CCNA Exploration Accessing the WAN Тема 5 Access Control List (ACL) Pavlinka Radoyska / Botevgrad / [email protected] ACL за повишаване на сигурността Pavlinka Radoyska / Botevgrad / [email protected] TCP комуникации Pavlinka.
Download ReportTranscript CCNA Exploration Accessing the WAN Тема 5 Access Control List (ACL) Pavlinka Radoyska / Botevgrad / [email protected] ACL за повишаване на сигурността Pavlinka Radoyska / Botevgrad / [email protected] TCP комуникации Pavlinka.
Slide 1
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 2
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 3
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 4
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 5
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 6
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 7
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 8
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 9
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 10
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 11
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 12
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 13
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 14
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 15
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 16
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 17
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 18
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 19
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 20
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 21
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 22
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 23
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 24
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 25
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 26
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 27
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 28
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 29
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 30
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 31
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 32
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 33
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 34
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 35
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 36
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 37
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 38
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 39
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 40
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 41
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 42
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 43
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 44
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 45
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 46
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 47
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 48
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 49
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 50
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 51
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 52
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 53
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 54
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 55
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 56
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 57
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 58
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 59
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 60
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 61
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 62
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 63
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 2
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 3
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 4
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 5
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 6
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 7
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 8
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 9
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 10
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 11
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 12
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 13
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 14
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 15
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 16
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 17
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 18
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 19
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 20
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 21
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 22
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 23
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 24
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 25
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 26
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 27
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 28
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 29
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 30
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 31
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 32
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 33
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 34
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 35
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 36
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 37
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 38
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 39
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 40
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 41
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 42
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 43
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 44
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 45
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 46
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 47
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 48
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 49
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 50
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 51
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 52
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 53
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 54
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 55
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 56
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 57
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 58
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 59
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 60
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 61
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 62
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63
Slide 63
CCNA Exploration
Accessing the WAN
Тема 5
Access Control List (ACL)
Pavlinka Radoyska / Botevgrad /
[email protected]
1
ACL за повишаване на
сигурността
Pavlinka Radoyska / Botevgrad /
[email protected]
2
TCP комуникации
Pavlinka Radoyska / Botevgrad /
[email protected]
3
Номера на портове
Pavlinka Radoyska / Botevgrad /
[email protected]
4
Филтриране на пакети
Филтрирането се извършва в рутерите,
които работят на Layer2, но може да
филтрира и на базата на информация от
по-високи нива
Филтриране на базата на Layer2
Source IP address
Destination IP address
ICMP message type
Филтриране на базата на Layer3
TCP/UDP source port
TCP/UDP destination port
Pavlinka Radoyska / Botevgrad /
[email protected]
5
Пример за филтриране
Pavlinka Radoyska / Botevgrad /
[email protected]
6
Какво е ACL?
ACL е конфигурационен скрипт върху рутера.
За всеки интерфейс, за всеки мрежов
протокол и за всяка посока се прави отделен
ACL.
ACL съдържа редове с филтрирща
информация, която предписва пропускане
(permit) или отхвърляне (deny) на пакета.
Редовете се обхождат отгоре надолу.
При откриване на съответствие,
предписанието се изпълнява и обхождането
се прекратява.
Pavlinka Radoyska / Botevgrad /
[email protected]
7
ACL - приложение
ACL-ите играят ролята на защитна стена
между вътрешната мрежа и външната
мрежа.
С помощта на ACL може да се филтрира
трафика между подмрежи в локалната
мрежа
Pavlinka Radoyska / Botevgrad /
[email protected]
8
ACL - задачи
Ограничава мрежовия трафик и подобрява
производителността на мрежата (например
забрана на обмен на видео информация).
Контрол на трафика (забрана на получаване на
рутиращи ъпдейти, когато не е необходимо –
икономия на капацитет).
Подобрява защитеността при достъп до
интернет (разрешава на част от клиентите да
имат достъп, а други –не).
Разрешава някои типове трафик и забранява
друг (разрешава e-mail, но забранява Telnet).
Pavlinka Radoyska / Botevgrad /
[email protected]
9
Алгоритъм на входящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
10
Алгоритъм на изходящия контрол
Pavlinka Radoyska / Botevgrad /
[email protected]
11
deny all
В края на всеки ACL се счита, че е написано
deny all, което означава, че всичко, което не
е споменато в списъка е забранено.
Pavlinka Radoyska / Botevgrad /
[email protected]
12
Типове ACL
Стандаретен
Филтрира само по адрес на източника
access-list 10 permit 192.168.30.0 0.0.0.255
Разширен: Филтрира по:
адрес на източника и на получателя
номер на порт на източника и на получателя
протокол – IP, ICMP, TCP, UDP или номер на
протокола
access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq 80
Pavlinka Radoyska / Botevgrad /
[email protected]
13
Маркиране на ACL
С номера:
(0 ÷ 99) и (1300 ÷ 1999) – стандартен ACL
(100 ÷ 199) и (2100 ÷ 2699) – разширен ACL
Изтриват се всички записи (редове)
Записите се подреждат по реда на въвеждане
С имена
Букви и цифри (бз интервали)
Започва с буква
Препоръчва се да се пише с главни букви
Позволява изтриване на отделни записи
Pavlinka Radoyska / Botevgrad /
[email protected]
14
Стандартните ACL се разполагат близо
до получатля
Pavlinka Radoyska / Botevgrad /
[email protected]
15
Разширените ACL се разполагат близо
до източника
Pavlinka Radoyska / Botevgrad /
[email protected]
16
Конфигуриране на стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
17
Синтаксис на запис
Фиртриране на група адреси
Router(config)#access-list №
[deny | permit | remark] source [sourcewildcard] [log]
Филтриране на един адрес
Router(config)#access-list №
[deny | permit] host source [log]
deny – забрана
permit – разрешение
remark – коментар
Pavlinka Radoyska / Botevgrad /
[email protected]
18
Пример
Router(config)#
access-list 2 deny host 192.168.10.1
Router(config)#
access-list 2 permit 192.168.10.0 0.0.0.255
Router(config)#
access-list 2 deny 192.168.0.0 0.0.255.255
Router(config)#
access-list 2 permit 192.0.0.0 0.255.255.255
Pavlinka Radoyska / Botevgrad /
[email protected]
19
Премахване на ACL
Синтаксис
Router(config)#no access-list №
Пример
Router(config)#no access-list 2
! Премахват се всички записи
Pavlinka Radoyska / Botevgrad /
[email protected]
20
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
21
Коментари
Pavlinka Radoyska / Botevgrad /
[email protected]
22
Wildcard Mask
Има подобно действие като мрежовата
маска
0 – значещата част на адреса
1 – незначеща част на адреса (игнорира
се)
Pavlinka Radoyska / Botevgrad /
[email protected]
23
Изчисления с Wildcard Mask 1/2
Pavlinka Radoyska / Botevgrad /
[email protected]
24
Изчисления с Wildcard Mask 2/2
Вместо двата записа
R1(config)# access-list 10 permit 192.168.10.0
0.0.0.255
R1(config)# access-list 10 permit 192.168.11.0
0.0.0.255
По-ефективно е да се запише
R1(config)# access-list 10 permit 192.168.10.0
0.0.1.255
Pavlinka Radoyska / Botevgrad /
[email protected]
25
Ключовите думи host и any
host wildcard mask 0.0.0.0
R1(config)# access-list 10 permit
192.168.10.10 0.0.0.0
R1(config)# access-list 10 permit
host 192.168.10.10
any wildcard mask 255.255.255.255
R1(config)# access-list 10 permit
0.0.0.0 255.255.255.255
R1(config)# access-list 10 permit any
Pavlinka Radoyska / Botevgrad /
[email protected]
26
Преглед на ACL
Router# show access-list [№ | име]
Pavlinka Radoyska / Botevgrad /
[email protected]
27
Асоцииране на ACL с интерфейс
Създава се ACL с определен номер и
последователност от записи
2. Влиза се в режим на конфигуриране на
съответния интерфейс
3. Асоциира се ACL с интерфейса, като се
указва посоката
! Винаги се гледа от вътрешността на рутера.
Синтаксис
Router(config-if)#ip access-group
{access-list-number | access-list-name}
{in | out}
1.
Pavlinka Radoyska / Botevgrad /
[email protected]
28
Pavlinka Radoyska / Botevgrad /
[email protected]
29
Pavlinka Radoyska / Botevgrad /
[email protected]
30
Pavlinka Radoyska / Botevgrad /
31
[email protected]
Използване на ACL за контрол на VTY
ACL може дасе използва за контрол на
достъпа по VTY. Създаването е
аналогично, но асоциирането става с
командата access-class
Router(config-line)# access-class
access-list-number
{in [vrf-also] | out}
Pavlinka Radoyska / Botevgrad /
[email protected]
32
Pavlinka Radoyska / Botevgrad /
[email protected]
33
Редактиране на номериран ACL 1/2
! С командата no access-list № се изтрива
целия списък от ACL-а с този номер.
1. С командата show running-config |
include access-list се показват на екрана
всички записи от всички ACL.
2. Копират се всички необходими записи
(дори могат да се редактират в
Notepade).
3. Влиза се в режим на създаване на ACL и
се поставят всички записи.
Pavlinka Radoyska / Botevgrad /
[email protected]
34
Редактиране на номериран ACL 2/2
Pavlinka Radoyska / Botevgrad /
[email protected]
35
Създаване на именуван стандартен ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
36
Pavlinka Radoyska / Botevgrad /
37
[email protected]
Редактиране на именуван ACL 1/2
Записите в именуваните ACL са
номерирани, което позволява:
изтриване на определен запис
вмъкване на запис в списъка
Pavlinka Radoyska / Botevgrad /
[email protected]
38
Редактиране на именуван ACL 2/2
Pavlinka Radoyska / Botevgrad /
39
[email protected]
Конфигуриране на
разширени ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
40
Синтаксис
Pavlinka Radoyska / Botevgrad /
[email protected]
41
Пример
Pavlinka Radoyska / Botevgrad /
[email protected]
42
Асоцииране на EACL към интерфейс
Pavlinka Radoyska / Botevgrad / 43
[email protected]
Pavlinka Radoyska / Botevgrad /
[email protected]
44
Pavlinka Radoyska / Botevgrad /
[email protected]
45
Съдсаване на именуван EACL
46
Конфигуриране на сложни ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
47
Видове
Dynamic ACL (lock-and-key) – само за IP трафик.
Клиента първо се свързва с рутера по TELNET,
идентифицира се и чак тогава неговите пакети са
разрешени за преминаване през рутера. TELNET
сесията може да се затвори.
Reflexive ACL – приема външен трафик, само
ако сесията е инициирана от вътрешната мрежа.
Time-based ACL – достъпа се ограничава като
дни, часове минути.
Pavlinka Radoyska / Botevgrad /
[email protected]
48
Dynamic ACL
Кога се прилага:
За достъп на отдалечени клиенти с фирмения
рутер.
За връзка на определени клиенти от
вътрешната мрежа с външни адреси.
Pavlinka Radoyska / Botevgrad /
[email protected]
49
Предимства на Dynamic ACL защитеност
Механизъм за идентифициране на отделни
клиенти
Опростяване на управлението при свързване на
мрежи
Намаляване на процесите в рутера по
обработване на ACL
Намаляване на възможността за пробив от
хакери
Създаване на динамичен достъп през защитната
стена без да се налага непрекъсната промяна на
конфигурацията на рутера.
Pavlinka Radoyska / Botevgrad /
[email protected]
50
Dynamic ACL - примери
Reflexive ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
52
Предимства на Reflexive ACL
Защита от хакери, може да се вгради в
защитната стена.
Защитава от spoofing и някои DoS атаки.
Прост и лесен за използване, съвместим с
принципита на ACL, като осигурява добър
контрол.
Pavlinka Radoyska / Botevgrad /
[email protected]
53
Pavlinka Radoyska / Botevgrad /
[email protected]
54
Time-based ACL
Предимства
Позволяват на администратра да има подобър контрол върху достъпа до
ресурсите
Позволява на администратора да
контролира съобщенията за вързване (помалко са)
Pavlinka Radoyska / Botevgrad /
[email protected]
55
Time-based ACL
Pavlinka Radoyska / Botevgrad /
[email protected]
56
Отстраняване на проблеми
Pavlinka Radoyska / Botevgrad /
[email protected]
57
Pavlinka Radoyska / Botevgrad /
[email protected]
58
Pavlinka Radoyska / Botevgrad /
[email protected]
59
Pavlinka Radoyska / Botevgrad /
[email protected]
60
Pavlinka Radoyska / Botevgrad /
[email protected]
61
Pavlinka Radoyska / Botevgrad /
[email protected]
62
Благодаря за вниманието!
Pavlinka Radoyska / Botevgrad /
[email protected]
63