By Leave a Comment on Turvaaminen Verkostot: Access Control List (ACL) Käsitteet

Tämä artikkeli on alku uuden sarjan keskitetty Tietoturva, mutta keskittynyt varmistamaan verkkojen kanssa access control lists, kutsutaan yleisesti Acl. Access control lists, niiden toiminta ja asianmukainen täytäntöönpano kuuluvat Cisco tentit, mutta käsitteet ja käyttöönottostrategiat ovat myös katettu sertifioinnit, kuten Turvallisuus – + ja CISSP., Tässä artikkelissa, me tutkia ja määritellä erilaisia kulunvalvonta luettelot ja tutkia joitakin käyttöönotto käsitteitä, erityisesti ”miksi” me käyttää niitä, ja ”kun”. Tulevissa artikkeleissa keskitytään niiden toteuttamiseen Ciscon reitittimissä, erityisiin malleihin palveluiden sallimiseksi ja kieltämiseksi sekä uskaltaudutaan palomuurien maailmaan.

mitkä ovat Kulunvalvontaluettelot?

ACLs on reitittimien ja joidenkin kytkimien käyttämä verkkosuodatin, joka mahdollistaa ja rajoittaa tietovirtoja verkkoliittymiin ja niiden ulkopuolelle., Kun ACL on määritetty käyttöliittymä, verkko laite analysoi data kulkee rajapinnan kautta, vertaa sitä kriteerit on kuvattu ACL, ja joko sallii tietojen virrata tai se kielletään.

miksi käytämme Kulunvalvontalistoja?

ACLs: ää käytetään monesta syystä. Ensisijainen syy on verkon perusturvan tarjoaminen. Luettelot eivät ole niin monimutkaisia ja syvyys suoja kuin stateful palomuurit, mutta ne tarjoavat suojaa suurempi nopeus liitännät jossa line rate nopeus on tärkeää ja palomuurit voivat olla rajoittavia., Acl käytetään myös rajoittaa päivitykset reititys verkko ikäisensä ja voivat olla apuna määriteltäessä virtauksen ohjaus verkon liikennettä.

milloin käytämme Kulunvalvontalistoja?

Kuten mainitsin ennen, Acl reitittimet eivät ole niin monimutkaisia tai yksityiskohtaisia kuin stateful palomuurit, mutta ne tarjoavat huomattavan määrän palomuuri-ominaisuus. IT-verkon tai tietoturva-alan ammattilaisena puolustustesi sijoittaminen on ratkaisevan tärkeää verkon, sen varojen ja tietojen suojaamiseksi., ACLs olisi sijoitettava ulkoisille reitittimille liikenteen suodattamiseksi vähemmän toivottavia verkkoja ja tunnettuja haavoittuvia protokollia vastaan.

yksi yleisimmistä menetelmistä tässä tapauksessa on DMZ: n eli militarisoidun puskurivyöhykkeen asentaminen verkkoon. Tämä arkkitehtuuri toteutetaan yleensä kahdella erillisellä verkkolaitteella.

esimerkki tästä kokoonpanosta on kuvassa 1.

kaikkein ulko-reititin tarjoaa pääsyn kaikkiin verkon ulkopuolella yhteydet., Tämä reititin on yleensä vähemmän rajoittavia ACLs, mutta tarjoaa suuremman suojan pääsyn lohkot alueille global reititystaulukot, joita haluat rajoittaa. Tämä reititin olisi myös suojaa tunnettuja protokollia, jotka sinun ehdottomasti ei aio sallia pääsyä tai ulos verkon. Lisäksi ACLs tässä olisi Konfiguroitava rajoittamaan verkon vertaisverkkoon pääsyä, ja sitä voidaan käyttää yhdessä reititysprotokollien kanssa päivitysten rajoittamiseen ja verkon vertaisilta vastaanotettujen tai lähetettyjen reittien laajuuteen.,

DMZ: ssä useimmat IT-ammattilaiset sijoittavat järjestelmiä, jotka tarvitsevat pääsyn ulkopuolelta. Yleisimpiä esimerkkejä näistä ovat www-palvelimet, DNS-palvelimet sekä etäyhteys-tai VPN-järjestelmät.

sisäinen reititin on DMZ sisältää enemmän rajoittavia Acl suunniteltu suojaamaan sisäistä verkkoa tarkemmin määriteltyjä uhkia. ACLs täällä on usein määritetty nimenomaisella luvalla ja kieltää lausunnot tiettyjen osoitteiden ja protokollapalvelujen.

mistä Kulunvalvontaluettelo koostuu?,

Riippumatta siitä, mitä reititys alustan käyttää, kaikki on samanlainen profiili määritellään access control list.,s ja numeroita)

  • järjestysnumero tai termi, nimi jokaisen maahantulon
  • selvitys lupaa tai kieltäminen, että merkintä
  • verkon protokolla ja siihen liittyvä toiminto tai portit
    • Esimerkkejä ovat IP -, IPX -, ICMP -, TCP -, UDP, NETBIOS ja monet muut
  • Kohde ja Lähde tavoitteita
    • Nämä ovat tyypillisesti osoitteet ja voi olla määritelty yksi erillinen osoite, alue tai aliverkon tai kaikki osoitteet
  • Lisää lippuja tai tunnisteiden
    • Näiden tiedostojen lausuntoja pyytää muita toimintoja, kun ottelu on löytynyt selvitys., Nämä liput vaihtelevat kunkin protokollan mutta yhteinen lippu lisätty lausunnot on loki ominaisuus, joka tallentaa minkä tahansa ottelun julkilausuman reitittimeen kirjautuminen

    • millaisia Access Control Listat Ovat Siellä?

    kulunvalvontaluetteloita on useita ja useimmat niistä on määritelty erilliseen tarkoitukseen tai protokollaan. Ciscon reitittimissä on kaksi päätyyppiä: standard ja extended. Nämä kaksi tyyppiä ovat yleisimmin käytetty ACLs ja niitä aion keskittyä tässä ja tulevaisuudessa artikkeleita, mutta on olemassa joitakin kehittyneitä ACLs samoin., Joitakin kehittyneitä Luettelot ovat refleksiivinen Acl ja dynaaminen Acl ja ne on määritelty seuraavasti. Reflexive ACLs, joka tunnetaan myös nimellä IP Session ACLs, laukaistaan lähtevästä ACL liikenteestä, joka on aloitettu sisäisestä verkosta. Reititin tunnistaa tämän uuden liikenteen sujuvuutta ja luoda merkinnän erilliseen ACL saapuville polku. Kun istunto päättyy, viittaus refleksiiviseen ACL: ään poistetaan.

    Dynaaminen Luettelot tai lukitus-ja-key-Luettelot on luotu, jotta käyttäjä voi käyttää tietyn source/destination host läpi käyttäjän autentikointi prosessi., Cisco toteutukset hyödyntävät IOS palomuuri ominaisuuksia ja eivät estä nykyisiä turvallisuusrajoituksia.

    Toteutus Acl Reitittimen Käyttöliittymä

    Sijoittaminen ja ymmärrys liikenteestä on tärkeää ymmärtää, edessä, ennen kuin voit määrittää ACL reitittimen käyttöliittymä. Ymmärrystä sijoitus ja vaikutus Acl ovat usein kysymyksiä CCNA ja CCNP tentit ja virheitä ACL sijoitus ovat joitakin yleisimpiä verkon ylläpitäjät tehdä aikana turvallisuus täytäntöönpanoa. Usko pois, se tapahtuu meille kaikille, enkä ole immuuni sille., Kuva 2 on hyvä esimerkki siitä, liikenteestä, kun se tulee ingress-ja egress router network interface.

    Kuten voit nähdä tästä kaavio, sisäänpääsyn liikenne-virtaa verkko-käyttöliittymä ja ulosmeno virtaa käyttöliittymä verkkoon. Tietotekniikkaverkoston ja tietoturva-alan ammattilaisten on kiinnitettävä täällä erityistä huomiota. ACLs alkaa lähdeosoitteella ensin kokoonpanossaan ja kohde toisena., Kuten voit määrittää ACL on sisäänpääsyn verkkoon liitäntä on tärkeää tunnistaa, että kaikki paikallisen verkon tai isännät tulisi nähdä lähteitä täällä, ja päinvastoin varten ulosmeno liitäntä.

    Mikä tekee tästä kaikkein hämmentävää on, täytäntöönpanoa Acl-käyttöliittymän reitittimen, joka kohtaa ulkoisen verkon. Katso kuvaa 1. Tässä esimerkki, sisääntulon puolella on tulossa ulkopuolelta verkko ja osoitteet pidetään lähteistä, kun kaikki sisäiset verkko-osoitteet ovat kohteita., Poistumispuolella sisäiset verkko-osoitteesi ovat nyt lähdeosoitteita ja ulkoiset osoitteet ovat nyt kohteita.

    kun lisäät portteja pidennetyissä ACL: issä, sekavuus voi kiinnittyä. Paras neuvo minulla on ennen täytäntöönpanoa on dokumentoida virtaa ja huomaa teidän lähde/kohde-osoitteet. Käsittelemme näitä toteutuksia myöhemmin ACL-asetusartikkeleissa.

    Yhteenveto

    Access control listat ovat periaatteessa osa turvata verkkoja ja ymmärrystä niiden toiminta ja oikea sijoitus on tärkeää, jotta saavutetaan paras vaikuttavuus., Sertifiointi koulutus kattaa ACLs ja on olemassa useita kysymyksiä tentit, jotka koskevat niitä. Kuten jatkamme tässä sarjassa, olisi viisasta testata joitakin käsitteitä verkko simulaattorit tai käyttämättömät reititin portit saada paremman näkökulman käyttämällä ACLs ja miten ne voidaan esittää varsinaisissa toteutuksissa ja tentit.

    Oletko valmis testaamaan taitojasi tietokoneverkkojen alalla? Katso, miten he pinoutuvat tämän arvion smarter. Aloita tämä Tietokoneverkkotesti nyt

    Vastaa

    Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *