Téma č.11 (ACL listy )
a) Základné učivo
- uveďte
spôsob filtrácie paketov pri riadení prevádzky po sieti ACL listami
- Aké
poznáme dva základné druhy ACL listov a uveďte syntax ich zápisu
b) Rozšírené učivo
- uveďte
spôsob výpočtu WM pre danú podsieť ( dolná resp. horná polovica podsieťového
priestoru) alebo rozsah hostov
- vytvorte
na smerovači R3 štandardný ACL list, ktorým sa zakáže prístup paketov so
zdrojovou adresou 192.168.11.0/24 na LAN R3 a určte miesto jeho aplikácie,
všetky ostané pakety z iných sietí musia byť povolené.
Vypracovanie:
1 . uveďte spôsob filtrácie paketov pri
riadení prevádzky po sieti ACL listami
Bezpečnosť
v podnikovej sieti je extrémne kritická. Je dôležité zabrániť prístupu neautorizovaným
užívateľom a chrániť sieť pred rozličnými útokmi. Neautorizovaný užívatelia
môžu modifikovať, zničiť, alebo ukradnúť chúlostivé dáta na serveroch. Útoky zabránia právoplatným užívateľom prístup
na rozličné služby. Obidve tieto situácie spôsobia stratu peňazí a času. Cez
prevádzkové filtrovanie administrátori riadia prevádzku v rozličných segmentoch
siete. Filtrovanie je proces analyzovania obsahu paketu na určenie či paket má
byť povolený (permit),
alebo blokovaný (deny).
Povolenie,
alebo zakázanie prevádzky je založené na:
*
zdrojová IP adresa
*
cieľová IP adresa
*
MAC adresa
*
protokol
*
typ aplikácie
ACL
listy sú stavy,
ktoré sú aplikované na prevádzku, ktorá sa šíri cez routrový interface. Tieto
listy hovoria routru, ktoré typy paketov prijať, alebo odmietnuť. Prijatie,
alebo odmietnutie môže byť založené na
rôznych stavoch. ACL listy umožňujú riadiť prevádzku a bezpečný prístup na a zo
siete.
ACL
list môže byť tvorený pre všetky routed sieťové protokoly, ako
je IP protokol a IPX protokol, tiež Môže byť konfigurovaný na routri na riadenie
prístupu na sieť alebo podsieť.
ACL listy filtrujú sieťovú prevádzku
pomocou riadenia či šíriť, alebo blokovať smerované pakety na routrovom
interface. Router skúma každý paket, aby zistil či ho má šíriť alebo zahodiť
podľa stavov špecifikovaných v ACL liste.
Jeden list na port, na smer, na protokol
|
|
Bity porovnávanej adresy na zhodu
|
|
Adresa prichádzajúceho paketu
|
|
zamietni všetky
hosty zo siete 10.0.0.0/16
|
|
Povoľ všetky
hosty zo siete 10.0.0.0/8
|
|
zamietni všetky
hosty zo siete 172.25.0.0/16
|
|
zamietni
všetky hosty zo siete
172.30.0.0/16
|
|
Zamietni len host
192.168.93.240
|
|
Zamietni všetkým hostom zo siete 192.168.55.00/24
|
|
povoľ len host
10.10.10.1
|
|
Povoľ všetkým hostom z podsiete 172.168.4.0/24
|
|
2. Aké
poznáme dva základné druhy ACL listov a uveďte syntax ich zápisu
Dobré miesto
Vyhovuje všetkým požiadavkám.
|
|
Zlé miesto:
Vyhovuje len niektorým požiadavkám. Zabráni prevádzke
zo siete 192.168.1.0 k prístupu na siete 192.168.2.0
a 192.168.3.0
|
|
Požiadavky:
Zabráň prevádzke zo siete 192.168.1.0 na sieť
192.168.4.0. Povoľ, aby sieť
192.168.1.0 mala prístup na všetky siete
|
|
|
|
Extended
ACL listy sú častejšie použité ako štandard ACL listy, pretože zabezpečujú
väčší rozsah riadenia. Extened ACL
listy kontrolujú zdrojové a cieľové adresy paketov, rovnako sú schopné kontrolovať
protokoly a portové čísla. Dáva to väčšiu flexibilitu na popisovanie, čo
ACL kontroluje.
Pakety
môžu mať povolený alebo zamietnutý prístup podľa toho, kde vznikol a jeho
cieľ rovnako ako protokol a portové adresy. Extended ACL môže umožňovať
e-mail prevádzku z fa0/0 na daný S0/0, zatiaľ čo, zamietnuť prenos súborov
a web prehliadanie.
Keď
sú pakety zahodené, niektoré protokoly vysielajú echo paket na vysielač,
udávajúci, že cieľ bol nedosiahniteľný.
Syntax
zápisu pre extended ACL môže byť veľmi dlhý. Wildcard maska má tiež voľbu
použitím kľúčového slova host alebo any.
Na
konci stavu ACL listu môžu byť špecifikované voliteľné portové čísla TCP,
alebo UDP. Môžu byť tiež špecifikované logické činnosti ako:
equal(eq),
not
equel(neq),
greater
than (gt) a
less
than (lt)
Extended
ACL používa portové čísla sú v rozsahu 100-199.
Príkaz ip access-group priraďuje extended
ACL list na interface v smere in alebo out.
|
|
•Rozsah ACL listu je 100-199
•Zdrojová a cieľová IP adresa paketu
•Protokolové čísla vrstvy 4
•Použitý na port čo najbližšie k zdroju
|
|
Priklad extended ACL listu:
|
|
Identifikuje ACL s jediným číslom. Štandard ACL používa čísla
v rozsahu 1-99 a 1300-1999. Extended
ACL používa čísla v rosahu 100-199 a 2000-2699
|
|
Identifikuje, či je paket povolený alebo zakázaný
|
|
Identifikuje protokoly vo vrstve 3/4
|
|
Identifikuje
IP adresu zdroja a cieľa paketu. Táto adresa môže mať hodnotu:
• individuálna
hostová adresa
• rozsah hostových
adries
•
parameter host
•
parameter any
|
|
Určuje
či určité oblasti polí vyhovujú aplikácii
rovný,
väčší
než,
menší
než a atď
|
|
|
|
|
|
|
Identifikuje
aplikáciu buď portovým číslom, alebo kratkou
|
|
|
|
|
Umiestnenie (aplikácia) a extended ACL listu
|
|
Príklad 1:
Požiadavky:
Použi extended ACL list na zabránenie prevádzky zo siete
192.168.1.0 pred vstupom na sieť 192.168.4.0, ale povoľ prístup na všetky
ostatné siete
|
|
Dobré miesto:
Extended ACL list je umiestnený najbližšie k zdroju, ktorý zabráni
prevádzke zo siete 192.168.1.0 od prístupu na sieť 192.168.4.0, ale tiež
umožní prístup na všetky ostatné siete.
|
|
Príklad 2:
•
Aký druh ACL listu?
•
Na ktorom smerovači?
•
Na ktorom interfejsy?
•
V ktorom smere ?
|
|
Požiadavky:
Potrebujeme zabrániť celú prevádzku zo siete 192.168.1.0 od prístupu na sieť
192.168.2.0. ale povoliť prístup na všetky ostatné siete
|
|
Aplikácia ACL:
Int fa0/0
ip access-group 101 in
Príklad 3:
Požiadavka1:
Máme
extended ACL list, ktorý zabráni prevádzku
zo siete 172.16.1.0 od prístupu na sieť 172.16.3.0, ale povolí
prístup na sieť 172.16.2.0 a na ISP. Potrebujete minimalizovať prevádzku na
WAN linkách a môžete umiestniť ACL list len na jeden interface.
|
|
Urči
:
správny
router,
interface,
smer
a miesto pre ACL
|
|
|
|
|
|
|
Požiadavka2:
Máme štandard ACL list, ktorý povolí prístup celej prevádzky
zo siete 172.16.0.0 k prístupu na ISP sieť, ale blokuje všetku ostatnú
prevádzku
|
|
|
|
|
 |
Urči správny router, interface, smer a miesto pre ACL
|
|
3. uveďte
spôsob výpočtu WM pre danú podsieť ( dolná resp. horná polovica podsieťového priestoru)
alebo rozsah hostov
Príklady výpočtu Wildcard masiek (WM):
a)sieťová adresa:
- 192.168.1.0/24.....maska
255.255.255.0
Odčítame masku od 255.255.255.255
255.255.255.255
M 255.255.255.0
WM 0.
0. 0. 255
b) podsieťová adresa:
- 172.16.224.0/18.....podsieťová
maska 255.255.240.0
255.255.255.255
SM 255.255.240.0
WM 0. 0.
15. 255
4.
rozdelenie
podsiete na časti....
nie je potrebné ďalšie rozhranie smerovača
192.168.102.96/27...............192.168.102.0 1 1 0 0 0 0 0
z- 192.168.102.97
k- 192.168.102.126
Použiteľnú časť podsiete rozdelíme na dve časti:
25 = 32-2=30:2=15...polovica podsiete
DP-dolná polovica podsiete
HP- horná polovica podsiete
DP:
z- 192.168.102.97
192.168.102.
0 1 1 0 0 0 0 1
192.168.102. 0 1 1 0 1 1 1 1
WM 0. 0.
0. . 0 0 0 0
1 1 1 0 0. 0. 0.
14
IP 192.168.102. 0 1 1 0
0 0 0 1
192.168.102.97
Tam kde sa nemení IP má hodnotu takú akú nadobúda
v danom rozsahu, tam kde sa mení adresa IP dáva sa začiatok adresného
rozsahu
HP:
z- 192.168.102.112
k- 192.168.102.126
192.168.102.
0 1 1 1 0 0 0 0
192.168.102.
0 1 1 1 1 1 1 0
WM 0.
0. 0. 0 0 0 0
1 1 1 0 0. 0. 0. 14
IP 192. 168.102. 0 1 1 1 0 0 0 0 192.168.102.112
5. párna a nepárna adresa-
192.168.102.0/24
192.168.102.0
0 0 0 0 0 0 0
192.168.102.0 0 0 0
0 0 0 1
192.168.102.0 0 0 0
0 0 1 0
192.168.102.0 0 0 0
0 0 1 1 WM- 0. 0. 0. 1 1 1
1 1 1 1 0...0.0.0.254
192.168.102.0 0 0 0
0 1 0 0 IP - 192.168.102. 0- párna adresa
192.168.102.0 0 0 0
0 1 0 1 192.168.102. 1- nepárna adresa
192.168.102.0 0 0 0
0 1 1 0
192.168.102.0 0 0 0
0 1 1 1
192.168.102.0 0 0 0
1 0 0 0
192.168.102.0 0 0 0
1 0 0 1
192.168.102.0 0 0 0
1 0 1 0
192.168.102.0 0 0 0
1 0 1 1
..
..
192.168.102.1 1 1 1
1 1 1 1
Vytvorte na smerovači R3 štandardný ACL list, ktorým sa
zakáže prístup paketov so zdrojovou adresou 192.168.11.0/24 na LAN R3
a určte miesto jeho aplikácie, všetky ostané pakety z iných sietí
musia byť povolené.
k- 192.168.102.111
Žiadne komentáre:
Zverejnenie komentára