Сетевая безопасность: Динамические списки доступа Dynamic ACL (Lock & Key)

Ранее мы ознакомились с обычными списками доступа и списками, срабатывающими в заданное время — Time-Based ACL.

Есть еще один довольно любопытный тип списков доступа – это динамические списки Dynamic ACL. Или как их еще называют – «Lock & Key», «Замок и Ключ».

Как они работают? В список доступа вставляется динамическое правило, которое активируются лишь после подключения пользователя к маршрутизатору по telnet и его авторизации.

Хочу заметить, что такой функционал доступен только в расширенных (extended) списках доступа и допускается только одно динамическое правило для каждого ACL.

Ключевой командой, активирующей динамические правила во всех списков доступа после подключения и авторизации пользователя является access- enable.

Для того чтобы команда access- enable автоматически выполнялась после аутентификации пользователя, он так же должен быть авторизован для доступа к exec.

У команды access- enable есть два аргумента:

  • host – в этом случае динамические правила активируются только для хоста (его IP адреса), откуда была открыта сессия аутентификации по telnet. Если же аргумент host  не указан, то правила активируются для всех хостов сети.
  • timeout – время неактивности (в минутах), по истечении которого деактивируются динамические правила в ACL

При создании динамического правила в списке доступа можно также указать и абсолютный timeout, при наступлении которого динамические правила будут деактивированы. Например, 5 мин., и тогда через 5 минут после аутентификации и авторизации динамические правила станут неактивными.

Есть еще также глобальная команда access- list dynamic- extended, увеличивающая каждый раз абсолютный timeout на 6 мин., если пользователь снова залогинился на маршрутизатор по telnet до истечения абсолютного timeout-а.

Значение timeout в параметре команды access- enable не должно превышать значения абсолютного timeout в динамическом правиле ACL.

В приведенном ниже примере всем пользователям локальной сети LAN изначально запрещен доступ в Интернет по TCP, но открыт доступ по IP. Также разрешен доступ по telnet (TCP/23) к самому маршрутизатору R1.

И если пользователь с именем cisco и паролем learncisco подключится к маршрутизатору по telnet, то для него автоматически выполнится команда access- enable host timeout 1 и с его IP адреса на 5 мин. будет разрешен выход в Интернет по TCP, например, HTTP и FTP.

Это динамическое правило так же деактивируется через 1 мин. неактивности пользователя.

Cisco IOS Dynamic ACL

Пример конфигурации:

R1:
aaa new-model
aaa authentication login VTY local
aaa authorization exec VTY local
!
username cisco password learncisco
username cisco autocommand access-enable host timeout 1
!
ip access-list extended DYNAMIC_ACL
dynamic D_ACL timeout 5 permit tcp any any
permit tcp any host 192.168.1.1 eq 23
deny tcp any any
permit ip any any
!
interface GigabitEthernet0/1
ip access-group DYNAMIC_ACL in
!
line vty 0 4
login authentication VTY
authorization exec VTY
!
access-list dynamic-extended

В качестве замка  тут выступает список доступа, а ключом, его открывающим является аутентифицированная и авторизованная telnet сессия к маршрутизатору R1.

Интересная возможность, но, опять таки не решающая основной проблемы, связанной со списками доступа.

Есть ли еще какие либо дополнительные способы защиты сетевых ресурсов?

Подписывайтесь на рассылку и все узнаете >>

Сетевая безопасность: Динамические списки доступа Dynamic ACL (Lock & Key): 1 комментарий

Добавить комментарий для Анатолий Отменить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.