Ten artykuł jest początkiem nowej serii skupionej na bezpieczeństwie IT, ale skupionej na zabezpieczaniu sieci za pomocą list kontroli dostępu, powszechnie określanych jako ACL. Listy kontroli dostępu, ich funkcja i prawidłowe wdrożenie są objęte egzaminami Cisco, ale koncepcje i strategie wdrażania są również objęte certyfikatami, takimi jak Security + i CISSP., W tym artykule zbadamy i zdefiniujemy różne typy list kontroli dostępu oraz przyjrzymy się niektórym koncepcjom wdrażania, zwłaszcza „dlaczego” ich używamy i „kiedy”. Przyszłe artykuły będą koncentrować się na ich implementacji na routerach Cisco, konkretnych projektach usług zezwalających i zaprzeczających, a także wkroczyć w świat firewalli.
czym są listy kontroli dostępu?
ACL są filtrem sieciowym wykorzystywanym przez routery i niektóre przełączniki w celu umożliwienia i ograniczenia przepływu danych do i z interfejsów sieciowych., Gdy ACL jest skonfigurowany na interfejsie, urządzenie sieciowe analizuje dane przechodzące przez interfejs, porównuje je z kryteriami opisanymi w ACL i albo zezwala na przepływ danych, albo zabrania go.
dlaczego korzystamy z list kontroli dostępu?
istnieje wiele powodów, dla których używamy ACL. Głównym powodem jest zapewnienie podstawowego poziomu bezpieczeństwa sieci. ACL nie są tak złożone i dogłębnie chronione jak zapory sieciowe, ale zapewniają ochronę na interfejsach o wyższej prędkości, gdzie prędkość liniowa jest ważna, a zapory sieciowe mogą być restrykcyjne., ACL są również używane do ograniczania aktualizacji dla routingu z rówieśników sieciowych i mogą być pomocne w definiowaniu kontroli przepływu ruchu sieciowego.
kiedy używamy list kontroli dostępu?
jak już wspomniałem, ACL dla routerów nie są tak złożone i solidne jak zapory sieciowe, ale oferują znaczną ilość możliwości zapory sieciowej. Jako specjalista ds. sieci IT lub bezpieczeństwa rozmieszczenie zabezpieczeń ma kluczowe znaczenie dla ochrony sieci, jej zasobów i danych., ACL powinny być umieszczane na zewnętrznych routerach, aby filtrować ruch w stosunku do mniej pożądanych sieci i znanych wrażliwych protokołów.
jedną z najczęstszych metod w tym przypadku jest skonfigurowanie strefy DMZ lub zdemilitaryzowanej strefy buforowej w sieci. Architektura ta jest zwykle implementowana z dwoma oddzielnymi urządzeniami sieciowymi.
przykład tej konfiguracji przedstawiono na rysunku 1.
najbardziej zewnętrzny router zapewnia dostęp do wszystkich zewnętrznych połączeń sieciowych., Ten router zwykle ma mniej restrykcyjne ACL, ale zapewnia większe bloki dostępu do ochrony dla obszarów globalnych tabel routingu, które chcesz ograniczyć. Ten router powinien również chronić przed dobrze znanymi protokołami, których absolutnie nie planujesz zezwolić na dostęp do lub z sieci. Ponadto ACL powinny być skonfigurowane w taki sposób, aby ograniczać dostęp do sieci peer i mogą być używane w połączeniu z protokołami routingu w celu ograniczenia aktualizacji i zakresu tras odbieranych lub wysyłanych do peerów sieciowych.,
w DMZ większość specjalistów IT umieszcza systemy, które wymagają dostępu z zewnątrz. Najczęstszymi przykładami są Serwery WWW, serwery DNS oraz systemy zdalnego dostępu lub VPN.
wewnętrzny router DMZ zawiera bardziej restrykcyjne ACL mające na celu ochronę sieci wewnętrznej przed bardziej zdefiniowanymi zagrożeniami. ACL są często konfigurowane z jawnymi instrukcjami permit i deny dla określonych adresów i usług protokołu.
z czego składa się lista kontroli dostępu?,
niezależnie od używanej platformy routingu, wszystkie mają podobny profil do definiowania listy kontroli dostępu.,
- przykłady obejmują IP, IPX, ICMP, TCP, UDP, NETBIOS i wiele innych
- są to zazwyczaj adresy i mogą być zdefiniowane jako pojedynczy dyskretny adres, zakres lub podsieć lub wszystkie adresy
- te dodatkowe instrukcje żądają dodatkowych funkcji, gdy zostanie znalezione dopasowanie do instrukcji., Znaczniki te różnią się dla każdego protokołu, ale wspólny znacznik dodawany do instrukcji jest funkcją dziennika, która rejestruje wszelkie dopasowanie do instrukcji w dzienniku routera
jakie są rodzaje list kontroli dostępu?
istnieje kilka rodzajów list kontroli dostępu, a większość z nich jest zdefiniowana dla odrębnego celu lub protokołu. W routerach Cisco istnieją dwa główne typy: standard i extended. Te dwa typy są najczęściej używanymi ACL i te, na których skupię się w tym i przyszłych artykułach, ale są też pewne zaawansowane ACL., Niektóre z zaawansowanych ACL obejmują reflexive ACL i dynamic ACL i są one zdefiniowane w następujący sposób. Reflexive ACL, znane również jako ACL sesji IP, są wyzwalane z wychodzącego ACL dla ruchu zainicjowanego z sieci wewnętrznej. Router zidentyfikuje ten nowy przepływ ruchu i utworzy wpis w osobnym ACL dla ścieżki przychodzącej. Po zakończeniu sesji wpis w refleksyjnym ACL jest usuwany.
dynamiczne ACL lub lock-and-key ACL są tworzone w celu umożliwienia Użytkownikowi dostępu do określonego hosta źródłowego / docelowego poprzez proces uwierzytelniania użytkownika., Wdrożenia Cisco wykorzystują możliwości Zapory systemu IOS i nie utrudniają istniejących ograniczeń bezpieczeństwa.
implementacja ACL na interfejsie routera
umieszczenie i zrozumienie przepływu ruchu jest ważne, aby zrozumieć z góry przed skonfigurowaniem ACL na interfejsie routera. Zrozumienie umieszczania i wpływu ACL to częste pytania w egzaminach CCNA i CCNP, a błędy w umieszczaniu ACL to jedne z najczęściej popełnianych przez administratorów sieci podczas wdrażania zabezpieczeń. Zaufaj mi, to się zdarza nam wszystkim i nie jestem na to odporna., Rysunek 2 stanowi dobry przykład przepływu ruchu, jeśli chodzi o wejście i wyjście z interfejsu sieciowego routera.
jak widać na tym diagramie, ruch wejściowy przepływa z sieci do interfejsu, a ruch wyjściowy przepływa z interfejsu do sieci. Specjaliści ds. sieci IT i bezpieczeństwa muszą zwracać szczególną uwagę. ACL zaczynają się od adresu źródłowego w swojej konfiguracji, a docelowego na drugim., Podczas konfigurowania ACL na wejściu interfejsu sieciowego ważne jest, aby rozpoznać, że wszystkie sieci lokalne lub hosty powinny być postrzegane jako źródła tutaj, a dokładnie odwrotnie dla interfejsu wyjściowego.
to, co sprawia, że jest to najbardziej mylące, to implementacja ACL na interfejsie routera, który stoi przed siecią zewnętrzną. Spójrz wstecz na rysunek 1. W tym przykładzie strona wejściowa pochodzi z sieci zewnętrznej i adresy te są uważane za Źródła, podczas gdy wszystkie adresy sieci wewnętrznej są adresami docelowymi., Po stronie wyjścia wewnętrzne adresy sieciowe są teraz adresami źródłowymi, a adresy zewnętrzne są teraz adresami docelowymi.
podczas dodawania portów w rozszerzonych ACL można montować zamieszanie. Najlepszą radą, jaką mam przed wdrożeniem, jest udokumentowanie przepływów i zanotowanie adresów źródłowych / docelowych. Więcej z tych implementacji omówimy później w artykułach konfiguracyjnych ACL.
podsumowanie
listy kontroli dostępu są podstawowym elementem w zabezpieczeniu sieci i zrozumienie ich funkcji, a właściwe rozmieszczenie jest niezbędne do osiągnięcia ich najlepszej skuteczności., Szkolenie certyfikacyjne obejmuje ACLs i istnieje kilka pytań dotyczących egzaminów, które ich dotyczą. Kontynuując tę serię, mądrze byłoby przetestować niektóre koncepcje na symulatorach sieciowych lub nieużywanych portach routera, aby uzyskać lepszą perspektywę za pomocą ACL i sposobu, w jaki mogą być one reprezentowane w rzeczywistych implementacjach i na egzaminach.
chcesz sprawdzić swoje umiejętności w sieci komputerowej? Zobacz, jak układają się z tą oceną od Smarterer. Rozpocznij test sieci komputerowych już teraz