拡張アクセス制御リスト(ACL)の基礎知識:アクセスと特権
拡張アクセス制御リスト(ACL)は、アクセスを許可または拒否するトラフィックの判断を可能にし、ネットワークのゲートキーパーの役割を果たします。拡張ACLにより、システム管理者によるネットワークのセットアップの柔軟性と制御が向上します。高度なカスタマイズが可能であるため、トラフィックに関するIPアドレス以外のルールも設定できます。これは、ネットワーク攻撃を防止しつつ、アクセスしたいトラフィックを許可するのに役立ちます。拡張ACLをセットアップして、特定のソースがターゲットコンピュータの特定のポート経由でアクセスするのをブロックできます。この方法により、送受信を許可するトラフィックの条件を細かく管理できます。
拡張アクセス制御リスト(ACL)とは?
アクセス制御リスト(ACL)は、基本的なセキュリティを提供する、ネットワーク内のトラフィックを許可またはブロックする一連のルールです。拡張ACLは、標準ACLより柔軟で詳細なカスタマイズが可能です。ACLは、個々のファイルやディレクトリなどの特定のシステムオブジェクトに対するアクセス権があるユーザーをコンピュータのオペレーティングシステムに知らせることができます。拡張ACLは、標準ACLの拡張機能の役割を果たし、より具体的なパラメータを指定できます。これにより、ネットワークセキュリティを向上させつつ、ネットワーク内のトラフィックフローに優先順位を設定できます。世界の変化や脅威の進化に伴い、ネットワークセキュリティも絶えず進化するする必要があります。さらに重要なのは、潜在的な攻撃者に対してアクセスを制限しつつ、必要なトラフィックについては引き続き許可されるようにすることで、顧客や従業員による円滑なインターフェイスやデジタルのやり取りを可能にすることです。
拡張ACLの機能
標準ACLは、送信元IPアドレスに基づいてトラフィックアクセスを許可または拒否しますが、拡張アクセスコントロールリストは、さらに詳細に指定してパケットをフィルタリングできます。たとえば、許可またはブロックするトラフィックのタイプを、IPアドレス以外(TCP、ICMP、UDPなど)で指定できます。拡張ACLでは、以下に基づくトラフィックのフィルタリングが可能です。
- 送信元アドレス
- 宛先アドレス
- ポート番号
- プロトコル
- 時間範囲
拡張ACLをさまざまな方法で構成することで、潜在的に有害なトラフィックや攻撃をブロックしつつ、個々の宛先への正規で必要なトラフィックの通過を許可できます。100〜199および2000〜2699の番号範囲の特定のIPトラフィックに優先順位を設定できます。通常、拡張アクセスリストも送信元の近くで適用されます。
拡張ACLで使用されるコマンド
拡張アクセスリストの基本的なフォーマットは以下のとおりです。
access-list access-list number [permit/deny] protocol source IP address
source-wildcard destination destination-wildcard [operator]
これらのコマンドの説明を以下に示します。
- access-list number:範囲内で以前に指定したアクセスリストの番号
- permit:条件を満たす場合に許可するトラフィック
- deny:条件を満たす場合に拒否するトラフィック
- protocol:特定のプロトコルに基づいて許可するトラフィックをフィルタリング
- source IP address:パケットの送信元であるIPアドレスまたは送信元
- destination-wildcard:source-wildcardに対して宛先のIPアドレスまたはIPアドレスの範囲を指示し、IPアドレスの個別の入力を省略する
- operator:プロトコルでフィルタリングする場合のポート番号を示し、以下のオプションを使用できる
- eq equal:特定のポートを監視する場合
- gt greater:特定のポート番号より上の範囲を指定する
- lt less than:特定のポート番号より下の範囲を指定する
- neq not equal:ポートを除くすべてにアクセスリストを確定する
拡張ACLのセットアップ方法
送信元がネットワーク内で不正アクセスを試みており、2つのIPアドレス間のすべてのトラフィックをブロックせずに送信元を停止する場合は、指定したポート間のアクセスのみを制限します。最初に、送信元IPアドレスを定義し、ワイルドカードマスクでそれをブロックする必要があります。次に、アクセスを制限する宛先を入力する必要があります。ここで、次のようなステートメントを使用して、アクセスを拒否するポートを入力します。
Router1# conf t
Router1(config)# access-list [access-list number] deny tcp host [source IP address or addresses] eq [port number]
Router1(config)# access-list [access-list number] deny tcp host [source IP address or addresses] eq [port number]
最初のステートメントは特定のポート宛先でターゲットをブロックする役割を果たし、2番目のステートメントはHTTPSに対してこれを繰り返します。「eq」コマンドは、指定されたポートへの侵入を許可します。このリストを確認するには、「show access list」コマンドを使用して、必要なすべての指示が拡張ACLに含まれていることを確認します。
「deny all」ステートメントの停止
denyステートメントを追加すると、そのACLに暗黙の「deny all」ステートメントが含まれることになるため、必要なアクセスを許可し、ネットワークの完全な機能停止を回避する必要があります。これは「show access list」コマンドには表示されないため、permitステートメントを追加してこれを修正する必要があります。「any any」コマンドを使用する必要があり、これを使用しないと、アクセスリストルールに一致しないすべてのトラフィックがドロップされます。割り当てられている番号を使用してアクセスリストを表示し、「permit」を追加します。次に、そのpermitを構成して、送信元アドレスから宛先アドレスまでのすべてのバリエーションのIPアドレスをステートメントに含め、許可するようにします。こうすることで、以前に制限したステートメントだけが拒否され、他のすべてのトラフィックが許可されます。
ACLの適用と方向の決定
これで、拡張ACLリストをインターフェイスに適用できるようになりました。通常、ACLをできるだけ送信元の近くに置く必要があります。ここで、トラフィックが進む方向を指定する必要があります。「in」または「out」のいずれかのコマンドを使用して、パケットが進む方向を決定します。インバウンドパッケージは「in」コマンドを使用し、アウトバウンドパッケージは「out」を使用します。拡張ACLが適用されると、ブロックするトラフィックのアクセスは制限されますが、残りのトラフィックは送信元から宛先への移動を継続できます。ACLリストを適用し、有効するには、ACLリストを事前に構成する必要があります。
ACLのリソース
ACLアクセスリストは、ネットワークセキュリティの重要な部分です。拡張ACLリストにより、さらに高度なカスタマイズが可能になり、重要で必要なトラフィックのパケットの送信元と宛先の間での移動が可能になり、不正または潜在的に有害なトラフィックがブロックまたは制限されます。拡張ACLネットワークの構成には時間がかかる場合があります。リストの作成を支援してくれる企業、サードパーティ、リソースもあり、作成方法のチュートリアルも公開されています。Ciscoの拡張ACLチュートリアルには、ネットワークの拡張ACLの構築にあたってのサポートと指示が提供されています。
参考文献
The Study of Network Security With Its Penetrating Attacks and Possible Security Mechanisms(2021年5月、A Monthly Journal of Computer Science and Information Technology)
Access Agent: Improving the Performance of Access Control Lists(2016年4月、International Journal of Scientific & Technology Research)
Configuring Cisco IDS Blocking(2003年、Cisco Security Professional’s Guide to Secure Intrusion Detection Systems)
Cisco Content Services Switch(2002年、Managing Cisco Network Security (Second Edition))
Configuring IP Access Lists(2007年、Cisco)
以上の内容は、原文(英語)の機械翻訳であり、原文と内容に差異がある場合は、原文が優先されます。