この記事では、ITセキュリティを中心とした新しいシリーズの始まりですが、一般的にAclと呼ばれるアクセス制御リストによるネットワークのセキュリティ保護に焦点を当てました。 アクセスコントロールリスト、その機能、および適切な実装はCisco試験でカバーされていますが、概念と展開戦略はSecurity+やCISSPなどの認定でもカバーされています。, この記事では、さまざまなタイプのアクセス制御リストを調査および定義し、いくつかの展開の概念、特にそれらを使用する”なぜ”および”いつ”について 今後の記事では、シスコのルータへの実装、サービスの許可と拒否のための特定の設計、およびファイアウォールの世界への進出に焦点を当てます。
アクセス制御リストとは何ですか?
ACLsはネットワークのフィルタの活用によるルーターやスイッチを許可および制限するデータフローのネットワークインタフェース, ACLがインターフェイスで設定されると、ネットワークデバイスはインターフェイスを通過するデータを分析し、ACLで説明されている基準と比較し、データのフローを許可するか、または禁止します。
なぜアクセス制御リストを使用するのですか?
Aclを使用する理由にはさまざまなものがあります。 主な理由は、ネットワークの基本的なレベルのセキュリティを提供することです。 Aclは、ステートフルファイアウォールほど複雑で保護の深さはありませんが、ラインレート速度が重要でファイアウォールが制限される可能性がある高速インターフェイスで保護を提供します。, ACLsの使用を制限の更新のためのルーティングからネットワーク同士できる機器をフロー制御のためのネットワークトラフィック
アクセス制御リストはいつ使用するのですか?
前に述べたように、ルーターのAclはステートフルファイアウォールほど複雑でも堅牢でもありませんが、かなりの量のファイアウォール機能を提供します。 として、ITネットワークやセキュリティのプロに、配置の答弁が重要保護のためのネットワーク、その資産及びデータです。, ACLsに置く必要がある外部ルータのフィルター交通に対し以下が望ましいネットワークと既知の脆弱なプロトコル
この場合の最も一般的な方法の一つは、ネットワーク内のDMZ、または非軍事化されたバッファゾーンを設定することです。 このアーキテクチャは通常、二つの別々のネットワークデバ
この構成の例を図1に示します。
ほとんどの外部ルータは、すべての外部ネットワーク接続へのアクセスを提供します。, このルータには通常、以下の制限がACLsに、大きな保護にアクセスをブロックのグローバルな経路表をご希望のを制限する. このルータは保護するも知られるプロトコルでは絶対にしないプランのアクセスを可能とするために、またはをクリックします。 さらに、ここでのAclは、ネットワークピアアクセスを制限するように設定する必要があり、ルーティングプロトコルと組み合わせて使用して、ネットワークピ,
DMZは、ほとんどのIT専門家が外部からアクセスする必要のあるシステムを配置する場所です。 これらの最も一般的な例は、webサーバー、DNSサーバー、リモートアクセスまたはVPNシステムです。DMZの内部ルータには、より定義された脅威から内部ネットワークを保護するように設計された、より制限の厳しいAclが含まれています。 ここでACLsが設定され、明示的な許可、拒否諸表のための特定のメールアドレス、プロトコルのサービス
アクセス制御リストは何で構成されていますか?,
,ネットワークプロトコルと関連する機能またはポート
- 例としては、IP、IPX、ICMP、TCP、UDP、NETBIOSなどがあります。
- これらは通常、アドレスであり、単一の離散アドレス、範囲またはサブネット、またはすべてのアドレスとして定義することができます。li>
- これらの追加のステートメントは、ステートメントに一致するものが見つかったときに追加の関数を要求します。, これらのフラグはプロトコルごとに異なりますが、ステートメントに追加される共通のフラグは、ステートメントとの一致をルータログに記録するログ機能です
どのタイプのアクセスコントロールリストがありますか。
アクセス制御リストにはいくつかの種類があり、ほとんどは明確な目的またはプロトコルのために定義されています。 標準と拡張:シスコのルータには、二つの主要なタイプがあります。 これら二つのタイプは、最も広く使用されているAclであり、私はこの記事と将来の記事で焦点を当てるものですが、いくつかの高度なAclもあります。, 高度なAclには、反射Aclと動的Aclがあり、次のように定義されています。 Reflexive Aclは、IPセッションAclとも呼ばれ、内部ネットワークから開始されたトラフィックの送信ACLからトリガされます。 ルータはこの新しいトラフィックフローを識別し、受信パスのための別のACLでエントリを作成します。 セッションが終了すると、reflexive ACLのエントリは削除されます。動的Aclまたはロックアンドキー Aclは、ユーザ認証プロセスを通じて特定の送信元/宛先ホストへのユーザアクセスを許可するために作成されます。, Ciscoの実装はIOSの防火壁の機能を利用し、既存のセキュリティ制限を妨げません。
ルータインターフェイスでのAclの実装
トラフィックフローの配置と理解は、ルータインターフェイスでACLを設定する前に、事前に理解することが重要 Aclの配置と影響についての理解は、CCNAおよびCCNP試験でよくある質問であり、ACL配置の間違いは、ネットワーク管理者がセキュリティ実装中に行う最も一般的なもののいくつかです。 私を信じて、それは私たち全員に起こり、私はそれに免疫がありません。, 図2は、ルータネットワークインターフェイスでの入力および出力に関するトラフィックフローの良い例を示しています。
この図からわかるように、入力トラフィックはネットワークからインターフェイスに流れ、出力はインターフェイスからネットワークに流れます。 ITネットワ Aclは、設定の最初に送信元アドレスから始まり、次に宛先アドレスから始まります。, ネットワークインターフェイスの入力にACLを設定するとき、すべてのローカルネットワークまたはホストがここではソースとして見られるべきであり、出力イ
これを最も混乱させるのは、外部ネットワークに面するルータのインターフェイス上のAclの実装です。 図1を振り返ってみましょう。 この例では、入力側は外部ネットワークから来ており、それらのアドレスは送信元であると見なされ、内部ネットワークアドレスはすべて宛先です。, 出力側では、内部ネットワークアドレスが送信元アドレスになり、外部アドレスが宛先になりました。
拡張Aclにポートを追加すると、混乱が発生する可能性があります。 実装する前に私が持っている最善のアドバイスは、フローを文書化し、送信元/宛先アドレスをメモすることです。 これらの実装の詳細については、ACL設定の記事の後半で説明します。
概要
アクセス制御リストは、ネットワークをセキュリティで保護し、その機能と適切な配置を理解することが、最高の有効性を達成するために, 認証の実ACLsが複数の質問を受験する懸念します。 このシリーズで続けるとき、Aclを使用してより良い視点を得るために、ネットワークシミュレータまたは未使用のルータポートの概念のいくつかをテストし、
コンピュータネットワーキングであなたのスキルをテスト 彼らはSmartererからこの評価を積み重ねる方法を参照してください。 Startこのコンピュータネットワーク実験の今