Расширенные списки управления доступом — Extended ACL Cisco

 Расширенные списки управления доступом (cisco access list extended) имеют определенное сходство и различие по сравнению со стандартными списками управления доступом (cisco acl). Как и в случае стандартных списков, расширенные списки управления доступом вводятся в действие применительно к интерфейсам для пакетов, либо входящих в интерфейс, либо исходящих из интерфейса. Система IOS проводит поиск в этом списке последовательно. При обнаружении первой же совпадающей с параметрами пакета инструкции поиск в списке прекращается и определяется действие, подлежащее выполнению. Следует помнить, что все перечисленные особенности работы относятся также к стандартным спискам управления доступом.

Одним из ключевых различий между списками двух типов является то, что в расширенных списках управления доступом (cisco access list extended) для обнаружения совпадения приходится проверять большее количество полей в пакете. Достаточно определить одну инструкцию расширенного списка управления доступом, чтобы проверить сразу несколько фрагментов информации в заголовке пакета, причем обязательным является такое требование, что все параметры должны совпадать с правилами, чтобы пакет соответствовал инструкции списка управления доступом. Именно в том, что применяется указанный принцип проверки пакетов, заключается причины, по которым расширенные списки управления доступом становятся одновременно и намного более полезными, и намного более сложными по сравнению стандартными списками управления доступом.

Расширенные списки управления доступом позволяют реализовать мощные методы проверки полей пакета на совпадение с заданными критериями, поскольку позволяет исследовать разные части пакета. Ниже приведен список параметров, которые можно проверить с помощью расширенных списков управления доступом:

  1. IP адрес получателя
  2. Части IP-адреса получателя, указанные с помощью инвертированной маски подсети
  3. Тип протокола (TCP, UDP, ICMP, IGRP, IGMP и др.)
  4. Порт отправителя
  5. Порт получателя
  6. TCP-потоки
  7. Байты TOS по протоколу IP
  8. Приоритет пакета IP

Расширенные списки управления доступом обеспечивают проверку поля протокола в заголовке пакета, а также номера портов TCP или UDP отправителя и получателя. Следует помнить следующие вещи

  • В команде access-list должно использоваться ключевое слово tcp, чтобы с его помощью можно было проверять номера TCP-портов (транспортный уровень), и ключевое слово udp для проверки номеров портов протокола UDP. Ключевое слово ip не обеспечивает проверку номеров портов
  • Параметры с указанием порта отправителя и порта получателя в команде access-list являются позиционными. Иными словами, их местонахождение в команде определяет, применяется ли параметр для проверки порта отправителя или порта получателя
  • Следует помнить, что списки управления доступом позволяют проводить проверку пакетов, отправленных хосту, путем сравнения номера порта получателя с зарезервированным номером порта. В списках управления доступом необходимо проверять номер порта отправителя применительно к пакетам, отправленных хосту
  • Имеет смысл запомнить наиболее широко распространенные TCP и UDP приложения, а также предусмотренные для них стандартные номера портов. Необходимые данные представлены в таблице ниже

Распространенные приложения и соответствующие им стандартные номера портов

Конфигурирование расширенных списков управления доступом

1) access-list номер {deny | permit} протокол адрес-отправителя инвертированная-маска-отправителя адрес-получателя инвертированная-маска-получателя {log | log-input}- глобальная команда для расширенных нумерованных списков управления доступом. Используются номера 100-199

2) access-list номер {deny | permit} {tcp | udp} адрес-отправителя инвертированная-маска-отправителя [оператор [порт]] адрес-получателя инвертированная-маска-получателя [оператор [порт]] [established] [log]  — Версия команды access-list с параметрами относящимися к протоколу TCP или UDP.

 

Процесс настройки cisco конфигурации, касательно расширенных списков управления доступом (cisco access list extended), в основных чертах совпадает с аналогичным процессом, используемым для стандартных списков управления доступом. В первую очередь, необходимо выбрать местоположение и направление, чтобы можно было планировать применение параметров списка управления доступом с учетом информации в пакетах, проходящих в выбранном направлении. Настройку конфигурации списка управления доступом необходимо выполнять с помощью команд access-list. После этого список управления доступом должен быть включен с помощью такой же команды ip access group (на нужном интерфейса), которая применяется для работы со стандартными списками управления доступом. В целом все этапы настройки конфигурации остаются такими же, как при использовании стандартных списков управления доступом. Тем не менее в самой конфигурации обнаруживается определенные различия, которые можно кратко описать следующим образом.

  • Расширенные списки управления доступом помещать как можно ближе к отправителю пакетов, подлежащих фильтрации, поскольку конфигурация расширенных списков управления доступом может быть настроена так, чтобы эти списки не блокировали прохождение пакетов, которые должны продолжить свое следование. Иными словами применение фильтрации в точке, расположенной ближе всего к отправителю пакетов, способствует оптимизации использования пропускной способности
  • Пакет рассматривается как совпадающий с инструкцией access-list, только если все параметры в одной из команд access-list совпадают с соответствующими полями пакета
  • Для расширенной команды access-list могут использоваться номера 100-199, причем ни один номер не рассматривается как более почтительный по отношению к другому

Расширенная версия команды access-list позволяет проверять номера портов с использованием нескольких простых операторов сравнения, таких как «равно» (equal-to) или «меньше» (less-than). В командах применяются не полнотекстовые обозначения операторов сравнения, а сокращения, которые приведены ниже

  • eq - равно
  • neq - не равно
  • lt - меньше
  • gt — больше
  • range - диапазон номеров портов
Примеры команд access-list расширенного списка управления доступом и пояснения к ним
  • access-list 101 deny ip any host 10.1.1.1 — Любой пакет IP (сетевой уровень), любой IP-адрес отправителя, с IP-адресом получателя 10.1.1.1
  • access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23 - Пакеты с заголовком TCP, любым IP-адресом отправителя, с номером порта отправителя, который больше (gt) 1023, с IP-адресом получателя, точно совпадающим с 10.1.1.1, и номером порта получателя, равным (eq) 23
  • access-list 101 deny tcp any host 10.1.1.1 eq 23 — То же, что и в предыдущем примере, но сопоставление с любым портом отправителя, поскольку указанный параметр в данном случае исключен
  • access-list 101 deny tcp any host 10.1.1.1 eq telnet — То же, что и в предыдущем примере. Вместо обозначения порта 23 используется ключевое слово telnet
  • access-list 101 deny udp 1.0.0.0 0.255.255.255 lt 1023 any — пакет с отправителем в сети 1.0.0.0, в котором используется протокол UDP с портом отправителя, который меньше (lt) 1023, с любым IP-адресом получателя

Пример конфигурирования расширенного списка управления доступом

Настройка cisco access list. Имеем маршрутизатор R1, с двумя активными интерфейсами ethernet0/0 и ethernet0/1. в интерфейс ethernet0/0 подключена локальная сеть 172.16.1.0/24 в которой работаю пользовательские компьютеры, в интерфейс ethernet0/1 подключена сеть с серверами 172.168.2.0/24. Цель — компьютеру 172.16.1.10 запретить доступ к FTP серверам, компьютеру 172.16.1.20 — доступ к веб-службам сервера 172.16.2.100.

R1(config)#access-list 111 deny tcp host 172.16.1.10 172.16.2.0 0.0.0.255 eq ftp
R1(config)#access-list 111 deny tcp host 172.16.1.20 host 172.16.2.100 eq www

R1(config)#interface ethernet0/0

R1(config-if)#ip access group 111 in



Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>