Стандартные cписки управления доступом — Сisco access list

 В результате применения списков управления доступом маршрутизатор отбрасывает некоторые пакеты, учитывая критерии, которые определены сетевым инженером в списках. Назначение этих фильтров состоит в блокировании нежелательного трафика в сети, что позволяет не только создавать препятствия перед злоумышленниками, пытающимися проникнуть в сеть, но и не позволить служащим самой компании обращаться к тем системам, которые для них должны быть закрыты. Таким образом, списки управления доступом (cisco acl) следует рассматривать, как одну из частей общей политики обеспечения безопасности организации.

Стандартные списки управления доступом

Инженерам при создании любого списка управления доступом, который должен применяться для фильтрации IP-пакетов, приходиться принимать решения по выбору одного из двух основных вариантов: какие пакеты подлежат фильтрации и где в сети следует разместить список управления доступом. В программном обеспечении Cisco IOS предусмотрена возможность применять средства фильтрации списка управления доступом либо при входе пакета в интерфейс, либо при его выходе из интерфейса. Иными словами, в системе IOS список управления доступом ассоциируется с интерфейсом и, в частности, с трафиком, входящим или выходящим из интерфейса. После выбора маршрутизатора, в котором планируется использование списков управления доступом, необходимо выбрать интерфейс, предназначенный для реализации средств фильтрации, а также указать, распространяется ли действие этих средств на входящие или исходящие пакеты.

Внутренний алгоритм обработки пакетов в маршрутизаторе

Ниже перечислены некоторые важные особенности списков управления доступом cisco acl.

  • Фильтрация пакетов может осуществляться по мере их поступления в интерфейс, еще до принятия решения о маршрутизации.
  • Фильтрация пакетов может производиться перед выходом из интерфейса, после принятия решений о маршрутизации
  • В программном обеспечении Cisco IOS для указания на то, что пакет должен быть отфильтрован, используется термин запрещение (deny)
  • Если речь идет о том, что пакет не должен быть отфильтрован, то в программном обеспечении Cisco IOS применяется термин разрешение (permit)
  • Настройка средств фильтрации осуществляется с помощью списков управления доступом.
  • В конце каждого списка управления доступом находиться неявная инструкция, запрещающая весь трафик (deny all traffic). Поэтому, если пакет не соответствует ни одной из инструкций в списке управления доступом, он отбрасывается.

Списки управления доступом состоят из двух основных компонентов: проверка соответствия характеристик пакета правилу и действия над пакетом. Первый компонент используется для проверки всех пакетов и позволяет определить, соответствует ли он инструкции access-list . Если список управления доступом состоит из нескольких записей, то операционная система IOS осуществляет поиск в этом списке последовательно, до обнаружения первой инструкции, с которой совпадают характеристики рассматриваемого пакета. Принципы обработки списка управления доступом, состоящего из нескольких записей, можно кратко представить следующим образом.

  • Правила списка управления доступом инструкций access-list сравниваются с содержимым полей пакета
  • Если проверка соответствия правилам выполнена успешно, осуществляется действие, которое определено в данной инструкции access-list (permit или deny)
  • Если на этапе 2 не удалось найти совпадение, этапы 1 и 2 повторяются с использованием каждой последующей инструкции в списке управления доступом до тех пор, пока не обнаружится соответствие правилу
  • Если не удается найти совпадение ни с одной записью в списке управления доступом, то осуществляется действие deny (запрет пакета)

Следует помнить что стандартные списки управления доступом могут проверять только IP-адрес отправителя пакета. Для нумерования стандартных списков управления доступом cisco acl разрешено использовать номера в диапазоне 1-99. Так же помните — на один интерфейс можно назначить только 1 список управления доступом.

Конфигурация стандартных списков управления доступом

Общий синтаксис команды настройки конструкции стандартного списка управления доступом:

access-list номер-списка {deny | permit} отправитель [инвертированная маска-отправителя]

В стандартном списке управления доступом используется ряд команд access-list, имеющих одинаковые номера. Команды access-list с одинаковыми номерами рассматриваются как относящиеся к одному и тому же списку, причем применение команд в списке происходит в том же порядке, в каком они были введены в конфигурацию.

Если процесс настройки разбить на этапы, то это будет выглядеть следующим образом:

  • Этап1 - Определитесь, где вы будете размещать список управления доступом (маршрутизатор и интерфейс) и направленность (входящий или исходящий) в применяемом интерфейса, следующим образом.
    • Стандартные списки управления доступом следует помещать со стороны получателя пакетов, чтобы их применение не приводило к преднамеренному уничтожению пакетов, которые не должны быть отброшены.
    • Стандартные списки управления доступом, позволяют проводить проверку только IP-адреса отправителя в пакете, поэтому следует определить, какими будут IP-адреса отправителей в пакетах, для проверки которых применяется список управления доступом
  • Этап2 - Сконфигурируйте одну или несколько глобальных команд конфигурации access-list, для создания списка управления доступом, руководствуясь указанными ниже соображениями.
    • Поиск в списке происходит последовательно, причем пакет обрабатывается по первому же совпадающему с его характеристиками правилу. Иными словами, если параметры пакета совпали с одной из инструкций access-list, поиск закачивается несмотря на то что пакет мог бы совпасть и с одной из последующих инструкций.
    • Стандартное действие в том случае, если пакет не сопоставляется ни с одной из команд access-list,  состоит в запрещении прохождения пакета (его уничтожение)
  • Этап3 - Примените список управления доступом в выбранном интерфейсе маршрутизатора с учетом нужной направленности с использованием команды режима конфигурирования интерфейса ip access-group number {in | out}

Ни забывайте, что ACL в конструкциях access-list, использует инвертированные маски подсетей.

Пример конфигурирования стандартных списков управления доступом

Имеется настроенный cisco маршрутизатор R1 с двумя интерфейсами Ethernet0/0 и Serial0/0. В интерфейсе Ethernet0/0 подключена локальная сеть, интерфейс Serial0/0 — внешняя сеть. Создать cisco acl с номером 10, таким образом чтобы пакеты приходящие из локальной сети, от компьютера с IP-адресом «172.16.3.10» ни проходили во внешнюю сеть. Добавить текстовое описание для ACL, что упростит понимание, для чего используется данный список управления доступом.
Процесс конфигурирования:

R1(config)#access-list 10 remark stop traffic «172.168.3.10» — Создание ACL с номером 10, добавление описания
R1(config)#access-list 10 deny 172.16.3.10 0.0.0.0 —
Конструкция запрещающая трафик с ip 172.16.3.10
R1(config-if)#ip access-group 10 out —
Включение ACL на интерфейсе (исходящие пакеты)



Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>