Bundesamt für Sicherheit in der Informationstechnik

M 5.111 Einrichtung von Access Control Lists auf Routern

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die vielfältigen Zugriffsmöglichkeiten für die Nutzung und die Administration von Routern und Switches können mit Hilfe von Access Control Lists (ACLs) kontrolliert werden. Der Zugriff kann für einzelne Rechner oder Netze und für die jeweilige Zugriffsmethode festgelegt werden.

Mittels der ACL erfolgt die Festlegung, welche Rechner oder Netze auf den Router oder den Switch über Dienste wie bspw. TELNET, SNMP, HTTP, etc. zugreifen können. Das folgende Beispiel zeigt eine entsprechende ACL eines Cisco-Routers zur Zugriffsbeschränkung für den Dienst TELNET auf das Netzkoppelelement selbst:

access-list 102 permit tcp host 163.183.200.22 any eq 23 log

access-list 102 permit tcp host 163.183.200.24 any eq 23 log

access-list 102 deny ip any any log

Die Festlegung der ACLs muss entsprechend den Vorgaben der Sicherheitsrichtlinie erfolgen. Insbesondere sollte ein generelles Vorgehen für den Fall festgelegt werden, dass keine spezifischen Regeln existieren. In diesem Zusammenhang gibt es grundsätzlich die beiden Ansätze "Was nicht verboten ist, ist erlaubt" (Blacklist) und "Was nicht erlaubt ist, ist verboten" (Whitelist). Bei der Konfiguration sollte generell der restriktivere Whitelist-Ansatz bevorzugt werden, da beim reinen Blacklist-Ansatz nahezu zwangsläufig Lücken bestehen bleiben.

Mit Hilfe von ACLs kann nicht nur der Zugriff auf das Netzkoppelelement selbst, sondern auch der Datenverkehr über das Netzkoppelelement kontrolliert werden. Insbesondere Router werden als Paketfilter in lokalen Netzen und Weitverkehrsnetzen eingesetzt. Der Router kontrolliert in diesem Fall den Datenverkehr pro Interface und Richtung (inbound und outbound) zwischen den angeschlossenen Subnetzen.

Für verbindungsbehaftete Protokolle (beispielsweise TCP) gibt es zudem die Möglichkeit, ACLs zu definieren, die den Status der Verbindung berücksichtigen. Dies erlaubt es, vorzugeben, dass bestimmte Verbindungen nur in einer Richtung durch den Router erlaubt sind (beispielsweise Telnet-Verbindungen "von innen nach außen"). Dabei lässt der Router Pakete in der Gegenrichtung passieren, wenn sie Antwortpakete zu einer bestehenden Verbindung sind, weist jedoch Pakete zurück mit denen ein Verbindungsaufbau in der verbotenen Richtung versucht werden soll.

Verbindungslose Protokolle wie UDP lassen sich nur unzureichend mit einem herkömmlichen Paketfilter absichern. Für diesen Zweck wird deshalb oftmals ein Stateful-Inspection-System verwendet. Dabei führt das System eine Tabelle, in der gespeichert wird, ob und von wo innerhalb einer festgelegten Zeitspanne ein "erlaubtes" Paket (beispielsweise eine DNS -Anfrage) an eine bestimmte Adresse gesendet wurde.

Wird innerhalb der festgelegten Zeit ein Paket in der entgegengesetzten Richtung registriert, so wird dies als Antwort auf die gespeicherte Anfrage interpretiert und durchgelassen. Pakete, zu denen es keine entsprechende Anfrage gibt, werden abgewiesen.

In der Regel werden innerhalb einer ACL mindestens folgende Kriterien ausgewertet:

  • Quelladresse (IP-Adresse im IP-Header) des Pakets
  • Zieladresse (IP-Adresse im IP-Header) des Pakets
  • Verwendetes Protokoll und gegebenenfalls Portnummer (z. B. Port 80/TCP für HTTP oder 25/TCP für SMTP)

Zum Erkennen von Problemen wie beispielsweise Konfigurationsfehlern oder Angriffsversuchen im Netz sind ACLs immer derart zu konfigurieren, dass abgewiesene Zugriffsversuche protokolliert werden. Hierzu ist jedem Eintrag in der ACL das entsprechende Protokoll-Kommando anzufügen. Die Protokolldateien werden so zu einer wertvollen Datenquelle im Umgang mit Problemen und Angriffen im Netz.

Die Erstellung einer ACL muss entsprechend den Vorgaben der Sicherheitsrichtlinie erfolgen. Nach Möglichkeit sollten Vorlagen (Templates) erstellt werden, die immer wieder verwendet werden können und nur gegebenenfalls geringfügig modifiziert werden müssen.

Bei der Nutzung von ACLs muss beachtet werden, dass damit eine gewisse Performance-Einbuße verbunden ist. Meist ist diese zwar selbst bei komplizierteren Regeln vernachlässigbar, wenn aber ein Router bereits mit einer erheblichen Auslastung betrieben wird, dann sollte vor einer Erweiterung der ACLs sicherheitshalber geprüft werden, ob das Gerät die erweiterten Regeln noch verarbeiten kann.

Nachfolgend sind als Beispiel einige Filterregeln anhand eines Auszugs aus einer Access Control List für einen Router des Herstellers Cisco dargestellt. Es wird davon ausgegangen, dass es sich um eine eingehende Zugriffsliste (inbound) handelt. Folgende Dienste sollen eingehend erlaubt, sonstige Verbindungen verboten werden:

  • SMTP zum internen MAIL-SERVER
  • TELNET zu einem internen TELNET-SERVER
  • HTTP zum internen WEB-SERVER
  • HTTPS zum internen WEB-SERVER

access-list 103 permit tcp any any established

access-list 103 permit tcp any host MAIL-SERVER eq smtp

access-list 103 permit tcp any host TELNET-SERVER eq telnet

access-list 103 permit tcp any host WEB-SERVER eq www

access-list 103 permit tcp any host WEB-SERVER eq 443

access-list 103 deny ip any any log

Prüffragen:

  • Entspricht die Festlegung der ACL s der Router und Switches den Vorgaben der Sicherheitsrichtlinie?

  • Wird für die Konfiguration der ACL s das Whitelist-Verfahren eingesetzt?

  • Werden durch die ACL s abgewiesene Zugriffsversuche protokolliert?

Stand: 13. EL Stand 2013