Formulierung der Terme in der entsprechenden Syntax

  Hier soll nun gezeigt werden, wie die aufgestellten Terme tatsächlich implementiert werden könnten. Dies soll am Beispiel der Programmierung eines CISCO-Routers dargestellt werden [Cisco]. Insbesondere interessant sind hierbei die Möglichkeiten, ganze Portbereiche mit einer einzelnen Regel abzudecken, sowie mehrere Hosts mit einer Regel anzusprechen.

Ein CISCO-Router verfügt über die Operatoren lt (less than) und gt (greater than), mit deren Hilfe alle Ports, die größer oder kleiner als der angegebene sind, angesprochen werden können. Es besteht aber keine Möglichkeit, einen sowohl nach oben als auch nach unten begrenzten Portbereich anzugeben. Außerdem kann ein CISCO-Router nicht den Port des Absenders überprüfen. Dies ist aber auch nur selten erforderlich, wie aus den vorher angegeben Beispielen ersichtlich wird.

Möchte man darauf verzichten, für jeden einzelnen Host eine Regel aufzustellen, so kann man durch die Verwendung von Subnetz-Masken die jeweilige Regel auf ein ganzes Subnetz anwenden. Hierzu gibt man zusätzlich zur Adresse eine Maske an, die angibt, welche Bits der Adresse untersucht werden sollen. Es werden nur die Bits der Adresse untersucht, die in der Maske nicht gesetzt sind.

Als Beispiel soll nun die in der Tabelle dargestellte Politik in CISCO-Syntax überführt werden. Abbildung zeigt das Netz, daß für dieses Beispiel verwendet wird, während die Implementierung in Tabelle dargestellt ist.

  

Abbildung: Beispielsszenario

 

 

1 access-list 101 permit tcp 192.1.1.0 0.0.0.255 0.0.0.0 255.255.255.255

2 access-list 102 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 established

3 access-list 102 block tcp 0.0.0.0 255.255.255.255 192.1.1.0 0.0.0.255 lt 1024

4 access-list 102 permit tcp 0.0.0.0 255.255.255.255 192.1.1.0 0.0.0.255 lt 6000

5 access-list 102 permit tcp 0.0.0.0 255.255.255.255 192.1.1.0 0.0.0.255 gt 6100

6 interface serial 0

7 ip access-group 101

8 interface ethernet 0

9 ip access-group 102

Es werden zwei sogenannte access-lists definiert, eine für das Interface zum Internet und eine für das Interface zum privaten Netz. Diese werden mit den Regeln 6-10 den entsprechenden Interfaces zugeordnet.

• access-list 101

  Die access-list 101 dient dazu, daß jeder Rechner des privaten Netzes Verbindungen zu jedem beliebigen externen Rechner aufbauen und fortsetzen kann. Sie entspricht der Zeile 1 der Tabelle .

• access-list 102

  Die Zeilen 2-5 definieren die access-list 102. Sie entspricht den Zeilen 1, 3 und 4 der Tabelle . Zeile 2 erlaubt die Fortsetzung bestehender Verbindungen, während die anderen drei Zeilen notwendig sind, um den Portbereich unter 1024 sowie zwischen 6000 und 6100 zu verbieten. Zeile 3 verbietet zunächst jede Verbindungseröffnung zu einem nicht-privilegierten Port. Die Fortsetzung von Verbindungen zu diesen Ports ist aber trotzdem aufgrund von Regel 2 möglich. Regel 4 bzw. Regel 5 gestatten daraufhin Verbindungen zu den Ports, die kleiner als 6000 oder größer als 6100 sind.

Da ein CISCO-Router automatisch eine letzte Regel einfügt, die alles andere verbietet, implementieren diese Regeln die gewünschte Politik. Insbesondere wird hierdurch der Bereich zwischen Port 6000 und Port 6100 ausgeschlossen, der nicht ausdrücklich erlaubt wurde.