Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

PSK Laboratorium 91 Projektowanie Sieci Komputerowych (laboratorium 9)

Podobne prezentacje


Prezentacja na temat: "PSK Laboratorium 91 Projektowanie Sieci Komputerowych (laboratorium 9)"— Zapis prezentacji:

1 PSK Laboratorium 91 Projektowanie Sieci Komputerowych (laboratorium 9)

2 PSK Laboratorium 92 Listy Kontroli dostępu

3 PSK Laboratorium 93 Teoretyczne podstawy list ACL 1.Listy ACL (ang. Access Control Lists, listy kontroli dostępu) filtrują pakiety prze­chodzące przez router. 2.Administrator konfiguruje listę ACL, podając kilka prostych informacji o tym, które pakiety należy filtrować (odrzucać), a które mogą przejść przez router. 3.W efekcie ACL stanowią proste reguły programowania. 4.W większości języków programowania istnieje prosta konstrukcja if-then-else" i dokładnie tak działa w tym przypadku lista ACL na routerze.

4 PSK Laboratorium 94 Teoretyczne podstawy list ACL Na rysunku widzimy efekt skonfigurowania listy ACL na routerze Rl. Na routerze R l zastosowano poniższe zasady działania ACL. 1.Badaj pakiety, które wchodzą na interfejs LAN FA0/0 routera Rl. 2.Odrzucaj pakiety, których docelowy adres IP to Pozwól wszystkim pozostałym pakietom kontynuować podróż.

5 PSK Laboratorium 95 Typowe zastosowania list ACL Listy ACL mogą pełnić na routerze wiele różnych funkcji. W tym się na używaniu list ACL do zwiększenia bezpieczeństwa, na przykład: 1.Odrzucaj przychodzące z Internetu pakiety wideo i audio, jeśli kierownictwo firmy uznało, że taki ruch jest niedopuszczalnym używaniem służbowych połączeń. 2.Pozwól adresom IP komputerów z działu płac komunikować się z serwerem zawierającym listę płac, ale zabroń innym hostom dostępu do tego serwera, aby chronić w ten sposób informacje. 3.Zablokuj określone typy poczty elektronicznej, aby zredukować spam. 4.Kontroluj obszary sieci, do których można uzyskać dostęp z ethernetowych portów w publicznej części budynku, np. z korytarza.

6 PSK Laboratorium 96 Filtrowanie pakietów IP wchodzących i wychodzących z routera Listy ACL do pakietów, które wchodzą lub wychodzą z interfejsu.

7 PSK Laboratorium 97 Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP Rozszerzone listy ACLIP (ang. extended IP ACLs) różnią się od standardowych jedną podstawową cechą: mogą analizować kilka pól. Poniżej wymieniono te najczęściej wykorzystywane: 1.Źródłowy adres IP 2.Docelowy adres IP 3.Typ protokołu warstwy transportu (na przykład TCP) 4.Źródłowy port TCP lub UDP 5.Docelowy port TCP lub UDP

8 PSK Laboratorium 98 Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP Rozszerzona lista ACL może odwoływać się do tych pól na wiele sposobów. 1.Na przykład może sprawdzać jedynie źródłowy adres IP, tak jak w dotychczasowych przykładach. 2.Może też sprawdzać wiele pól i na tej podstawie odrzucać pakiety: 3.na przykład rozszerzona lista ACL może sprawdzać adresy źródłowy i docelowy tego samego pakietu. 4.Poza tym ACL może określać reguły w odniesieniu do fragmentów pól. Na przykład dozwolona jest zasada wszystkie docelowe adresy IP zaczynające się od ",

9 PSK Laboratorium 99 Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP Na rozszerzonych listach ACL w tej samej instrukcji ACL można sprawdzać zarówno nagłówek IP, jak i nagłówek TCP (lub UDP). Tym samym pojedyncza instrukcja ACL może sprawdzać źródłowy i docelowy adres IP oraz docelowe numery portów TCP. Na przykład administrator sieci może skonfigurować listę ACL, która będzie odrzucała pakiety spełniające wszystkie poniższe wymagania: 1.Źródłowy adres IP Cel w podsieci /24 (adresy od do ). 3.Protokołem warstwy transportu jest TCP. 4.Celem jest dobrze znany port 23 na serwerze Telnetu.

10 PSK Laboratorium 910 Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP

11 PSK Laboratorium 911 Pojedyncza, wielowierszowa lista ACL 1.Pojedyncza lista ACL może zawierać wiele wierszy - stąd zresztą słowo list" w Access Control List. 2.Każdy wiersz na liście ACL jest tworzony za pomocą polecenia konfiguracji globalnej access-list. 3.Tworząc listę ACL zawierającą wiele instrukcji, można przygotować całą sekwencję kryteriów, na przykład

12 PSK Laboratorium 912 Pojedyncza, wielowierszowa lista ACL Polecenie access-list zawiera dwa podstawowe elementy: kryterium i działanie, które należy wykonać, jeśli pakiet spełnia to kryterium. Działanie konfigurujemy za pomocą jednego z dwóch poniższych słów kluczowych: 1.permit - przepuść pakiet, 2.deny - odrzuć pakiet.

13 PSK Laboratorium 913 Pojedyncza, wielowierszowa lista ACL 1.Router przetwarza instrukcje ACL po kolei. - router porównuje pakiet z pierwszą instrukcją na liście ACL. 2.Jeśli pakiet spełnia pierwsze kryterium, router wykonuje jakieś działanie 3.Router odrzuca wszystkie pakiety, które nie spełniają żadnego z kryteriów skonfigurowanych za pomocą polecenia access- list. We wszystkich listach ACL w systemie stosowany jest domyślny pełny zakaz

14 PSK Laboratorium 914 Podstawy konfiguracji list ACL Aby skonfigurować i używać listy ACL IP na routerze należy wykonać dwa kolejne kroki Krok 1. Skonfigurować listę ACL za pomocą poleceń konfiguracji globalnej access-list Krok 2. Włączyć listę ACL, wykonując poniższe kroki: 1.wybrać interfejs, wydając polecenie interface typ numer. 2.aktywować listę ACL i wybrać kierunek, wydając polecenie: ip access-group numer-listy {inlout}.

15 PSK Laboratorium 915 Konfigurowanie polecenia access-list Każde polecenie access-list ma taką samą ogólną strukturę: access-list numer działanie kryterium Działaniem jest permit lub deny, przy czym permit nakazuje przesłanie pakietu, a deny odrzucenie go. 1.W kryterium znajdują się wartości różnych pól nagłówka. W rezultacie dwa ostatnie elementy polecenia access-list (działanie i kryterium) definiują następującą logik 2.Kryterium może się składać z pojedynczego adresu IP hosta, może też zawierać wiele elementów nagłówka pakietu.

16 PSK Laboratorium 916 Konfigurowanie polecenia access-list 1.Numery list ACL muszą się mieścić w określonym zakresie wartości, zależnie od typu tworzonej listy ACL. 2.System IOS obsługuje listy ACL dla każdego routowalnego protokołu warstwy 3 i dla każdego z nich stosuje inny zakres numerów ACL. 3.Na przykład numer ACL l znajduje się w zakresie zarezerwowanym dla list ACL IP, ale żeby skonfigurować listę ACL do filtrowania pakietów IPX, trzeba wybrać numer z zakresu od 800 do 899 (włącznie).

17 PSK Laboratorium 917 Konfigurowanie polecenia access-list

18 PSK Laboratorium 918 Włączanie i wyłączanie list ACL IP dla interfejsu i dla kierunku 1.Router używa listy ACL dopiero po jej włączeniu dla danego interfejsu i określonego kierunku. 2.Aby włączyć listę ACL, administrator musi dla odpowiedniego interfejsu wydać poniższe polecenie ip access-group numer-listy [ in | out]

19 PSK Laboratorium 919 Przykład 1 – konfiguracja listy wejściowej

20 PSK Laboratorium 920 Router(config)#access-list 12 deny host Router(config)#access-list 12 permit any Router(config)#interface FastEthernet0/0 Router(config-if)#ip access-group 12 in Przykład 1 – konfiguracja listy wejściowej interface FastEthernet0/0 ip address ip access-group 12 in duplex auto speed auto Router#show access-list Standard IP access list 12 deny host (36 match(es)) permit any (5 match(es))

21 PSK Laboratorium 921 Przykład 1 – konfiguracja listy wejściowej PC>ping Pinging with 32 bytes of data: Request timed out. Ping statistics for : Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), PC>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=63ms TTL=128 Reply from : bytes=32 time=110ms TTL=128 Reply from : bytes=32 time=88ms TTL=128 Reply from : bytes=32 time=73ms TTL=128 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 63ms, Maximum = 110ms, Average = 83ms

22 PSK Laboratorium 922 Dopasowywanie zakresu adresów IP za pomocą maski domyślnej Na przykład instrukcja ACL może sprawdzać wszystkie źródłowe adresy IP, które zaczynają się od , czyli adresy od do Zarówno standardowe, jak i rozszerzone listy ACL IP pozwalają użytkownikom określić konkretny adres IP lub zakres adresów IP. Jeśli adres pakietu znajduje się w skonfigurowanym zakresie, pakiet spełnia kryterium

23 PSK Laboratorium 923 Dopasowywanie zakresu adresów IP za pomocą maski domyślnej Maska domyślna (ang. wildcard mask) pozwala określić, która część adresu pakietu musi pasować do adresu znajdującego się na liście ACL, a która jest nieistotna. Na przykład poniższe polecenie access-list pasuje do adresów IP, które zaczynają się od : access-list l permit W tym przypadku wartość maski domyślnej to Z takiej maski wynika co następuje Porównaj trzy pierwsze oktety adresu ze źródłowym adresem IP pakietu. Jeśli te trzy oktety się zgadzają, pakiet pasuje do instrukcji ACL.

24 PSK Laboratorium 924 Dopasowywanie zakresu adresów IP za pomocą maski domyślnej A w dwóch poniższych poleceniach ACL pojawiają się maski odwrotne, które nakazują systemowi badać tylko dwa pierwsze oktety listy ACL 2 i tylko pierwszy oktet listy ACL 3 access-list 2 permit access-list 3 permit

25 PSK Laboratorium 925 Maska domyślna: formalna definicja Maski domyślne określają, czy system powinien porównywać położenie każdego pojedynczego bitu w dwóch adresach. W tym celu w masce odwrotnej na każdej pozycji bitu, która musi zostać porównana, znajduje się zero, a na pozycjach bitów, które system IOS może zignorować, znajduje się jedynka. Tak więc maska domyślna to liczba w konwencji kropkowej dziesiętnej, której wartości bitowe mają przedstawione niżej znaczenie. 1.Wartość bitowa O - bity na tych samych pozycjach w obu adresach muszą mieć taką samą wartość. 2.Wartość bitowa l - bity na tych samych pozycjach w obu adresach nie muszą być porównywane.

26 PSK Laboratorium 926 Maska domyślna: formalna definicja Maskę domyślną zbudowaną z 24 binarnych zer i 8 binarnych jedynek. Pionowa linia oddziela dwa adresy IP. W tym przypadku system IOS, ustalając, czy pakiet pasuje do tego polecenia access-list, analizuje tylko bity po lewej stronie.

27 PSK Laboratorium 927 Maska domyślna: formalna definicja Źródłowy adres IP pakietu to ponownie , jednak tym razem polecenie brzmi access-list 2 permit W tym przypadku pakiet pasuje do polecenia access-list, ponieważ maska domyślna oznacza porównaj dwa pierwsze oktety, a dwa ostatnie mnie nie obchodzą"

28 PSK Laboratorium 928 Przykład 2 – konfiguracja listy wejściowej dla grupy hostów

29 PSK Laboratorium 929 Przykład 2 – konfiguracja listy wejściowej dla grupy hostów Router(config)#access-list 21 deny Router(config)#access-list 21 permit any Router(config)#interface FastEthernet1/0 Router(config-if)#ip access-group 12 in Router#show running-config Building configuration... Current configuration : 853 bytes ! version 12.2 no service password-encryption ! hostname Router ! interface FastEthernet1/0 ip address ip access-group 21 in duplex auto speed auto

30 PSK Laboratorium 930 Przykład 3 – konfiguracja listy wyjściowej

31 PSK Laboratorium 931 Przykład 3 – konfiguracja listy wyjściowej Router(config)#access-list 31 deny Router(config)#access-list 31 permit any Router(config)#interface FastEthernet4/0 Router(config-if)#ip access-group 31 out Router#show access-list Standard IP access list 12 deny host (36 match(es)) permit any (11 match(es)) Standard IP access list 21 deny (3 match(es)) permit any Standard IP access list 31 deny (8 match(es)) permit any (1 match(es))

32 PSK Laboratorium 932 Przykład 4 – konfiguracja list rozszerzonych TCP

33 PSK Laboratorium 933 Router(config)#access-list 133 deny tcp host Router(config)#access-list 133 permit tcp any any Router(config)#interface FastEthernet4/0 Router(config-if)#ip access-group 133 out Przykład 4 – konfiguracja list rozszerzonych Extended IP access list 133 deny tcp host (11 match(es)) permit tcp any any (39 match(es)) Router#

34 PSK Laboratorium 934 Przykład 4 – konfiguracja list rozszerzonych

35 PSK Laboratorium Korzystając z mechanizmu access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe Ćwiczenia Komputery z sieci miały wyłączny dostęp do serwera Komputery z sieci miały wyłączny dostęp do serwera Komputery z muszą być dostępne da użytkowników z sieci Komputery z nie mogą być dostępne da użytkowników z sieci

36 PSK Laboratorium Korzystając z mechanizmu rozszerzonego access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe Ćwiczenia Komputery z sieci o adresach miały wyłączny dostęp do serwera do usług, które korzystają z protokółu TCP, natomiast pozostałe komputery do z tej sieci wszystkich usług oferowanych przez komputer

37 PSK Laboratorium Korzystając z mechanizmu access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe Ćwiczenia 3 dowona Komputery z sieci o adresach miały wyłączny dostęp do mają zabroniony dostęp do serwerów do usług związanych z protokołem TCP 3.Komputery z sieci rozległej mają całkowity dostęp do serwerów Frame Relay


Pobierz ppt "PSK Laboratorium 91 Projektowanie Sieci Komputerowych (laboratorium 9)"

Podobne prezentacje


Reklamy Google