Использование списков контроля доступа

↑

▷ Содержание

⇐ ПредыдущаяСтр 10 из 20Следующая ⇒

Безопасность в корпоративной сети играет крайне важную роль. Важно предотвратить несанкционированный доступ пользователей и защитить сеть от различного рода атак, таких как DoS-атаки. В случае несанкционированного доступа злоумышленники могут изменить, разрушить или украсть конфиденциальные данные с серверов. DoS-атаки препятствуют доступу легальных пользователей к ресурсам. В обоих случаях компания теряет время и деньги.

Фильтрация трафика позволяет администратору контролировать трафик в различных сегментах сети. Фильтрация представляет собой процесс анализа содержимого пакета с целью разрешения или блокировки его передачи.

Фильтрация пакетов может быть простой и сложной и может запрещать или разрешать трафик по следующим критериям:

- исходный IP-адрес;

- конечный IP-адрес;

- MAC-адреса;

- протоколы;

- тип приложения.

Фильтрацию пакетов можно сравнить с фильтрацией нежелательной почты. Многие почтовые приложения позволяют пользователю настраивать автоматическое удаление сообщений электронной почты, приходящих с определенного исходного адреса. Фильтрация пакетов может осуществляться подобным образом путем настройки маршрутизатора на определение нежелательного трафика.

Фильтрация пакетов позволяет повысить производительность сети. Благодаря запрету нежелательного или запрещенного трафика близко к его источнику, трафик не передается по сети и не потребляет ценные ресурсы.

В число устройств, чаще всего используемых для фильтрации трафика, входят следующие:

- брандмауэры, встроенные в интегрированные маршрутизаторы;

- выделенные устройства обеспечения безопасности;

- серверы.

Некоторые устройства фильтруют только трафик, возникающий во внутренней сети. Более совершенные устройства безопасности способны распознавать и фильтровать известные типы атак из внешних источников.

Корпоративные маршрутизаторы способны распознавать вредоносный трафик и предотвращать его попадание в сеть и нарушение работоспособности сети. Практически все маршрутизаторы выполняют фильтрацию трафика по исходным и конечным IP-адресам пакетов. Они также фильтруют определенные приложения и протоколы, такие как IP, TCP, HTTP, FTP и Telnet.

Одним из наиболее распространенных способов фильтрации трафика является использование списков контроля доступа (ACL-списков). ACL-списки можно использовать для управления входящим и существующим трафиком в сети и его фильтрации.

Размер ACL-списка может варьироваться от одной инструкции, по которой разрешается или блокируется трафик от одного источника, до сотни инструкций, разрешающих или запрещающих пакеты с нескольких источников. В основном, ACL-списки используются для определения типов принимаемых или отклоняемых пакетов.

ACL-списки определяют трафик для нескольких целей:

- указание внутренних узлов для NAT;

- обнаружение и классификация трафика для обеспечения расширенных возможностей, таких как QoS и организация очереди;

- ограничение содержимого обновления маршрутизации;

- ограничение отладочных выходных данных;

- контроль доступа виртуальных терминалов к маршрутизаторам.

Использование ACL-списков может быть сопряжено со следующими потенциальными проблемами:

- дополнительная нагрузка на маршрутизатор для проверки всех пакетов означает меньшее время на фактическую пересылку пакетов;

- плохо организованные ACL-списки создают даже еще большую нагрузку на маршрутизатор и могут нарушить работоспособность сети;

- неправильно размещенные ACL-списки блокируют допустимый трафик и разрешают запрещенный.

Администратору доступно несколько вариантов создания списков контроля доступа. Сложность требований к структуре определяет тип необходимого ACL-списка. Существует три типа ACL-списков.

Стандартные ACL-списки

Стандартный ACL-список является самым простым из трех типов. При создании стандартного ACL-списка для IP-протокола, фильтрация по ACL-спискам осуществляется на основе исходного IP-адреса пакета. Стандартные ACL-списки определяют разрешения пакетов на основе всего протокола, такого как IP-протокол. Таким образом, при запрете узлового устройства стандартным ACL-списком, запрещаются все службы этого узла. Такой тип ACL-списка полезен для разрешения доступа всех служб определенного пользователя или локальной сети (LAN) через маршрутизатор с запретом доступа с других IP-адресов. Стандартные ACL-списки определяются по присваиваемым им номерам. Номера из диапазона от 1 до 99 и от 1 300 до 1 999 присваиваются спискам доступа, разрешающим или блокирующим IP-трафик.

Расширенные ACL-списки

Расширенные ACL-списки используются для фильтрации не только по исходному IP-адресу, но и по конечному IP-адресу, протоколу и номерам портов. Расширенные ACL-списки используются чаще стандартных, поскольку они являются более определенными и обеспечивают более высокий уровень контроля. Расширенным ACL-спискам присваиваются номера из диапазона от 100 до 199 и от 2 000 до 2 699.

Именованные ACL-списки

Именованные ACL-списки (NACL-списки) имеют формат стандартного или расширенного списка и обозначаются описательным именем, а не номером. При настройке именованных ACL-списков, маршрутизатор IOS использует режим подкоманды NACL.

Таблица 1

Типы списков доступа IOS

В списках контроля доступа содержится одна или более инструкций. Каждая инструкция либо разрешает, либо запрещает трафик на основе указанных параметров. Трафик сравнивается с каждой инструкцией в ACL-списке по порядку, пока не будет найдено совпадение или не закончится список инструкций.

Последняя инструкция в ACL-списке всегда неявно запрещает трафик. Эта инструкция автоматически вставляется в конец каждого ACL-списка, хотя и не присутствует в нем физически. Неявный запрет блокирует весь трафик. Эта возможность позволяет предотвратить случайное попадание нежелательного трафика.

После создания списка контроля доступа, его необходимо применить к интерфейсу, чтобы задействовать его. ACL-список предназначен для фильтрации входящего или исходящего трафика, проходящего через интерфейс. Если пакет соответствует разрешающей инструкции, то он пропускается маршрутизатором. Если он соответствует запрещающей инструкции, он останавливается. ACL-список без единой разрешающей инструкции приводит к блокированию всего трафика. Это объясняется тем, что в конце каждого ACL-списка указывается неявное запрещение. Таким образом, ACL-список будет препятствовать прохождению всего трафика, если не указаны особые разрешения.

Администратор может использовать входящий или исходящий ACL-список для интерфейса маршрутизатора. Входящее или исходящее направление всегда рассматривается с точки зрения маршрутизатора. Трафик, поступающий через интерфейс, является входящим, а отправляемый через интерфейс – исходящим.

При получении пакета по интерфейсу, маршрутизатор проверяет следующие параметры:

- наличие ACL-списка, связанного с интерфейсом;

- определение типа ACL-списка (входящий/исходящий);

- определение соответствия трафика разрешающим или запрещающим условиям.

ACL-список, применяемый как исходящий к интерфейсу, не действует для входящего трафика по тому же интерфейсу.

Для каждого интерфейса маршрутизатор может иметь один ACL-список для одного направления по каждому сетевому протоколу. Для IP-протокола, один интерфейс может иметь один входящий ACL-список и один исходящий ACL-список одновременно.

ACL-списки, применяемые к интерфейсу, создают запаздывание трафика. Даже один длинный ACL-список может повлиять на производительность маршрутизатора.

ЛЕКЦИЯ 9.

Познавательные статьи:



Как правильно слушать собеседника

Типичные ошибки при выполнении бросков в баскетболе

Принятие христианства на Руси и его значение

Средства массовой информации США