Access Control Lists (ACLs) sind ein zentrales Sicherheitsinstrument in Unternehmens- und Provider-Netzen. Falsch konfigurierte ACLs können jedoch Sicherheitslücken öffnen, die Angreifer ausnutzen, und legitimen Traffic unbeabsichtigt blockieren. Typische Fehler reichen von zu weit gefassten Permits über unvollständige Netzbereiche bis hin zu fehlendem Logging. Dieser Leitfaden zeigt die häufigsten ACL-Fehler, deren Risiken und praxisnahe Methoden, um sie zu auditieren und zu beheben.
Zu weit gefasste Permit-Regeln
Ein klassischer Fehler ist das Zulassen ganzer Netze oder aller Protokolle, ohne Einschränkung auf notwendige Services.
Router(config)# access-list 101 permit ip any any- Erlaubt unbegrenzten Traffic, öffnet die Angriffsfläche
- Keine Trennung von User-, Management- oder Service-Traffic
- Lösungsansatz: ACLs nach dem Least-Privilege-Prinzip aufbauen
Vergessene deny-Anweisungen
ACLs ohne abschließendes deny führen dazu, dass standardmäßig alles erlaubt wird, falls implicit-permit nicht vorhanden ist.
Router(config)# access-list 102 permit tcp 10.0.0.0 0.0.0.255 any eq 443- Nur HTTPS ist erlaubt, andere Protokolle werden standardmäßig angenommen
- Abhilfe: explizites deny ip any any am Ende der ACL
Router(config)# access-list 102 deny ip any anyFalsche Netzmasken oder Wildcard-Masken
Eine fehlerhafte Maske kann entweder Traffic blockieren, der erlaubt sein sollte, oder ungewollt andere Netzbereiche freigeben.
Router(config)# access-list 103 permit ip 10.0.1.0 0.0.0.255 any- Fehler: 10.0.1.0/24 vs. gewünschtes 10.0.0.0/24
- Audit-Tipp: Präfix- und Wildcard-Masken überprüfen, z. B. mit Tools oder CLI-Befehlen
Reihenfolge der ACL-Einträge
ACLs werden sequenziell abgearbeitet. Ein zu frühes Permit kann spätere Restriktionen umgehen.
Router(config)# access-list 104 permit ip any any
Router(config)# access-list 104 deny ip 10.0.0.0 0.255.255.255 any- Die deny-Regel wird nie erreicht
- Audit: Reihenfolge überprüfen und Permits nach Bedarf verschieben
- Lösungsansatz: kritische deny-Regeln nach oben, generische Permits nach unten
Unvollständige Interface-Zuweisung
ACLs müssen auf allen relevanten Interfaces angewendet werden. Fehlende Zuweisungen lassen Traffic unbegrenzt passieren.
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 101 in- Audit: show ip interface | include access-group prüfen
- Alle Interfaces, die Traffic entgegennehmen, prüfen
- Management-, Edge- und interne Interfaces separat absichern
Fehlendes Logging
Ohne Logging ist die Nachvollziehbarkeit eingeschränkt und Angriffe können unentdeckt bleiben.
Router(config)# access-list 105 permit tcp any any eq 22 log- Audit-Tipp: Prüfen, welche ACL-Einträge loggen
- Nur kritische Services loggen, um CPU-Last zu reduzieren
Audit-Methoden für ACLs
Regelmäßige Audits verhindern, dass ACL-Fehler unentdeckt bleiben.
Router# show access-lists
Router# show ip interface
Router# show logging
Router# show ip traffic- Alle ACLs auf Existenz, Reihenfolge und Zuweisung prüfen
- Hits und Dropped-Pakete analysieren
- Fehlerhafte Permits oder Masken korrigieren
- Audit-Logs für Compliance sichern
Best Practices
- ACLs nach dem Least-Privilege-Prinzip aufbauen
- Explizite deny ip any any am Ende jeder ACL
- Reihenfolge kritisch prüfen, kritische Regeln zuerst
- ACLs regelmäßig auditen und dokumentieren
- Logging aktivieren für sicherheitsrelevante Ports
- Separate ACLs für Edge-, interne und Management-Interfaces
- Testumgebung vor Änderungen nutzen
- Change-Management-Prozess einhalten
- Schulung der Administratoren für ACL-Hardening und Audit-Praktiken
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.