Paket-Filterung

Die Paketfilterung kontrolliert den Zugang zu einem Netzwerk, indem sie die eingehenden und/oder ausgehenden Pakete analysiert und sie auf der Grundlage vorgegebener Kriterien weiterleitet oder verwirft. Die Paketfilterung kann auf Schicht 3 (Layer 3 - Network/Vermittlungsschicht) oder Schicht 4 (Layer 4 - Transport/Transportschicht) erfolgen.

Spezifisch auf Cisco-Router bezogen, unterstützen diese zwei Arten von ACLs (Access Control Lists):

• Standard-ACLs 

ACLs filtern nur auf Layer 3 unter ausschließlicher Verwendung der Quell-IPv4-Adresse.

• Erweiterte ACLs 

ACLs filtern auf Layer 3 unter Verwendung der Quell- und/oder Ziel-IPv4-Adresse. Sie können auch auf Schicht 4 filtern, indem sie TCP-, UDP-Ports und optionale Informationen zum Protokolltyp für eine spezifische Steuerung verwenden.

ACL-Vorgang

ACLs definieren den Regelsatz, der zusätzliche Kontrolle für Pakete gibt, die in eingehende Schnittstellen eingehen, für Pakete, die durch den Router weitergeleitet werden, und für Pakete, die ausgehende Schnittstellen des Routers verlassen. ACLs können so konfiguriert werden, dass sie sowohl auf eingehenden als auch auf ausgehenden Datenverkehr angewendet werden. ACLs werden nicht auf Pakete angewendet, die vom Router selbst stammen.

Eine eingehende ACL filtert Pakete, bevor sie an die ausgehende Schnittstelle weitergeleitet werden. Eine eingehende ACL ist effizient, da sie den Overhead von Routing-Lookups einspart, wenn das Paket verworfen wird. Wenn das Paket von der ACL zugelassen ist, wird es dann für die Weiterleitung verarbeitet. Eingehende ACLs werden am besten zum Filtern von Paketen verwendet, wenn das an eine eingehende Schnittstelle angeschlossene Netzwerk die einzige Quelle für Pakete ist, die untersucht werden müssen.

Eine ausgehende ACL filtert Pakete nach ihrer Weiterleitung, unabhängig von der eingehenden Schnittstelle. Eingehende Pakete werden an die Ausgangsschnittstelle geleitet und dann über die Ausgangs-ACL verarbeitet. Ausgehende ACLs werden am besten verwendet, wenn derselbe Filter auf Pakete angewendet wird, die von mehreren Eingangsschnittstellen kommen, bevor sie dieselbe Ausgangsschnittstelle verlassen.

Beim Anwenden einer ACL auf eine Schnittstelle folgt diese einem bestimmten Verfahrensablauf. Hier sind zum Beispiel die Verfahrensschritte aufgeführt, die verwendet werden, wenn der Verkehr in eine Router-Schnittstelle mit einer konfigurierten eingehenden Standard-IPv4-ACL eingedrungen ist.

1. Der Router extrahiert die Quell-IPv4-Adresse aus dem Paket-Header.
2. Der Router beginnt am Anfang der ACL und vergleicht die IPv4-Quelladresse mit jedem ACE (Access Control Entries/einzelne Zeilen der ACL-Liste) in einer sequentiellen Reihenfolge.
3. Bei einer Übereinstimmung führt der Router die Anweisung aus, das Paket entweder zuzulassen oder zu verweigern, und die verbleibenden ACEs in der ACL werden, falls vorhanden, nicht analysiert.
4. Wenn die IPv4-Quelladresse mit keinem ACE in der ACL übereinstimmt, wird das Paket verworfen, da ein implizites Verweigern des ACE automatisch auf alle ACLs angewendet wird.

Die letzte ACE-Anweisung einer ACL ist immer eine implizite Verweigerung, die den gesamten Datenverkehr blockiert. Standardmäßig wird diese Anweisung automatisch am Ende einer ACL impliziert, obwohl sie versteckt und in der Konfiguration nicht angezeigt wird. Eine ACL muss mindestens eine Permission-Anweisung (Erlaubnis-Anweisung) enthalten, andernfalls wird der gesamte Verkehr aufgrund der impliziten Deny-ACE-Anweisung verweigert.

Sie benötigen schnelle und kompetente Lösungen? 

Als prädestiniertes und erfolgreiches IT-Systemhaus in München sind wir der richtige Ansprechpartner für Sie, wenn es sich um die Themen Netzwerk, Sicherheit, IT-Infrastruktur und Co. handelt. 

Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.