Управление трафиком с помощью списков доступа

Страницы работы

Фрагмент текста работы

Помимо указания номеров портов, необходимо определить условие, прежде чем произойдет совпадение с инструкцией. Чаще всего используются следующие аббревиатуры:

eq - равно;

gt - больше;

lt - меньше.

Рассмотрим следующий пример:

R1(config)#access-list 122 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.89 eq 80

Эта инструкция ACL-списка разрешает трафик с адреса 192.168.1.0, с которого запрашивается HTTP-доступ по порту 80. Если пользователь попытается подключиться через Telnet или по FTP к узлу 192.168.2.89, то ему будет отказано в доступе, поскольку в конце каждого списка доступа предполагается неявная запрещающая инструкция.

Для фильтрации на основе определенного приложения необходимо знать его номер порта. Приложения связаны как с номером порта, так и с его названием. В ACL-списке может указываться порт 80 или HTTP.

Если не известны ни номер порта, ни его название для определенного приложения, можно попытаться найти эту информацию следующим образом:

1. Обратитесь к одному из веб-узлов в Интернете с реестром IP-адресации, например http://www.iana.org/.

2. Прочитайте документацию к программному обеспечению.

3. Обратитесь к веб-узлу разработчика ПО.

4. Используйте анализатор пакетов для перехвата данных от приложения.

5. Используйте параметр ? в команде access-list. Выведенный список будет содержать наиболее известные имена портов и номера для TCP-протокола.

Некоторые приложения используют более одного номера порта. Например, для передачи данных по FTP-протоколу используется порт 20, но для возможности управления сеансом по FTP используется порт 21. Чтобы запретить весь FTP-трафик, следует запретить оба порта.

Для включения нескольких номеров портов ACL-списки в ПО Cisco IOS фильтруют диапазоны портов. Для этого необходимо использовать "gt", "lt" или операторы диапазона в инструкции ACL-списка. Например, две инструкции ACL-списка для FTP можно объединить в одну при помощи следующей команды:

R1(config)#access-list 181 deny tcp any 192.168.77.0 0.0.0.255 range 20 21

ACL-списки часто создаются для защиты внутренней сети от внешних источников. Однако защита внутренней сети не должна препятствовать внутренним пользователям в получении доступа ко всем ресурсам. При обращении внутренних пользователей к внешним ресурсам, запрашиваемые ресурсы должны проходить через ACL-список. Например, если внутреннему пользователю необходимо установить подключение к внешнему веб-серверу, ACL-список должен разрешать запрашиваемые html-пакеты. Так как ACL-списки устанавливают неявный отказ в доступе, ресурсы необходимо специально разрешить ACL-списком. Отдельные разрешающие инструкции для всех возможных запрашиваемых ресурсов могут образовывать длинный ACL-список и оставлять бреши в безопасности.

Для решения этой проблемы можно создать отдельную инструкцию, разрешающую внутренним пользователям устанавливать TCP-сеанс с внешними ресурсами. После трехстороннего подтверждения TCP и установления подключения все пакеты, передаваемые между двумя устройствами, будут разрешены. Для этого необходимо использовать следующее ключевое слово: established.

access-list 101 permit tcp any any established

Использование этой инструкции позволит разрешить все внешние tcp-пакеты при условии, что они являются ответом на внутренние запросы. Разрешение входящих ответов по установленным подключениям является разновидностью динамического анализа пакетов (SPI).

Кроме установленного трафика, внутреннему пользователю может потребоваться отправка эхо-запроса внешним устройствам. При этом нежелательно позволять внешним пользователям направлять эхо-запросы или прослеживать устройства во внутренней сети. В этом случае, инструкцию с ключевыми словами echo-reply и unreachable можно использовать для разрешения ответов на эхо-запросы и сообщений о недостижимости. При этом эхо-запрос, отправленный с внешних источников, будет запрещен, если в другой инструкции не указывать специального разрешения.

Реализация преобразования сетевых адресов (NAT) и преобразования

Похожие материалы

Информация о работе