antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Публикации помечены ‘ACL’

Опубликовано 27 Февраль , 2010

Не претендуя на полноту изложения, попробую описать технологии, которыми можно воспользоваться для защиты периметра, а также опишу вкратце, как защитить сам маршрутизатор от нападок извне и изнутри.
Рассматривать будем IOS с firewall feature set. Этот набор возможностей, как правило, есть во всех IOSах (в которых есть шифрование), кроме самого базового.
Итак, пусть на границе нашей сети стоит машрутизатор cisco, который и призван обеспечивать безопасность наших внутренних ресурсов. Понятно, что он и сам подвержен нападкам, поэтому кроме защиты пользовательского трафика надо защитить и саму железяку.

Защищаем трафик. Списки доступа.
Первым делом имеет смысл порезать ненужный трафик самым простым и грубым способом — списками доступа.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | 2 комментария »

Опубликовано 14 Февраль , 2010

Довольно простая глава. Списки доступа (ACL, Access Control List) – это правила проверки заголовка ip пакета до уровня 4 модели OSI. Списки доступа – это просто конструкции, состоящие из строчек. В каждой строчке – правило разрешить (permit) или запретить (deny). Строчки просматриваются сверху вниз на предмет точного совпадения заголовка пакета со строкой списка доступа. Списки доступа на ASA могут выполнять несколько ролей:
1. Фильтрация на интерфейсе входящего или исходящего трафика
2. Описание правил NAT (Policy NAT)
3. Описание правил редистрибуции маршрутов (в route-map)
4. Критерий попадания в класс трафика для дальнейшей обработки (Modular Policy Framework, MPF)
5. Описание «интересного трафика» для шифрования. Применяется список доступа в crypto map
6. Описание прав удаленного пользователя при подключении через IPSec или SSL VPN
Важно: в конце любого списка доступа стоит невидимое «запретить все» (implicit deny any), поэтому «мимо» списка доступа ни один пакет не пройдет.
Читать продолжение записи »

 

Метки: , , , ,
Опубликовано: Безопасность cisco | 1 комментарий »