Голосование

Пожалуйста, поделитесь Вашим мнением. Оно очень важно для нас и может помочь многим. Всего 2 вопроса и не более 3-х ответов на каждый из них. Вы также можете добавить и свой собственный вариант ответа. Это займет около 1 минуты.

Какие темы и курсы были бы Вам интересны в первую очередь?
  • Добавить свой ответ

Укажите не более 3-х пунктов.


В каком формате Вам было бы наиболее удобнее проходить обучение?
  • Добавить свой ответ

Укажите не более 3-х пунктов.

Спасибо за Ваше время и мнение!

Сетевая безопасность: Техника обхода списков доступа ACL

Как Вы уже убедились в предыдущих заметках из серии «Сетевая безопасность», списки доступа ACL не могут гарантировать полную защиту от несанкционированного доступа к сети. Это достигается лишь комплексом различных мер.

В этой заметке рассмотрим одну из особенностей работы списков доступа с фрагментированными IP пакетами.

По умолчанию, протокол IP разрешает фрагментацию пакетов, что открывает достаточно большое число давно известных уязвимостей.

Откуда берутся фрагментированные пакеты?

TCP/IP Encapsulation

Когда пакеты протокола сетевого уровня L3 (IP) модели OSI слишком большие, чтобы передать их одним фреймом на уровне L2 (Data Link), они разбиваются на более мелкие фрагменты.

Читать далее

Сетевая безопасность: IOS Firewall — Content-Base Access-Control (CBAC)

В предыдущей заметке мы познакомились с рефлексивными списками доступа Reflexive ACL, позволяющими реализовать базовые функции межсетевого экрана с отслеживанием состояний сессий — Stateful Firewall.

Дальнейшим развитием этой технологии стал CBAC, который представляет собой уже полноценный межсетевой экран и поддерживает инспекцию протоколов прикладного уровня.

Идея CBAC состоит в инспекции информации в проходящем через маршрутизатор трафике, специфичной для каждого из поддерживаемых протоколов и разрешение ответного трафика в списке доступа ACL, работающем в противоположном направлении.

CBAC

Согласитесь, это очень похоже на Reflexive ACL, но только в CBAC выполняется более глубокая инспекция, затрагивающая не только общие протоколы TCP/UDP/ICMP, но и протоколы прикладного уровня, такие как FTP, HTTP, ESMTP, DNS и многие другие.

Читать далее

Сетевая безопасность: Рефлексивные списки доступа Reflexive ACL

В предыдущих заметках были вкратце рассмотрены обычные списки доступа, списки, срабатывающими в заданное время Time-Based ACL и динамические списки доступа Dynamic ACL.

Здесь же разберем еще один интересный вид ACL, частично выполняющий функции примитивного межсетевого экрана с отслеживанием состояний сессий (Stateful Firewall).

С помощью Reflexive ACL маршрутизатор может отслеживать инициируемые TCP/UDP/ICMP сессии и автоматически разрешать ответный трафик в рамках этих сессий, открывая динамические правила в списке доступа, примененном в обратном направлении.

Для функционирования такого базового межсетевого экрана помимо самого Reflexive ACL, требуются еще два расширенных (extended) списка доступа, работающих в разных направлениях. Они могут быть на одном и том же интерфейсе (направление действия in/out), либо на двух различных (направление действия in/in).

Один список доступа служит для отслеживания исходящих сессий, а второй для блокировки входящих соединений и создания в нем динамических правил для зеркального входящего трафика.

Ключевые слова, используемые в Reflexive ACL – это reflect для исходящего трафика и evaluate для входящего.

Reflexive ACL

Читать далее

Сетевая безопасность: Динамические списки доступа Dynamic ACL (Lock & Key)

Ранее мы ознакомились с обычными списками доступа и списками, срабатывающими в заданное время — Time-Based ACL.

Есть еще один довольно любопытный тип списков доступа – это динамические списки Dynamic ACL. Или как их еще называют – «Lock & Key», «Замок и Ключ».

Как они работают? В список доступа вставляется динамическое правило, которое активируются лишь после подключения пользователя к маршрутизатору по telnet и его авторизации.

Хочу заметить, что такой функционал доступен только в расширенных (extended) списках доступа и допускается только одно динамическое правило для каждого ACL.

Ключевой командой, активирующей динамические правила во всех списков доступа после подключения и авторизации пользователя является access- enable.

Читать далее

Сетевая безопасность: Списки доступа Time-Based ACL

В предыдущей заметке я напомнил про типы и основные принципы работы обычных списков доступа ACL.

Идем дальше, и теперь вкратце рассмотрим следующую разновидность списков доступа – это Time-Based ACL.

Они позволяют включать отдельные правила в списке доступа в определенный временной интервал и заданные дни недели.

Этот функционал поддерживается только в расширенных (extended) списках доступа

При создании Time-Based ACL сначала необходимо описать временной интервал time-range, в рамках которого будет срабатывать требуемое правило. В IOS используется 24-х часовой формат.

Читать далее

Сетевая безопасность: Обычные списки доступа ACL

Начну с обзора такого традиционного способа защиты ресурсов сети, как обычные списки доступа ACL.

Они позволяют фильтровать проходящий через маршрутизатор транзитный трафик, также трафик к самому маршрутизатору, в зависимости от способа их применения.

Например, мы можем открыть доступ к Web серверу в локальной сети по HTTP/HTTPS, разрешив в списке доступа на входном интерфейсе Gi0/0 порты TCP/80 и TCP/443.

ACL-HTTP-SSH

Если же нам надо обеспечить доступ к маршрутизатору по SSH, то можно воспользоваться ACL на линиях VTY.  Конечно же, есть и другие способы защиты от трафика, адресованного к самому маршрутизатору, например Control-Plane Protection (CPP) c помощью Control-Plane Policing (CoPP), но заметка не об этом.

Читать далее