Пользовательские фильтры (списки доступа)

Локальная сеть обеспечивает взаимодействие каждого узла с каждым. Это очень полезное свойство, так как не требуется производить никаких специальных действий, чтобы обеспечить доступ узла А к узлу Б – достаточно того, что эти узлы подключены к одной и той же локальной сети. В то же время в сети могут возникать ситуации, когда такая тотальная доступность узлов не желательна. Примером может служить сервер финансового отдела, доступ к которому желательно разрешить только с компьютеров нескольких конкретных сотрудников этого отдела. Конечно, доступ можно ограничить на уровне операционной системы или системы управления базой данных самого сервера, но для обеспечения высокой надёжности желательно иметь несколько эшелонов защиты и ограничить доступ ещё и на уровне передачи сетевого трафика.

Одним из возможных вариантов решения этой задачи на уровне сетевых устройств является применение в коммутаторах сети пользовательских фильтров.

Пользовательский фильтр, который часто называют списком доступа (accesslists), – это набор условий, которые ограничивают обычную логику передачи кадров коммутаторами.

Рассмотрим его применение на примере сети, показанной на рисунке 6.3.

Рисунок 6.3 – Контроль доступа к серверу с помощью пользовательского фильтра

Пусть мы хотим разрешить доступ к северу S1 только компьютерам С1 и С3, кадры от всех остальных компьютеров до этого сервера доходить не должны. Список доступа, который решает эту задачу, может выглядеть так:

10 permit MAC-C1 MAC-S1

20 permit MAC-C3 MAC-S1

30 deny any any.

Числа 10, 20 и 30 – это номера строк данного списка. Строки нумеруются с интервалом 10, для того чтобы в дальнейшем была возможность добавить в этот список другие записи, сохранив исходную последовательность строк. Первое условие разрешает (permit) передачу кадра, если адрес его источника равен MAC-C1, а адрес назначения – MAC-S1, второе условие делает тоже, но для кадра с адресом источника MAC-C3, третье условие запрещает (deny) передачу кадров с любыми (any) адресами.

Для того, чтобы список доступа начал работать его надо применить к какому-либо порту коммутатора в определённом направлении: либо для входящего трафика, либо для исходящего. В нашем примере нужно применить список доступа к порту 1 коммутатора SW3, к которому подключён сервер S1 для исходящего трафика. Коммутатор SW3, перед тем как передать кадр на порт 1, будет просматривать условия списка доступа по очереди. Если какое-то условие из списка выполняется, то коммутатор выполняет действие этого условия над обрабатываемым кадром, и на этом применение списка доступа для данного кадра заканчивается.

Поэтому когда от компьютера С1 приходит кадр, адресованный серверу S1, выполняется первое условие списка, которое разрешает передачу кадра, так что коммутатор выполняет стандартное действие по продвижению кадра, и тот доходит до сервера S1. С кадром от компьютера С3 совпадение происходит при проверке второго условия, и он также передаётся. Однако когда приходят кадры от других компьютеров, например, компьютера С2, то ни первое ни второе условие не выполняется, а выполняется третье условие, поэтому кадр не передаётся, а отбрасывается.

Списки доступа прописываются в командной строке коммутаторов (маршрутизаторов). Для того, чтобы войти в командную строку, надо подключиться к консольному порту устройства (локальное подключение, либо можно зайти в командную строку удалённо с использованием протокола Telnet (удалённое подключение).

Списки доступа коммутаторов не работают для широковещательного адреса Ethernet, такие кадры всегда передаются на все порта коммутатора. Списки доступа коммутаторов достаточно примитивны, так как они могут оперировать только с информацией канального уровня, то есть МАС-адресами. Списки доступа маршрутизаторов гораздо более гибкие и мощные, поэтому на практике они применяются намного чаще.