Tento článek je začátkem nové série zaměřené na zabezpečení IT, ale zaměřené na zabezpečení sítí pomocí seznamů řízení přístupu, běžně označovaných jako ACLs. Seznamy řízení přístupu, jejich funkce, a řádné provádění jsou zahrnuty v Cisco zkoušky, ale na koncepce a strategie nasazení jsou také zahrnuty v osvědčení jako Bezpečnostní + a CISSP., V tomto článku, budeme zkoumat a definovat různé typy seznamů řízení přístupu a zkoumat některé nasazení pojmy, zejména „proč“ je používáme a „když“. Budoucí články se zaměří na jejich implementaci na směrovačích Cisco, specifické návrhy pro povolování a popírání služeb, a pustit se do světa firewallů.
jaké jsou seznamy řízení přístupu?
Acl jsou síťový filtr využíváno routery a některé přepínače povolit a omezit datové toky do a ze síťových rozhraní., Když je ACL nakonfigurován na rozhraní, síťové zařízení analyzuje data procházející rozhraním, porovnává je s kritérii popsanými v ACL a buď umožňuje tok dat nebo je zakazuje.
proč používáme seznamy řízení přístupu?
existuje celá řada důvodů, proč používáme ACLs. Primárním důvodem je zajištění základní úrovně zabezpečení sítě. ACL nejsou tak složité a do hloubky ochrany jako stavové brány firewall, ale poskytují ochranu na rozhraní s vyšší rychlostí, kde je důležitá rychlost linky a brány firewall mohou být omezující., ACLs se také používají k omezení aktualizací pro směrování ze síťových vrstevníků a mohou být nápomocné při definování řízení toku pro síťový provoz.
kdy používáme seznamy řízení přístupu?
Jak jsem již zmínil dříve, Acl pro routery nejsou tak složité, nebo robustní jako stavové firewally, ale oni nabízejí značné množství firewall schopnosti. Jako IT síť nebo bezpečnostní profesionál je umístění vaší obrany rozhodující pro ochranu sítě, jejích aktiv a dat., ACLs by měly být umístěny na externích směrovačích, aby se filtroval provoz proti méně žádoucím sítím a známým zranitelným protokolům.
jednou z nejčastějších metod v tomto případě je nastavení DMZ nebo de-militarizované vyrovnávací zóny ve vaší síti. Tato architektura je obvykle implementována se dvěma samostatnými síťovými zařízeními.
příklad této konfigurace je uveden na obrázku 1.
nejvíce vnější router poskytuje přístup ke všem vnějším síťovým připojením., Tento směrovač má obvykle méně omezující ACLs, ale poskytuje větší přístupové bloky ochrany do oblastí globálních směrovacích tabulek, které chcete omezit. Tento směrovač by měl také chránit před dobře známými protokoly, které absolutně neplánujete povolit přístup do nebo z vaší sítě. Kromě toho, Acl tady by měl být nakonfigurován k omezení sítě peer přístup a může být použit ve spojení se směrovacími protokoly omezit aktualizace a rozsah tras, které předal nebo poslal do sítě vrstevníků.,
DMZ je místo, kde většina IT profesionálů umísťuje systémy, které potřebují přístup zvenčí. Nejběžnějšími příklady jsou webové servery, servery DNS a systémy vzdáleného přístupu nebo VPN.
interní směrovač DMZ obsahuje více omezujících ACLs určených k ochraně vnitřní sítě před více definovanými hrozbami. ACLs zde jsou často konfigurovány s explicitním povolením a popírají prohlášení pro konkrétní adresy a protokolové služby.
z čeho se skládá seznam řízení přístupu?,
bez Ohledu na to, jaké směrovací platformu, kterou využívají, všechny mají podobný profil pro definování seznamu řízení přístupu.,s a čísel)
- Příklady zahrnují IP, IPX, ICMP, TCP, UDP, NETBIOS a mnoho dalších
- Tyto jsou obvykle adresy a může být definován jako jeden diskrétní adresa, rozsah nebo podsíti, nebo všechny adresy
- Tyto dodatečné prohlášení požádat o další funkce, když je nalezena shoda pro prohlášení., Tyto příznaky se liší pro každý protokol, ale společnou vlajku přidáno prohlášení je log funkce, která zaznamenává každý zápas na prohlášení do routeru přihlásit
Jaké Typy Seznamů Řízení Přístupu Existují?
existuje několik typů seznamů řízení přístupu a většina z nich je definována pro odlišný účel nebo protokol. Na směrovačích Cisco existují dva hlavní typy: standardní a rozšířené. Tyto dva typy jsou nejpoužívanější ACL a ty, na které se zaměřím v tomto a budoucích článcích, ale existují i některé pokročilé ACL., Některé z pokročilých ACL zahrnují reflexní ACL a dynamické ACL a jsou definovány následovně. Reflexní ACLs, také známý jako IP session ACLs, jsou spouštěny z odchozího ACL pro provoz iniciovaný z interní sítě. Směrovač identifikuje tento nový tok provozu a vytvoří záznam v samostatném ACL pro příchozí cestu. Jakmile relace skončí, položka v reflexním ACL je odstraněna.
dynamické ACLs nebo lock-and-key ACLs jsou vytvořeny tak, aby umožňovaly uživateli přístup k určitému zdroji/cílovému hostiteli prostřednictvím procesu ověřování uživatele., Implementace Cisco využívají možnosti brány Firewall iOS a nebrání existujícím bezpečnostním omezením.
implementace ACLs na rozhraní routeru
umístění a pochopení toku provozu je důležité pochopit dopředu před nakonfigurováním ACL na rozhraní routeru. Porozumění umístění a dopadu ACLs jsou časté otázky při zkouškách CCNA a CCNP a chyby v umístění ACL jsou některé z nejběžnějších, které správci sítě dělají během implementace zabezpečení. Věř mi, stává se nám všem a nejsem vůči tomu imunní., Obrázek 2 poskytuje dobrý příklad toku provozu, pokud jde o vstup a výstup na síťovém rozhraní routeru.
Jak můžete vidět z tohoto diagramu, ingress dopravní toky ze sítě do rozhraní a výstup toky z rozhraní do sítě. Odborníci v oblasti IT sítí a bezpečnosti zde musí věnovat velkou pozornost. ACLs začínají zdrojovou adresou nejprve v jejich konfiguraci a cílové druhé., Jak si nastavit ACL na pronikání síťového rozhraní je důležité si uvědomit, že všechny místní síti nebo hostiteli by měl být viděn jako zdroje zde, a přesný opak na výstupním rozhraní.
to, co je nejvíce matoucí, je implementace ACLs na rozhraní routeru, který čelí externí síti. Podívejte se na obrázek 1. V tomto příkladu pronikání straně je z vnější sítě a tyto adresy jsou považovány za zdroje, zatímco všechny interní síťové adresy jsou destinací., Na straně egress jsou vaše interní síťové adresy nyní zdrojovými adresami a externí adresy jsou nyní destinace.
při přidávání portů do rozšířených ACLs se může připojit zmatek. Nejlepší rada, kterou mám před jakoukoli implementací, je dokumentovat vaše toky a zaznamenat adresy zdroj/cíl. Více těchto implementací se budeme zabývat později v konfiguračních článcích ACL.
Shrnutí
seznamy řízení Přístupu jsou v zásadě prvek v zabezpečení vaší sítě a pochopení jejich funkce a správné umístění je klíčem k dosažení jejich nejlepší účinnost., Certifikační školení zahrnuje ACLs a existuje několik otázek týkajících se zkoušek, které se jich týkají. Jak pokračujeme v této sérii, bylo by moudré vyzkoušet některé koncepty na síťových simulátorech nebo nevyužitých portech routeru, abychom získali lepší perspektivu pomocí ACLs a jak mohou být zastoupeny ve skutečných implementacích a na zkouškách.
jste připraveni vyzkoušet své dovednosti v počítačových sítích? Podívejte se, jak se vyrovnat s tímto hodnocením od Smarterer. Spusťte tento test počítačových sítí nyní