Dnes sa začneme učiť o zozname riadenia prístupu ACL, táto téma zaberie 2 video lekcie. Pozrieme sa na konfiguráciu štandardného ACL a v ďalšom videonávode budem hovoriť o rozšírenom zozname.
V tejto lekcii sa budeme venovať 3 témam. Prvým je, čo je ACL, druhým, aký je rozdiel medzi štandardným a rozšíreným prístupovým zoznamom, a na konci lekcie sa ako laboratórium pozrieme na nastavenie štandardného ACL a riešenie možných problémov.
Čo je teda ACL? Ak ste študovali kurz od prvej video lekcie, pamätáte si, ako sme organizovali komunikáciu medzi rôznymi sieťovými zariadeniami.
Študovali sme aj statické smerovanie cez rôzne protokoly, aby sme získali zručnosti v organizácii komunikácie medzi zariadeniami a sieťami. Teraz sme sa dostali do štádia učenia, kedy by sme sa mali starať o zabezpečenie kontroly premávky, to znamená zabrániť „zlým ľuďom“ alebo neoprávneným používateľom preniknúť do siete. Môže sa to týkať napríklad ľudí z obchodného oddelenia PREDAJ, ktoré je znázornené na tomto diagrame. Tu tiež zobrazujeme finančné oddelenie ÚČTY, oddelenie manažmentu MANAGEMENT a serverovňu SERVER ROOM.
Takže obchodné oddelenie môže mať sto zamestnancov a nechceme, aby sa niektorý z nich mohol dostať do serverovej miestnosti cez sieť. Výnimku tvorí manažér predaja, ktorý pracuje na počítači Laptop2 – môže mať prístup do serverovne. Nový zamestnanec pracujúci na Laptop3 by nemal mať takýto prístup, to znamená, že ak prenos z jeho počítača dosiahne smerovač R2, mal by byť zrušený.
Úlohou ACL je filtrovať prevádzku podľa špecifikovaných parametrov filtrovania. Zahŕňajú zdrojovú IP adresu, cieľovú IP adresu, protokol, počet portov a ďalšie parametre, vďaka ktorým môžete identifikovať prevádzku a vykonať s ňou nejaké akcie.
Takže ACL je mechanizmus filtrovania vrstvy 3 modelu OSI. To znamená, že tento mechanizmus sa používa v smerovačoch. Hlavným kritériom filtrovania je identifikácia toku údajov. Napríklad, ak chceme zablokovať chlapíkovi s počítačom Laptop3 prístup na server, najprv musíme identifikovať jeho prevádzku. Táto prevádzka sa pohybuje v smere Laptop-Switch2-R2-R1-Switch1-Server1 cez zodpovedajúce rozhrania sieťových zariadení, zatiaľ čo rozhrania G0/0 smerovačov s tým nemajú nič spoločné.
Na identifikáciu premávky musíme identifikovať jej cestu. Keď to urobíme, môžeme sa rozhodnúť, kam presne musíme filter nainštalovať. O samotné filtre si nerobte starosti, tie si rozoberieme v ďalšej lekcii, zatiaľ musíme pochopiť princíp, na aké rozhranie má byť filter aplikovaný.
Ak sa pozriete na smerovač, môžete vidieť, že zakaždým, keď sa prevádzka pohybuje, existuje rozhranie, do ktorého prichádza dátový tok, a rozhranie, cez ktoré tento tok vychádza.
V skutočnosti existujú 3 rozhrania: vstupné rozhranie, výstupné rozhranie a vlastné rozhranie smerovača. Nezabudnite, že filtrovanie je možné použiť iba na vstupné alebo výstupné rozhranie.
Princíp fungovania ACL je podobný priepustke na podujatie, ktorého sa môžu zúčastniť len tí hostia, ktorých meno je na zozname pozvaných osôb. ACL je zoznam kvalifikačných parametrov, ktoré sa používajú na identifikáciu prevádzky. Tento zoznam napríklad uvádza, že všetka prevádzka je povolená z adresy IP 192.168.1.10 a prevádzka zo všetkých ostatných adries je zakázaná. Ako som povedal, tento zoznam je možné použiť na vstupné aj výstupné rozhranie.
Existujú 2 typy ACL: štandardné a rozšírené. Štandardný zoznam prístupových práv má identifikátor od 1 do 99 alebo od 1300 do 1999. Sú to jednoducho názvy zoznamov, ktoré pri zvyšovaní číslovania nemajú oproti sebe žiadne výhody. Okrem čísla môžete k ACL priradiť aj svoje vlastné meno. Rozšírené ACL sú očíslované od 100 do 199 alebo 2000 až 2699 a môžu mať aj názov.
V štandardnom ACL je klasifikácia založená na zdrojovej IP adrese prevádzky. Preto pri použití takéhoto zoznamu nemôžete obmedziť prenos smerovaný na žiadny zdroj, môžete blokovať iba prenos pochádzajúci zo zariadenia.
Rozšírený ACL klasifikuje prevádzku podľa zdrojovej IP adresy, cieľovej IP adresy, použitého protokolu a čísla portu. Môžete napríklad blokovať iba prenos FTP alebo iba prenos HTTP. Dnes sa pozrieme na štandardný ACL a ďalšiu video lekciu budeme venovať rozšíreným zoznamom.
Ako som povedal, ACL je zoznam podmienok. Po aplikovaní tohto zoznamu na prichádzajúce alebo odchádzajúce rozhranie smerovača smerovač skontroluje prevádzku oproti tomuto zoznamu a ak spĺňa podmienky uvedené v zozname, rozhodne sa, či túto prevádzku povolí alebo zakáže. Pre ľudí je často ťažké určiť vstupné a výstupné rozhrania smerovača, hoci tu nie je nič zložité. Keď hovoríme o prichádzajúcom rozhraní, znamená to, že na tomto porte bude riadená iba prichádzajúca prevádzka a smerovač nebude uplatňovať obmedzenia na odchádzajúcu prevádzku. Podobne, ak hovoríme o výstupnom rozhraní, znamená to, že všetky pravidlá sa budú vzťahovať iba na odchádzajúce prenosy, zatiaľ čo prichádzajúce prenosy na tomto porte budú akceptované bez obmedzení. Napríklad, ak má smerovač 2 porty: f0/0 a f0/1, potom sa ACL použije len na prevádzku vstupujúcu do rozhrania f0/0 alebo iba na prevádzku pochádzajúcu z rozhrania f0/1. Prevádzka vstupujúca alebo opúšťajúca rozhranie f0/1 nebude týmto zoznamom ovplyvnená.
Nenechajte sa preto zmiasť prichádzajúcim alebo odchádzajúcim smerom rozhrania, ten závisí od smeru konkrétnej prevádzky. Keď teda router skontroluje, či sa prevádzka zhoduje s podmienkami ACL, môže urobiť iba dve rozhodnutia: povoliť prenos alebo ho odmietnuť. Môžete napríklad povoliť premávku určenú pre číslo 180.160.1.30 a odmietnuť premávku určenú pre číslo 192.168.1.10. Každý zoznam môže obsahovať viacero podmienok, ale každá z týchto podmienok musí povoliť alebo zamietnuť.
Povedzme, že máme zoznam:
Zakázať _______
Povoliť ________
Povoliť ________
Zakázať __________.
Najprv router skontroluje prevádzku, aby zistil, či vyhovuje prvej podmienke, ak sa nezhoduje, skontroluje druhú podmienku. Ak sa prevádzka zhoduje s treťou podmienkou, smerovač prestane kontrolovať a nebude ju porovnávať so zvyškom podmienok v zozname. Vykoná akciu „povoliť“ a prejde na kontrolu ďalšej časti premávky.
V prípade, že nemáte nastavené pravidlo pre žiadny paket a prevádzka prechádza cez všetky riadky zoznamu bez toho, aby bola splnená niektorá z podmienok, je zničený, pretože každý zoznam ACL štandardne končí príkazom deny any – teda zahodiť. akýkoľvek paket, ktorý nespadá pod žiadne z pravidiel. Táto podmienka nadobudne účinnosť, ak je v zozname aspoň jedno pravidlo, inak nemá žiadny účinok. Ak však prvý riadok obsahuje položku zamietnuť 192.168.1.30 a zoznam už neobsahuje žiadne podmienky, na konci by mal byť príkaz allow any, teda povoliť akúkoľvek prevádzku okrem tej, ktorú pravidlo zakazuje. Musíte to vziať do úvahy, aby ste sa vyhli chybám pri konfigurácii ACL.
Chcem, aby ste si zapamätali základné pravidlo vytvárania zoznamu ASL: štandardné ASL umiestnite čo najbližšie k cieľu, teda k príjemcovi prevádzky, a rozšírené ASL umiestnite čo najbližšie k zdroju, t. odosielateľovi prevádzky. Toto sú odporúčania Cisco, ale v praxi existujú situácie, kedy má väčší zmysel umiestniť štandardný ACL blízko zdroja návštevnosti. Ak však počas skúšky narazíte na otázku o pravidlách umiestnenia ACL, postupujte podľa odporúčaní spoločnosti Cisco a odpovedzte jednoznačne: štandard je bližšie k cieľu, rozšírený je bližšie k zdroju.
Teraz sa pozrime na syntax štandardného ACL. V režime globálnej konfigurácie smerovača existujú dva typy syntaxe príkazov: klasická syntax a moderná syntax.
Klasickým typom príkazu je prístupový zoznam <číslo ACL> <zamietnuť/povoliť> <kritériá>. Ak nastavíte <číslo ACL> od 1 do 99, zariadenie automaticky pochopí, že ide o štandardný ACL, a ak od 100 do 199, tak ide o rozšírený. Keďže sa v dnešnej lekcii pozeráme na štandardný zoznam, môžeme použiť ľubovoľné číslo od 1 do 99. Potom označíme akciu, ktorú je potrebné vykonať, ak parametre zodpovedajú nasledujúcemu kritériu – povolenie alebo odmietnutie návštevnosti. Toto kritérium zvážime neskôr, pretože sa používa aj v modernej syntaxi.
Moderný typ príkazu sa používa aj v režime globálnej konfigurácie Rx(config) a vyzerá takto: ip access-list standard <číslo/názov ACL>. Tu môžete použiť číslo od 1 do 99 alebo názov zoznamu ACL, napríklad ACL_Networking. Tento príkaz okamžite prepne systém do režimu podpríkazu štandardného režimu Rx (config-std-nacl), kde musíte zadať <deny/enable> <kritérium>. Moderný typ tímov má oproti klasickému viac výhod.
Ak v klasickom zozname napíšete access-list 10 deny ______, potom napíšete ďalší príkaz rovnakého druhu pre iné kritérium a skončíte so 100 takými príkazmi, potom na zmenu ktoréhokoľvek zo zadaných príkazov budete musieť vymažte celý zoznam prístupových práv 10 pomocou príkazu no access-list 10. Týmto vymažete všetkých 100 príkazov, pretože neexistuje spôsob, ako upraviť žiadny jednotlivý príkaz v tomto zozname.
V modernej syntaxi je príkaz rozdelený do dvoch riadkov, z ktorých prvý obsahuje číslo zoznamu. Predpokladajme, že ak máte štandardný zoznam prístupových práv 10 zamietnuť ________, štandardný prístupový zoznam 20 zamietnuť ________ a tak ďalej, potom máte možnosť medzi ne vložiť prechodné zoznamy s inými kritériami, napríklad štandardný prístupový zoznam 15 zamietnuť ________ .
Prípadne môžete jednoducho vymazať riadky štandardného zoznamu prístupových práv 20 a prepísať ich s rôznymi parametrami medzi riadkami štandardného zoznamu prístupových práv 10 a štandardných riadkov prístupového zoznamu 30. Existujú teda rôzne spôsoby, ako upraviť modernú syntax ACL.
Pri vytváraní ACL musíte byť veľmi opatrní. Ako viete, zoznamy sa čítajú zhora nadol. Ak umiestnite riadok hore, ktorý povoľuje prenos z konkrétneho hostiteľa, potom pod ním môžete umiestniť riadok, ktorý zakáže prenos z celej siete, ktorej je tento hostiteľ súčasťou, a obe podmienky sa skontrolujú – prenos na konkrétneho hostiteľa bude bude povolený a prevádzka zo všetkých ostatných hostiteľov tejto siete bude zablokovaná. Konkrétne položky preto vždy umiestnite na začiatok zoznamu a všeobecné na koniec.
Takže potom, čo ste vytvorili klasický alebo moderný ACL, musíte ho použiť. Ak to chcete urobiť, musíte prejsť do nastavení konkrétneho rozhrania, napríklad f0/0 pomocou príkazového rozhrania <typ a slot>, prejsť do režimu podpríkazu rozhrania a zadať príkaz ip access-group <číslo ACL/ meno> . Všimnite si prosím rozdiel: pri zostavovaní zoznamu sa používa prístupový zoznam a pri jeho použití sa používa prístupová skupina. Musíte určiť, na ktoré rozhranie sa tento zoznam použije – na prichádzajúce rozhranie alebo na odchádzajúce rozhranie. Ak má zoznam názov, napríklad Networking, rovnaký názov sa zopakuje v príkaze, aby sa zoznam použil v tomto rozhraní.
Teraz zoberme konkrétny problém a skúsme ho vyriešiť pomocou príkladu nášho sieťového diagramu pomocou Packet Tracer. Máme teda 4 siete: obchodné oddelenie, účtovné oddelenie, manažment a serverovňu.
Úloha č. 1: Všetka prevádzka smerujúca z obchodného a finančného oddelenia do riadiaceho oddelenia a serverovne musí byť zablokovaná. Miestom blokovania je rozhranie S0/1/0 smerovača R2. Najprv musíme vytvoriť zoznam obsahujúci nasledujúce položky:
Nazvime zoznam "Management and Server Security ACL", skrátene ACL Secure_Ma_And_Se. Nasleduje zákaz prevádzky zo siete finančného oddelenia 192.168.1.128/26, zákaz prevádzky zo siete obchodného oddelenia 192.168.1.0/25 a povolenie akejkoľvek inej prevádzky. Na konci zoznamu je uvedené, že sa používa pre odchádzajúce rozhranie S0/1/0 smerovača R2. Ak na konci zoznamu nemáme položku Povoliť ľubovoľné, všetka ostatná komunikácia bude zablokovaná, pretože predvolený zoznam prístupových práv je vždy nastavený na položku Zakázať ľubovoľnú na konci zoznamu.
Môžem použiť tento ACL na rozhranie G0/0? Samozrejme môžem, ale v tomto prípade bude zablokovaná iba návštevnosť z účtovného oddelenia a návštevnosť z obchodného oddelenia nebude nijako obmedzená. Rovnakým spôsobom môžete použiť ACL na rozhranie G0/1, ale v tomto prípade nebude prevádzka finančného oddelenia blokovaná. Samozrejme, pre tieto rozhrania môžeme vytvoriť dva samostatné zoznamy blokov, ale oveľa efektívnejšie je spojiť ich do jedného zoznamu a aplikovať ho na výstupné rozhranie smerovača R2 alebo vstupné rozhranie S0/1/0 smerovača R1.
Hoci pravidlá spoločnosti Cisco uvádzajú, že štandardný zoznam ACL by mal byť umiestnený čo najbližšie k cieľu, umiestnim ho bližšie k zdroju prenosu, pretože chcem zablokovať všetku odchádzajúce prenosy, a preto je rozumnejšie to urobiť bližšie k zdroj, aby táto prevádzka neplytvala sieťou medzi dvoma smerovačmi.
Zabudol som vám povedať o kritériách, takže poďme rýchlo späť. Ako kritérium môžete zadať ľubovoľné – v tomto prípade bude akýkoľvek prenos z akéhokoľvek zariadenia a akejkoľvek siete zakázaný alebo povolený. Môžete tiež zadať hostiteľa s jeho identifikátorom – v tomto prípade bude vstupom IP adresa konkrétneho zariadenia. Nakoniec môžete zadať celú sieť, napríklad 192.168.1.10/24. V tomto prípade /24 bude znamenať prítomnosť masky podsiete 255.255.255.0, ale nie je možné špecifikovať IP adresu masky podsiete v ACL. Pre tento prípad má ACL koncept nazývaný Wildcart Mask alebo „reverzná maska“. Preto musíte zadať IP adresu a návratovú masku. Reverzná maska vyzerá takto: od všeobecnej masky podsiete musíte odpočítať priamu masku podsiete, to znamená, že číslo zodpovedajúce oktetu v prednej maske sa odpočíta od 255.
Preto by ste mali použiť parameter 192.168.1.10 0.0.0.255 ako kritérium v ACL.
Ako to funguje? Ak je v oktete návratovej masky 0, kritérium sa považuje za zodpovedajúce zodpovedajúcemu oktetu IP adresy podsiete. Ak sa v oktete masky nachádza číslo, zhoda sa nekontroluje. Preto pre sieť 192.168.1.0 a návratovú masku 0.0.0.255 bude všetka prevádzka z adries, ktorých prvé tri oktety sa rovnajú 192.168.1., bez ohľadu na hodnotu štvrtého oktetu, zablokovaná alebo povolená v závislosti od špecifikovanú akciu.
Použitie reverznej masky je jednoduché a k maske Wildcart sa vrátime v ďalšom videu, aby som vám vysvetlil, ako s ňou pracovať.
28:50 min
Ďakujeme, že ste zostali s nami. Páčia sa vám naše články? Chcete vidieť viac zaujímavého obsahu? Podporte nás zadaním objednávky alebo odporučením priateľom, 30% zľava pre užívateľov Habr na unikátny analóg serverov základnej úrovne, ktorý sme pre vás vymysleli: (k dispozícii s RAID1 a RAID10, až 24 jadier a až 40 GB DDR4).
Dell R730xd 2 krát lacnejší? Len tu v Holandsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 USD! Čítať o
Zdroj: hab.com