Access Control Lists (ACL's) zijn een krachtig hulpmiddel voor het filteren van verkeer tussen verschillende netwerken. Een router, zoals die van Cisco, speelt een cruciale rol bij het doorsturen van gegevenspakketten tussen netwerken. Wanneer een pakket een inkomende interface van de router bereikt, leest het besturingssysteem de laag 3 header-informatie, zoals het bron- en bestemmings-IP-adres. Vervolgens wordt de routingtabel geraadpleegd om het geschikte pad voor het pakket te bepalen. Dit proces zorgt ervoor dat de gegevens de juiste bestemming bereiken, maar het roept de vraag op: hoe kunnen we de toegang tot bepaalde netwerken beperken om de beveiliging en prestaties van het netwerk te verbeteren? Een oplossing is het gebruik van ACL's.

De rol van een Cisco IOS-router bij het filteren van verkeer is vergelijkbaar met die van een firewall-apparaat, hoewel ACL's in veel opzichten minder geavanceerd zijn dan een dedicated firewall. ACL's zijn regels die bepalen hoe verkeer tussen netwerken gefilterd wordt. Wanneer een router bijvoorbeeld verkeer ontvangt van een bepaald netwerk, kan het ACL-regels gebruiken om te bepalen of het verkeer moet worden toegestaan of geweigerd, op basis van verschillende criteria zoals het IP-adres van de bron of bestemming.

In dit hoofdstuk leer je hoe je ACL's kunt configureren op een Cisco IOS-router om inkomend en uitgaand verkeer te filteren. Er zijn verschillende soorten ACL's die je kunt gebruiken, afhankelijk van de situatie, en dit hoofdstuk behandelt zowel standaard als uitgebreide ACL's.

Een standaard ACL filtert al het verkeer van een specifieke bron, zoals een host of netwerk. Dit type ACL is eenvoudiger en meer geschikt voor scenario’s waarin je al het verkeer van een bepaalde bron wilt blokkeren of toestaan. Aan de andere kant biedt een uitgebreide ACL meer gedetailleerde controle, waardoor je verkeer kunt filteren op basis van niet alleen de bron- en bestemmings-IP-adressen, maar ook op andere factoren zoals protocoltype, poortnummers en zelfs applicatielaag-informatie (bijvoorbeeld TCP of UDP).

Wanneer je een ACL implementeert op een Cisco IOS-router, wordt de router niet automatisch een firewall. Een ACL is slechts één van de vele methoden die een router kan gebruiken om verkeer te filteren, en een dedicated firewall biedt vaak uitgebreidere beveiliging en functionaliteit. Het gebruik van ACL's heeft echter verschillende voordelen voor zowel de beveiliging als de prestaties van het netwerk.

Stel je bijvoorbeeld voor dat je binnen je organisatie een probleem hebt met gebruikers die veel bandbreedte verbruiken door het streamen van video’s. Dit verkeer kan de netwerkprestaties aanzienlijk verminderen. Door een ACL in te stellen die videostreaming beperkt, kun je het netwerkverkeer reguleren en de algehele netwerkprestaties verbeteren. Een ander scenario is het beperken van de toegang tot bepaalde netwerkbronnen. ACL's kunnen worden gebruikt om te zorgen dat alleen specifieke gebruikersgroepen, zoals de IT-afdeling, toegang hebben tot belangrijke netwerkapparaten.

ACL's kunnen ook nuttig zijn voor het afdwingen van beveiligingsbeleidsregels binnen een organisatie. Bijvoorbeeld, als je het gebruik van onveilige communicatieprotocollen zoals Telnet wilt beperken, kan een ACL dit afdwingen door al het Telnet-verkeer te blokkeren. Op dezelfde manier kunnen ACL's worden gebruikt om veilige toegang te waarborgen. Stel je voor dat je remote toegang tot je netwerkapparatuur hebt geconfigureerd, maar je wilt alleen dat bepaalde gebruikers toegang hebben, bijvoorbeeld IT-medewerkers. In dit geval kun je een ACL gebruiken om ervoor te zorgen dat alleen de juiste gebruikersgroepen toegang krijgen tot de virtuele terminallijnen van de router of switch.

De werking van ACL's is gebaseerd op een reeks regels die elke toegangspoging controleren. Elke regel, ofwel een Access Control Entry (ACE), is een instructie die bepaalt of een pakket moet worden toegestaan of geweigerd. Wanneer een pakket de router binnenkomt, controleert de router elke ACE in volgorde totdat er een overeenkomst wordt gevonden. Als een overeenkomst wordt gevonden, wordt de overeenkomstige actie uitgevoerd, en de router stopt met het controleren van verdere regels. Als geen van de regels van toepassing is, wordt het pakket geweigerd door een impliciete 'deny'-regel die automatisch aan het einde van de ACL wordt toegevoegd.

Bij het configureren van ACL's op routers kunnen deze regels zowel voor inkomend (inbound) als uitgaand (outbound) verkeer worden toegepast. Inkomende ACL's worden toegepast op verkeer dat de router binnenkomt, voordat het naar de bestemmingsinterface wordt doorgestuurd. Dit helpt de bronnen van de router te besparen, omdat het verkeer al gefilterd wordt voordat de router routingbeslissingen moet nemen. Aan de andere kant kunnen uitgaande ACL's worden gebruikt om verkeer dat de router verlaat te controleren, zodat alleen legitiem verkeer het netwerk verlaat.

Het is belangrijk te begrijpen dat ACL's niet hetzelfde zijn als een firewall en ook niet de noodzaak van een dedicated firewall vervangen. Ze bieden echter wel een waardevol instrument voor netwerkbeheerders om de toegang tot netwerken te reguleren en beveiligingsmaatregelen af te dwingen, met name wanneer ze worden gecombineerd met andere technologieën zoals Quality of Service (QoS). Wanneer QoS wordt toegepast op een netwerk, kunnen ACL's helpen bij het correct classificeren van verkeer, zoals VoIP, om ervoor te zorgen dat dit soort verkeer prioriteit krijgt en snel wordt verwerkt.

Het succes van het implementeren van ACL's hangt af van een goed begrip van hoe verkeer door het netwerk beweegt en welke beveiligingsvereisten er zijn. Netwerkbeheerders moeten zorgvuldig nadenken over welke regels moeten worden opgesteld, welke typen verkeer moeten worden gefilterd en hoe ze ACL's op de juiste interfaces kunnen toepassen. Alleen dan kunnen ze de voordelen van ACL's maximaliseren om de netwerkprestaties te verbeteren en de beveiliging te waarborgen.

Wat zijn netwerken en hoe functioneren netwerkinstellingen?

Netwerken vormen de basis voor communicatie tussen verschillende apparaten, waardoor gegevens kunnen worden gedeeld en ontvangen. In de wereld van computercommunicatie zijn er protocollen die de voorwaarden en regels vastleggen voor het verzenden van informatie tussen een zender (bijvoorbeeld een smartphone) en een ontvanger (bijvoorbeeld een webserver). De configuratie en het functioneren van netwerken is daarom van groot belang voor de efficiënte en betrouwbare werking van deze systemen.

In de vroege jaren, voordat het internet zoals we het nu kennen bestond, was er ARPANET, een vroeg netwerkprotype ontwikkeld door het Amerikaanse ministerie van Defensie. Het doel was om universiteiten en onderzoeksinstellingen met elkaar te verbinden via traditionele telefoonlijnen. Dit netwerk werd uiteindelijk vervangen door moderne systemen zoals TCP/IP en andere protocollen die efficiëntere en veerkrachtigere communicatie mogelijk maken. TCP/IP, bijvoorbeeld, is het protocol dat de communicatieregels definieert voor internetverkeer.

Protocollen zoals IPv4, IPv6 en MAC-adressen spelen een cruciale rol bij netwerkadressering. Adressering houdt in dat zowel de verzender als de ontvanger van een bericht geïdentificeerd moeten worden om ervoor te zorgen dat de data naar de juiste bestemming wordt gestuurd. Dit proces is essentieel voor de betrouwbare werking van netwerken en voor de detectie van fouten tijdens de gegevensoverdracht.

Bij het overdragen van gegevens zijn er verschillende mechanismen die in werking treden, waaronder betrouwbaarheid, flow control, sequencing, en foutdetectie. Deze mechanismen zorgen ervoor dat gegevens in de juiste volgorde aankomen, dat het netwerkverkeer op een gecontroleerde snelheid wordt verzonden en ontvangen, en dat eventuele corrupte berichten kunnen worden opgemerkt. Flow control voorkomt bijvoorbeeld dat een apparaat wordt overweldigd door een te groot volume gegevens, terwijl sequencing zorgt voor de juiste volgorde waarin berichten aankomen. Foutdetectie zorgt ervoor dat corrupte gegevens tijdens de overdracht kunnen worden opgespoord en opnieuw verzonden.

Er zijn verschillende netwerkmodellen die helpen de complexe structuur van netwerken beter te begrijpen. Twee van de meest voorkomende zijn het OSI-model (Open Systems Interconnection) en het TCP/IP-model. Het OSI-model, ontwikkeld in de late jaren '70 door de Internationale Organisatie voor Standaardisatie (ISO), bestaat uit zeven lagen die elk een specifiek aspect van netwerkcommunicatie behandelen. Elke laag heeft zijn eigen verantwoordelijkheid en maakt het mogelijk om het verkeer tussen verschillende systemen te sturen, te routeren en te verwerken.

De zeven lagen van het OSI-model zijn:

  1. Fysieke laag (Physical)

  2. Datalinklaag (Data Link)

  3. Netwerklaag (Network)

  4. Transportlaag (Transport)

  5. Sessielaag (Session)

  6. Presentatielaag (Presentation)

  7. Toepassingslaag (Application)

Elke laag heeft specifieke protocollen en processen die verantwoordelijk zijn voor het waarborgen van de juiste overdracht van gegevens van de ene systeem naar het andere. Zo is de fysieke laag verantwoordelijk voor het daadwerkelijke transport van gegevens over het netwerkmedium (zoals kabels of draadloze verbindingen), terwijl de toepassingslaag ervoor zorgt dat de juiste applicaties toegang hebben tot de netwerkbronnen.

Het TCP/IP-model, dat breder wordt gebruikt voor internetcommunicatie, bestaat uit vier lagen die in zekere zin overeenkomen met de lagen van het OSI-model, maar in een meer vereenvoudigde structuur. De lagen van het TCP/IP-model zijn de toepassingslaag, de transportlaag, de internetlaag en de netwerkinfrastructuurlaag.

Deze modellen helpen netwerkprofessionals te begrijpen hoe gegevens van de ene computer naar de andere worden verzonden en ontvangen. Wanneer gegevens het netwerk betreden, bijvoorbeeld via een webbrowser die een website opvraagt, doorlopen ze verschillende lagen van het netwerkmodel. De gegevens worden door elke laag geanalyseerd en voorzien van de benodigde informatie om ervoor te zorgen dat de gegevens correct en efficiënt naar de bestemming kunnen reizen.

Netwerkinstellingen en het functioneren van verschillende netwerkinstrumenten, zoals routers, switches en firewalls, spelen ook een sleutelrol in dit proces. Routers zorgen voor de juiste richting van het dataverkeer, terwijl switches ervoor zorgen dat gegevens op het juiste moment naar de juiste apparaten binnen een lokaal netwerk worden gestuurd. Firewalls daarentegen zorgen voor de beveiliging van netwerken door schadelijke verbindingen en ongeautoriseerde toegang te blokkeren.

Naast de functionele componenten van netwerken, moeten netwerkprofessionals zich ook bewust zijn van de verschillende netwerkprotocollen die essentieel zijn voor de CCNA-certificering. Het leren van de rol en het functioneren van deze protocollen is cruciaal voor het begrijpen van hoe gegevens tussen apparaten op een netwerk kunnen stromen, en hoe netwerken efficiënt en veilig kunnen functioneren.

Verder is het belangrijk te begrijpen dat netwerken niet alleen een technische infrastructuur zijn, maar ook de basis vormen voor de alledaagse communicatie en de groei van technologieën zoals Internet of Things (IoT). Het is niet meer slechts een kwestie van apparaten die met elkaar verbonden zijn; het gaat om het creëren van slimme, verbonden ecosystemen waarin apparaten efficiënt kunnen communiceren en taken kunnen uitvoeren zonder menselijke tussenkomst.

Het begrijpen van de basisprincipes van netwerken, zoals het OSI-model, TCP/IP, en de rol van netwerkprotocollen, is essentieel voor iedereen die zich wil verdiepen in netwerkbeheer en cybersecurity. Het helpt niet alleen bij het oplossen van technische problemen, maar biedt ook een bredere kijk op de netwerkinfrastructuur die onze digitale wereld aandrijft. Het kennisniveau van netwerken is niet enkel voor gecertificeerde professionals; het is een essentieel onderdeel van het begrip van de moderne technologie in het dagelijks leven.

Wat gebeurt er als een router geen route naar het internet kent?

Wanneer een router geen pad kent naar een bestemmingsnetwerk, stopt de communicatie abrupt. In een netwerkomgeving waar connectiviteit met externe netwerken—zoals het internet—essentieel is, wordt dit een kritieke storing. Om dit op te lossen wordt vaak gebruik gemaakt van een standaardroute, ofwel een default route. Dit is een speciaal type statische route dat dient als een soort vangnet: als een bestemmingsadres niet expliciet voorkomt in de routeringstabel, dan wijst de router het verkeer via deze standaardroute door.

De standaardroute voor IPv4 wordt geconfigureerd met het volgende commando:

ip route 0.0.0.0 0.0.0.0 [next-hop IP-adres]

De combinatie van 0.0.0.0 als bestemmingsnetwerk en subnetmasker betekent effectief "elke bestemming die ik niet expliciet ken." Deze configuratie is bijvoorbeeld bruikbaar op filialen die slechts één verbinding hebben met het hoofdkantoor of met een internetprovider.

Voor IPv6 ziet de syntax er als volgt uit:

ruby
ipv6 unicast-routing  


ipv6 route ::/0 [next-hop IPv6-adres]

De aanduiding ::/0 fungeert als het IPv6-equivalent van 0.0.0.0/0 in IPv4. Het dubbele dubbelpunt verwijst naar een reeks nullen; in dit geval betekent het "elke mogelijke bestemming".

Naast standaardroutes bestaan er host routes, die verkeer niet naar een netwerk maar naar een specifiek eindpunt sturen. Deze worden gebruikt in situaties waarin een enkele host, en niet een geheel netwerk, het doelwit is van communicatie. Bijvoorbeeld, wanneer een apparaat slechts met één andere node moet communiceren voor monitoring of management, is een host route efficiënter.

Voor IPv4 configureer je een hostroute met een subnetmasker van 255.255.255.255, waarmee je aangeeft dat alle bits van het IP-adres exact moeten overeenkomen:

ip route [host-IP-adres] 255.255.255.255 [next-hop IP]

In IPv6 gebeurt dit via een prefixlengte van /128:

css
ipv6 unicast-routing  
ipv6 route [host IPv6-adres]/128 [next-hop IPv6]

Een ander belangrijk concept binnen statische routering is de floating static route. Deze biedt redundantie. Stel je een organisatie voor met twee internetproviders: ISP A als hoofdverbinding en ISP B als back-up. De router wordt dan zodanig geconfigureerd dat verkeer primair via ISP A verloopt. Mocht ISP A onbereikbaar worden, dan activeert automatisch de alternatieve route via ISP B. Dit gedrag wordt bereikt door de tweede route een hogere administratieve afstand te geven. Standaard hebben directe statische routes een administratieve afstand (AD) van 1. Door de back-uproute een hogere AD (bijv. 2) toe te wijzen, blijft deze inactief zolang de primaire route beschikbaar is.

Voorbeeld van een floating route in IPv4:

ip route 0.0.0.0 0.0.0.0 192.0.2.1 2

Hier betekent de "2" aan het einde dat deze route pas in werking treedt wanneer andere routes met een lagere AD (zoals 1) verdwijnen uit de tabel. Voor IPv6 geldt hetzelfde principe:

less
ipv6 unicast-routing  


ipv6 route ::/0 [next-hop IPv6] [administratieve afstand]

Floating routes zijn cruciaal in high-availability netwerken waarin uptime prioriteit heeft. Ze bieden een failover-mechanisme zonder gebruik te maken van dynamische routeringsprotocollen.

Belangrijk is dat bij het gebruik van statische routering het volledige pad tussen bron en bestemming manueel moet worden gedefinieerd. Routers kennen standaard enkel hun direct verbonden netwerken. In een eenvoudige netwerkstructuur is dit overzichtelijk, maar zodra netwerken groter en complexer worden, ontstaat snel het risico op misconfiguratie of

Hoe configureer je NAT-overload en statische NAT voor een bedrijfsnetwerk?

In dit hoofdstuk bespreken we de configuratie van NAT (Network Address Translation) in een Cisco-omgeving, beginnend met NAT-overload (ook wel PAT - Port Address Translation genoemd), gevolgd door statische NAT met poort-forwarding. We zullen stap voor stap door de labopdrachten lopen en uitleg geven over de bijbehorende configuraties.

We beginnen met NAT-overload, wat veelgebruikte techniek is waarmee meerdere interne apparaten toegang kunnen krijgen tot internet via één openbaar IP-adres. Dit wordt mogelijk gemaakt door het gebruik van poorten om de vertaling van interne naar externe adressen te beheren. Het proces begint met het configureren van de buiteninterface op de router.

In dit specifieke geval configureer je de buiteninterface van de HQ-router voor NAT:

arduino
HQ(config)# interface GigabitEthernet 0/0


HQ(config-if)# ip nat outside
HQ(config-if)# exit

Vervolgens creëer je een Access Control List (ACL) die bepaalt welke interne adressen vertaald mogen worden via NAT. In ons voorbeeld gebruiken we een naam-ACL genaamd NAT-LIST om de regels duidelijk te maken:

arduino
HQ(config)# ip access-list standard NAT-LIST
HQ(config-std-nacl)# permit 172.16.1.0 0.0.0.255
HQ(config-std-nacl)# permit 10.1.2.0 0.0.0.255
HQ(config-std-nacl)# exit

Daarna koppel je deze ACL aan de interne interface van de router, waarbij je NAT-vertaling inschakelt via de overload-optie. Hierdoor kunnen meerdere interne apparaten gebruik maken van hetzelfde openbare IP-adres door de poorten te differentiëren:

graphql
HQ(config)# ip nat inside source list NAT-LIST interface gigabitEthernet 0/0 overload

Om te testen of de configuratie werkt, kun je op een van de interne apparaten (bijvoorbeeld PC 1) een webbrowser openen en de IP-adres van een openbare webserver invoeren. Als dit lukt, betekent dit dat de router de interne privé-IP-adressen correct heeft vertaald naar het openbare IP-adres en dat de verbinding werkt.

Gebruik de volgende commando’s op de HQ-router om de vertalingen te verifiëren:

arduino
HQ# show ip nat translations

Hier zie je de vertalingen die plaatsvinden, inclusief het gebruik van TCP zoals verwacht bij HTTP-verkeer. In de output wordt het 'inside global address' (het openbare IP-adres van de HQ-router) en het 'inside local address' (het interne IP-adres van de verzendende host) weergegeven. Dit bevestigt dat de vertaling correct wordt uitgevoerd.

Naast de vertalingen kun je ook de NAT-statistieken bekijken met het commando:

pgsql
HQ# show ip nat statistics

Deze informatie geeft een overzicht van welke interfaces worden gebruikt voor NAT, hoeveel vertalingen er zijn, en of er dynamische vertalingen plaatsvinden. In dit scenario is er geen dynamische mapping omdat we gebruik maken van een enkel openbaar IP-adres voor meerdere interne hosts via overload.

Nadat we NAT-overload hebben geconfigureerd, kunnen we nu verder gaan met statische NAT, waarbij we een specifiek intern apparaat toegankelijk maken van buitenaf, bijvoorbeeld een webserver in een privé-netwerk. Hiervoor gebruiken we port-forwarding, zodat inkomend verkeer op een specifiek poortnummer wordt doorgestuurd naar een intern apparaat.

Om te beginnen, configureer je de interfaces op de HQ-router voor NAT. De binneninterface moet naar de interne webserver wijzen, en de buiteninterface naar het openbare netwerk:

arduino
HQ(config)# interface GigabitEthernet 0/1
HQ(config-if)# ip nat inside
HQ(config-if)# exit
HQ(config)# interface GigabitEthernet 0/0
HQ(config-if)# ip nat outside
HQ(config-if)# exit

Vervolgens configureer je een statische NAT-vertaling tussen het interne lokale adres van de webserver en het openbare IP-adres van de router, samen met de poort 80 voor HTTP-verkeer:

scss
HQ(config)# ip nat inside source static tcp 172.16.1.10 80 190.0.2.2 80

Deze configuratie zorgt ervoor dat wanneer een gebruiker van buitenaf probeert te verbinden met het openbare IP-adres van de router (190.0.2.2) op poort 80, het verkeer wordt doorgestuurd naar de interne webserver op 172.16.1.10, die draait op dezelfde poort.

Om te verifiëren of de statische NAT werkt, kun je het volgende commando gebruiken:

arduino
HQ# show ip nat translations

Je zult zien dat de statische vertaling correct is ingesteld en dat inkomend verkeer van een externe host naar het interne apparaat wordt doorgestuurd.

Naast de statische NAT-vertalingen kun je ook de NAT-statistieken bekijken om te controleren of de configuratie correct is:

pgsql
HQ# show ip nat statistics

Op deze manier krijg je inzicht in het gebruik van NAT, het aantal vertalingen en andere nuttige informatie.

Het volgende belangrijke aspect bij NAT-configuratie is het begrijpen van de verschillende soorten vertalingen. Dynamische NAT is de techniek waarmee meerdere interne hosts via een pool van openbare IP-adressen toegang krijgen tot het internet. Dit verschilt van statische NAT, waarbij er altijd een vaste vertaling is tussen een intern en een extern IP-adres. NAT-overload (PAT) is in feite een dynamische vertaling met één openbaar IP-adres voor meerdere hosts, waarbij de poorten als onderscheidingsmechanisme dienen.

Naast NAT-overload en statische NAT, zou het ook nuttig zijn om meer te leren over het beheer van NAT-pools en de implicaties van NAT bij het werken met beveiligingsregels en firewalls. Het gebruik van NAT kan de netwerkbeveiliging versterken, maar tegelijkertijd moeten er goede configuraties voor poorten en toegangslijsten zijn om ongewenst verkeer te blokkeren en te zorgen voor een veilige werking van de vertalingen.

Hoe kun je de verleiding van het onbekende begrijpen en je verlangen naar het verre onbekende verwerken?
Wat zijn de belangrijkste factoren om te overwegen bij het kamperen in Zuid-New Mexico?
Hoe verschilt congestiecontrole in bedrade en draadloze netwerken?
Waarom komen de Klabs naar onze wereld en wat kunnen we van hen leren?
Waarom neemt het aantal Mexicaanse onbevoegde immigranten af en wat betekent dat voor de VS?