Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
1
Projektowanie Sieci Komputerowych
(laboratorium 9) PSK Laboratorium 9
2
Listy Kontroli dostępu
PSK Laboratorium 9
3
Teoretyczne podstawy list ACL
Listy ACL (ang. Access Control Lists, listy kontroli dostępu) filtrują pakiety przechodzące przez router. Administrator konfiguruje listę ACL, podając kilka prostych informacji o tym, które pakiety należy filtrować (odrzucać), a które mogą przejść przez router. W efekcie ACL stanowią proste reguły programowania. W większości języków programowania istnieje prosta konstrukcja „if-then-else" i dokładnie tak działa w tym przypadku lista ACL na routerze. PSK Laboratorium 9
4
Teoretyczne podstawy list ACL
Na rysunku widzimy efekt skonfigurowania listy ACL na routerze Rl. Na routerze R l zastosowano poniższe zasady działania ACL. Badaj pakiety, które wchodzą na interfejs LAN FA0/0 routera Rl. Odrzucaj pakiety, których docelowy adres IP to Pozwól wszystkim pozostałym pakietom kontynuować podróż. PSK Laboratorium 9
5
Typowe zastosowania list ACL
Listy ACL mogą pełnić na routerze wiele różnych funkcji. W tym się na używaniu list ACL do zwiększenia bezpieczeństwa, na przykład: Odrzucaj przychodzące z Internetu pakiety wideo i audio, jeśli kierownictwo firmy uznało, że taki ruch jest niedopuszczalnym używaniem służbowych połączeń. Pozwól adresom IP komputerów z działu płac komunikować się z serwerem zawierającym listę płac, ale zabroń innym hostom dostępu do tego serwera, aby chronić w ten sposób informacje. Zablokuj określone typy poczty elektronicznej, aby zredukować spam. Kontroluj obszary sieci, do których można uzyskać dostęp z ethernetowych portów w publicznej części budynku, np. z korytarza. PSK Laboratorium 9
6
Filtrowanie pakietów IP wchodzących i wychodzących z routera
Listy ACL do pakietów, które wchodzą lub wychodzą z interfejsu. PSK Laboratorium 9
7
Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP
Rozszerzone listy ACLIP (ang. extended IP ACLs) różnią się od standardowych jedną podstawową cechą: mogą analizować kilka pól. Poniżej wymieniono te najczęściej wykorzystywane: Źródłowy adres IP Docelowy adres IP Typ protokołu warstwy transportu (na przykład TCP) Źródłowy port TCP lub UDP Docelowy port TCP lub UDP PSK Laboratorium 9
8
Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP
Rozszerzona lista ACL może odwoływać się do tych pól na wiele sposobów. Na przykład może sprawdzać jedynie źródłowy adres IP, tak jak w dotychczasowych przykładach. Może też sprawdzać wiele pól i na tej podstawie odrzucać pakiety: na przykład rozszerzona lista ACL może sprawdzać adresy źródłowy i docelowy tego samego pakietu. Poza tym ACL może określać reguły w odniesieniu do fragmentów pól. Na przykład dozwolona jest zasada „wszystkie docelowe adresy IP zaczynające się od ", PSK Laboratorium 9
9
Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP
Na rozszerzonych listach ACL w tej samej instrukcji ACL można sprawdzać zarówno nagłówek IP, jak i nagłówek TCP (lub UDP). Tym samym pojedyncza instrukcja ACL może sprawdzać źródłowy i docelowy adres IP oraz docelowe numery portów TCP. Na przykład administrator sieci może skonfigurować listę ACL, która będzie odrzucała pakiety spełniające wszystkie poniższe wymagania: Źródłowy adres IP Cel w podsieci /24 (adresy od do ). Protokołem warstwy transportu jest TCP. Celem jest dobrze znany port 23 na serwerze Telnetu. PSK Laboratorium 9
10
Analiza innych pól nagłówka za pomocą rozszerzonych list ACL IP
PSK Laboratorium 9
11
Pojedyncza, wielowierszowa lista ACL
Pojedyncza lista ACL może zawierać wiele wierszy - stąd zresztą słowo „list" w Access Control List. Każdy wiersz na liście ACL jest tworzony za pomocą polecenia konfiguracji globalnej access-list. Tworząc listę ACL zawierającą wiele instrukcji, można przygotować całą sekwencję kryteriów, na przykład PSK Laboratorium 9
12
Pojedyncza, wielowierszowa lista ACL
Polecenie access-list zawiera dwa podstawowe elementy: kryterium i działanie, które należy wykonać, jeśli pakiet spełnia to kryterium. Działanie konfigurujemy za pomocą jednego z dwóch poniższych słów kluczowych: permit - przepuść pakiet, deny - odrzuć pakiet. PSK Laboratorium 9
13
Pojedyncza, wielowierszowa lista ACL
Router przetwarza instrukcje ACL po kolei. - router porównuje pakiet z pierwszą instrukcją na liście ACL. Jeśli pakiet spełnia pierwsze kryterium, router wykonuje jakieś działanie Router odrzuca wszystkie pakiety, które nie spełniają żadnego z kryteriów skonfigurowanych za pomocą polecenia access-list. We wszystkich listach ACL w systemie stosowany jest domyślny pełny zakaz PSK Laboratorium 9
14
Podstawy konfiguracji list ACL
Aby skonfigurować i używać listy ACL IP na routerze należy wykonać dwa kolejne kroki Krok 1. Skonfigurować listę ACL za pomocą poleceń konfiguracji globalnej access-list Krok 2. Włączyć listę ACL, wykonując poniższe kroki: wybrać interfejs, wydając polecenie interface typ numer. aktywować listę ACL i wybrać kierunek, wydając polecenie: ip access-group numer-listy {inlout}. PSK Laboratorium 9
15
Konfigurowanie polecenia access-list
Każde polecenie access-list ma taką samą ogólną strukturę: access-list numer działanie kryterium Działaniem jest permit lub deny, przy czym permit nakazuje przesłanie pakietu, a deny odrzucenie go. W kryterium znajdują się wartości różnych pól nagłówka. W rezultacie dwa ostatnie elementy polecenia access-list (działanie i kryterium) definiują następującą logik Kryterium może się składać z pojedynczego adresu IP hosta, może też zawierać wiele elementów nagłówka pakietu. PSK Laboratorium 9
16
Konfigurowanie polecenia access-list
Numery list ACL muszą się mieścić w określonym zakresie wartości, zależnie od typu tworzonej listy ACL. System IOS obsługuje listy ACL dla każdego routowalnego protokołu warstwy 3 i dla każdego z nich stosuje inny zakres numerów ACL. Na przykład numer ACL l znajduje się w zakresie zarezerwowanym dla list ACL IP, ale żeby skonfigurować listę ACL do filtrowania pakietów IPX, trzeba wybrać numer z zakresu od 800 do 899 (włącznie). PSK Laboratorium 9
17
Konfigurowanie polecenia access-list
PSK Laboratorium 9
18
Włączanie i wyłączanie list ACL IP dla interfejsu i dla kierunku
Router używa listy ACL dopiero po jej włączeniu dla danego interfejsu i określonego kierunku. Aby włączyć listę ACL, administrator musi dla odpowiedniego interfejsu wydać poniższe polecenie ip access-group numer-listy [ in | out] PSK Laboratorium 9
19
Przykład 1 – konfiguracja listy wejściowej
PSK Laboratorium 9
20
Przykład 1 – konfiguracja listy wejściowej
Router(config)#access-list 12 deny host Router(config)#access-list 12 permit any Router(config)#interface FastEthernet0/0 Router(config-if)#ip access-group 12 in interface FastEthernet0/0 ip address ip access-group 12 in duplex auto speed auto Router#show access-list Standard IP access list 12 deny host (36 match(es)) permit any (5 match(es)) PSK Laboratorium 9
21
Przykład 1 – konfiguracja listy wejściowej
PC>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=63ms TTL=128 Reply from : bytes=32 time=110ms TTL=128 Reply from : bytes=32 time=88ms TTL=128 Reply from : bytes=32 time=73ms TTL=128 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 63ms, Maximum = 110ms, Average = 83ms PC>ping Pinging with 32 bytes of data: Request timed out. Request timed out. Ping statistics for : Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), PSK Laboratorium 9
22
Dopasowywanie zakresu adresów IP za pomocą maski domyślnej
Zarówno standardowe, jak i rozszerzone listy ACL IP pozwalają użytkownikom określić konkretny adres IP lub zakres adresów IP. Jeśli adres pakietu znajduje się w skonfigurowanym zakresie, pakiet spełnia kryterium Na przykład instrukcja ACL może sprawdzać wszystkie źródłowe adresy IP, które zaczynają się od , czyli adresy od do PSK Laboratorium 9
23
Dopasowywanie zakresu adresów IP za pomocą maski domyślnej
Maska domyślna (ang. wildcard mask) pozwala określić, która część adresu pakietu musi pasować do adresu znajdującego się na liście ACL, a która jest nieistotna. Na przykład poniższe polecenie access-list pasuje do adresów IP, które zaczynają się od : access-list l permit W tym przypadku wartość maski domyślnej to Z takiej maski wynika co następuje Porównaj trzy pierwsze oktety adresu ze źródłowym adresem IP pakietu. Jeśli te trzy oktety się zgadzają, pakiet pasuje do instrukcji ACL. PSK Laboratorium 9
24
Dopasowywanie zakresu adresów IP za pomocą maski domyślnej
A w dwóch poniższych poleceniach ACL pojawiają się maski odwrotne, które nakazują systemowi badać tylko dwa pierwsze oktety listy ACL 2 i tylko pierwszy oktet listy ACL 3 access-list 2 permit access-list 3 permit PSK Laboratorium 9
25
Maska domyślna: formalna definicja
Maski domyślne określają, czy system powinien porównywać położenie każdego pojedynczego bitu w dwóch adresach. W tym celu w masce odwrotnej na każdej pozycji bitu, która musi zostać porównana, znajduje się zero, a na pozycjach bitów, które system IOS może zignorować, znajduje się jedynka. Tak więc maska domyślna to liczba w konwencji kropkowej dziesiętnej, której wartości bitowe mają przedstawione niżej znaczenie. Wartość bitowa O - bity na tych samych pozycjach w obu adresach muszą mieć taką samą wartość. Wartość bitowa l - bity na tych samych pozycjach w obu adresach nie muszą być porównywane. PSK Laboratorium 9
26
Maska domyślna: formalna definicja
Maskę domyślną zbudowaną z 24 binarnych zer i 8 binarnych jedynek. Pionowa linia oddziela dwa adresy IP. W tym przypadku system IOS, ustalając, czy pakiet pasuje do tego polecenia access-list, analizuje tylko bity po lewej stronie. PSK Laboratorium 9
27
Maska domyślna: formalna definicja
Źródłowy adres IP pakietu to ponownie , jednak tym razem polecenie brzmi access-list 2 permit W tym przypadku pakiet pasuje do polecenia access-list, ponieważ maska domyślna oznacza „porównaj dwa pierwsze oktety, a dwa ostatnie mnie nie obchodzą" PSK Laboratorium 9
28
Przykład 2 – konfiguracja listy wejściowej dla grupy hostów
PSK Laboratorium 9
29
Przykład 2 – konfiguracja listy wejściowej dla grupy hostów
Router(config)#access-list 21 deny Router(config)#access-list 21 permit any Router(config)#interface FastEthernet1/0 Router(config-if)#ip access-group 12 in Router#show running-config Building configuration... Current configuration : 853 bytes ! version 12.2 no service password-encryption hostname Router interface FastEthernet1/0 ip address ip access-group 21 in duplex auto speed auto PSK Laboratorium 9
30
Przykład 3 – konfiguracja listy wyjściowej
PSK Laboratorium 9
31
Przykład 3 – konfiguracja listy wyjściowej
Router(config)#access-list 31 deny Router(config)#access-list 31 permit any Router(config)#interface FastEthernet4/0 Router(config-if)#ip access-group 31 out Router#show access-list Standard IP access list 12 deny host (36 match(es)) permit any (11 match(es)) Standard IP access list 21 deny (3 match(es)) permit any Standard IP access list 31 deny (8 match(es)) permit any (1 match(es)) PSK Laboratorium 9
32
Przykład 4 – konfiguracja list rozszerzonych
TCP PSK Laboratorium 9
33
Przykład 4 – konfiguracja list rozszerzonych
Router(config)#access-list 133 deny tcp host Router(config)#access-list 133 permit tcp any any Router(config)#interface FastEthernet4/0 Router(config-if)#ip access-group 133 out Extended IP access list 133 deny tcp host (11 match(es)) permit tcp any any (39 match(es)) Router# PSK Laboratorium 9
34
Przykład 4 – konfiguracja list rozszerzonych
PSK Laboratorium 9
35
Ćwiczenia 1 Korzystając z mechanizmu access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe Komputery z sieci miały wyłączny dostęp do serwera Komputery z sieci miały wyłączny dostęp do serwera Komputery z muszą być dostępne da użytkowników z sieci Komputery z nie mogą być dostępne da użytkowników z sieci PSK Laboratorium 9
36
Ćwiczenia 2 Korzystając z mechanizmu rozszerzonego access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe Komputery z sieci o adresach miały wyłączny dostęp do serwera do usług, które korzystają z protokółu TCP, natomiast pozostałe komputery do z tej sieci wszystkich usług oferowanych przez komputer PSK Laboratorium 9
37
Ćwiczenia 3 Korzystając z mechanizmu access-list, ustaw reguły dostępu na routerze, aby były spełnione poniższe dowona Frame Relay Komputery z sieci o adresach miały wyłączny dostęp do mają zabroniony dostęp do serwerów do usług związanych z protokołem TCP Komputery z sieci rozległej mają całkowity dostęp do serwerów PSK Laboratorium 9
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.