Access Control Lists (ACL) #

Access Control Lists (ACLs) sind ein zentrales Mechanismus zur Steuerung und Absicherung von Netzwerkverkehr. Sie werden auf Routern und Layer-3-Switches eingesetzt, um festzulegen, welche Datenpakete erlaubt oder blockiert werden, basierend auf definierten Kriterien wie IP-Adresse, Protokoll oder Port.

In der Praxis gehören ACLs zu den grundlegenden Werkzeugen der Netzwerktechnik und werden häufig in Verbindung mit Cisco Packet Tracer eingesetzt, um Konfigurationen zu testen und Netzwerkverhalten zu analysieren.

1. Grundprinzip und Zielsetzung #

Das Hauptziel einer ACL ist die Kontrolle des Datenverkehrs innerhalb eines Netzwerks oder zwischen verschiedenen Netzwerken.

Typische Ziele: #

• Schutz sensibler Systeme
• Einschränkung von Zugriffen
• Reduzierung unnötigen Traffics
• Durchsetzung von Sicherheitsrichtlinien

Eine ACL besteht aus einer Liste von Regeln, die in einer bestimmten Reihenfolge verarbeitet werden.

👉 Wichtig:

• Regeln werden von oben nach unten geprüft
• Die erste passende Regel entscheidet
• Am Ende existiert immer ein implizites:

deny ip any any

2. Einordnung im Netzwerk (technischer Kontext) #

ACLs sind eng mit der Funktionsweise von Routern und Switches verbunden und arbeiten auf verschiedenen Ebenen:

OSI-Modell #

• Layer 3 (Netzwerk): IP-basierte Filterung
• Layer 4 (Transport): Ports und Protokolle (TCP/UDP)

Platzierung im Netzwerk #

ACLs werden an Interfaces angewendet:

• Inbound (eingehend): bevor Routing stattfindet
• Outbound (ausgehend): nach Routing

👉 Best Practice:

• Standard ACL → nah am Ziel
• Extended ACL → nah an der Quelle

3. Arten von ACLs (detailliert) #

3.1 Standard ACL #

• Filtert ausschließlich nach Quell-IP-Adresse
• Einfach, aber eingeschränkte Kontrolle

access-list 1 permit 192.168.1.0 0.0.0.255

👉 Bedeutung:

• Alle Geräte aus diesem Netzwerk dürfen passieren

3.2 Extended ACL #

• Deutlich leistungsfähiger
• Filtert nach:
  • Quelle & Ziel
  • Protokoll (TCP, UDP, ICMP)
  • Ports

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80

👉 Bedeutung:

• Nur HTTP-Verkehr ist erlaubt

3.3 Named ACL #

• Verwendet Namen statt Nummern
• Bessere Strukturierung in großen Netzwerken

ip access-list extended WEB-FILTER
permit tcp any any eq 80
deny ip any any

3.4 Weitere Varianten (fortgeschritten) #

• Reflexive ACLs: dynamische Rückantworten erlauben
• Time-based ACLs: Regeln basierend auf Zeit
• Dynamic ACLs (Lock-and-Key): temporärer Zugriff nach Authentifizierung

4. Wildcard Masks (wichtig für Verständnis) #

ACLs nutzen sogenannte Wildcard Masks (nicht Subnetzmasken!).

Beispiel: #

192.168.1.0 0.0.0.255

👉 Bedeutet:

• Erste 3 Oktette müssen übereinstimmen
• Letztes Oktett ist egal

Vergleich: #

• Subnetzmaske: 255.255.255.0
• Wildcard: 0.0.0.255

5. Funktionsweise im Detail #

Ablauf: #

1. Paket erreicht Router
2. ACL wird angewendet
3. Regeln werden geprüft
4. Erste passende Regel entscheidet
5. Paket wird:
   • weitergeleitet (permit)
   • verworfen (deny)

6. Konfiguration (praxisnah) #

6.1 Standard ACL anwenden #

access-list 10 deny 192.168.1.10
access-list 10 permit anyinterface FastEthernet0/0
ip access-group 10 in

👉 Blockiert einen bestimmten Host

6.2 Extended ACL anwenden #

access-list 100 permit tcp any any eq 80
access-list 100 deny ip any anyinterface FastEthernet0/1
ip access-group 100 out

👉 Nur Webverkehr ist erlaubt

6.3 Named ACL Beispiel #

ip access-list extended BLOCK-FTP
deny tcp any any eq 21
permit ip any any

7. Praxis-Szenarien #

🔒 Szenario 1: Zugriff auf Server beschränken #

Nur bestimmte IPs dürfen auf einen Server zugreifen

🌐 Szenario 2: Internetzugriff filtern #

Nur HTTP/HTTPS erlauben, alles andere blockieren

🏢 Szenario 3: Abteilungen trennen #

HR darf nicht auf IT-Netz zugreifen

🛡️ Szenario 4: Schutz vor unerwünschtem Traffic #

Bestimmte Netzbereiche komplett blockieren

8. Best Practices #

• Spezifische Regeln immer zuerst
• Extended ACLs nah an der Quelle platzieren
• Standard ACLs nah am Ziel einsetzen
• Dokumentation und klare Struktur verwenden
• Regelmäßig testen (z. B. mit Packet Tracer)

9. Typische Fehlerquellen #

• ❌ Falsche Reihenfolge
• ❌ ACL nicht angewendet
• ❌ falsche Richtung (in/out)
• ❌ Wildcard falsch berechnet
• ❌ implizites „deny“ vergessen

10. Abgrenzung zu Firewalls #

ACLs sind kein vollständiger Ersatz für Firewalls:

👉 ACL = Grundschutz
👉 Firewall = erweiterte Sicherheit

11. Bedeutung in der Praxis #

ACLs sind in nahezu jedem Netzwerk vorhanden und bilden die Grundlage für:

• Zugriffskontrolle
• Segmentierung
• Sicherheitsrichtlinien

Sie sind besonders wichtig in:

• Unternehmensnetzwerken
• Rechenzentren
• Schulungsumgebungen

12. Fazit #

Access Control Lists (ACLs) sind ein fundamentales Werkzeug zur Steuerung von Netzwerkverkehr. Sie ermöglichen eine gezielte und effiziente Umsetzung von Sicherheitsrichtlinien und sind sowohl für Einsteiger als auch für fortgeschrittene Netzwerkadministratoren unverzichtbar. Trotz ihrer vergleichsweise einfachen Struktur bieten sie leistungsstarke Möglichkeiten zur Kontrolle und Absicherung von Netzwerken.