Cisco ASA (Adaptive Security Appliance) to zaawansowane urządzenie zapewniające funkcje zapory ogniowej, VPN, a także filtracji pakietów. Jednym z kluczowych mechanizmów realizujących kontrolę przepływu danych jest Filtrowanie Pakietów przy użyciu List Dostępu (ACL – Access Control Lists). Cisco ASA obsługuje zarówno standardowe, jak i rozszerzone listy dostępu. Istnieje jednak istotna różnica w konfiguracji ACL na routerze a na firewallu, polegająca na użyciu maski rzeczywistej zamiast maski odwrotnej.
Listy Dostępu w Cisco ASA
Listy Dostępu są kluczowym narzędziem kontroli dostępu do zasobów sieciowych, zarówno wejściowych, jak i wychodzących. Cisco ASA oferuje dwie główne kategorie list dostępu:
- Standardowe Listy Dostępu (Standard ACL):
- Standardowe ACL filtrowują pakiety na podstawie źródłowego adresu IP. Mogą one definiować zakres adresów IPv4, które mają być akceptowane lub odrzucane.
- Rozszerzone Listy Dostępu (Extended ACL):
- Rozszerzone ACL oferują bardziej zaawansowane opcje filtrowania, pozwalając na uwzględnienie wielu kryteriów, takich jak źródłowy i docelowy adres IP, numer portu, protokół, itp.
Różnice w Konfiguracji ACL na Routerze a na Cisco ASA
Jednym z istotnych elementów różniących konfigurację ACL na routerze a na Cisco ASA jest sposób definiowania maski. W przypadku firewalla używamy maski rzeczywistej, podczas gdy na routerze korzystamy z tzw. wildcard mask.
1. Maska Rzeczywista (Subnet Mask):
- Na Cisco ASA, podczas konfiguracji listy dostępu, używamy maski rzeczywistej. Oznacza to, że definiujemy zakres adresów IP, określając dokładnie, które bity są częścią sieci, a które są hostem.
access-list standard MOJA_LISTA_DOSTEPU permit 192.168.1.0 255.255.255.0 deny any
2. Wildcard Mask na Routerze:
- Na routerze, używamy tzw. wildcard mask, która jest odwrotnością maski rzeczywistej. Oznacza to, że „0” w wildcard mask oznacza bit dozwolony, a „1” oznacza bit ignorowany.
access-list 1 permit 192.168.1.0 0.0.0.255
Różnica ta wynika z odmiennego podejścia do konfiguracji ACL na tych dwóch rodzajach urządzeń.
Przykłady Zastosowań List Dostępu w Cisco ASA
- Filtrowanie Ruchu Sieciowego:
- Standardowe ACL mogą być używane do zdefiniowania zakresów źródłowych adresów IP, które mają dostęp do konkretnych zasobów sieciowych.
access-list standard ALLOW_INTERNAL permit 192.168.1.0 255.255.255.0
- Filtrowanie na Podstawie Protokołów i Portów:
- Rozszerzone ACL pozwalają na bardziej zaawansowane filtrowanie, na przykład na podstawie numerów portów i protokołów.
access-list extended ALLOW_HTTP permit tcp any any eq 80
- Zarządzanie Ruchem VPN:
- Listy dostępu są również szeroko stosowane w zarządzaniu ruchem VPN, umożliwiając kontrolę dostępu do tuneli VPN.
access-list extended VPN_TRAFFIC permit ip 192.168.1.0 255.255.255.0 10.0.0.0 255.255.255.0
Podsumowanie
Filtrowanie pakietów z wykorzystaniem list dostępu (ACL) stanowi kluczową część strategii bezpieczeństwa w Cisco ASA. Różnice w konfiguracji ACL na routerze a na firewallu wynikają z różnych wymagań i funkcji tych urządzeń. Poprzez odpowiednie definiowanie reguł dostępu, organizacje mogą skutecznie zarządzać ruchem sieciowym, zabezpieczać zasoby przed nieautoryzowanym dostępem oraz dostosowywać ruch zgodnie z własnymi wymaganiami.