アクセスコントロールリスト 補 足 資 料 アクセスコントロールリスト(ACL=Access Control List)は,Cisco IOS (Internetwork Operating System: シスコルータ スイッチで 用 いられる OS) のパケットフィルタであり,パケット 転 送 の 許 可 禁 止 を 指 定 す ることで,ファイアウォールの 構 築 を 行 う. ACL は 下 記 の 条 件 をもとにパケットのフィルタリングを 行 う. 送 信 元 IP アドレス + ワイルドカードマスク 宛 先 IP アドレス + ワイルドカードマスク プロトコル (IP, TCP, UDP, ICMP, etc.) 送 信 元 ポート 番 号 宛 先 ポート 番 号 パケットを 送 信 受 信 するインターフェースと,パケットの 方 向 (in / out) ワイルドカードマスク 送 信 元 IP アドレス, 宛 先 IP アドレスを 指 定 する 際, 複 数 の IP アドレスをまとめて 指 定 するのに 用 いる. IP アドレスを 32 ビットの 2 進 数 表 記 にした 際,チェックを 行 うビットは 0,チェックを 行 わないビット は 1 とし,8 ビット 毎 にドットで 区 切 った 10 進 数 4 つで 表 す. 例 : 172.21.39.0 ~ 172.21.39.255 を 判 定 する 場 合 1 0 1 0 1 1 0 0. 0 0 0 1 0 1 0 1. 0 0 1 0 0 1 1 1. 0 0 0 0 0 0 0 0 --------------------------------------------------------------- ------------------- 最 後 の 8 ビットは 何 でも 良 い 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0. 1 1 1 1 1 1 1 1 = 0. 0. 0. 255 ワイルドカードマスク 任 意 の IP アドレスに 適 合 させる 場 合,0.0.0.0 255.255.255.255 とする.any と 書 いても 良 い. 単 一 の IP アドレスのみに 適 合 させる 場 合,<IP アドレス> 0.0.0.0 とする.host <IP アドレス>と 書 いて も 良 い. ACL の 判 定 順 序 暗 黙 の Deny ACL は, 条 件 に 適 合 したパケットについて, 転 送 許 可 (permit, allow, accept, pass, etc.)か, 拒 否 (deny, reject, drop, etc.)の,どちらかの 操 作 を 行 う. 複 数 の 条 件 がある 場 合 は, 上 から 順 に 判 定 を 行 い, 最 初 に 適 合 した 条 件 の 操 作 を 実 行 する.それより 下 の 条 件 部 は 判 定 されない. 最 後 の 条 件 まで 判 定 を 行 っても 条 件 に 適 合 しなかった 場 合 は,そのパケットは 破 棄 される( 暗 黙 の deny).
Cisco IOS での access-list の 設 定 Cisco IOS での ACL の 設 定 について 記 す. ACL には, 標 準 ACL と 拡 張 ACL の 2 種 類 がある. 標 準 ACL は 送 信 元 IP アドレス( ワイルドカードマ スク)のみで permit/deny の 判 断 を 行 い, 拡 張 ACL は 送 信 元 宛 先 IP アドレス プロトコル ポート 番 号 などの 情 報 に 基 づいて 判 断 を 行 う.ここでは, 拡 張 ACL について 説 明 を 行 う. [ 拡 張 ACL 書 式 ] access-list リスト 番 号 アクション プロトコル ( 続 き) 送 信 元 IP アドレス 送 信 元 ワイルドカードマスク [eq 送 信 元 ポート 番 号 ] ( 続 き) 宛 先 IP アドレス 宛 先 ワイルドカードマスク [eq 宛 先 ポート 番 号 ] ( 続 き) [established] [icmp type] [icmp code] : [] 内 は 省 略 することができる. リスト 番 号 は,ひとまとまりのアクセスリストに 対 して 同 じ 番 号 (100~199)を 付 与 する (1~99: 標 準 ACL 送 信 元 IP のみで 判 断,100~199: 拡 張 ACL IP TCP UDP ヘッダ) アクション permit ( 許 可 ) or deny( 拒 否 ) プロトコル ip(すべての IP パケット),tcp,udp,icmp ポート 番 号 UDP TCP の 時 のみ 有 効.ポート 番 号 を 指 定. 省 略 した 場 合 ポート 番 号 の 検 査 は 行 わない (すべてのポート 番 号 が 該 当 する). established TCP の 時 のみ 有 効.ACK フラグのあるパケットを 照 合. icmp type ICMP の 時 のみ 有 効.ICMP タイプ 番 号 を 指 定. icmp code ICMP の 時 のみ 有 効.ICMP コード 番 号 を 指 定. [ 設 定 したリスト(ACL)をインターフェースに 適 用 ] ACL を 定 義 しただけでは,ACL は 機 能 しない. 実 際 に 機 能 させるために, 設 定 したアクセスリストをル ータのどのインターフェースに 適 用 するか 設 定 する. 設 定 を 行 うことで,そのインターフェースからパケッ トが 送 信 または 受 信 される 際 にアクセスリストにより 転 送 破 棄 の 動 作 が 行 われる. [I/F への 適 用 書 式 ] interface インターフェース 名 ip access-group リスト 番 号 {in out} インターフェース 名 fastethernet0 などのルータのインターフェース 名 を 指 定 リスト 番 号 適 用 する ACL のリスト 番 号 を 指 定 in 指 定 したインターフェースからパケットを 受 信 する 際 に 適 用 out 指 定 したインターフェースからパケットを 送 信 する 際 に 適 用
例 1:ウイルスに 感 染 したホスト 192.168.0.200 を 外 部 に 接 続 させない. アクセス 許 可 192.168.0.200 (fe:fastethernet の 略 ) access-list 101 deny ip 192.168.0.200 0.0.0.0 0.0.0.0 255.255.255.255 access-list 101 permit ip 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 access-list 101 deny ip any any any と 書 いても 良 い 暗 黙 の deny があるので 書 かなくても 良 い ( 設 定 削 除 no access-list 101, no ) 例 2: 内 部 からの Web アクセスのみを 許 可 し.それ 以 外 は 許 可 しない( 外 部 から 発 信 されるパケットは 全 て 不 許 可 ). Webアクセスのみ 許 可 access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 80 access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 443 access-list 102 permit tcp any eq 80 192.168.0.0 0.0.0.255 access-list 102 permit tcp any eq 443 192.168.0.0 0.0.0.255 ACL 102 は, 下 記 の 一 行 でも 良 い access-list 102 permit tcp any 192.168.0.0 0.0.0.255 established ip access-group 102 in
練 習 問 題 (1) 下 図 のネットワークにおいて, 内 部 ネットワーク 内 のクライアントからは Web アクセスのみを 許 可 し, サーバにはアクセス 制 限 をかけないアクセスリストを 設 定 せよ. 外 部 からのアクセスはサーバへは 制 限 なし で 許 可 し,それ 以 外 のホストへは 不 許 可 とする. 任 意 のアクセス 許 可 Webアクセスのみ 許 可 192.168.0.200 サーバ サーバからは 任 意 のアクセスを 許 可 それ 以 外 のクライアントからはポート 80,443 宛 の TCP を 許 可 それ 以 外 は 拒 否 ( 暗 黙 の deny) アクセスリスト 設 定 access-list 101 permit ip 192.168.0.200 0.0.0.0 0.0.0.0 255.255.255.255 access-list 101 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 80 access-list 101 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 443 access-list 102 permit ip 0.0.0.0 255.255.255.255 192.168.0.200 0.0.0.0 access-list 102 permit tcp 0.0.0.0 255.255.255.255 eq 80 192.168.0.0 0.0.0.255 access-list 102 permit tcp 0.0.0.0 255.255.255.255 eq 443 192.168.0.0 0.0.0.255 ip access-group 102 in サーバへは 任 意 のアクセスを 許 可 それ 以 外 のクライアントへはポート 80,443 を 送 信 元 とする TCP を 許 可 それ 以 外 は 拒 否 ( 暗 黙 の deny) 追 加 問 題 (1) においてウイルスに 感 染 した PC は 一 切 外 部 へ 遮 断 する 設 定 を 追 加 するにはどのようにした らよいか?( 感 染 PC の IP アドレスを 192.168.0.150 とする) access-list 101 deny ip 192.168.0.150 0.0.0.0 0.0.0.0 255.255.255.255 ACL 101 の 冒 頭 に 追 加 access-list 101 permit ip 192.168.0.200 0.0.0.0 0.0.0.0 255.255.255.255 access-list 101 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 80 access-list 101 permit tcp 192.168.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 443
(2) 下 図 のネットワークにおいて,16 台 のサーバ 群 のみ 外 部 から 任 意 のアクセスを 許 可 し,それ 以 外 の 外 部 からネットワーク 内 へのパケットを 拒 否 する 設 定 を 行 う. 内 部 からのアクセス 制 限 は 考 えなくて よい. 任 意 のアクセス 許 可 サーバ 以 外 は 外 部 から 進 入 禁 止 サーバ 群 (16 台 ) 192.168.0.128 ~ 192.168.0.143 access-list 101 permit ip 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 ワイルドカードマスクをうまく 利 用 する 192.168.0.128 の 最 後 の 4 ビットは 何 でもよい. 128 10000000 の 下 位 4 ビットが 0 または 1 1000xxxx (x は 0 または 1 のいずれか) 10000000 ~ 10001111 128 ~ 143 追 加 問 題 (2) において,サーバ 群 のうち 192.168.0.132~192.168.0.135 の 4 台 をメンテナンスのため 外 部 からアクセスを 不 許 可 としたい 場 合 は,どのようにしたらよいか. access-list 101 deny ip 0.0.0.0 255.255.255.255 192.168.0.132 0.0.0.3 access-list 101 permit ip 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 ACL 101 の 冒 頭 に 追 加 (2) において,サーバ 群 と 外 部 の 間 で DNS,Web,メールのアクセスのみ 相 互 にやりとりし,そ れ 以 外 のアクセスを 許 可 しない 設 定 を 行 うにはどのようにしたらよいか. ACL 101 を 下 記 の access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 eq 80 ように 書 き 換 える access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 eq 443 access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 eq 25 access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 eq 53 access-list 101 permit udp 0.0.0.0 255.255.255.255 192.168.0.128 0.0.0.15 eq 53