antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 27 Февраль , 2010

Не претендуя на полноту изложения, попробую описать технологии, которыми можно воспользоваться для защиты периметра, а также опишу вкратце, как защитить сам маршрутизатор от нападок извне и изнутри.
Рассматривать будем IOS с firewall feature set. Этот набор возможностей, как правило, есть во всех IOSах (в которых есть шифрование), кроме самого базового.
Итак, пусть на границе нашей сети стоит машрутизатор cisco, который и призван обеспечивать безопасность наших внутренних ресурсов. Понятно, что он и сам подвержен нападкам, поэтому кроме защиты пользовательского трафика надо защитить и саму железяку.

Защищаем трафик. Списки доступа.
Первым делом имеет смысл порезать ненужный трафик самым простым и грубым способом — списками доступа.

Списки доступа (ACL, Access Control List) для протокола IP — на маршрутизаторах cisco бывают стандартные (проверяют только ip адрес источника и разрешают или запрещают прохождение трафика по этому параметру) и расширенные (проверяют адреса источника и назначения, протокол передачи, порты источника и назначения, а также другие поля заголовков IP, TCP, UDP и других протоколов).
Порядок строк в списке доступа очень важен, т.к. проверяются эти строки по порядку и как только будет найдено совпадение, пакет или будет пропущен (если в правиле написано permit) или будет уничтожен (если deny)
В конце любого ACL непременно стоит невидимое «запретить все», поэтому мимо ACL пакет не проскользнёт.
Списки доступа бывают нумерованные и поименованные. Рекомендую использовать поименованные со смысловыми названиями.

Примеры:
access-list 1 permit 192.168.1.0 0.0.0.255
!
access-list 101 permit ip any 192.168.1.0 0.0.0.255
!
ip access-list standard TEST
permit host 1.2.3.4
!
ip access-list extended TEST2
permit tcp any 10.1.1.0 0.0.0.255 eq http
permit tcp any 10.1.1.0 0.0.0.255 eq https
permit udp any 10.1.1.0 0.0.0.255 eq 53
permit ip any 10.1.1.0 0.0.0.255 dscp cs5

Списки доступа — это шаблоны, которые можно использовать как для фильтрации трафика, так и как критерий отбора для других технологий. Например, списками доступа определяется «интересный» трафик для шифрования, для NAT, для QoS и т.д.

Сам по себе список доступа ничего не делает, пока не будет применен для какой-либо технологии. Например, для фильтрации трафика на интерфейсе на вход или на выход ACL применяется командой (помните, что на одном интерфейсе в одном направлении может быть применен только один ip ACL)

ip access-group {in|out}

Традиционно рекомендуется на внешний интерфейс вешать так называемый антиспуфинговый ACL, т.е. предотвращающий атаки с подделанных адресов.

Пример:
ip access-list ex ANTISPOOFING
deny ip host 0.0.0.0 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip host 255.255.255.255 any
deny ip 224.0.0.0 15.255.255.255 any
permit ip any any

Важно: с таким ACL надо быть очень осторожным в случае, если вы работаете с шифрованными туннелями IPSec. Дело в том, что ACL, висящий на вход интерфейса, проверяет сначала заголовок зашифрованного пакета, а потом — заголовок расшифрованного. Поэтому запрет трафика от частных сетей (10, 172, 192) может нарушить работу туннеля.

Посмотреть ваши списки доступа можно командой

show access-list

при этом в конце каждой строки будет стоять в скобках количество пакетов, совпавших с данной строкой списка. (hitcnt=5)

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы

 

2 комментария “Защищаемся маршрутизатором. Списки доступа (ACL)”

comment rss - Trackback

  1. Vilos:

    Вот подскажите в рамках этого топика. Как узнать каким листом доступа дропнулся/пропустился конкретный пакет.
    То есть есть какой то трафик и он проходит а не должен, как найти что его пропускает.
    Либо наоборот трафик не проходит, но какой дени отрабатывает найти сложно.

» Оставить комментарий

Вы должны войти чтобы прокомментировать.