 |
Лекция 13. Сетевые фильтры.
|
|
|
|
Краткая аннотация лекции: Рассмотрены принципы функционирования сетевых фильтров. Приведены примеры конфигурирования стандартных, расширенных, именованных списков доступа. Даны команды верификации и отладки сетевых фильтров.
Цель лекции: изучить основы защиты сетей путем управления потоком данных с помощью списков доступа.
Информационная безопасность телекоммуникационных сетей обеспечивается комплексом мер по их защите. Для защиты информации широко используются пароли, криптографирование передаваемой информации, устройства физической безопасности и другие аппаратные и программные средства. В настоящем разделе рассматриваются только некоторые методы и средства защиты сетей от несанкционированного доступа: сетевые фильтры (списки доступа), средства защиты портов коммутаторов, использование виртуальных локальных сетей. Однако эти меры весьма эффективны и применяются практически на всех сетях.
13.1. Функционирование списков доступа
Сетевой администратор должен иметь возможность управления трафиком, обеспечивая доступ к требуемым ресурсам зарегистрированным пользователям и запрещая несанкционированный доступ к сети. Эффективным средством фильтрации трафика являются списки контроля доступа (Access Control Lists – ACL). Их также назывют сетевые фильтры или просто списки доступа. Списки доступа используются, чтобы разрешать (permit) или запрещать (deny) продвижение пакетов через маршрутизатор, т.е. разрешать или запрещать доступ информации из других локальных сетей или из Интернета в защищаемую сеть, а также удаленный доступ по командам Telnet.
Списки доступа ACL могут быть созданы для всех сетевых протоколов, функционирующих на маршрутизаторе, например, IP или IPX, и устанавливаются на интерфейсах маршрутизаторов. Запрет или разрешение сетевого трафика через интерфейс маршрутизатора реализуется на основании анализа совпадения определенных условий. Для этого списки доступа представляются в виде последовательных записей, в которых анализируются используемые адреса и протоколы. Сетевые фильтры (списки доступа) создаются как для входящих, так и для исходящих пакетов на основании анализируемых параметров (адреса источника, адреса назначения, используемого протокола и номера порта верхнего уровня), указанных в списке доступа ACL (Рисунок 13.1).
|
|
|
Списки доступа могут быть определены для каждого установленного на интерфейсе протокола и для каждого направления сетевого трафика (исходящего и входящего). Поэтому для входящего и исходящего трафиков через интерфейс создаются отдельные списки. Например, для двух интерфейсов маршрутизатора, сконфигурированных для трех протоколов (IP, AppleTalk и IPX), может быть создано 12 отдельных списков доступа (на каждом интерфейсе по 6 списков: 3 для входящего и 3 для исходящего трафика).
Рисунок 13.1. Принятие решения при тестировании пакета
Списки доступа повышают гибкость сети. Например, списки, ограничивающие видео трафик, могут уменьшить нагрузку сети и повысить ее пропускную способность для передачи данных или аудио сигналов. Можно определить, какие типы трафика могут быть отправлены, а какие заблокированы в интерфейсах маршрутизатора, например, можно разрешить маршрутизацию электронной почте, но блокировать трафик Telnet. Можно использовать разрешение или запрет доступа различным типам файлов, таким как FTP или HTTP. Если списки доступа не формируются на маршрутизаторе, то все проходящие через маршрутизатор пакеты, будут иметь доступ к сети.
Список доступа ACL составляется из утверждений (условий), которые определяют, следует ли пакеты принимать или отклонять во входных или выходных интерфейсах маршрутизатора. Программное обеспечение IOS Cisco проверяет пакет последовательно по каждому условию. Если условие, разрешающее продвижение пакета, расположено наверху списка, никакие условия, добавленные ниже его, не будут запрещать продвижение пакета. Если в списке доступа необходимы дополнительные условия, то список целиком должен быть удален и создан новый с новыми условиями.
|
|
|
Функционирование маршрутизатора по проверке соответствия принятого пакета требованиям списка доступа производится следующим образом. Когда кадр поступает на интерфейс, маршрутизатор проверяет МАС-адрес. Если адрес назначения соответствует адресу интерфейса, то маршрутизатор извлекает (декапсулирует) из кадра пакет и проверяет его на соответствие условиям списка ACL входного интерфейса. При отсутствии запрета или отсутствии списка доступа пакет инкапсулируется в новый кадр второго уровня модели OSI и отправляется интерфейсу следующего устройства.
Проверка условий (утверждений) списка доступа производится последовательно. Если текущее утверждение верно, пакет обрабатывается в соответствие с командами permit или deny списка доступа, остальная часть условий ACL не проверяется. Если все утверждения ACL неверны, то неявно заданная по умолчанию команда deny any (запретить все остальное) в конце списка не позволит передавать дальше по сети несоответствующие пакеты.
Существуют разные типы списков доступа: стандартные (standard ACLs), расширенные (extended ACLs), именованные (named ACLs). Когда список доступа конфигурируются на маршрутизаторе, каждый список должен иметь уникальный идентификационный номер. Это число идентифицирует тип созданного списка доступа и должно находиться в пределах определенного диапазона, заданного для этого типа списка (табл.13.1). 270
Таблица 13.1
Стандартные списки доступа (Standard access lists) – для принятия решения в IP пакете анализируется только адрес источника сообщения, чтобы фильтровать сеть.
Расширенные списки доступа (Extended access lists) проверяют как IP-адрес источника, так и IP-адрес назначения, поле протокола в заголовке пакета Сетевого уровня и номер порта в заголовке Транспортного уровня.
|
|
|
Таким образом, для каждого протокола, для каждого направления трафика и для каждого интерфейса может быть создан свой список доступа. Исходящие фильтры не затрагивают трафик, который идет из местного маршрутизатора.
Стандартные списки доступа рекомендуется устанавливать по возможности ближе к адресату назначения, а расширенные – ближе к источнику. То есть стандартные списки доступа должны блокировать устройство назначения и располагаться поближе к защищаемой сети, а расширенные списки устанавливаются ближе к источнику сообщений.
Список доступа производит фильтрацию пакетов по порядку, поэтому в строках списков следует задавать условия фильтрации, начиная от специфических условий до общих. Условия списка доступа обрабатываются последовательно от вершины списка к основанию, пока не будет найдено соответствующее условие. Если никакое условие не найдено, то тогда пакет отклоняется и уничтожается, поскольку неявное условие deny any (запретить все остальное) есть неявно в конце любого списка доступа. Не удовлетворяющий списку доступа пакет протокола IP будет отклонен и уничтожен, при этом отправителю будет послано сообщение протокола ICMP. Новые записи (линии) всегда добавляются в конце списка доступа.
13.2. Конфигурирование стандартных списков доступа
Конфигурирование списков доступа производится в два этапа:
1. Создание списка доступа в режиме глобального конфигурирования.
2. Привязка списка доступа к интерфейсу в режиме детального конфигурирования интерфейса.
Формат команды создания стандартного списка доступа следующий:
Router(config)#access-list {№} {permit илиdeny} {адресисточника}.
Списки доступа могут фильтровать как трафик, входящий в маршрутизатор (in), так и трафик, исходящий из маршрутизатора (out). Направление трафика указывается при привязке списка доступа к интерфейсу. Формат команды привязки списка к интерфейсу следующий:
Router(config-if)#{протокол} access-group {номер} {in илиout}
После привязки списка доступа его содержимое не может быть изменено. Не удовлетворяющий администратора список доступа должен быть удален командой no access-list и затем создан заново.
|
|
|
Ниже приведены примеры конфигурирования стандартных списков доступа по защите Сети 1 (Рисунок 13.2).
Пример 1. Необходимо, чтобы серверы Сети 1 были доступны только узлу Host 2-1 Сети 2 с адресом 192.168.20.11, а все остальные узлы Сети 2 и Сети 3 не имели бы доступа в Сеть1. Список доступа следует установить на интерфейс F0/0 маршрутизатора Router_A. Номер списка доступа (10) выбирается из диапазона табл. 13.1. Адреса сетей, а также названия и адреса интерфейсов приведены в табл. 13.2.
Таблица 13.2
Создание и установка списка доступа производится по командам:
Router_A(config)#access-list 10 permit 192.168.20.11
Router_A(config)#int f0/0
Router_A(config-if)#ip access-group 10 out
Согласно созданной конфигурации ко всем исходящим из маршрутизатора пакетам через интерфейс F0/0 будет применяться список доступа:
permit 192.168.20.11 – присутствует в списке в явном виде,
deny any – присутствует неявно в конце каждого списка доступа.
Некоторые версии операционных систем IOS маршрутизаторов требуют в обязательном порядке использование инверсных масок WildCard при задании адресов узлов и сетей, либо расширения host при задании адресов узлов. Подобные дополнения рассмотрены в следующих примерах.
Пример 2. Серверы Сети 1 должны быть доступны всем узлам Сети 2 и узлу Host 3-1 Сети 3 с адресом 192.168.30.11, остальные узлы Сети 3 не должны иметь доступа. Список доступа установить на интерфейс F0/0 Router_A. В списке доступа имеются адреса сети и отдельного узла, поэтому необходимо использовать маску WildCard. Нулевые значения маски WildCard означают требование обработки соответствующих разрядов адреса, аединичные значения – игнорирование соответствующих разрядов адреса при функционировании списка доступа. Таким образом, маска 0.0.0.0 предписывает анализ и обработку всех разрядов адреса, т.е. в этом случае будет обрабатываться адрес узла. Маска 0.0.0.255 показывает, что обрабатываться будет только сетевая часть адреса класса С.
Краткие итоги лекции 13
1. Для защиты информации широко используются сетевые фильтры или списки доступа (Access Lists – ACL).
2. Списки доступа могут использоваться, чтобы разрешать (permit) или запрещать (deny) продвижение пакетов через маршрутизатор.
3. Запрет или разрешение сетевого трафика через интерфейс маршрутизатора реализуется на основании анализа совпадения определенных условий.
4. В списке доступа ACL могут анализироваться адреса источника, адреса назначения, протокол и номера порта верхнего уровня.
5. Списки доступа могут быть определены для каждого установленного на интерфейсе протокола и для каждого направления сетевого трафика (исходящего и входящего).
|
|
|
6. Каждый список должен иметь уникальный идентификационный номер.
7. Стандартные списки доступа (Standard access lists) для принятия решения анализируют в IP пакете только адрес источника сообщения.
8. Расширенные списки доступа (Extended access lists) проверяют IP-адрес источника, IP-адрес назначения, поле протокола в заголовке пакета Сетевого уровня и номер порта в заголовке Транспортного уровня.
9. Стандартные списки доступа должны располагаться поближе к защищаемой сети.
10. Расширенные списки доступа должны быть установлены близко к источнику сообщений.
11. Условие deny any (запретить все остальное) есть неявно в конце любого списка доступа.
12. Создание списка доступа производится в режиме глобального конфигурирования. Формат команды создания стандартного списка доступа следующий:
Router(config)#access-list {№} {permit или deny} {адрес источника}.
13. Привязка списка доступа к интерфейсу производится в режиме детального конфигурирования интерфейса. Формат команды привязки списка к интерфейсу следующий:
Router(config-if)#{протокол} access-group {номер} {in илиout}
14. Формат команды создания расширенного списка доступа следующий:
Router(config)#access-list {номер} {permit или deny} {протокол} {адрес источника} {адрес назначения} {порт}
15. Именованные списки доступа позволяют за счет введения имени списка сократить затем объем записи при конфигурировании.
|
|
|
