino all´ultima. Addirittura, le ACLs standard hanno di default, dei comandi di rifiuto pacchetti alla fine. Nel momento in cui il router riscontra il matching (corrispondenza) aziona il comando associato all´ordine di sequenza, precisamente al primo match positivo, termina la ricerca. Quando tutti i test impostati nell´ACL risultano positivi (hanno quindi soddisfatto le condizioni), il pacchetto sarò di nuovo incapsulato in base al livello 2 del modello ISO/OSI, con annesso protocollo sull´interfaccia di uscita. 

Altro fattore essenziale per gestire le ACLs è il saper gestire le WildCard Mask in modo da esaminare quale parte di IP address va considerata nel controllo richiesto dalla ACE (ogni regola dell'ACL è detta access control entry, ed esprime una o più condizioni dell´oggetto da valutare, come l'indirizzo IP, decide quindi se far passare il pacchetto o scartarlo) dell'ACL

 

Tipologia di ACL

Per prima cosa bisogna distinguere i tipi di ACL: 
 - ACL Standard
 - ACL Extented
 - Named ACL

Possiamo, inoltre, creare le ACL dedicate alle interfacce vty.

ACL Standard

Le ACL standard, come le altre, devono essere create in modalità configurazione globale. Per accedere a questa modalità, dopo essere entrati in modalità esperto tramite il comando enable, bisogna digitare il comando configure terminal.

 

Ora creiamo una ACL. Dobbiamo scegliere se l'ACL deve essere applicata in ingresso, in uscita o in ambedue le direzioni (comunque va usata un'ACL per direzione) e su quale interfaccia. Per visualizzare l´interfaccia del router, ricordiamo che possiamo utilizzare, da modalità esperta, il comando Router#show ip interface brief.

 Nel nostro esempio non è collegato nessun dispositivo alle interfacce, scegliamo quindi quale interfaccia utilizzare e quale macchine ad esse collegare.

 

 

 Impostiamo tutti i parametri dei computer che interagiranno per realizzare la nostra simulazione.

 

 

 

 

Ora impostiamo la configurazione delle interfacce. Per quanto riguarda l´interfaccia G0/0, assumerà il seguente valore in termini di parametri di rete 192.168.1.200 255.255.255.0, mentre per la G0/1 avremo 192.168.2.200 255.255.255.0

Configuriamo l'interfaccia G0/0 e associamo ad essa l'indirizzo IP, tramite il comando ip address

Router(config)#interface gigabitEthernet 0/0
Router(config-if)#ip address 192.168.1.200 255.255.255.0

Inseriamo la descrizione dell'utilizzo dell'interfaccia.

Router(config-if)#description interfaccia router G0/0 con ACL in ingresso

Attiviamo l´interfaccia.

Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up

Impostiamo l´altra interfaccia che utilizzeremo, cioè la G0/1.

Router>enable
Router#configure t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface g 0/1
Router(config-if)#ip address 192.168.2.200 255.255.255.0
Router(config-if)#description link di interfacciamento alla rete di destra g 0/1
Router(config-if)#no shutdown

Per vedere la configurazione completa delle interfacce eseguiamo il comando abbreviato show run, in modalità esperta. 

 

Ora, senza applicare nessuna ACL, eseguiamo un ping dalla rete di destra alla rete di sinistra e viceversa. 

 

 

Dal computer 192.168.1.2 eseguiamo il ping verso il computer 192.168.2.3.

Costruiamo una ACL Standard che non consenta questa operazione. Alle ACLs Standard dobbiamo associare un numero nell´intervallo fra 1 a 99, inoltre le ACLs Standard filtrano i pacchetti in base al solo indirizzo IP sorgente. La regola di composizione di una ACL Standard è la seguente: 

access-list numeroaccesslist {permit|deny} {host|source wildcard source|any}

Per ottimizzare il processo di filtro ed evitare inutili calcoli al router, in base alla topologia logica della rete, conviene inserire un´ACL in ingresso all´interfaccia G0/0.

Router(config)#access-list 10 deny host 192.168.1.2

In questo caso abbiamo solo creato la regola. Dobbiamo solo associarla all´interfaccia con la direzione.

Router(config-if)#ip access-group 10 in

Ora eseguiamo il ping precedente e vedremo che l´host di destinazione non è più raggiungibile.

 

 

Come secondo esempio, permettiamo l´accesso a tutti i computer che appartengono alla rete 192.168.1.0/24. Avremo come numero di access list il 15, come opzione di accesso la permit (consente l´accesso), l´indirizzo di rete è il 192.168.1.0, mentre la WildCard Mask è la 0.0.0.255 (che consente qualsiasi valore dell´ultimo quartetto decimale). 

Router(config)#access-list 15 permit 192.168.1.0 0.0.0.255

In questo momento non abbiamo associato nessuna interfaccia attiva. Di conseguenza questa ACL non avrà alcun effetto nel normale utilizzo del dispositivo. Andiamo a programmare le interfacce e attiviamo su una di esse la nostra ACL.

 

 

 

 

 

 

 

Su 360bitnews.it

360bitnews.it è un sito rivolto a tutti gli appassionati del mondo ICT, esperti e non, che amano questo mondo a 360 gradi.
Programmazione, Progettazione, Reti, Sicurezza, Arduino, RaspBerry e tanto altro: argomenti degli articoli e delle news di ogni giorno, sempre al passo con i tempi, cercando di raccogliere il maggior numero di consensi e riuscire a coinvolgere  un numero sempre maggiore di persone. Come ogni progetto che vuole evolversi, puntiamo all'eccellenza e quindi vogliamo che i migliori professionisti collaborino con noi.

Contattaci

Sede

Ufficio Principale
Via Walter Tobagi 19 - 87100 CS
Email Consulenze
assistenza@answersandsolutions.it
webmaster@ilportaleinformatico.it

Ultime news

Per i tuoi annunci

Aumenta la visibilità

La tua azienda è del setrore ICT? Vuoi valorizzare ed esporre un tuo servizio o un tuo prodotto? Scrivici.

Flessibilità

Hai bisogno di realizzare soluzioni ICT su misura per la tua azienda? Scrivici.

Collabora con noi

Vuoi scrivere del mondo ICT sul nostro sito? Scrivici ed invia la tua candidatura.

Video or Banner Ads

Vuoi sponsorizzare la nostra iniziativa? Scrivici.