Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Теоретические сведения. В результате применения списков управления доступом (access list, или сокращенно ACL) маршрутизатор или коммутатор третьего уровня (а также многие другие
|
|
В результате применения списков управления доступом (access list, или сокращенно ACL) маршрутизатор или коммутатор третьего уровня (а также многие другие устройства) отбрасывает некоторые пакеты, учитывая критерии, которые определены сетевым инженером в списках. Назначение этих фильтров состоит в блокировании нежелательного трафика в сети, что позволяет не только создавать препятствия перед злоумышленниками, пытающимися проникнуть в сеть, но и не позволить служащим самой компании обращаться к тем системам, которые для них должны быть закрыты.
Ниже перечислены некоторые важные особенности списков управления доступом Cisco:
- фильтрация пакетов может осуществляться по мере их поступления в интерфейс, еще до принятия решений о маршрутизации (список на входящий трафик);
- фильтрация пакетов может производиться перед выходом из интерфейса, после принятия решений о маршрутизации (список на исходящий трафик);
- в программном обеспечении Cisco IOS для указания на то, что пакет должен быть отфильтрован, используется термин deny (запретить), а для пропуска пакета далее – термин permit (разрешить);
- если в списке управления доступом определено несколько инструкций, то пакет сравнивается с каждой инструкцией последовательно до тех пор, пока не будет найдена та инструкция, которой соответствует пакет;
- в конце каждого списка управления доступом находится неявная инструкция, запрещающая весь трафик (deny all). Поэтому, если пакет не соответствует ни одной из инструкций в списке управления доступом, он отбрасывается.
Списки управления доступом делятся на 5 видов:
1. Стандартные (standard) – позволяют фильтровать трафик по одному единственному критерию – IP-адрес отправителя.
2. Расширенные (extended) – позволяют фильтровать трафик по пяти различным критериям: IP-адрес отправителя, IP-адрес получателя, порт отправителя, порт получателя, а также протокол, инкапсулированный в пакет.
3. Рефлексивные (reflexive) – предоставляют возможность предотвращать атаки определенного класса, направленные на бреши в системе безопасности, поскольку позволяют отдельно пропускать через устройство каждый разрешенный TCP- или UDP-сеанс. Для этого предусмотрено, чтобы устройство реагировало определенным образом, обнаруживая первый пакет в новом сеансе обмена данными между двумя узлами. Реагируя на появление пакета, устройство добавляет в список управления доступом инструкцию permit, в результате чего разрешается прохождение в сеансе трафика, характеризующегося применением определенных IP-адресов отправителя и получателя, а также конкретного порта.
4. Динамические (dynamic) – связывают применение списка управления доступом с процессом аутентификации пользователя. Если аутентификация прошла успешно, то устройство динамически добавляет запись в начало списка, разрешая прохождение трафика, отправителем которого является узел, прошедший проверку подлинности.
5. Временные (time-based) – позволяют добавлять ограничения по времени в команды конфигурации. В некоторых случаях может потребоваться проверка пакетов с учетом критериев в списке управления доступом, но только в определенное время дня или даже в определенные дни недели.
В данной лабораторной работе будут подробно рассматриваться только стандартные и расширенные списки управления доступом, так как они имеют наиболее широкий спектр применения в корпоративных сетях. Поэтому далее будут приведены сведения, которые характеризуют только эти два вида списков управления доступом.
Существует два разных синтаксиса для обозначения списков управления доступом:
- «Старый» синтаксис – для идентификации используются номера. За стандартными ACL закреплены номера 1-99 и 1300-1999, за расширенными – 100-199 и 2000-2699;
- «Новый» синтаксис – для идентификации используется имя, выбранное администратором.
Независимо от того, используются ли стандартные или расширенные списки управления доступом, можно дать устройству указание, должна ли проверка проводиться с учетом всего IP-адреса или только части IP-адреса. Для этого используются инвертированные маски подсети.
Маски с инвертированными битами описывают 32-битовый номер, как и маски подсети. В отличие от последних, нулевые биты (0) в инвертированной маске служат для устройства указанием, что при выполнении операции сопоставления необходимо сравнивать соответствующие им биты в адресе с инструкцией списка управления доступом. Двоичные единицы (1) в инвертированной маске указывают устройству, что обозначенные ими биты не должны сравниваться. Например, инвертированная маска 0.0.0.0 указывает на то, что должен быть сопоставлен весь IP-адрес, а маска 255.255.255.255 рассматривается как сопоставляемая с любыми адресами. Инвертированная маска 0.0.0.0 в Cisco IOS может быть заменена на ключевое слово host, а маска 255.255.255.255 – на ключевое слово any.
Общий синтаксис команды настройки конструкции стандартного списка управления доступом выглядит следующим образом: access-list < номер_списка > < deny | permit > < отправитель > < инвертированная_маска_отправителя >.
Примеры стандартных списков управления доступом:
- access-list 1 deny host 192.168.0.1 – инструкция фильтрует все пакеты, в которых IP-адрес отправителя равен 192.168.0.1;
- access-list 1 permit any – инструкция разрешает все пакеты с любыми IP-адресами;
- access-list 1 deny 192.168.1.0 0.0.0.255 – инструкция фильтрует пакеты, в которых IP-адрес отправителя принадлежит подсети 192.168.1.0.
Расширенные списки управления доступом позволяют проводить проверку по многим критериям, поэтому синтаксис соответствующей команды невозможно записать в виде одной универсальной команды. В такие списки также можно вводить наименования протоколов и номера портов. Ниже приведены таблицы, в которых указана необходимая информация о приложениях и соответствующих им стандартных номеров портов, а также операторы, которые используются при проверке номеров портов:
Таблица 5.1.. Приложения и соответствующие им номера портов
| Номер порта | Протокол | Приложение | Ключевое слово с обозначением названия приложения в синтаксисе команды access-list |
| TCP | FTP | data ftp-data | |
| TCP | FTP | ftp | |
| TCP | SSH | - | |
| TCP | Telnet | telnet | |
| TCP | SMTP | smtp | |
| TCP, UDP | DNS | domain | |
| 67, 68 | UDP | DHCP | nameserver |
| UDP | TFTP | tftp | |
| TCP | HTTP(WWW) | www | |
| TCP | POP3 | pop3 | |
| UDP | SNMP | snmp | |
| TCP | SSL | - | |
| 16384-32767 | UDP | Передача голоса (VoIP) | - |
Таблица 5.2. Операторы, использующиеся при проверке номеров портов
| Оператор в команде access-list | Значение |
| eq | Равно |
| neq | Не равно |
| lt | Меньше |
| gt | Больше |
| range | Диапазон номеров портов |
Примеры расширенных списков управления доступом:
- access-list 101 deny ip any host 192.168.1.1 – инструкция фильтрует IP-пакеты с любым адресом отправителя и адресом получателя 192.168.1.1;
- access-list 101 deny tcp any host 192.168.1.1 eq telnet – инструкция фильтрует TCP-пакеты с любым адресом отправителя, адресом получателя 192.168.1.1 и номером порта получателя 23 (используется ключевое слово telnet);
- access-list 101 permit tcp host 192.168.2.1 eq smtp any – инструкция разрешает TCP-пакеты с адресом отправителя 192.168.2.1, номером порта отправителя 25 (smtp), и любым IP-адресом получателя.
Компания Cisco также разработала рекомендации для применения списков управления доступом, ниже приведены некоторые из них:
- размещайте стандартные ACL как можно ближе к получателю, т.к они часто уничтожают важные пакеты, нужные другим сетям;
- размещайте расширенные ACL как можно ближе к отправителю пакета, чтобы сразу же отбросить определенные типы пакетов;
- размещайте более специфичные (т.е. узкие) правила проверки ближе к началу списка управления доступом;
- прежде чем вносить изменения в ACL, удалите его в интерфейсе, в котором он был задан (с помощью команды no ip access-group);
- создавайте списки управления доступом с помощью текстового редактора, а затем вносите готовые команды конфигурации на устройство с использованием копирования и вставки.
Примечание. Описание процессов моделирования для этой лабораторной работы можно найти в справке Packet Tracer: Справка Þ Содержимое Þ раздел «Моделирование» Þ Лаб. работа №5.
|
|