Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Іменований розширений список

Читайте также:
  1. III . Список дополнительной литературы
  2. III. Список дополнительной литературы
  3. X. БИБЛИОГРАФИЧЕСКИЙ СПИСОК
  4. Аннотированный список
  5. Аннотированный список
  6. Аннотированный список
  7. Аннотированный список

СПИСКИ КЕРУВАННЯ ДОСТУПОМ

  1. стандартні (1- 99, 1300 - 1999)

Router(config)# access-list {1 - 99} {permit | deny} source-addr [source-wildcard]

 

R1(config)# access-list 1 deny 172.16.4.0 0.0.0.255

R1(config)# access-list 1 permit any

R1(config)# interface FastEthernet 0/0

R1(config-if)# ip access-group 1 out

 

  1. розширені (100 – 199, 2000 - 2699)

Router(config)# access-list {100-199} {permit | deny} protocol source-addr

[source-wildcard] [operator operand] destination-addr

[destination-wildcard] [operator operand] [established]

 

R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20

R1(config)# access-list 101 permit ip any any

R1(config)# interface fastethernet 0/1

R1(config-if)# ip access-group 101 in

 


 

  1. іменовані (м.б. стандартні або розширені):

Router(config)# ip access-list [standard | extended] name_of_ACL

 

Іменований стандартний список

A standard named ACL can use deny and permit statements.

Router(config-std-nacl)# deny {source [source-wildcard] | any}

Router(config-std-nacl)# permit {source [source-wildcard] | any}

 


Іменований розширений список

An extended named ACL offers additional parameters.

Router(config-ext-nacl)# {permit | deny} protocol source-addr [source-wildcard]

[operator operand] destination-addr [destination-wildcard] [operator operand]

[established]

 

 

R1(config)# ip access-list extended ACL-1

R1(config-ext-nacl)# remark LAN ACL

R1(config-ext-nacl)# deny ip host 192.168.1.6 any

R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 any established

R1(config-ext-nacl)# deny ip any any

R1(config-ext-nacl)# exit

R1(config)# int fa0/0

R1(config-if)# ip access-group ACL-1 in

R1(config-if)# exit

R1(config)# ip access-list extended ACL-2

R1(config-ext-nacl)# remark DMZ ACL

R1(config-ext-nacl)# permit tcp any host 192.168.2.5 eq 25

R1(config-ext-nacl)# permit tcp any host 192.168.2.5 eq 80

R1(config-ext-nacl)# deny ip any any

R1(config-ext-nacl)# exit

R1(config)# int fa0/1

R1(config-if)# ip access-group ACL-2 out

R1(config-if)# exit

 

  1. ACL з ключовим словом TCP established (були запроваджені в 1995 р.)

Ключове слово established спонукає маршрутизатор перевіряти, чи встановлено прапорець TCP або ACK (прапорець ACK встановлюється при відправлення підтвердження. Якщо ACK встановлено – 32-бітне поле подтвердження вказує, скільки даних було отримано відправником. На початку передавання даних ТСР-відправник майже завжди встановлює біт ACK) або RST (прийнятий RST пакет приводить до завершення з’єднання). Якщо ACK встановлено –­ трафику TCP дозволено увійти. В протилежному випадку вважаться, що трафік, пов’язаний з новим зв’язком, що розпочатий із зовні.

Використання ключового слова established не дозволяє організувати полнофункціональний брандмауер на маршрутизаторі. Адже тут неможливо відстежити трафік, що виникає у внутрішній мережі. Параметр established, дозволяє лише пройти будь-яким TCP-сегментам зі встановленими відповідними прапорцями контролю. Маршрутизатор не відстежує сесії, щоб визначити, чи є трафік відповіддю на запит, породжений у внутрішній мережі.

Тому, вкористання слова established, для дозволення вхідного трафіка у внутрішню мережу, відкриває диру в маршрутизаторі. Хакери можуть використати це у власних інтересах, шляхом використання генератора пакетов ложно вказав, що це пакети-відповіді, за рахунок встановлення відповідних бітів в области контролю за TCP.

Слово established не м.б. використано з трафіком UDP або ICMP, оскільки вони не використовують такі прапорці (як в TCP).

 

R1(config)# access-list 100 permit tcp any eq 443 192.168.1.0 0.0.0.255 established

R1(config)# access-list 100 permit tcp any 192.168.1.3 0.0.0.0 eq 22

R1(config)# access-list 100 deny ip any any

R1(config)# interface s0/0/0

R1(config-if)# ip access-group 100 in

 

Якщо б у першому рядку не було ключового слова established– дозволявся би будь-який трафік, що має порт джерела 443, а так - дозволяється трафік, що має порт джерела 443 і встановлені контрольні прапорці.

 

5. РЕФЛЕКСИВНІ (були запроваджені в 1996 р.) і забезпечують кращій контроль, порівняно зі списками, що використовують ключове словом established. Найбільший недолік розширених списків доступу в тому, що вони не відстежують стани конекцій. І якщо хтось з внутрішньої мережі надсилає запит у зовнішню мережу – важко відстежити трафік-відповідь. Слово established працює лише для протоколу TCP і не працює для UDP ICMP.

Рефлексивні списки дозволяють уникнути таких недоліків. Тут використовується тимчасовий фільтр, який вилучається після завершення сесії (а це знижує час для виконання хакерських атак). Ці списки використовують параметр reflect, що дозволяє відстежити і дозволити зворотний вхідний трафік. Без цього параметру зворотний вхідний трафік був би заборонений.

Коли трафік виходить з мережі і відповідає правилу, що його дозволяє з параметром reflect – до рефлексивного сприску доступу додаються тимчасові правила, що дозволять трафіку-відповіді повернусь до джерела. Для кожного виразу permit-reflect будується окремий рефлексивний ACL. Рефлексивний запис ACE є інвертованим де міняються місцями джерело і пункт призначення.

 

Синтаксис:

R(config)# ip access-list extended internal_ACL_name

R(config-ext-nacl)# permit protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask] [operator operand] [established] reflect reflexive_ACL_name [timeout seconds]

 

Для конфігурування рефлексивних списків ACL слід виконати такі 3 кроки:

 

1. Створити внутрішній ACL, який проглядає вихідні сесії і створює тимчасові рефлексивні рядки контролю доступу ACE (access control entries):

Для рис:

R1(config)# ip access-list extended internal_ACL

R1(config-ext-nacl)# permit tcp any any eq 80 reflect web-only-reflexive-ACL

R1(config-ext-nacl)# permit udp any any eq 53 reflect dns-only-reflexive-ACL timeout 10

 

2. Створити зовнішній ACL, який використовує рефлексивний ACL, що перевіряє зворотний трафік (трафік-відповідь на запит):

 

Для рис:

R1(config)# ip access-list extended external_ACL

R1(config-ext-nacl)# evaluate web-only-reflexive-ACL

R1(config-ext-nacl)# evaluate dns-only-reflexive-ACL

R1(config-ext-nacl)# deny ip any any

 

Дата добавления: 2015-11-04; просмотров: 66 | Нарушение авторских прав

<== предыдущая страница | следующая страница ==>
14 страница| Конфігурування динамічних ACL.
mybiblioteka.su - 2015-2024 год. (0.011 сек.)