Сетевая безопасность: Списки доступа Time-Based ACL

В предыдущей заметке я напомнил про типы и основные принципы работы обычных списков доступа ACL.

Идем дальше, и теперь вкратце рассмотрим следующую разновидность списков доступа – это Time-Based ACL.

Они позволяют включать отдельные правила в списке доступа в определенный временной интервал и заданные дни недели.

Этот функционал поддерживается только в расширенных (extended) списках доступа

При создании Time-Based ACL сначала необходимо описать временной интервал time-range, в рамках которого будет срабатывать требуемое правило. В IOS используется 24-х часовой формат.

Есть два вида time- range:

  • Абсолютный (Absolute) – не повторяющийся, c фиксированной датой и временем начала и окончания действия (например, с 10:00 23 февраля по 23:59 25 февраля).
  • Периодический (Periodic) – периодический, повторяющийся в заданные дни недели. Это могут быть отдельные дни, например Mon, Tue, Fri и т.д. Либо целые диапазоны, такие как «ежедневно», «рабочие» или «выходные» дни (daily, weekdays, weekends).

Далее, в расширенный список доступа вставляется это правило с указанием временного интервала его действия time-range и список доступа применяется на интерфейсе в требуемом направлении.

Напомню, что при выборе направления действия ACL in/out мы всегда находимся «внутри маршрутизатора».

Например, мы можем полностью запретить доступ из локальной сети к серверу в Интернете (IP: 31.192.120.36) в рабочее время с 10 до 18.

Пытливый ум найдет, что это за сервер, воспользовавшись утилитами nslookup, dig, либо просто указав этот адрес в URL строке браузера 🙂

Time-Based ACL

Пример конфигурации:

R1:

time-range WEEKDAYS
 periodic weekdays 10:00 to 17:59
!
ip access-list extended TIME_BASED_ACL
 deny ip 192.168.1.0 0.0.0.255 host 31.192.120.36 time-range WEEKDAYS
 permit ip any any
!
interface GigabitEthernet0/1
 ip access-group TIME_BASED_ACL in

Решают ли такие списки доступа проблемы, обозначенные в предыдущей заметке? Не думаю.

Но, тем не менее, они помогают более гранулировано фильтровать ненужный трафик на основе заданных интервалов времени и дней недели.

Какие еще есть способы защиты сетевых ресурсов?

Подписывайтесь на рассылку и забирайте новые материалы >>

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *