Access Controll List

From NesevoWiki
Jump to navigationJump to search

Definition:

Mit einer Access Control List zu deutsch Zugriffsregelungsliste kann man den Zugriff einzelner Computer bzw. Netze auf andere Netze oder Computer regeln bzw. verbieten. So kann man zum Beispiel genau sagen, dass Computer 1 keine http Pakete versenden kann was zur Folge hat, dass er keine Verbindung mit dem Internet aufbauen kann jedoch mit anderen Computern weiterhin kommunizieren und Daten austauschen kann. Des weiteren kann man die Access Control List einem Interface eines Routers zuweisen. Hier unterscheidet man zwischen „IN" und „OUT". In bedeutet das kein verbotenes frame das Netz verlassen kann. Wenn die Accessliste dem Zielinterface zugeteilt ist spricht man von einer Ausgehender Access List also „OUT" dies hat die Folge das Frames das eigene Netz zwar verlassen kann aber nicht ins Zielnetz geraten können. Jede Access List ist mittels einer Nummer definiert,wobei man auch mehrere Access Listen in einer zusammen fassen kann.

ACL Nummern:

1.. 99 Standard Acl

100..199 eweiterte ACL

600..699 AppleTalk ACL

700..799 Standard ACL für MAC Adressen

800..899 IPX- ACL

900..999 erweiterte ACL

1000..1099 IPX Service Advertising Protokoll

Aufbau

Der Syntax einer Standard Access List ist folgendermaßen aufgebau:

access-list <Nummer> permit|deny <Absender Adresse> <Wildcard- Maske>

Der Syntax einer Erweiterten Access List ist folgendermaßen aufgebau:

access-list <Nummer> <Protokoll z.b. tcp> <Absender Adresse> <Wildcard Maske> <Empfänger Adresse> <Wildcard Maske> <lt|eq> <Port>

Beispiele:


Einfache Access List:


Access-list 1 permit 192.168.2.1 0.0.0.255

Dieser Syntax lässt sich folgendermaßen interpretieren: Die Access Liste mit der Nummer 1 lässt alle IP- Adressen im Bereich von 192.168.2.x zu und werden vom Router weiter geleitet.

Access-list 1 deny 192.168.2.1 0.0.0.255

Dieser Syntax lässt sich folgendermaßen interpretieren: Die Access Liste mit der Nummer 1 lässt keine IP- Adressen im Bereich von 192.168.2.x zu und werden daher nicht vom Router weiter geleitet.



Erweiterte Access List:


Access-list 101 permit tcp 192.168.2.1 0.0.0.255 192.168.100.1 0.0.0.255 eq 80

Dieser Syntax lässt sich folgendermaßen interpretieren: Die Access Liste mit der Nummer 101 lässt jedes HTTP Paket mit einer Absenderadresse im Bereich von 192.168.2.x und einer Empfängeradresse 192.168.100.x zu und werden vom Router weiter geleitet.

Access-list 101 deny tcp any 192.168.100.1 0.0.0.255 eq 23

Dieser Syntax lässt sich folgendermaßen interpretieren: Die Access Liste mit der Nummer 101 verwirft jedes Telnet Paket mit einer beliebigen IP- Adresse, wenn der Zielhost die IP- Adresse 192.168.100.1 besitzt.

Access-List zuordnen:

Router(config)#int fa 0/0

  Mit diesem Befehl können Sie den Schnittstellenmodus betreten.



Router(config-if)#ip access-group 1 out

  Mittles diesem Befehl wird dem vorher ausgewähltem Interface die Access 

List 1 zugeteilt. Das „OUT" bedeutet, das das Zielinterface für diese ACL gesperrt wird.

Router(config)#int fa 1/0

  Mit diesem Befehl können Sie den Schnittstellenmodus betreten.



Router(config-if)#ip access-group 101 in

  Hier wird eingestellt, dass kein Frame das eigene Netz verlassen darf.



Anhang:

Übung zu Access Control List