Сетевая безопасность: Обычные списки доступа ACL

Начну с обзора такого традиционного способа защиты ресурсов сети, как обычные списки доступа ACL.

Они позволяют фильтровать проходящий через маршрутизатор транзитный трафик, также трафик к самому маршрутизатору, в зависимости от способа их применения.

Например, мы можем открыть доступ к Web серверу в локальной сети по HTTP/HTTPS, разрешив в списке доступа на входном интерфейсе Gi0/0 порты TCP/80 и TCP/443.

ACL-HTTP-SSH

Если же нам надо обеспечить доступ к маршрутизатору по SSH, то можно воспользоваться ACL на линиях VTY.  Конечно же, есть и другие способы защиты от трафика, адресованного к самому маршрутизатору, например Control-Plane Protection (CPP) c помощью Control-Plane Policing (CoPP), но заметка не об этом.

Остановимся пока на списках доступа, которые, кстати, используются не только для фильтрации трафика, но и для его описания и последующей классификации. Например, в том же CoPP.

Обычные списки доступа могут быть следующих типов:

Стандартные (standard):

  • Номера списков доступа 1-99, 1300—1999
  • Можно указывать только адрес источника для протокола IP
  • Пример:
    access-list 10 permit 192.168.1.0 0.0.0.255

Расширенные (extended):

  • Номера списков доступа 100-199, 2000—2699
  • Можно указывать адрес источника и получателя
  • Можно указывать порты TCP/UDP источника и получателя
  • Можно указывать тип протокола (IP, ICMP, UDP, TCP или номер протокола)
  • Пример:
    access-list 100 permit tcp any 192.168.1.10 0.0.0.255 eq 80

Именованные (named):

  • вместо номера указывается имя списка доступа и его тип: стандартный или расширенный
  • Пример:
    ip access-list extended HTTPS_ACL
      permit tcp any 192.168.1.0 0.0.0.255 eq 443

Краткое руководство по работе со списками доступа ACL

  1. Правила в списке доступа просматриваются IOS сверху вниз, до первого совпадения. Поэтому наиболее точные правила должны быть в начале
  2. В конце каждого списка доступа есть скрытое правило, запрещающее все (deny any any)
  3. Списки доступа создаются в глобальном режиме конфигурации и затем уже применяются на уровне интерфейсов во входящем или исходящем направлении (с точки зрения маршрутизатора), например:
    interface Ethernet0/0
    ip access-group HTTPS_ACL in
  4. Допускается только один список доступа на каждом интерфейсе, для каждого протокола и в каждом направлении.
  5. Стандартные списки доступа рекомендуется применять как можно ближе к получателю.
  6. Расширенные списки доступа рекомендуется применять как можно ближе к источнику.

Основное достоинство таких списков доступа – это простота работы с ними. Списки доступа есть в любой версии IOS и на любой аппаратной платформе. Более того, в современных версиях IOS есть также поддержка и object-group, пришедшая из кода ASA, что еще сильнее упрощает написание правил в ACL.

Недостаток – обычные списки доступа не позволяют отслеживать состояния текущих соединений и динамически открывать нужные порты для работы протоколов прикладного уровня.

Например, для работы FTP в активном режиме требуются два порта: TCP/21 и TCP/20. Клиент FTP подключается к серверу по TCP/21, а тот уже отвечает с порта TCP/20. И если не открыть в списке доступа этот порт вручную, то не будет работать канал передачи данных по FTP.

Но об этом уже в следующей заметке.

Подписывайтесь на рассылку и получайте новые материалы >>

 

Сетевая безопасность: Обычные списки доступа ACL: 1 комментарий

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.