Сетевая безопасность: Динамические списки доступа Dynamic ACL (Lock & Key)

Ранее мы ознакомились с обычными списками доступа и списками, срабатывающими в заданное время — Time-Based ACL.

Есть еще один довольно любопытный тип списков доступа – это динамические списки Dynamic ACL. Или как их еще называют – «Lock & Key», «Замок и Ключ».

Как они работают? В список доступа вставляется динамическое правило, которое активируются лишь после подключения пользователя к маршрутизатору по telnet и его авторизации.

Хочу заметить, что такой функционал доступен только в расширенных (extended) списках доступа и допускается только одно динамическое правило для каждого ACL.

Ключевой командой, активирующей динамические правила во всех списков доступа после подключения и авторизации пользователя является access- enable.

Для того чтобы команда access- enable автоматически выполнялась после аутентификации пользователя, он так же должен быть авторизован для доступа к exec.

У команды access- enable есть два аргумента:

  • host – в этом случае динамические правила активируются только для хоста (его IP адреса), откуда была открыта сессия аутентификации по telnet. Если же аргумент host  не указан, то правила активируются для всех хостов сети.
  • timeout – время неактивности (в минутах), по истечении которого деактивируются динамические правила в ACL

При создании динамического правила в списке доступа можно также указать и абсолютный timeout, при наступлении которого динамические правила будут деактивированы. Например, 5 мин., и тогда через 5 минут после аутентификации и авторизации динамические правила станут неактивными.

Есть еще также глобальная команда access- list dynamic- extended, увеличивающая каждый раз абсолютный timeout на 6 мин., если пользователь снова залогинился на маршрутизатор по telnet до истечения абсолютного timeout-а.

Значение timeout в параметре команды access- enable не должно превышать значения абсолютного timeout в динамическом правиле ACL.

В приведенном ниже примере всем пользователям локальной сети LAN изначально запрещен доступ в Интернет по TCP, но открыт доступ по IP. Также разрешен доступ по telnet (TCP/23) к самому маршрутизатору R1.

И если пользователь с именем cisco и паролем learncisco подключится к маршрутизатору по telnet, то для него автоматически выполнится команда access- enable host timeout 1 и с его IP адреса на 5 мин. будет разрешен выход в Интернет по TCP, например, HTTP и FTP.

Это динамическое правило так же деактивируется через 1 мин. неактивности пользователя.

Cisco IOS Dynamic ACL

Пример конфигурации:

R1:
aaa new-model
aaa authentication login VTY local
aaa authorization exec VTY local
!
username cisco password learncisco
username cisco autocommand access-enable host timeout 1
!
ip access-list extended DYNAMIC_ACL
dynamic D_ACL timeout 5 permit tcp any any
permit tcp any host 192.168.1.1 eq 23
deny tcp any any
permit ip any any
!
interface GigabitEthernet0/1
ip access-group DYNAMIC_ACL in
!
line vty 0 4
login authentication VTY
authorization exec VTY
!
access-list dynamic-extended

В качестве замка  тут выступает список доступа, а ключом, его открывающим является аутентифицированная и авторизованная telnet сессия к маршрутизатору R1.

Интересная возможность, но, опять таки не решающая основной проблемы, связанной со списками доступа.

Есть ли еще какие либо дополнительные способы защиты сетевых ресурсов?

Подписывайтесь на рассылку и все узнаете >>

Сетевая безопасность: Списки доступа Time-Based ACL

В предыдущей заметке я напомнил про типы и основные принципы работы обычных списков доступа ACL.

Идем дальше, и теперь вкратце рассмотрим следующую разновидность списков доступа – это Time-Based ACL.

Они позволяют включать отдельные правила в списке доступа в определенный временной интервал и заданные дни недели.

Этот функционал поддерживается только в расширенных (extended) списках доступа

При создании Time-Based ACL сначала необходимо описать временной интервал time-range, в рамках которого будет срабатывать требуемое правило. В IOS используется 24-х часовой формат.

Есть два вида time- range:

  • Абсолютный (Absolute) – не повторяющийся, c фиксированной датой и временем начала и окончания действия (например, с 10:00 23 февраля по 23:59 25 февраля).
  • Периодический (Periodic) – периодический, повторяющийся в заданные дни недели. Это могут быть отдельные дни, например Mon, Tue, Fri и т.д. Либо целые диапазоны, такие как «ежедневно», «рабочие» или «выходные» дни (daily, weekdays, weekends).

Далее, в расширенный список доступа вставляется это правило с указанием временного интервала его действия time-range и список доступа применяется на интерфейсе в требуемом направлении.

Напомню, что при выборе направления действия ACL in/out мы всегда находимся «внутри маршрутизатора».

Например, мы можем полностью запретить доступ из локальной сети к серверу в Интернете (IP: 31.192.120.36) в рабочее время с 10 до 18.

Пытливый ум найдет, что это за сервер, воспользовавшись утилитами nslookup, dig, либо просто указав этот адрес в URL строке браузера 🙂

Time-Based ACL

Пример конфигурации:

R1:

time-range WEEKDAYS
 periodic weekdays 10:00 to 17:59
!
ip access-list extended TIME_BASED_ACL
 deny ip 192.168.1.0 0.0.0.255 host 31.192.120.36 time-range WEEKDAYS
 permit ip any any
!
interface GigabitEthernet0/1
 ip access-group TIME_BASED_ACL in

Решают ли такие списки доступа проблемы, обозначенные в предыдущей заметке? Не думаю.

Но, тем не менее, они помогают более гранулировано фильтровать ненужный трафик на основе заданных интервалов времени и дней недели.

Какие еще есть способы защиты сетевых ресурсов?

Подписывайтесь на рассылку и забирайте новые материалы >>

Сетевая безопасность: Обычные списки доступа ACL

Начну с обзора такого традиционного способа защиты ресурсов сети, как обычные списки доступа ACL.

Они позволяют фильтровать проходящий через маршрутизатор транзитный трафик, также трафик к самому маршрутизатору, в зависимости от способа их применения.

Например, мы можем открыть доступ к Web серверу в локальной сети по HTTP/HTTPS, разрешив в списке доступа на входном интерфейсе Gi0/0 порты TCP/80 и TCP/443.

ACL-HTTP-SSH

Если же нам надо обеспечить доступ к маршрутизатору по SSH, то можно воспользоваться ACL на линиях VTY.  Конечно же, есть и другие способы защиты от трафика, адресованного к самому маршрутизатору, например Control-Plane Protection (CPP) c помощью Control-Plane Policing (CoPP), но заметка не об этом.

Остановимся пока на списках доступа, которые, кстати, используются не только для фильтрации трафика, но и для его описания и последующей классификации. Например, в том же CoPP.

Обычные списки доступа могут быть следующих типов:

Стандартные (standard):

  • Номера списков доступа 1-99, 1300—1999
  • Можно указывать только адрес источника для протокола IP
  • Пример:
    access-list 10 permit 192.168.1.0 0.0.0.255

Расширенные (extended):

  • Номера списков доступа 100-199, 2000—2699
  • Можно указывать адрес источника и получателя
  • Можно указывать порты TCP/UDP источника и получателя
  • Можно указывать тип протокола (IP, ICMP, UDP, TCP или номер протокола)
  • Пример:
    access-list 100 permit tcp any 192.168.1.10 0.0.0.255 eq 80

Именованные (named):

  • вместо номера указывается имя списка доступа и его тип: стандартный или расширенный
  • Пример:
    ip access-list extended HTTPS_ACL
      permit tcp any 192.168.1.0 0.0.0.255 eq 443

Краткое руководство по работе со списками доступа ACL

  1. Правила в списке доступа просматриваются IOS сверху вниз, до первого совпадения. Поэтому наиболее точные правила должны быть в начале
  2. В конце каждого списка доступа есть скрытое правило, запрещающее все (deny any any)
  3. Списки доступа создаются в глобальном режиме конфигурации и затем уже применяются на уровне интерфейсов во входящем или исходящем направлении (с точки зрения маршрутизатора), например:
    interface Ethernet0/0
    ip access-group HTTPS_ACL in
  4. Допускается только один список доступа на каждом интерфейсе, для каждого протокола и в каждом направлении.
  5. Стандартные списки доступа рекомендуется применять как можно ближе к получателю.
  6. Расширенные списки доступа рекомендуется применять как можно ближе к источнику.

Основное достоинство таких списков доступа – это простота работы с ними. Списки доступа есть в любой версии IOS и на любой аппаратной платформе. Более того, в современных версиях IOS есть также поддержка и object-group, пришедшая из кода ASA, что еще сильнее упрощает написание правил в ACL.

Недостаток – обычные списки доступа не позволяют отслеживать состояния текущих соединений и динамически открывать нужные порты для работы протоколов прикладного уровня.

Например, для работы FTP в активном режиме требуются два порта: TCP/21 и TCP/20. Клиент FTP подключается к серверу по TCP/21, а тот уже отвечает с порта TCP/20. И если не открыть в списке доступа этот порт вручную, то не будет работать канал передачи данных по FTP.

Но об этом уже в следующей заметке.

Подписывайтесь на рассылку и получайте новые материалы >>

 

Год 2018: Новые технологии и тенденции

Цитата

Вот и наступил Новый 2018-й год, отшумели праздники, отгремели канонады ночных фейерверков, и жизнь снова возвращается в свое привычное русло.

Точнее, скажем так, Новый Год практически наступил. Я давно уже не следую заветам Ильича, КПСС и Правительства, когда и что надо делать, что должно наступать, и когда что праздновать.

Скорее, следую естественному ходу природных явлений, движению планет, Солнца и Луны. И в данном случае, Восточному календарю. Так что, реально 2018-й год начнется только 16 февраля.

Позади месяц путешествий по Индии, горячий 30-градусный океан, старый добрый Гоа и дивный, уже практически родной за 15 лет ежегодных поездок Арамболь.

Goa, Arambol

Ну а в Москве, все же наступила настоящая снежная русская зима.

Moscow's winter 2018

И я с одинаковым удовольствием наслаждаюсь и горячим океаном, и глубоким снегом 🙂

Sauna day

Наконец, удалось выкроить немного свободного времени и дошли руки слегка привести в порядок блог. Это первый пост с 2016 года, и призван он оживить общение, добавить интерактивности, а так же напомнить о существовании проекта LearnCisco.Ru и облегчить обратную связь.

Теперь еженедельно я буду публиковать здесь полезную для ИТ-шников информацию и новости.

Так же существенно упрощен механизм общения в блоге, вы можете оставлять комментарии и задавать вопросы, не регистрируясь. Достаточно лишь указать ваше имя и e-mail при отправке комментариев.

А чтобы оперативно получать новости, пожалуйста, оформите подписку по этой ссылке.

Что же касается собственно темы и сути этого поста — «Новые технологии и тенденции», то сейчас стали особенно актуальны вопросы информационной безопасности. Многие реально пострадали и от WannaCry, и от Пети / Не Пети.

Поэтому, в ближайших выпусках вопросам сетевой безопасности я уделю особое внимание.

Из тенденций, в первую очередь, просматривается всеобщая виртуализация всех и вся, а также активное использование Облаков.

С точки зрения ИТ-шника, я бы порекомендовал внимательно присмотреться к проекту EVE-NG, позволяющему легко собрать собственную виртуальную лабораторию, включающую как виртуальное сетевое оборудование различных производителей, так и виртуальные машины с различными операционными системами, например Window, Linux.

Если лень собирать самому, то вы всегда можете арендовать уже готовую лабораторию. Список лабораторных работ постоянно пополняется. Подробнее об онлайн лаборатории проекта LearnCisco.Ru и ее возможностях можно посмотреть по этой ссылке.

Проект EVE-NG  по предлагаемым возможностям, стабильности и удобству работы уже давно оставил далеко позади GNS3.

Такие известные ИТ тренеры мирового уровня, как Narbik, Terry Vinson, Anthony Sequiera уже сегодня используют EVE-NG при проведении своих живых классов и записи учебных видео курсов. И это только начало.

Проект EVE-NG предлагает такие варианты продуктов:

  • EVE-NG Community Edition – бесплатный полнофункциональный релиз
  • EVE-NG Professional Edition – платный расширенный профессиональный релиз с дополнительными возможностями и годовой подпиской (персональной лицензией)
  • EVE-NG Learning Center Edition – платная профессиональная версия для учебных центров

Сравнение основных возможностей:

Мой следующий видео курс будет посвящен именно EVE-NG: установке, настройке и практической работе.

Вот, пожалуй, пока и все. Спрашивайте, комментируйте, предлагайте. И не забудьте подписаться на рассылку, чтобы первыми узнавать все новинки.

P.S.
Кстати, на днях я запускаю серию писем с материалами по сетевой безопасности, не пропустите!

Новая версия GNS3 v1.4.3 — первые впечатления

В середине января 2016 года проектом GNS3 был выпущен новый релиз эмулятора GNS3 v1.4.0, а в первых числах февраля уже сразу несколько версий v1.4.1 — v1.4.3.

В этой статье я постараюсь кратко пробежаться по его основным отличиям от предыдущей линейки версий 1.3.x, и дать некоторые практические рекомендации.

Более подробно все это будет разобрано в ближайшем обновлении видео курса «Домашняя Лаборатория Cisco за 1 День — 2015!». Для покупателей версии 3.0 это обновление будет доступно бесплатно, и я всех персонально оповещу о его готовности. А пока что, самое важное!

Читать далее ›

Обновленная версия курса «Домашняя Лаборатория Cisco за 1 День – 2015!» v.3.1

Выпущен новый релиз видео курса – версия v3.1 от Февраля 2016 г. В состав обновления входят:

  • Запуск виртуального межсетевого экрана ASAv в GNS3 v1.3.13
  • Практические советы и рекомендации по установке и работе с новой линейкой версий GNS3 v1.4.x

Смотреть полное описание >

Обновление видео курса «Настройка межсетевых экранов Cisco ASA и PIX», Том I»

НОВОЕ! Обновления в версии v2.1, январь 2016!

Межсетевые Экраны Cisco ASA и PIX

Добавлен обзор межсетевых экранов нового поколения NGFW ASA 5500-X с сервисами FirePOWER, включая:

  • Новые возможности NGFW ASA 5500-X
  • Обзор сервисов FirePOWER
  • Актуальный модельный ряд ASA на 2016 год
  • Как наглядно сравнить функционал и возможности различных моделей ASA
  • Особенности новых ASA 5500-X
  • Лицензирование NGFW ASA 5500-X, коды и примеры лицензий
  • Как правильно заказать NGFW ASA 5500-X и выбрать требуемые лицензии
  • Пошаговая регистрация аккаунта на сайте cisco.com
  • Пошаговая процедура получения и активации лицензий FirePOWER сервисов
  • Пошаговая процедура получения и активации 3DES/AES лицензий для NGFW ASA 5500-X
  • Новая схема лицензирования VPN клиента AnyConnect v4.x
  • Системы управления для NGFW ASA 5500-X, FireSIGHT, ASDM, CSM
  • Рекомендованная схема внедрения NGFW ASA 5500-X

Читать далее ›