Denne artikel er starten på en ny serie centreret inden for IT-sikkerhed, men fokuseret på at sikre netværk med adgangskontrollister, ofte benævnt ACL ‘ er. Adgangskontrol lister, deres funktion, og korrekt gennemførelse er dækket i Cisco eksamener, men de begreber og implementering strategier er også dækket i certificeringer som Security + og CISSP., I denne artikel vil vi undersøge og definere de forskellige typer adgangskontrollister og undersøge nogle implementeringskoncepter, især “hvorfor” vi bruger dem og “hvornår”. Fremtidige artikler vil fokusere på deres implementering på Cisco routere, specifikke designs til at tillade og nægte tjenester og vove sig ind i fire .alls verden.
Hvad er adgangskontrollister?
ACL ‘ ER er et netværksfilter, der bruges af routere og nogle s .itches for at tillade og begrænse datastrømme ind og ud af netværksgrænseflader., Når en ACL er konfigureret på en grænseflade, analyserer netværksenheden data, der passerer gennem grænsefladen, sammenligner dem med kriterierne beskrevet i ACL, og enten tillader dataene at flyde eller forbyder dem.
Hvorfor bruger vi adgangskontrollister?
Der er forskellige årsager til, at vi bruger ACL ‘ er. Den primære årsag er at give et grundlæggende sikkerhedsniveau for netværket. ACL ‘ ER er ikke så komplekse og dybdegående beskyttelse som stateful fire .alls, men de giver beskyttelse på grænseflader med højere hastighed, hvor linjehastighedshastighed er vigtig, og fire .alls kan være restriktive., ACL ‘ ER bruges også til at begrænse opdateringer til routing fra netværkskammerater og kan være medvirkende til at definere Flo .kontrol for netværkstrafik.
hvornår bruger vi adgangskontrollister?
Som jeg nævnte før, Acl ‘ er for routere er ikke så kompliceret, eller robust som stateful firewalls, men de tilbyder en betydelig mængde af firewall-kapacitet. Som IT-netværk eller sikkerhedspersonale er placering af dit forsvar afgørende for at beskytte netværket, dets aktiver og data., ACL ‘ ER skal placeres på eksterne routere for at filtrere trafik mod mindre ønskelige netværk og kendte sårbare protokoller.
en af de mest almindelige metoder i dette tilfælde er at opsætte en DM.eller de-militariseret buffer zoneone i dit netværk. Denne arkitektur implementeres normalt med to separate netværksenheder.
et eksempel på denne konfiguration er angivet i Figur 1.
den mest udvendige router giver adgang til alle eksterne netværksforbindelser., Denne router har normalt mindre restriktive ACL’ ER, men giver større beskyttelsesadgangsblokke til områder af de globale routingtabeller, som du ønsker at begrænse. Denne router skal også beskytte mod velkendte protokoller, som du absolut ikke planlægger at give adgang til eller ud af dit netværk. Derudover skal ACL ‘ ER HER konfigureres til at begrænse netværkspeer-adgang og kan bruges sammen med routingprotokollerne til at begrænse opdateringer og omfanget af ruter modtaget fra eller sendt til netværkspersoner.,
DM.er, hvor de fleste IT-fagfolk placerer systemer, der har brug for adgang udefra. De mest almindelige eksempler på disse er webebservere, DNS-servere og fjernadgang eller VPN-systemer.
den interne router til en DM.indeholder mere restriktive ACL ‘ er designet til at beskytte det interne netværk mod mere definerede trusler. ACL ‘ er her er ofte konfigureret med eksplicit tilladelse og nægter udsagn om specifikke adresser og protokoltjenester.
hvad består en Adgangskontrolliste af?,
uanset hvilken routingplatform du bruger, har alle en lignende profil til at definere en adgangskontrolliste.,s og tal)
- Eksempler omfatter IP, IPX, ICMP, TCP, UDP, NETBIOS-og mange andre
- Disse er typisk adresser, og kan defineres som en enkelt diskret adresse, en vifte eller undernet, eller at alle adresser
- Disse supplerende beretninger, anmode om yderligere funktioner, når der findes et match til det udsagn., Disse Flag varierer for hver protokol, men et fælles flag tilføjet til udsagn er logfunktionen, der registrerer enhver match til sætningen i routerloggen
hvilke typer adgangskontrollister er der?
Der er flere typer adgangskontrollister, og de fleste er defineret til et bestemt formål eller Protokol. På Cisco routere, der er to hovedtyper: standard og udvidet. Disse to typer er de mest anvendte ACL ‘ER, og dem, jeg vil fokusere på i denne og fremtidige artikler, men der er også nogle avancerede ACL’ er., Nogle af de avancerede ACL ‘ER inkluderer refleksive ACL’ ER og dynamiske ACL ‘ ER, og de er defineret som følger. Refleksive ACL’ er, også kendt som IP-Session-ACL ‘ ER, udløses fra en udgående ACL for trafik initieret fra det interne netværk. Routeren identificerer denne nye trafikstrøm og opretter en post i en separat ACL for den indgående sti. Når sessionen er afsluttet, fjernes posten i den refleksive ACL.
dynamiske ACL ‘ER eller lock-and-key-ACL’ ER oprettes for at give brugeren adgang til en bestemt kilde / destinationshost gennem en brugergodkendelsesproces., Cisco implementeringer udnytte iOS fire .all kapaciteter og ikke hindrer eksisterende sikkerhedsrestriktioner.
implementering af ACL ‘ er på en routergrænseflade
placering og forståelse af trafikstrømmen er vigtigt at forstå foran, før du konfigurerer en ACL på en routergrænseflade. Forståelse af placeringen og virkningen af ACL ‘ ER er hyppige spørgsmål i CCNA-og CCNP-eksamener, og fejl i ACL-placering er nogle af de mest almindelige netværksadministratorer foretager under sikkerhedsimplementering. Stol på mig, det sker for os alle, og jeg er ikke immun over for den., Figur 2 giver et godt eksempel på trafikstrømmen, når det kommer til indtrængen og udgang på en routernetværksgrænseflade.
Som du kan se fra dette diagram, ingress trafikstrømme fra netværket i grænsefladen og påstigning pengestrømme fra interface til netværket. IT-netværk og sikkerhed fagfolk skal være meget opmærksomme her. ACL ‘ ER starter med en kildeadresse først i deres konfiguration og destination sekund., Når du konfigurerer en ACL ved indgangen til en netværksgrænseflade, er det vigtigt at erkende, at alle lokale netværk eller værter skal ses som kilder her, og det nøjagtige modsatte for egress-grænsefladen.
hvad der gør dette mest forvirrende er implementeringen af ACL ‘ er på grænsefladen til en router, der står over for et eksternt netværk. Se tilbage på figur 1. I dette eksempel kommer ingress-siden fra det eksterne netværk, og disse adresser betragtes som kilder, mens alle interne netværksadresser er destinationer., På egress-siden er dine interne netværksadresser nu kildeadresser, og de eksterne adresser er nu destinationer.
Når du tilføjer porte i udvidede ACL ‘ ER, kan forvirring monteres. Det bedste råd, jeg har før enhver implementering, er at dokumentere dine Strømme og notere dine kilde/destinationsadresser. Vi vil dække flere af disse implementeringer senere i ACL-konfigurationsartikler.
resum.
adgangskontrollister er et princip element i at sikre dine netværk og forstå deres funktion og korrekt placering er afgørende for at opnå deres bedste effektivitet., Certificeringstræning dækker ACL ‘ ER, og der er flere spørgsmål om eksamener, der vedrører dem. Så vi fortsætter i denne serie, ville det være klogt at teste nogle af de begreber netværk simulatorer eller ubrugte router-porte til at få et bedre perspektiv ved hjælp af Acl ‘ er, og hvordan de kan være repræsenteret i den faktiske implementering og eksamener.
klar til at teste dine færdigheder inden for computernetværk? Se, hvordan de stak op med denne vurdering fra Smarterer. Start Denne computer Net testorking test nu