DAS_3_Bezpečnost

adresy. Binární nula v masce znamená, že bit IP adresy na příslušné pozici bude při

porovnávání brán v úvahu. Naopak jednička vyjadřuje, že daný bit IP adresy bude při

porovnávání ignorován.

Poznámka:

Všimněte si, že konvence zápisu wildcard masky je opačná, než při vyjadřování masek

podsítě. V masce podsítě binární jednička znamená, že odpovídající bit adresy patří do adresy

sítě a bude při vyhledávání ve směrovací tabulce vzat v úvahu. Při porovnávání adres

v testovaném paketu s adresami zadanými v položce ACL naopak budou brány v úvahu jen ty

bity, u nichž je na odpovídající pozici wildcard masky uvedena nula.

Poznámka:

Pokud chceme, aby se zdrojová nebo cílová adresa nekontrolovala vůbec, můžeme uvést

libovolnou adresu a masku 255.255.255.255. Jedničkami na všech pozicích wildcard masky

říkáme, že žádný z bitů nebude při porovnávání s adresou v paketu brán v úvahu. Pro zkrácení

a zpřehlednění zápisu můžeme namísto kombinace libovolné IP adresy s wildcard maskou

255.255.255.255 psát také klíčové slovo any. Například

… permit ip 192.168.1.0 0.0.0.255 any

povolí všechny IP pakety ze zdrojových adres začánajících prefixem 192.168.1 na libovolnou

cílovou adresu.

Naopak namísto uvádění wildcard masky 0.0.0.0, podle níž se musí shodovat všechny bity

adresy, můžeme použít klíčové slovo host. Například

… deny tcp host 10.0.1.100 192.168.1.0 0.0.0.255

zakáže TCP spojení ze stanice 10.0.1.100 na síť 192.168.1.0/24.

Položky jednoho ACL (tj. označované společným číslem N) se řadí za sebe v pořadí, jak jsou

vkládány. Přidávat položky lze tedy vždy jen na konec ACL. Pokud je třeba přidat položku

mezi již existující položky, je třeba ACL nejprve jako celek odstranit (no access-list <N>) a

poté vložit všechny položky v požadovaném pořadí znovu.

Příklad:

Ukažme si příklad vytvoření ACL s číslem 100:

access-list 100 deny tcp 120.12.0.0 0.0.0.127 host 130.11.12.100

access-list 100 permit tcp 120.12.0.0 0.0.0.127 130.11.12.0 0.0.0.255

access-list 100 permit udp any 10.0.0.1 0.0.0.0

Prvním řádkem zakazujeme ze sítě 120.12.0.0/25 TCP spojení na stroj 130.11.12.100.

Druhým řádkem ze sítě 120.12.0.0/25 TCP spojení na zbývající stanice sítě 130.11.12.0/24

naopak povolujeme. Třetím řádkem povolujeme průchod UDP datagramů z libovolné

zdrojové adresy na stanici 10.0.0.1 (zde bychom také opět mohli využít klíčového slova host).

Všimněte si na příkladu prvních dvou řádků, že pořadí položek v ACL je důležité.

Již jsme zmínili, že ACL zakazuje vše, co nebylo explicitně povoleno. Na konci každého

ACL si tak můžeme představit implicitní položku zakazující vše:

access-list N deny ip any any

ACL protokolů transportní vrstvy

U protokolů transportní vrstvy (UDP,TCP) můžeme filtrační kritéria rozšířit i o čísla

zdrojových a cílových portů a také o některé příznaky z hlavičky TCP segmentu.