Настройка запрета обработки маршрутов, указанных в обновлениях

⇐ ПредыдущаяСтр 7 из 11Следующая ⇒

Кроме запрета отправления маршрутной информации, необходимо еще запретить обработку обновлений маршрутов, которые могут оказаться фиктивными. Надо установить список доступа, который разрешает использовать обновления маршрутизации, исходящие только от маршрутизаторов сети, информация о которых имеется в таблице маршрутизации данного маршрутизатора. Для обеспечения этого необходимо: 1. Сформировать список доступа разрешающий получение обновлений от надежного внешнего источника. 2. Применение этого списка в подрежиме конфигурации протокола маршрутизации к входящему интерфейсу. Замечание. Протоколы маршрутизации OSPF и IS-IS эту функцию не поддерживают.

Картинка из 3-2-10. R1(config)#access-list 10 permit host 200.1.1.2 R1(config)#router eigrp 100 R1(config-router)# distribute-list 10 in serial 0/1/0 R1(config-router)#exit Рис 3-2-11.

3-2-12 Настройка фильтрации входящего сетевого трафика

Для предотвращения атак с использованием фальсифицированных внутренних адресов сети необходимо настроить маршрутизатор так, чтобы он не принимал на внешний интерфейс пакеты с адресами от внутренних источников. Кроме этого можно запретить адреса из диапазонов 10., 172.16 – 31, 192.168. Но при этом необходимо разрешить трафик для внутренних сетей, если он был инициирован из самой сети (протокол TCP). Если в строке списка доступа установить опцию established, то заголовки пакетов TCP будут проверяться по битам ACK и RST.

Картинка из 3-2-10. Фильтрация входящего сетевого трафика R1(config)#access-list 110 deny ip 10.0.0.0 0.255.255.255 any R1(config)#access-list 110 deny ip 172.16.0.0 0.15.255.255 any R1(config)#access-list 110 deny ip 192.168.0.0 0.0.255.255 any R1(config)#access-list 110 permit ip any any R1(config)#interface serial 0/1/0 R1(config-if)# ip access-group 110 in Разрешение сеансов TCP, установленных из внутренней сети R1(config)#access-list 120 permit tcp 10.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 established R1(config)#access-list 120 permit tcp 172.16.1.0 0.0.0.255 172.16.1.0 0.0.0.255 established Рис 3-2-12.

3-2-13 Демонстрационный пример настройки фильтрации трафика

Настроить фильтрацию трафика с помощью списков доступа, которые обеспечивают следующую политику защиты: - разрешить весь исходящий трафик; - разрешить входящий трафик, установленный изнутри; - запретить остальной входящий трафик с регистрацией попыток несанкционированного доступа.

Картинка из 3-2-10. R1(config)#access-list 10 permit 10.1.1.0 0.0.0.255 R1(config)#access-list 10 permit 172.16.1.0 0.0.0.255 R1(config)#access-list 110 permit tcp any any established R1(config)#access-list 110 deny ip any any log R1(config)#interface serial 0/1/0 R1(config-if)# ip access-group access 10 out R1(config-if)# ip access-group access 110 in Рис 3-2-13

3-2-14 Упражнение понастройке фильтрации трафика

симуляция Router(config)#access-list 1 permit any Router(config)#access-list 101 permit tcp any any established Router(config)#access-list 101 deny ip any any

3.3.Технология защиты ААА

Задачи и концепции ААА

⇐ Предыдущая 2 3 4 5 678 9 10 11 Следующая ⇒

Читайте также:

Формы дистанционного обучения

Передача мяча двумя руками снизу

Значение правильной осанки для жизнедеятельности человека

Основные ошибки при выполнении передач мяча на месте

Последнее изменение этой страницы: 2021-09-26; просмотров: 40; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.144.86.138 (0.005 с.)