ネットワークセキュリティの要！アクセス制御リスト（ACL）入門

本日の研修では、ネットワークセキュリティの基本であり非常に重要な技術である「アクセスコントロールリスト（ACL）」について学んでいきます。ACLを理解し使いこなすことで、不正なアクセスを防ぎ、ネットワークを安全に保つことができます。

第1部：ACL講義編 ～ACLとは何か？なぜ必要なのか？～

1. ACLとは？

ACL（Access Control List）とは、ルーターやファイアウォールなどのネットワーク機器を通過するパケットを検査し、そのパケットを「許可」するか「拒否」するかを判断するためのルールリストです。イメージとしては、ネットワークの交通整理を行う門番のようなものです。

2. なぜACLが必要なのか？

• セキュリティ向上: 不正なアクセスや攻撃から内部ネットワークを保護します。例えば、特定の部署以外からの機密情報サーバーへのアクセスを禁止する、といったことが可能です。
• ネットワーク帯域の制御: 不要なトラフィックを制限することで、ネットワークのパフォーマンスを維持します。
• ポリシーの適用: 企業や組織のセキュリティポリシーに基づいたアクセス制御を実現します。

3. ACLの仕組み

ACLは、設定されたルール（エントリ）に基づいて動作します。

• パケットフィルタリング: ACLは、パケットのヘッダ情報（送信元/宛先IPアドレス、送信元/宛先ポート番号、プロトコルタイプなど）を見て、ルールに合致するかどうかを判断します。
• ルールの評価順序: ルールはリストの上から順に評価されます。最初に一致したルールの処理（許可または拒否）が実行され、それ以降のルールは評価されません。
• 暗黙のDeny Any: どのルールにも一致しなかったパケットは、デフォルトで全て拒否されます（暗黙のDeny Any）。これは、明示的に許可されていない通信はすべてブロックするというセキュリティの基本原則に基づいています。
• ホワイトリスト方式とブラックリスト方式:
  • ホワイトリスト方式: 基本的にすべての通信を拒否し、許可したい通信だけを明示的に記述します。ACLの「暗黙のDeny Any」の性質上、この方式が基本となります。
  • ブラックリスト方式: 基本的にすべての通信を許可し、拒否したい通信だけを記述します。

4. ACLの種類

ACLには主に以下の2つの種類があります。

• 標準ACL (Standard ACL):
  • 送信元IPアドレスのみを条件としてパケットをフィルタリングします。
  • 設定が比較的簡単ですが、制御できる条件が限られます。
  • 番号付き（1～99、1300～1999）と名前付きがあります。
• 拡張ACL (Extended ACL):
  • 送信元IPアドレス、宛先IPアドレス、プロトコル（TCP, UDP, ICMPなど）、送信元/宛先ポート番号（HTTPの80番、FTPの21番など）といった、より詳細な条件でフィルタリングが可能です。
  • より柔軟できめ細かいアクセス制御が実現できます。
  • 番号付き（100～199、2000～2699）と名前付きがあります。

5. ACLの設定手順

ACLの設定は、基本的に以下の2ステップで行います。

ステップ1：ACLの作成
ルールリストを作成します。

• 名前付き標準ACLの作成例:

  Router(config)# ip access-list standard <リスト名>
  Router(config-std-nacl)# <行番号> permit | deny <送信元IPアドレス> <ワイルドカードマスク>
  

• 番号付き標準ACLの作成例:

  Router(config)# access-list <リスト番号> permit | deny <送信元IPアドレス> <ワイルドカードマスク>
  

• 名前付き拡張ACLの作成例:

  Router(config)# ip access-list extended <リスト名>
  Router(config-ext-nacl)# <行番号> permit | deny <プロトコル> <送信元IPアドレス> <ワイルドカードマスク> [演算子 <送信元ポート番号>] <宛先IPアドレス> <ワイルドカードマスク> [演算子 <宛先ポート番号>]
  

  • 演算子には eq (等しい)、neq (等しくない)、gt (より大きい)、lt (より小さい)、range (範囲指定) などがあります。
  • ポート番号はキーワード（例：www (80)、telnet (23)）でも指定可能です。
  • 特定のホストを指定する場合は host <IPアドレス> のように記述できます。

ステップ2：ACLのインターフェースへの適用
作成したACLをルーターのインターフェースに適用し、パケットフィルタリングを開始させます。

Router(config-if)# ip access-group <リスト名または番号> in | out

in: インターフェースが受信するパケット（インバウンド）に適用します。
out: インターフェースが送信するパケット（アウトバウンド）に適用します。
1つのインターフェース、1つの方向（inまたはout）につき、1つのACLのみ適用可能です。

6. ACLの適用場所（どこに配置するか？）

ACLをどこに適用するかは非常に重要です。

標準ACL: 送信元IPアドレスしか見ないため、意図しない通信までブロックしてしまう可能性があります。そのため、できるだけ宛先に近いルーターに適用するのが一般的です。
拡張ACL: 詳細な条件で制御できるため、不要なトラフィックを早期に遮断できます。そのため、できるだけ送信元に近いルーターに適用するのが一般的です。

7. VTYアクセスの制限

ルーターへのTelnetやSSHアクセス（VTYアクセス）を特定のホストからのみに制限する場合もACLが使用できます。この場合、インターフェースではなくVTYラインに対してACLを適用します。一般的には送信元IPアドレスで制限するため、標準ACLが用いられます。

Router(config)# line vty 0 4
Router(config-line)# access-class <リスト名または番号> in

8. 確認コマンド

設定したACLは以下のコマンドで確認できます。ルールに一致したパケット数も表示されます。

Router# show access-lists