Ez a cikk egy új sorozat középre IT Biztonság, de elsősorban biztosítása hálózatok a hozzáférés-vezérlési listák, közkeletű nevén az Acl-ek. A hozzáférés-ellenőrzési listákat, azok funkcióját és a megfelelő végrehajtást a Cisco vizsgái tartalmazzák, de a koncepciókra és a telepítési stratégiákra olyan tanúsítványok is kiterjednek, mint a Security + és a CISSP., Ebben a cikkben megvizsgáljuk és meghatározzuk a hozzáférés – ellenőrzési listák különböző típusait, és megvizsgáljuk néhány telepítési koncepciót, különösen a “miért” használjuk őket, valamint a “mikor”. A jövő cikkei a Cisco routerek megvalósítására, a szolgáltatások engedélyezésére és megtagadására vonatkozó egyedi tervekre, valamint a tűzfalak világába való vállalkozásra összpontosítanak.
mik azok a hozzáférés-vezérlési listák?
az ACLs egy olyan hálózati szűrő, amelyet az útválasztók és egyes kapcsolók használnak, hogy lehetővé tegyék és korlátozzák az adatáramlást a hálózati interfészekbe és azokon kívül., Amikor egy ACL-t konfigurálnak egy interfészen, a hálózati eszköz elemzi az interfészen áthaladó adatokat, összehasonlítja az ACL-ben leírt kritériumokkal, vagy engedélyezi az adatok áramlását vagy tiltja.
miért használjuk a hozzáférés-vezérlési listákat?
számos oka van az ACL-ek használatának. Az elsődleges ok az, hogy alapvető biztonsági szintet biztosítsunk a hálózat számára. Az ACL-ek nem olyan összetettek és mélyek a védelemben, mint az állapotos tűzfalak, de nagyobb sebességű interfészeken nyújtanak védelmet, ahol a vonalsebesség fontos, és a tűzfalak korlátozóak lehetnek., Az ACL-eket arra is használják, hogy korlátozzák a hálózati társaktól történő útválasztás frissítéseit, és a hálózati forgalom áramlásszabályozásának meghatározásában is szerepet játszhatnak.
mikor használjuk a hozzáférés-vezérlési listákat?
mint már említettem, az ACL-ek az útválasztók számára nem olyan összetettek vagy robusztusak, mint az állapotos tűzfalak, de jelentős mennyiségű tűzfalat kínálnak. Informatikai hálózatként vagy biztonsági szakemberként a védelem elhelyezése kritikus fontosságú a hálózat, annak eszközei és adatai védelme szempontjából., Az ACL-eket külső útválasztókra kell helyezni, hogy kiszűrjék a kevésbé kívánatos hálózatok és az ismert sérülékeny protokollok ellen irányuló forgalmat.
az egyik leggyakoribb módszer ebben az esetben a DMZ vagy a militarizált pufferzóna beállítása a hálózatban. Ezt az architektúrát általában két különálló hálózati eszközzel valósítják meg.
ennek a konfigurációnak egy példája az 1. ábrán látható.
a legtöbb külső útválasztó hozzáférést biztosít az összes külső hálózati kapcsolathoz., Ez az útválasztó általában kevésbé korlátozó ACL-ekkel rendelkezik, de nagyobb védelmi hozzáférési blokkokat biztosít a korlátozni kívánt globális útválasztási táblák területeihez. Ennek az útválasztónak meg kell védenie a jól ismert protokollokat is, amelyeket egyáltalán nem tervez a hálózatba való vagy a hálózatból való hozzáférés engedélyezésére. Ezenkívül az ACL-eket úgy kell beállítani, hogy korlátozzák a hálózati peer-hozzáférést, és az útválasztási protokollokkal együtt használhatók a frissítések korlátozására, valamint a hálózati társaktól kapott vagy küldött útvonalak mértékére.,
a DMZ az, ahol a legtöbb informatikai szakember olyan rendszereket helyez el, amelyekhez kívülről hozzáférésre van szükség. Ezek leggyakoribb példái a webszerverek, a DNS-kiszolgálók, valamint a távoli hozzáférési vagy VPN-rendszerek.
a DMZ belső útválasztója szigorúbb ACL-eket tartalmaz, amelyek célja a belső hálózat védelme a definiált fenyegetésekkel szemben. Az itt található ACL-ek gyakran explicit engedélyekkel vannak konfigurálva, és megtagadják az egyes címekre és protokollszolgáltatásokra vonatkozó nyilatkozatokat.
miből áll a hozzáférés-vezérlési lista?,
függetlenül attól, hogy milyen útválasztási platformot használ, mindegyiknek hasonló profilja van a hozzáférés-vezérlési lista meghatározásához.,s számok)
- Példák IP, IPX, ICMP, TCP, UDP, NETBIOS és még sokan mások
- Ezek általában címeket lehet meghatározni, mint egy egyedülálló diszkrét címét, egy tartomány vagy alhálózati, vagy a címek
- Ezek a további mondatok kérésre további funkciók, ha egyezést talál, a nyilatkozatot., Ezek a zászlók az egyes protokollok esetében eltérőek, de a kijelentésekhez hozzáadott közös zászló a log funkció, amely rögzíti a kijelentésnek a
milyen típusú hozzáférés-vezérlési listák vannak?
a hozzáférés-vezérlési listák többféle típusa létezik, a legtöbbet pedig külön célra vagy protokollra definiálják. A Cisco routerek, két fő típusa van: standard és kiterjesztett. Ez a két típus a legszélesebb körben használt ACL-ek, amelyekre ebben és a jövőbeli cikkekben fogok összpontosítani, de vannak fejlett ACL-ek is., A fejlett ACL-ek közé tartoznak a reflexív ACL-ek és a dinamikus ACL-ek, és ezek meghatározása a következő. A Reflexive ACL-ek, más néven IP Session ACL-ek, egy kimenő ACL-ből indulnak a belső hálózatból kezdeményezett forgalom számára. Az útválasztó azonosítja ezt az új forgalmi áramlást, majd létrehoz egy bejegyzést egy külön ACL-ben a bejövő útvonalhoz. A munkamenet befejezése után a reflexive ACL bejegyzését eltávolítjuk.
dinamikus ACL-ek vagy lock-and-key ACL-ek jönnek létre, hogy a felhasználó hozzáférhessen egy adott forrás/célállomáshoz egy felhasználói hitelesítési folyamat révén., A Cisco implementációk az IOS tűzfal képességeit használják, és nem akadályozzák a meglévő biztonsági korlátozásokat.
az ACL-ek megvalósítása egy Router interfészen
a forgalmi áramlás elhelyezése és megértése fontos ahhoz, hogy előre megértsük, mielőtt egy ACL-t konfigurálnánk egy útválasztó interfészen. Az ACL-ek elhelyezésének és hatásának megértése gyakori kérdés a CCNA és a CCNP vizsgákon, az ACL-elhelyezés hibái pedig a leggyakoribb kérdések, amelyeket a hálózati rendszergazdák a biztonsági végrehajtás során tesznek. Hidd el, mindannyiunkkal ez történik, és nem vagyok immunis erre., A 2.ábra jó példát mutat a forgalom áramlására, amikor az útválasztó hálózati interfészén való belépésről vagy kilépésről van szó.
amint az az ábrán látható, a forgalom a hálózatból az interfészbe áramlik, az egress pedig az interfészből a hálózatba áramlik. Az informatikai hálózatnak és a biztonsági szakembereknek itt kiemelt figyelmet kell fordítaniuk. Az ACL-ek egy forráscímmel kezdődnek, először a konfigurációjukban,majd a második helyen., Az ACL konfigurálásakor a hálózati interfész behatolásakor fontos felismerni, hogy itt minden helyi hálózatot vagy gazdagépet forrásnak kell tekinteni, pontosan az ellenkezőjét az egress interfésznek.
ami ezt a leginkább zavaróvá teszi, az ACL-ek végrehajtása egy külső hálózattal szemben álló útválasztó felületén. Nézz vissza az 1. ábrán. Ebben a példában a behatolási oldal a külső hálózatból származik, és ezeket a címeket forrásnak tekintik, míg az összes belső hálózati cím rendeltetési hely., Az egress oldalon a belső hálózati címek mostantól forráscímek, a külső címek pedig rendeltetési helyek.
ahogy hozzá portok kiterjesztett ACL, zavart lehet csatlakoztatni. A megvalósítás előtt a legjobb tanácsom az áramlások dokumentálása, valamint a forrás / célcímek megjegyzése. Ezeket a megvalósításokat később az ACL konfigurációs cikkeiben fogjuk lefedni.
összefoglaló
A hozzáférés-vezérlési listák alapvető elemei a hálózatok biztosításának, valamint funkciójuk és megfelelő elhelyezésük megértése elengedhetetlen a legjobb hatékonyság eléréséhez., A tanúsítási képzés kiterjed az ACL-ekre, és számos kérdés merül fel a vizsgákkal kapcsolatban. Ahogy ebben a sorozatban folytatjuk, bölcs dolog lenne tesztelni néhány fogalmat hálózati szimulátorokon vagy nem használt útválasztó portokon, hogy jobb perspektívát nyerjünk az ACL-ekkel, valamint azzal, hogy miként képviseltethetők a tényleges megvalósításokban és a vizsgákon.
készen áll a számítógépes hálózatépítés készségeinek tesztelésére? Nézze meg, hogyan verem fel ezt az értékelést Smarterer. Indítsa el ezt a számítógépes hálózati tesztet most