Cơ bản về ACL

Posted in Linux, Linux Command by
  1. Mô hình tổng quan

Ngày nay, với sự tiến bộ của khoa học công nghệ, hệ thống mạng là một giải pháp được lựa chọn hàng đầu cho việc truyền tải dữ liệu và vì thế bảo mật mạng cũng là một vấn đề rất đáng được quan tâm. Một trong những tính năng rất quan trọng trong các router được dùng trong lĩnh vực bảo mật là Access Control List. Tính năng này tạo ra một danh sách các địa chỉ mà có thể được cho phép hay ngăn chặn truy cập vào một mạng nào đó.

Thực tế hiện nay có 3 loại ACL đang được sử dụng trên mạng cho các mục đích khác nhau:

  • Router ACL: lọc các bản tin đi qua router
  • VLAN ACL: lọc các bản tin đi vào VLAN
  • Port ACL: lọc các bản tin đi vào một port

Trong phạm vi bài viết này chỉ đề cập đến Router ACL.

Mô hình tổng quan của hệ thống chạy ACL được mô tả như hình dưới:

12

 

Hình 1 – Sơ đồ kiến trúc mạng có sử dụng ACL

2. Các định nghĩa

  • ACL: Là một chức năng trên thiết bị Site Router cho phép giám sát và lọc gói tin trên một interface. Chức năng này cho phép router làm việc như một Firewall đơn giản.
  • Inbound và Outbound: Khi áp dụng ACL trên một interface của router ta phải chỉ rõ chiều của luồng dữ liệu. Inbound là chiều của luồng dữ liệu đi vào cổng đó và Outbound là chiều của luồng dữ liệu đi ra khỏi cổng đó.
  • Wildcard mask:  Wildcard Mask là một chuỗi nhị phân 32 bit được chia làm 4 octet. Mỗi một wildcard mask đi kèm với một địa chỉ IP. Các bit 0 và 1 được định nghĩa để xác định cách xử lý các bit tương ứng trong đia chỉ IP theo quy tắc: 0 kiểm tra – 1 bỏ qua. Nghĩa là bit tương ứng với bit 0 trong wildcard mask sẽ được kiểm tra, còn tương ứng với bit 1 sẽ được bỏ qua không cần kiểm tra. Wildcard mask cần phải đi cùng một địa chỉ ip. Nếu đứng một mình nó sẽ không có ý nghĩa gì cả.
  1. Phân loại

Thiết bị Site Router hỗ trợ hai loại ACL:

  • Standard Access List:

Đây là loại ACL mà khi làm việc router chỉ kiểm tra một yếu tố duy nhất là địa chỉ IP nguồn. Standard ACL được đánh số từ 1 đến 999 hoặc dùng tên.(việc đánh số tùy theo vendor quyết định )

13

 

Hình 2 – Standard ACL

  • Extended Access List:

Đây là loại ACL mở rộng hơn so với loại Standard Access List. Khi làm việc router sẽ kiểm tra một số yếu tố bao gồm: địa chỉ IP nguồn, địa chỉ IP đích, port nguồn, port đích, giao thức… Extended ACL được đánh số từ 1000 đến 1999 hoặc dùng tên.(việc đánh số tùy theo vendor quyết định )

14

Hình 3 – Extended ACL

4. Đặc điểm

  • ACL không thể lọc được packet xuất phát từ chính router mà ACL đó đang được áp dụng.
  • Với các protocol L3(IP, IPX, Apple Talk…) chỉ có thể thiết lập một ACL trên mỗi hướng(in/out) của interface.
  • Standard ACL: Đặt ở gần đích của traffic, theo chiều outbound.
  • Extened ACL: Đặt gần nguồn của traffic, theo chiều inbound.
  1. Mô tả hoạt động
  • Trong quá trình lọc ACL, địa chỉ IP trong mỗi statement được kết hợp với wildcard mask để tính ra  một giá trị chuẩn: giá trị chuẩn đó có thể là một địa chỉ host, 1 subnet, 1 khoảng địa chỉ IP(liên tục hoặc không liên tục) hoặc là tất cả các địa chỉ IP. Gói tin khi tới interface đặt ACL sẽ được kiểm tra địa chỉ IP, địa chỉ IP này được so sánh với giá trị chuẩn ở trên: Nếu 2 giá trị này giống nhau thì điều kiện đã thỏa mãn và router thực hiện các lệnh trên ACL.
  • ACL sẽ được thực hiện theo trình tự của các câu lệnh cấu hình trong danh sách khi tạo access list. Nếu có ít nhất một điều kiện trong danh sách phù hợp(match) thì nó sẽ thực hiện và các câu lệnh còn lại sẽ không được kiểm tra nữa.
  • Trường hợp tất cả các câu lệnh cấu hình trong danh sách đều không phù hợp thì một câu lệnh mặc định “deny any” sẽ được thực hiện. Cuối cùng access list mặc định sẽ là lệnh loại bỏ tất cả “deny all”. Vì vậy trong access list cần có ít nhất một lệnh permit.
  • Khi packet đi tới một interface, router sẽ kiểm tra xem có một ACL trong inbound interface hay không? Nếu có, packet sẽ được kiểm tra đối chiếu với những điều kiện trong danh sách.
  • Nếu packet đó được cho phép(allow), nó sẽ tiếp tục tìm kiếm trong bảng routing để chọn interface tiếp theo trên đường đi đến đích.
  • Tiếp đó, router sẽ kiểm tra xem có một ACL trong outbound interface hay không? Nếu không thì packet sẽ được gửi ra đến mạng đích. Nếu có, nó sẽ kiểm tra đối chiếu với những điều kiện trong danh sách của ACL đó.

5.1 Đặc tả quá trình xử lý gói tin của router

 

Quá trình xử lý gói tin của router được mô tả như hình dưới đây:

15

 

Hình 4 – Quá trình xử lý gói tin của router

5.2 Đặc tả quá trình làm việc của ACL

Quá trình làm việc của ACL được mô tả như hình dưới đây:

16

Hình 5 – Quá trình làm việc của ACL