Projektowanie Sieci Komputerowych (laboratorium 9) PSK Laboratorium 9
Listy Kontroli dostępu PSK Laboratorium 9
Teoretyczne podstawy list ACL Listy ACL (ang. Access Control Lists, listy kontroli dostępu) filtrują pakiety przechodzące przez router. Administrator konfiguruje listę ACL, podając kilka prostych informacji o tym, które pakiety należy filtrować (odrzucać), a które mogą przejść przez router. W efekcie ACL stanowią proste reguły programowania. W większości języków programowania istnieje prosta konstrukcja „if-then-else" i dokładnie tak działa w tym przypadku lista ACL na routerze. PSK Laboratorium 9
Teoretyczne podstawy list ACL Na rysunku widzimy efekt skonfigurowania listy ACL na routerze Rl. Na routerze R l zastosowano poniższe zasady działania ACL. Badaj pakiety, które wchodzą na interfejs LAN FA0/0 routera Rl. Odrzucaj pakiety, których docelowy adres IP to 172.16.1.1. Pozwól wszystkim pozostałym pakietom kontynuować podróż. PSK Laboratorium 9
Typowe zastosowania list ACL Listy ACL mogą pełnić na routerze wiele różnych funkcji. W tym się na używaniu list ACL do zwiększenia bezpieczeństwa, na przykład: Odrzucaj przychodzące z Internetu pakiety wideo i audio, jeśli kierownictwo firmy uznało, że taki ruch jest niedopuszczalnym używaniem służbowych połączeń. Pozwól adresom IP komputerów z działu płac komunikować się z serwerem zawierającym listę płac, ale zabroń innym hostom dostępu do tego serwera, aby chronić w ten sposób informacje. Zablokuj określone typy poczty elektronicznej, aby zredukować spam. Kontroluj obszary sieci, do których można uzyskać dostęp z ethernetowych portów w publicznej części budynku, np. z korytarza. PSK Laboratorium 9
Filtrowanie pakietów IP wchodzących i wychodzących z routera Listy ACL do pakietów, które wchodzą lub wychodzą z interfejsu. PSK Laboratorium 9
Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP Rozszerzone listy ACLIP (ang. extended IP ACLs) różnią się od standardowych jedną podstawową cechą: mogą analizować kilka pól. Poniżej wymieniono te najczęściej wykorzystywane: Źródłowy adres IP Docelowy adres IP Typ protokołu warstwy transportu (na przykład TCP) Źródłowy port TCP lub UDP Docelowy port TCP lub UDP PSK Laboratorium 9
Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP Rozszerzona lista ACL może odwoływać się do tych pól na wiele sposobów. Na przykład może sprawdzać jedynie źródłowy adres IP, tak jak w dotychczasowych przykładach. Może też sprawdzać wiele pól i na tej podstawie odrzucać pakiety: na przykład rozszerzona lista ACL może sprawdzać adresy źródłowy i docelowy tego samego pakietu. Poza tym ACL może określać reguły w odniesieniu do fragmentów pól. Na przykład dozwolona jest zasada „wszystkie docelowe adresy IP zaczynające się od 172.16.2", PSK Laboratorium 9
Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP Na rozszerzonych listach ACL w tej samej instrukcji ACL można sprawdzać zarówno nagłówek IP, jak i nagłówek TCP (lub UDP). Tym samym pojedyncza instrukcja ACL może sprawdzać źródłowy i docelowy adres IP oraz docelowe numery portów TCP. Na przykład administrator sieci może skonfigurować listę ACL, która będzie odrzucała pakiety spełniające wszystkie poniższe wymagania: Źródłowy adres IP 172.16.1.1. Cel w podsieci 172.16.2.0/24 (adresy od 172.16.2.0 do 172.16.2.255). Protokołem warstwy transportu jest TCP. Celem jest dobrze znany port 23 na serwerze Telnetu. PSK Laboratorium 9
Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP PSK Laboratorium 9
Pojedyncza, wielowierszowa lista ACL Pojedyncza lista ACL może zawierać wiele wierszy - stąd zresztą słowo „list" w Access Control List. Każdy wiersz na liście ACL jest tworzony za pomocą polecenia konfiguracji globalnej access-list. Tworząc listę ACL zawierającą wiele instrukcji, można przygotować całą sekwencję kryteriów, na przykład PSK Laboratorium 9
Pojedyncza, wielowierszowa lista ACL Polecenie access-list zawiera dwa podstawowe elementy: kryterium i działanie, które należy wykonać, jeśli pakiet spełnia to kryterium. Działanie konfigurujemy za pomocą jednego z dwóch poniższych słów kluczowych: permit - przepuść pakiet, deny - odrzuć pakiet. PSK Laboratorium 9
Pojedyncza, wielowierszowa lista ACL Router przetwarza instrukcje ACL po kolei. - router porównuje pakiet z pierwszą instrukcją na liście ACL. Jeśli pakiet spełnia pierwsze kryterium, router wykonuje jakieś działanie Router odrzuca wszystkie pakiety, które nie spełniają żadnego z kryteriów skonfigurowanych za pomocą polecenia access-list. We wszystkich listach ACL w systemie stosowany jest domyślny pełny zakaz PSK Laboratorium 9
Podstawy konfiguracji list ACL Aby skonfigurować i używać listy ACL IP na routerze należy wykonać dwa kolejne kroki Krok 1. Skonfigurować listę ACL za pomocą poleceń konfiguracji globalnej access-list Krok 2. Włączyć listę ACL, wykonując poniższe kroki: wybrać interfejs, wydając polecenie interface typ numer. aktywować listę ACL i wybrać kierunek, wydając polecenie: ip access-group numer-listy {inlout}. PSK Laboratorium 9
Konfigurowanie polecenia access-list Każde polecenie access-list ma taką samą ogólną strukturę: access-list numer działanie kryterium Działaniem jest permit lub deny, przy czym permit nakazuje przesłanie pakietu, a deny odrzucenie go. W kryterium znajdują się wartości różnych pól nagłówka. W rezultacie dwa ostatnie elementy polecenia access-list (działanie i kryterium) definiują następującą logik Kryterium może się składać z pojedynczego adresu IP hosta, może też zawierać wiele elementów nagłówka pakietu. PSK Laboratorium 9
Konfigurowanie polecenia access-list Numery list ACL muszą się mieścić w określonym zakresie wartości, zależnie od typu tworzonej listy ACL. System IOS obsługuje listy ACL dla każdego routowalnego protokołu warstwy 3 i dla każdego z nich stosuje inny zakres numerów ACL. Na przykład numer ACL l znajduje się w zakresie zarezerwowanym dla list ACL IP, ale żeby skonfigurować listę ACL do filtrowania pakietów IPX, trzeba wybrać numer z zakresu od 800 do 899 (włącznie). PSK Laboratorium 9
Konfigurowanie polecenia access-list PSK Laboratorium 9
Włączanie i wyłączanie list ACL IP dla interfejsu i dla kierunku Router używa listy ACL dopiero po jej włączeniu dla danego interfejsu i określonego kierunku. Aby włączyć listę ACL, administrator musi dla odpowiedniego interfejsu wydać poniższe polecenie ip access-group numer-listy [ in | out] PSK Laboratorium 9
Przykład 1 – konfiguracja listy wejściowej PSK Laboratorium 9
Przykład 1 – konfiguracja listy wejściowej Router(config)#access-list 12 deny host 200.100.1.2 Router(config)#access-list 12 permit any Router(config)#interface FastEthernet0/0 Router(config-if)#ip access-group 12 in interface FastEthernet0/0 ip address 200.100.1.1 255.255.255.0 ip access-group 12 in duplex auto speed auto Router#show access-list Standard IP access list 12 deny host 200.100.1.2 (36 match(es)) permit any (5 match(es)) PSK Laboratorium 9
Przykład 1 – konfiguracja listy wejściowej PC>ping 200.100.1.3 Pinging 200.100.1.3 with 32 bytes of data: Reply from 200.100.1.3: bytes=32 time=63ms TTL=128 Reply from 200.100.1.3: bytes=32 time=110ms TTL=128 Reply from 200.100.1.3: bytes=32 time=88ms TTL=128 Reply from 200.100.1.3: bytes=32 time=73ms TTL=128 Ping statistics for 200.100.1.3: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 63ms, Maximum = 110ms, Average = 83ms PC>ping 200.100.2.3 Pinging 200.100.2.3 with 32 bytes of data: Request timed out. Request timed out. Ping statistics for 200.100.2.3: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), PSK Laboratorium 9
Dopasowywanie zakresu adresów IP za pomocą maski domyślnej Zarówno standardowe, jak i rozszerzone listy ACL IP pozwalają użytkownikom określić konkretny adres IP lub zakres adresów IP. Jeśli adres pakietu znajduje się w skonfigurowanym zakresie, pakiet spełnia kryterium Na przykład instrukcja ACL może sprawdzać wszystkie źródłowe adresy IP, które zaczynają się od 172.16.2, czyli adresy od 172.16.2.0 do 172.16.2.255. PSK Laboratorium 9
Dopasowywanie zakresu adresów IP za pomocą maski domyślnej Maska domyślna (ang. wildcard mask) pozwala określić, która część adresu pakietu musi pasować do adresu znajdującego się na liście ACL, a która jest nieistotna. Na przykład poniższe polecenie access-list pasuje do adresów IP, które zaczynają się od 172.16.2: access-list l permit 172.16.2.0 0.0.0.255 W tym przypadku wartość maski domyślnej to 0.0.0.255. Z takiej maski wynika co następuje Porównaj trzy pierwsze oktety adresu 172.16.2.0 ze źródłowym adresem IP pakietu. Jeśli te trzy oktety się zgadzają, pakiet pasuje do instrukcji ACL. PSK Laboratorium 9
Dopasowywanie zakresu adresów IP za pomocą maski domyślnej A w dwóch poniższych poleceniach ACL pojawiają się maski odwrotne, które nakazują systemowi badać tylko dwa pierwsze oktety listy ACL 2 i tylko pierwszy oktet listy ACL 3 access-list 2 permit 172.16.0.0 0.0.255.255 access-list 3 permit 172.0.0.0 0.255.255.255 PSK Laboratorium 9
Maska domyślna: formalna definicja Maski domyślne określają, czy system powinien porównywać położenie każdego pojedynczego bitu w dwóch adresach. W tym celu w masce odwrotnej na każdej pozycji bitu, która musi zostać porównana, znajduje się zero, a na pozycjach bitów, które system IOS może zignorować, znajduje się jedynka. Tak więc maska domyślna to liczba w konwencji kropkowej dziesiętnej, której wartości bitowe mają przedstawione niżej znaczenie. Wartość bitowa O - bity na tych samych pozycjach w obu adresach muszą mieć taką samą wartość. Wartość bitowa l - bity na tych samych pozycjach w obu adresach nie muszą być porównywane. PSK Laboratorium 9
Maska domyślna: formalna definicja Maskę domyślną zbudowaną z 24 binarnych zer i 8 binarnych jedynek. Pionowa linia oddziela dwa adresy IP. W tym przypadku system IOS, ustalając, czy pakiet pasuje do tego polecenia access-list, analizuje tylko bity po lewej stronie. PSK Laboratorium 9
Maska domyślna: formalna definicja Źródłowy adres IP pakietu to ponownie 172.16.1.1, jednak tym razem polecenie brzmi access-list 2 permit 172.16.0.0 0.0.255.255. W tym przypadku pakiet pasuje do polecenia access-list, ponieważ maska domyślna oznacza „porównaj dwa pierwsze oktety, a dwa ostatnie mnie nie obchodzą" PSK Laboratorium 9
Przykład 2 – konfiguracja listy wejściowej dla grupy hostów PSK Laboratorium 9
Przykład 2 – konfiguracja listy wejściowej dla grupy hostów Router(config)#access-list 21 deny 200.100.2.0 0.0.0.255 Router(config)#access-list 21 permit any Router(config)#interface FastEthernet1/0 Router(config-if)#ip access-group 12 in Router#show running-config Building configuration... Current configuration : 853 bytes ! version 12.2 no service password-encryption hostname Router interface FastEthernet1/0 ip address 200.100.2.1 255.255.255.0 ip access-group 21 in duplex auto speed auto PSK Laboratorium 9
Przykład 3 – konfiguracja listy wyjściowej PSK Laboratorium 9
Przykład 3 – konfiguracja listy wyjściowej Router(config)#access-list 31 deny 200.100.2.0 0.0.0.255 Router(config)#access-list 31 permit any Router(config)#interface FastEthernet4/0 Router(config-if)#ip access-group 31 out Router#show access-list Standard IP access list 12 deny host 200.100.1.2 (36 match(es)) permit any (11 match(es)) Standard IP access list 21 deny 200.100.2.0 0.0.0.255 (3 match(es)) permit any Standard IP access list 31 deny 200.100.2.0 0.0.0.255 (8 match(es)) permit any (1 match(es)) PSK Laboratorium 9
Przykład 4 – konfiguracja list rozszerzonych TCP PSK Laboratorium 9
Przykład 4 – konfiguracja list rozszerzonych Router(config)#access-list 133 deny tcp 200.100.2.0 0.0.0.255 host 200.100.3.2 Router(config)#access-list 133 permit tcp any any Router(config)#interface FastEthernet4/0 Router(config-if)#ip access-group 133 out Extended IP access list 133 deny tcp 200.100.2.0 0.0.0.255 host 200.100.3.2 (11 match(es)) permit tcp any any (39 match(es)) Router# PSK Laboratorium 9
Przykład 4 – konfiguracja list rozszerzonych PSK Laboratorium 9
Ćwiczenia 1 Korzystając z mechanizmu access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe 200.100.1.3 20.100.1.2 192.168.1.0 192.168.2.0 Komputery z sieci 192.168.1.0 miały wyłączny dostęp do serwera 200..100.1.2 Komputery z sieci 192.168.2.0 miały wyłączny dostęp do serwera 200.100.1.3 Komputery z 192.168.1.0 muszą być dostępne da użytkowników z sieci 192.168.2.0 Komputery z 192.168.2.0 nie mogą być dostępne da użytkowników z sieci 192.168.1.0 PSK Laboratorium 9
Ćwiczenia 2 Korzystając z mechanizmu rozszerzonego access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe 200.100.1.3 20.100.1.2 192.168.1.0 192.168.2.0 Komputery z sieci 192.168.1.0 o 192.168.1.2-8 adresach miały wyłączny dostęp do serwera 200.100.1.2 do usług, które korzystają z protokółu TCP, natomiast pozostałe komputery do z tej sieci wszystkich usług oferowanych przez komputer 200.100.1.2 PSK Laboratorium 9
Ćwiczenia 3 Korzystając z mechanizmu access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe 20.100.1.2 192.168.1.0 dowona Frame Relay 200.100.1.3 Komputery z sieci 192.168.1.0 o 192.168.1.2-8 adresach miały wyłączny dostęp do mają zabroniony dostęp do serwerów 200.100.1.2 200.100.1.3 do usług związanych z protokołem TCP Komputery z sieci rozległej mają całkowity dostęp do serwerów PSK Laboratorium 9