Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

PSK Laboratorium 91 Projektowanie Sieci Komputerowych (laboratorium 9)

Podobne prezentacje


Prezentacja na temat: "PSK Laboratorium 91 Projektowanie Sieci Komputerowych (laboratorium 9)"— Zapis prezentacji:

1 PSK Laboratorium 91 Projektowanie Sieci Komputerowych (laboratorium 9)

2 PSK Laboratorium 92 Listy Kontroli dostępu

3 PSK Laboratorium 93 Teoretyczne podstawy list ACL 1.Listy ACL (ang. Access Control Lists, listy kontroli dostępu) filtrują pakiety prze­chodzące przez router. 2.Administrator konfiguruje listę ACL, podając kilka prostych informacji o tym, które pakiety należy filtrować (odrzucać), a które mogą przejść przez router. 3.W efekcie ACL stanowią proste reguły programowania. 4.W większości języków programowania istnieje prosta konstrukcja if-then-else" i dokładnie tak działa w tym przypadku lista ACL na routerze.

4 PSK Laboratorium 94 Teoretyczne podstawy list ACL Na rysunku widzimy efekt skonfigurowania listy ACL na routerze Rl. Na routerze R l zastosowano poniższe zasady działania ACL. 1.Badaj pakiety, które wchodzą na interfejs LAN FA0/0 routera Rl. 2.Odrzucaj pakiety, których docelowy adres IP to 172.16.1.1. 3.Pozwól wszystkim pozostałym pakietom kontynuować podróż.

5 PSK Laboratorium 95 Typowe zastosowania list ACL Listy ACL mogą pełnić na routerze wiele różnych funkcji. W tym się na używaniu list ACL do zwiększenia bezpieczeństwa, na przykład: 1.Odrzucaj przychodzące z Internetu pakiety wideo i audio, jeśli kierownictwo firmy uznało, że taki ruch jest niedopuszczalnym używaniem służbowych połączeń. 2.Pozwól adresom IP komputerów z działu płac komunikować się z serwerem zawierającym listę płac, ale zabroń innym hostom dostępu do tego serwera, aby chronić w ten sposób informacje. 3.Zablokuj określone typy poczty elektronicznej, aby zredukować spam. 4.Kontroluj obszary sieci, do których można uzyskać dostęp z ethernetowych portów w publicznej części budynku, np. z korytarza.

6 PSK Laboratorium 96 Filtrowanie pakietów IP wchodzących i wychodzących z routera Listy ACL do pakietów, które wchodzą lub wychodzą z interfejsu.

7 PSK Laboratorium 97 Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP Rozszerzone listy ACLIP (ang. extended IP ACLs) różnią się od standardowych jedną podstawową cechą: mogą analizować kilka pól. Poniżej wymieniono te najczęściej wykorzystywane: 1.Źródłowy adres IP 2.Docelowy adres IP 3.Typ protokołu warstwy transportu (na przykład TCP) 4.Źródłowy port TCP lub UDP 5.Docelowy port TCP lub UDP

8 PSK Laboratorium 98 Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP Rozszerzona lista ACL może odwoływać się do tych pól na wiele sposobów. 1.Na przykład może sprawdzać jedynie źródłowy adres IP, tak jak w dotychczasowych przykładach. 2.Może też sprawdzać wiele pól i na tej podstawie odrzucać pakiety: 3.na przykład rozszerzona lista ACL może sprawdzać adresy źródłowy i docelowy tego samego pakietu. 4.Poza tym ACL może określać reguły w odniesieniu do fragmentów pól. Na przykład dozwolona jest zasada wszystkie docelowe adresy IP zaczynające się od 172.16.2",

9 PSK Laboratorium 99 Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP Na rozszerzonych listach ACL w tej samej instrukcji ACL można sprawdzać zarówno nagłówek IP, jak i nagłówek TCP (lub UDP). Tym samym pojedyncza instrukcja ACL może sprawdzać źródłowy i docelowy adres IP oraz docelowe numery portów TCP. Na przykład administrator sieci może skonfigurować listę ACL, która będzie odrzucała pakiety spełniające wszystkie poniższe wymagania: 1.Źródłowy adres IP 172.16.1.1. 2.Cel w podsieci 172.16.2.0/24 (adresy od 172.16.2.0 do 172.16.2.255). 3.Protokołem warstwy transportu jest TCP. 4.Celem jest dobrze znany port 23 na serwerze Telnetu.

10 PSK Laboratorium 910 Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP

11 PSK Laboratorium 911 Pojedyncza, wielowierszowa lista ACL 1.Pojedyncza lista ACL może zawierać wiele wierszy - stąd zresztą słowo list" w Access Control List. 2.Każdy wiersz na liście ACL jest tworzony za pomocą polecenia konfiguracji globalnej access-list. 3.Tworząc listę ACL zawierającą wiele instrukcji, można przygotować całą sekwencję kryteriów, na przykład

12 PSK Laboratorium 912 Pojedyncza, wielowierszowa lista ACL Polecenie access-list zawiera dwa podstawowe elementy: kryterium i działanie, które należy wykonać, jeśli pakiet spełnia to kryterium. Działanie konfigurujemy za pomocą jednego z dwóch poniższych słów kluczowych: 1.permit - przepuść pakiet, 2.deny - odrzuć pakiet.

13 PSK Laboratorium 913 Pojedyncza, wielowierszowa lista ACL 1.Router przetwarza instrukcje ACL po kolei. - router porównuje pakiet z pierwszą instrukcją na liście ACL. 2.Jeśli pakiet spełnia pierwsze kryterium, router wykonuje jakieś działanie 3.Router odrzuca wszystkie pakiety, które nie spełniają żadnego z kryteriów skonfigurowanych za pomocą polecenia access- list. We wszystkich listach ACL w systemie stosowany jest domyślny pełny zakaz

14 PSK Laboratorium 914 Podstawy konfiguracji list ACL Aby skonfigurować i używać listy ACL IP na routerze należy wykonać dwa kolejne kroki Krok 1. Skonfigurować listę ACL za pomocą poleceń konfiguracji globalnej access-list Krok 2. Włączyć listę ACL, wykonując poniższe kroki: 1.wybrać interfejs, wydając polecenie interface typ numer. 2.aktywować listę ACL i wybrać kierunek, wydając polecenie: ip access-group numer-listy {inlout}.

15 PSK Laboratorium 915 Konfigurowanie polecenia access-list Każde polecenie access-list ma taką samą ogólną strukturę: access-list numer działanie kryterium Działaniem jest permit lub deny, przy czym permit nakazuje przesłanie pakietu, a deny odrzucenie go. 1.W kryterium znajdują się wartości różnych pól nagłówka. W rezultacie dwa ostatnie elementy polecenia access-list (działanie i kryterium) definiują następującą logik 2.Kryterium może się składać z pojedynczego adresu IP hosta, może też zawierać wiele elementów nagłówka pakietu.

16 PSK Laboratorium 916 Konfigurowanie polecenia access-list 1.Numery list ACL muszą się mieścić w określonym zakresie wartości, zależnie od typu tworzonej listy ACL. 2.System IOS obsługuje listy ACL dla każdego routowalnego protokołu warstwy 3 i dla każdego z nich stosuje inny zakres numerów ACL. 3.Na przykład numer ACL l znajduje się w zakresie zarezerwowanym dla list ACL IP, ale żeby skonfigurować listę ACL do filtrowania pakietów IPX, trzeba wybrać numer z zakresu od 800 do 899 (włącznie).

17 PSK Laboratorium 917 Konfigurowanie polecenia access-list

18 PSK Laboratorium 918 Włączanie i wyłączanie list ACL IP dla interfejsu i dla kierunku 1.Router używa listy ACL dopiero po jej włączeniu dla danego interfejsu i określonego kierunku. 2.Aby włączyć listę ACL, administrator musi dla odpowiedniego interfejsu wydać poniższe polecenie ip access-group numer-listy [ in | out]

19 PSK Laboratorium 919 Przykład 1 – konfiguracja listy wejściowej

20 PSK Laboratorium 920 Router(config)#access-list 12 deny host 200.100.1.2 Router(config)#access-list 12 permit any Router(config)#interface FastEthernet0/0 Router(config-if)#ip access-group 12 in Przykład 1 – konfiguracja listy wejściowej interface FastEthernet0/0 ip address 200.100.1.1 255.255.255.0 ip access-group 12 in duplex auto speed auto Router#show access-list Standard IP access list 12 deny host 200.100.1.2 (36 match(es)) permit any (5 match(es))

21 PSK Laboratorium 921 Przykład 1 – konfiguracja listy wejściowej PC>ping 200.100.2.3 Pinging 200.100.2.3 with 32 bytes of data: Request timed out. Ping statistics for 200.100.2.3: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), PC>ping 200.100.1.3 Pinging 200.100.1.3 with 32 bytes of data: Reply from 200.100.1.3: bytes=32 time=63ms TTL=128 Reply from 200.100.1.3: bytes=32 time=110ms TTL=128 Reply from 200.100.1.3: bytes=32 time=88ms TTL=128 Reply from 200.100.1.3: bytes=32 time=73ms TTL=128 Ping statistics for 200.100.1.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 63ms, Maximum = 110ms, Average = 83ms

22 PSK Laboratorium 922 Dopasowywanie zakresu adresów IP za pomocą maski domyślnej Na przykład instrukcja ACL może sprawdzać wszystkie źródłowe adresy IP, które zaczynają się od 172.16.2, czyli adresy od 172.16.2.0 do 172.16.2.255. Zarówno standardowe, jak i rozszerzone listy ACL IP pozwalają użytkownikom określić konkretny adres IP lub zakres adresów IP. Jeśli adres pakietu znajduje się w skonfigurowanym zakresie, pakiet spełnia kryterium

23 PSK Laboratorium 923 Dopasowywanie zakresu adresów IP za pomocą maski domyślnej Maska domyślna (ang. wildcard mask) pozwala określić, która część adresu pakietu musi pasować do adresu znajdującego się na liście ACL, a która jest nieistotna. Na przykład poniższe polecenie access-list pasuje do adresów IP, które zaczynają się od 172.16.2: access-list l permit 172.16.2.0 0.0.0.255 W tym przypadku wartość maski domyślnej to 0.0.0.255. Z takiej maski wynika co następuje Porównaj trzy pierwsze oktety adresu 172.16.2.0 ze źródłowym adresem IP pakietu. Jeśli te trzy oktety się zgadzają, pakiet pasuje do instrukcji ACL.

24 PSK Laboratorium 924 Dopasowywanie zakresu adresów IP za pomocą maski domyślnej A w dwóch poniższych poleceniach ACL pojawiają się maski odwrotne, które nakazują systemowi badać tylko dwa pierwsze oktety listy ACL 2 i tylko pierwszy oktet listy ACL 3 access-list 2 permit 172.16.0.0 0.0.255.255 access-list 3 permit 172.0.0.0 0.255.255.255

25 PSK Laboratorium 925 Maska domyślna: formalna definicja Maski domyślne określają, czy system powinien porównywać położenie każdego pojedynczego bitu w dwóch adresach. W tym celu w masce odwrotnej na każdej pozycji bitu, która musi zostać porównana, znajduje się zero, a na pozycjach bitów, które system IOS może zignorować, znajduje się jedynka. Tak więc maska domyślna to liczba w konwencji kropkowej dziesiętnej, której wartości bitowe mają przedstawione niżej znaczenie. 1.Wartość bitowa O - bity na tych samych pozycjach w obu adresach muszą mieć taką samą wartość. 2.Wartość bitowa l - bity na tych samych pozycjach w obu adresach nie muszą być porównywane.

26 PSK Laboratorium 926 Maska domyślna: formalna definicja Maskę domyślną zbudowaną z 24 binarnych zer i 8 binarnych jedynek. Pionowa linia oddziela dwa adresy IP. W tym przypadku system IOS, ustalając, czy pakiet pasuje do tego polecenia access-list, analizuje tylko bity po lewej stronie.

27 PSK Laboratorium 927 Maska domyślna: formalna definicja Źródłowy adres IP pakietu to ponownie 172.16.1.1, jednak tym razem polecenie brzmi access-list 2 permit 172.16.0.0 0.0.255.255. W tym przypadku pakiet pasuje do polecenia access-list, ponieważ maska domyślna oznacza porównaj dwa pierwsze oktety, a dwa ostatnie mnie nie obchodzą"

28 PSK Laboratorium 928 Przykład 2 – konfiguracja listy wejściowej dla grupy hostów

29 PSK Laboratorium 929 Przykład 2 – konfiguracja listy wejściowej dla grupy hostów Router(config)#access-list 21 deny 200.100.2.0 0.0.0.255 Router(config)#access-list 21 permit any Router(config)#interface FastEthernet1/0 Router(config-if)#ip access-group 12 in Router#show running-config Building configuration... Current configuration : 853 bytes ! version 12.2 no service password-encryption ! hostname Router ! interface FastEthernet1/0 ip address 200.100.2.1 255.255.255.0 ip access-group 21 in duplex auto speed auto

30 PSK Laboratorium 930 Przykład 3 – konfiguracja listy wyjściowej

31 PSK Laboratorium 931 Przykład 3 – konfiguracja listy wyjściowej Router(config)#access-list 31 deny 200.100.2.0 0.0.0.255 Router(config)#access-list 31 permit any Router(config)#interface FastEthernet4/0 Router(config-if)#ip access-group 31 out Router#show access-list Standard IP access list 12 deny host 200.100.1.2 (36 match(es)) permit any (11 match(es)) Standard IP access list 21 deny 200.100.2.0 0.0.0.255 (3 match(es)) permit any Standard IP access list 31 deny 200.100.2.0 0.0.0.255 (8 match(es)) permit any (1 match(es))

32 PSK Laboratorium 932 Przykład 4 – konfiguracja list rozszerzonych TCP

33 PSK Laboratorium 933 Router(config)#access-list 133 deny tcp 200.100.2.0 0.0.0.255 host 200.100.3.2 Router(config)#access-list 133 permit tcp any any Router(config)#interface FastEthernet4/0 Router(config-if)#ip access-group 133 out Przykład 4 – konfiguracja list rozszerzonych Extended IP access list 133 deny tcp 200.100.2.0 0.0.0.255 host 200.100.3.2 (11 match(es)) permit tcp any any (39 match(es)) Router#

34 PSK Laboratorium 934 Przykład 4 – konfiguracja list rozszerzonych

35 PSK Laboratorium 935 1.Korzystając z mechanizmu access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe Ćwiczenia 1 192.168.2.0 200.100.1.3 20.100.1.2 192.168.1.0 2.Komputery z sieci 192.168.1.0 miały wyłączny dostęp do serwera 200..100.1.2 3.Komputery z sieci 192.168.2.0 miały wyłączny dostęp do serwera 200.100.1.3 4.Komputery z 192.168.1.0 muszą być dostępne da użytkowników z sieci 192.168.2.0 5.Komputery z 192.168.2.0 nie mogą być dostępne da użytkowników z sieci 192.168.1.0

36 PSK Laboratorium 936 1.Korzystając z mechanizmu rozszerzonego access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe Ćwiczenia 2 192.168.2.0 200.100.1.3 20.100.1.2 192.168.1.0 2.Komputery z sieci 192.168.1.0 o 192.168.1.2-8 adresach miały wyłączny dostęp do serwera 200.100.1.2 do usług, które korzystają z protokółu TCP, natomiast pozostałe komputery do z tej sieci wszystkich usług oferowanych przez komputer 200.100.1.2

37 PSK Laboratorium 937 1.Korzystając z mechanizmu access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe Ćwiczenia 3 dowona 200.100.1.3 20.100.1.2 192.168.1.0 2.Komputery z sieci 192.168.1.0 o 192.168.1.2-8 adresach miały wyłączny dostęp do mają zabroniony dostęp do serwerów 200.100.1.2 200.100.1.3 do usług związanych z protokołem TCP 3.Komputery z sieci rozległej mają całkowity dostęp do serwerów Frame Relay


Pobierz ppt "PSK Laboratorium 91 Projektowanie Sieci Komputerowych (laboratorium 9)"

Podobne prezentacje


Reklamy Google