Acest articol este începutul unei noi serii centrate pe securitatea IT, dar axată pe securizarea rețelelor cu liste de control al accesului, denumite în mod obișnuit ACL-uri. Listele de control al accesului, funcția lor și implementarea corectă sunt acoperite în examenele Cisco, dar conceptele și strategiile de implementare sunt acoperite și în certificări precum Security + și CISSP., În acest articol, vom investiga și defini diferitele tipuri de liste de control al accesului și vom examina unele concepte de implementare, în special „de ce” le folosim și „când”. Articolele viitoare se vor concentra pe implementarea lor pe routerele Cisco, modele specifice pentru autorizarea și refuzarea serviciilor și se vor aventura în lumea firewall-urilor.
ce sunt listele de control acces?
ACL-urile sunt un filtru de rețea utilizat de routere și unele comutatoare pentru a permite și restricționa fluxurile de date în și din interfețele de rețea., Când un ACL este configurat pe o interfață, dispozitivul de rețea analizează datele care trec prin interfață, le compară cu criteriile descrise în ACL și fie permite ca datele să curgă, fie le interzice.
de ce folosim listele de Control al accesului?
există o varietate de motive pentru care folosim ACL-uri. Motivul principal este de a oferi un nivel de bază de securitate pentru rețea. ACL-urile nu sunt la fel de complexe și în profunzime de protecție ca firewall-urile de stat, dar oferă protecție pe interfețe de viteză mai mari, unde viteza ratei de linie este importantă și firewall-urile pot fi restrictive., ACL-urile sunt, de asemenea, utilizate pentru a restricționa actualizările de rutare de la colegii de rețea și pot avea un rol esențial în definirea controlului fluxului pentru traficul de rețea.
când folosim listele de Control al accesului?
după cum am menționat anterior, ACL-urile pentru routere nu sunt la fel de complexe sau robuste ca firewall-urile de stat, dar oferă o cantitate semnificativă de capacitate de firewall. Ca un profesionist de rețea sau de securitate IT, plasarea de apărare este esențială pentru protejarea rețelei, activele și datele sale., ACL-urile ar trebui plasate pe routere externe pentru a filtra traficul împotriva rețelelor mai puțin dorite și a protocoalelor vulnerabile cunoscute.una dintre cele mai comune metode în acest caz este să configurați o zonă tampon DMZ sau demilitarizată în rețeaua dvs. Această arhitectură este implementată în mod normal cu două dispozitive de rețea separate.un exemplu al acestei configurații este dat în Figura 1.
cel mai exterior router oferă acces la toate conexiunile de rețea exterioare., Acest router are de obicei ACL-uri mai puțin restrictive, dar oferă blocuri de acces de protecție mai mari în zonele tabelelor de rutare globale pe care doriți să le restricționați. Acest router ar trebui, de asemenea, să protejeze împotriva protocoalelor bine cunoscute pe care nu intenționați să le permiteți accesul în sau în afara rețelei. În plus, ACL-urile de aici ar trebui să fie configurate pentru a restricționa accesul la rețea și pot fi utilizate împreună cu protocoalele de rutare pentru a restricționa actualizările și întinderea rutelor primite de la sau trimise către colegii de rețea.,DMZ este locul unde majoritatea profesioniștilor IT plasează sisteme care au nevoie de acces din exterior. Cele mai frecvente exemple sunt serverele web, serverele DNS și sistemele de acces la distanță sau VPN.routerul intern al unui DMZ conține ACL-uri mai restrictive concepute pentru a proteja rețeaua internă de amenințări mai definite. ACL-urile de aici sunt adesea configurate cu declarații explicite de permis și refuz pentru adrese specifice și servicii de protocol.
în ce constă o listă de control acces?,
indiferent de platforma de rutare pe care o utilizați, toate au un profil similar pentru definirea unei liste de control al accesului.,s și numere)
- Exemple includ IP, IPX, ICMP, TCP, UDP, NETBIOS și multe altele
- Acestea sunt, de obicei, adrese și poate fi definit ca un singur discrete adresa, o serie sau subrețea, sau toate adresele
- Aceste declarații suplimentare cerere de funcții suplimentare, atunci când un meci este găsit pentru declarații., Aceste steaguri variază pentru fiecare protocol, dar un steag comun adăugat la declarații este caracteristica jurnal care înregistrează orice potrivire cu declarația în Jurnalul routerului
ce tipuri de liste de Control de acces există?
există mai multe tipuri de liste de control al accesului și majoritatea sunt definite pentru un scop sau un protocol distinct. Pe routerele Cisco, există două tipuri principale: standard și extins. Aceste două tipuri sunt cele mai utilizate ACL-uri și cele pe care le voi concentra în acest articol și în articolele viitoare, dar există și unele ACL-uri avansate., Unele dintre ACL-urile avansate includ ACL-uri reflexive și ACL-uri dinamice și sunt definite după cum urmează. ACL-urile Reflexive, cunoscute și sub denumirea de ACL-uri de sesiune IP, sunt declanșate dintr-un ACL de ieșire pentru traficul inițiat din rețeaua internă. Routerul va identifica acest nou flux de trafic și va crea o intrare într-un ACL separat pentru calea de intrare. Odată ce sesiunea se încheie, intrarea în ACL reflexiv este eliminat.
ACL-urile dinamice sau ACL-urile de blocare și cheie sunt create pentru a permite accesul utilizatorului la o anumită gazdă sursă / destinație printr-un proces de autentificare a utilizatorului., Implementările Cisco utilizează capabilitățile Firewall-ului IOS și nu împiedică restricțiile de securitate existente.
implementarea ACL-urilor pe o interfață de Router
plasarea și înțelegerea fluxului de trafic este importantă pentru a înțelege în față înainte de a configura un ACL pe o interfață de router. Înțelegerea plasării și a impactului ACL-urilor sunt întrebări frecvente în examenele CCNA și CCNP, iar greșelile în plasarea ACL sunt unele dintre cele mai frecvente pe care administratorii de rețea le fac în timpul implementării securității. Crede-mă, ni se întâmplă tuturor și nu sunt imun la asta., Figura 2 oferă un bun exemplu al fluxului de trafic atunci când vine vorba de intrare și ieșire pe o interfață de rețea router.
după cum puteți vedea din această diagramă, traficul de intrare curge din rețea în interfață și iese din interfață în rețea. Profesioniștii în rețea și securitate IT trebuie să acorde o atenție deosebită aici. ACL-urile încep cu o adresă sursă mai întâi în configurația lor și a doua destinație., Pe măsură ce configurați un ACL la intrarea unei interfețe de rețea, este important să recunoașteți că toate rețelele sau gazdele locale ar trebui văzute ca surse aici și exact opusul pentru interfața de ieșire.ceea ce face acest lucru cel mai confuz este implementarea ACL-urilor pe interfața unui router care se confruntă cu o rețea externă. Uită-te înapoi la figura 1. În acest exemplu, partea ingress provine din rețeaua exterioară, iar acele adrese sunt considerate surse, în timp ce toate adresele de rețea interne sunt destinații., Pe partea de ieșire, adresele dvs. de rețea internă sunt acum adrese sursă, iar adresele externe sunt acum destinații.
pe măsură ce adăugați porturi în ACL-uri extinse, confuzia se poate monta. Cel mai bun sfat pe care îl am înainte de orice implementare este să vă documentați fluxurile și să notați adresele sursă/destinație. Vom acoperi mai multe dintre aceste implementări mai târziu în articolele de configurare ACL.
Sumar
liste de control al Accesului sunt un principiu element în securizarea rețelelor și înțelegerea funcției lor și plasarea corectă este esențială pentru atingerea lor cel mai bun de eficacitate., Formarea de certificare acoperă ACL-urile și există mai multe întrebări cu privire la examene care le privesc. Pe măsură ce continuăm în această serie, ar fi înțelept să testăm unele dintre conceptele de pe simulatoarele de rețea sau porturile de router neutilizate pentru a obține o perspectivă mai bună folosind ACL-uri și modul în care acestea pot fi reprezentate în implementările reale și la examene.sunteți gata să vă testați abilitățile în rețeaua de calculatoare? A se vedea modul în care acestea stivă cu această evaluare de la Smarterer. Porniți acum acest test de rețea de calculatoare