Лекция 13. Защита компьютерных сетей списками доступа АСL CISCO

Технология ACL

Списки управления доступом (Access Control List, ACL) – одно из важнейших средств организации базовой безопасности составных и распределенных IP-сетей. Требование безопасности особенно актуально в локальных корпоративных сетях, связанных с открытой глобальной сетью Internet через пограничные маршрутизаторы.

Списки доступа являются управляемыми фильтрами для проходящего трафика, при соответствующей настройке один трафик они могут беспрепятственно пропускать дальше, другой – блокировать (подавлять, отбрасывать). ACL устанавливаются на интерфейсах пограничных маршрутизаторов. В результате эти маршрутизаторы становятся межсетевыми экранами или брандмауэрами (firewall), подавляя непредусмотренный сетевой трафик из Internet в корпоративную сеть и наоборот и обеспечивая защиту периметра корпоративной сети.

Операционная система маршрутизаторов от компании Cisco Systems имеет мощные встроенные средства для создания разнообразных по сложности и функциональности списков доступа. При этом критерием для фильтрации могут быть значения: IP-адреса отправителя и получателя проходящих пакетов сетевого уровня; имена протоколов более высокого уровня; номера TCP- и UDP-портов и др. параметры.

В целом, список доступа ACL представляет собой упорядоченный набор из одного или нескольких правил (шаблонов), используемых для сравнения с параметрами проходящих пакетов через данный интерфейс. Синтаксически отдельное правило – это точно одна строка. Для каждого пакета список ACL просматривается заново, последовательно, начиная с первого правила:

- если параметры пакета не совпадают с параметрами данного правила, то правило игнорируется и рассматривается следующее по порядку правило;

- если параметры пакета правилу удовлетворяют, то выполняется одно из запрограммированных в правиле действий – разрешить (ключевое слово permit) прохождение пакета дальше или блокировать (deny) прохождение. При этом последующие правила в ACL для этого пакета уже не рассматриваются.

С целью большей безопасности в конце каждого списка ACL присутствует неотображаемое (скрытое) правило – «запретить все кроме того, что в ACL явно разрешено».

Для идентификации конкретного ACL всем его правилам присваивается некоторый одинаковый числовой номер (так называемые «нумерованные» ACL) или символьное имя («именованные» ACL). Номер или имя используются для ссылки на правила ACL как на единый объект.

Существует два вида списков доступа: стандартные ( standard ) ACL и расширенные ( extended ) ACL. Более простые стандартные ACL содержат в правилах только адрес отправителя пакета, а расширенные – как адрес отправителя, так и адрес получателя, а также множество других контролируемых параметров.

Настройка списков доступа всегда соcтоит из двух шагов:

1) определения ACL, т.е. написания правил-шаблонов для сравнения;

2) активизации определенного ACL на заданном интерфейсе маршрутизатора.

Пока второй шаг не выполнен, списки доступа никакого влияния на фильтрацию пакетов не оказывают.

Стандартные списки доступа

Список доступа – это список строк-правил. Каждое правило стандартного списка ACL фильтрации IP-пакетов для маршрутизаторов Cisco вводится по команде (в глобальном режиме):

 

access-list номер ACL deny | permit адрес отправителя спец. маска адреса

 

где номер ACL – любой номер из диапазона 1…99 или 1300…1999; адрес отправителя – 32-битовый IP-адрес хоста или адрес подсети; спец. маска адреса – 32-битовая маска специального для ACL вида.

В этой маске цепочка нулей слева указывают на те биты адрес отправителя, которые должны обязательно проверяться на совпадение с этими же битами в адресе отправителя, а оставшиеся единицы маски указывают на те биты, для которых совпадение проверять не требуется.

Пара < адрес отправителя спец. маска адреса > образуют адресный шаблон-правило для фильтрации проходящих через интерфейс пакетов. Если адрес отправителя пакета совпадает с адресным шаблоном, то выполняется указанное в команде действие – запретить или разрешить. Если не совпадает, то команда игнорируется и анализируется следующая по порядку команда из данного ACL. Введение специальной маски адреса позволяет гибко формировать адресный шаблон для фильтрации как отдельных IP-адресов, так и сразу группы адресов хостов. Примеры адресных шаблонов:

 

192.168.15.22 0.0.0.0 - должны проверяться все биты адреса на совпадение с указанным адресом.

host192.168.15.22 - другая разрешенная и более наглядная форма записи

шаблона, по действию подобная предыдущей.

0.0.0.0 255.255.255.255 - не требуется проверять никакие биты на совпадение, т.е. правилу соответствует любой адрес отправителя.

any – «всякий». Другая разрешенная и более наглядная форма

записи шаблона, по действию подобная предыдущей.

192.168.18.144 0.0.0.31 - данному шаблону соответствуют все адреса из диапазона 192.168.18.128 – 192.168.18.159. В справедливости утверждения можно убедиться, представив адрес и маску в двоичном коде.

Команды определения списка доступа вводятся одна за другой, пока не будет сформирован весь ACL. Он может состоять и из одной команды. В конец ACL автоматически помещается неотображаемая команда:

access-list номер ACL deny any

 

Ранее введенные команды исправить невозможно; необходимо удалить весь ACL и ввести его заново.

Для активизации ACL его необходимо «присоединить» к желаемому интерфейсу маршрутизатора. Сначала надо войти в режим конфигурации этого интерфейса, затем выдать команду присоединения:

 

ip access-group номер ACL in | out

 

где номер ACL - ссылка на номер активизируемого списка доступа; in - требование фильтрации входящего (inbound) трафика; out - фильтрация исходящего (outbound) от маршрутизатора трафика.

Для отмены фильтрации достаточно отменить команду присоединения, поставив перед ней ключевое слово no.

 

Пример 1. В сети (рис.1) ограничить весь трафик станции 192.168.1.1 только подсетью 192.168.1.0.

Рис.13.1 - Двухсегментная сеть с маршрутизатором Cisco

 

Задачу можно решить с помощью фильтра ACL 1 для входящего трафика на интерфейсе e0:

Cisco# configure terminal