Denne artikkelen er starten på en ny serie sentrert i IT-Sikkerhet, men fokusert på å sikre nettverk med tilgangskontroll, ofte referert til som Acl. Tilgangskontroll, deres funksjon og korrekt implementering er dekket i Cisco eksamener, men begreper og distribusjonsstrategier er også dekket i sertifiseringer som Sikkerhet + og CISSP., I denne artikkelen vil vi undersøke og definere ulike typer av tilgangskontroll og undersøke noen distribusjon av konsepter, spesielt «hvorfor» vi bruker dem og «når». Fremtidige artikler vil fokusere på gjennomføringen på Cisco-rutere, spesielle design for å gi og nekte tjenester, og gå inn i verden av brannmurer.
Hva er tilgangskontroll?
Acl-er et nettverk filter benyttes av rutere og noen bytter for å muliggjøre og begrense data flyter inn og ut av nettverket grensesnitt., Når en ACL er konfigurert på en grensesnittet, nettverk enheten analyserer data som passerer gjennom grensesnitt, sammenligner det med de kriterier som er beskrevet i ACL, og enten tillater data til å flyte eller forbyr det.
Hvorfor Gjør Vi Bruk av tilgangskontroll?
Det er en rekke grunner vi bruke Acl-er. Den primære årsaken er å gi en grunnleggende nivå av sikkerhet for nettverket. Acl-er ikke så komplisert og i dybden av beskyttelse som stateful brannmurer, men de gir beskyttelse på høyere hastighet grensesnitt hvor linjen pris hastighet er viktig og brannmurer kan være begrensende., Acl er også brukt til å begrense oppdateringer for ruting fra nettverket jevnaldrende og kan være instrumental i å definere flytkontroll for nettverkstrafikk.
Når vi gjør bruk av tilgangskontroll?
Som jeg har nevnt før, Acler for rutere er ikke så komplisert eller robust som stateful brannmurer, men de tilbyr en betydelig mengde av brannmur evne. Som en IT nettverk og sikkerhet profesjonell, plassering av ditt forsvar er avgjørende for å beskytte nettverket, sine eiendeler og data., Acl bør plasseres på eksterne rutere for å filtrere trafikk mot mindre ønskelig nettverk og kjente sårbare protokoller.
En av de vanligste metodene i dette tilfellet er å sette opp en DMZ, eller de-militarisert buffersone i nettverket. Denne arkitekturen er normalt gjennomføres med to separate nettverk enheter.
Et eksempel på denne konfigurasjonen er gitt i Figur 1.
Den mest oppvarmede ruter gir tilgang til alle utenfor nettverkstilkoblinger., Denne ruteren har vanligvis mindre inngripende Acl, men gir større beskyttelse blokkerer tilgang til områder av den globale ruting tabeller som du ønsker å begrense. Denne ruteren bør også beskytte mot kjente protokoller som du absolutt ikke har tenkt å gi tilgang til eller ut av ditt nettverk. I tillegg, Acl her bør være konfigurert til å begrense network node-tilgang, og kan brukes i forbindelse med ruting protokoller for å begrense oppdateringer og omfanget av ruter som er mottatt fra eller sendt til nettverket jevnaldrende.,
DMZ er der de fleste IT-profesjonelle plass systemer som trenger tilgang fra utsiden. De mest vanlige eksempler på dette er web-servere, DNS-servere, og ekstern tilgang eller VPN-systemer.
Den interne ruter i en DMZ inneholder mer restriktive Acl-er utformet for å beskytte den interne nettverket fra mer definert trusler. Acl her er ofte konfigurert med eksplisitt tillate og forby uttalelser for bestemte adresser og protokoll-tjenester.
Hva Gjør en Access Control List Bestå Av?,
Uansett hva ruting-plattformen du bruker, alle har en lignende profil for å definere en access control list.,s og tall)
- Eksempler inkluderer IP, IPX, ICMP, TCP, UDP, NETBIOS og mange andre
- Dette er typisk adresser og kan defineres som en enkelt diskret-adresse, et adresseområde eller delnett, eller alle adresser
- Disse flere uttalelser be om ytterligere funksjoner når en kamp er funnet for uttalelse., Disse flaggene variere for hver protokoll, men et felles flagg lagt til uttalelser er den log-funksjon som tar en kamp til uttalelse til ruteren log
Hvilke Typer av tilgangskontroll Er Det?
Det er flere typer av tilgangskontroll og de fleste er definert for et tydelig formål eller protokollen. På Cisco-rutere, det er i hovedsak to typer: standard og utvidet. Disse to typene er den mest brukte Acl og de jeg vil fokusere på i denne og fremtidige artikler, men det er noen avanserte Acl så vel., Noen av de avanserte Acl inkluderer refleksive Acl og dynamisk Acl og de er definert som følger. Refleksiv Acl, også kjent som IP-Økt Acl, utløses fra en utgående ACL for trafikk initiert fra det interne nettverket. Ruteren vil identifisere denne nye trafikkflyt og opprette en oppføring i en egen ACL for inngående banen. Når økten avsluttes, vil oppføringen i den refleksive ACL er fjernet.
Dynamisk Acl-eller lock-og-tasten for Acl-er opprettet for å tillate brukeren tilgang til en bestemt kilde/destinasjon vert gjennom en godkjenning av prosessen., Ciscos implementering bruke IOS-Brannmur evner og ikke er til hinder for eksisterende sikkerhet restriksjoner.
Implementering av Acl på en Ruterens Grensesnitt
Plassering og forståelse av trafikken er viktig å forstå foran før du konfigurerer en ACL på en ruterens grensesnitt. Forståelse av plassering og virkningen av Acl-er hyppige spørsmål i CCNA og CCNP eksamener og feil i ACL plassering er noen av de mest vanlige nettverk administratorer gjøre i løpet av sikkerhet for gjennomføring. Stol på meg, det skjer for oss alle, og jeg er ikke immune mot det., Figur 2 gir et godt eksempel på trafikken når det kommer til ingress og egress på en router network-grensesnitt.
Som du kan se fra dette diagrammet, ingress trafikken flyter fra nettverket inn i grensesnittet, og egress flyter fra grensesnittet til nettverket. IT nettverk og sikkerhet fagfolk må betale nær oppmerksomhet her. Acl starte med en kilde adressen første i sitt konfigurasjon og andre reisemål., Som du konfigurere en ACL på inntrengning av et nettverksgrensesnitt som det er viktig å erkjenne at alle lokalt nettverk eller verter, bør bli sett på som kilder her, og det motsatte for egress grensesnitt.
Hva er det som gjør dette mest forvirrende er gjennomføringen av Acl på grensesnittet til en ruter som står overfor et eksternt nettverk. Ser tilbake på Figur 1. I det eksempelet inntrengning side kommer fra utenfor nettverket, og disse adressene blir ansett for å være kilder, mens alle interne nettverket adresser destinasjoner., På egress side, ditt interne nettverk-adresser er nå kilde-postadresser og eksterne adresser er nå målene.
Som du vil legge til porter i utvidet Acl, forvirring kan montere. Det beste rådet jeg har før implementering er å dokumentere dine strømmer, og merk din kilde/destinasjon-postadresser. Vi vil dekke flere av disse implementeringene senere i ACL-konfigurasjon artikler.
Oppsummering
Access control lists er et prinsipp element i å sikre ditt nettverk og forstå deres funksjon og riktig plassering er avgjørende for å oppnå sitt beste effektivitet., Sertifisering og opplæring dekker Acl og det er flere spørsmål på eksamen som angår dem. Så vi fortsetter i denne serien, det ville være lurt å prøve noen av konseptene på nettverket simulatorer eller ubrukte ruter porter for å få et bedre perspektiv ved hjelp av Acl og hvordan de kan være representert i selve implementering og på eksamen.
Klar til å teste dine ferdigheter i Nettverk? Se hvordan de klarer seg med denne vurderingen fra Smarterer. Starter denne Datamaskinen Nettverk test nå