Компьютерная безопасность

 Ещё раз, если пакет  совпал с условием, дальше он  не обрабатывается. Если первое  условие не совпало, идет обработка  второго условия, если оно совпало,  обработка прекращается, если нет,  идет обработка третьего условия  и так дальше пока не проверятся  все условия, если никакое из  условий не совпадает, пакет  просто уничтожается. Помните, в  каждом конце списка стоит  неявный deny any (запретить весь трафик). Будьте очень внимательны с этими правилами, которые я выделил, потому что очень часто происходят ошибки при конфигурации.

ACL разделяются на два  типа:

Стандартные (Standard): могут проверять только адреса источников

Расширенные (Extended): могут проверять адреса источников, а также адреса получателей, в случае IP ещё тип протокола и TCP/UDP порты

 Обозначаются списки  доступа либо номерами, либо символьными  именами. ACL также используются для  разных сетевых протоколов. Мы  в свою очередь будем работать  с IP. Обозначаются они следующим  образом, нумерованные списки  доступа:

Стандартные: от 1 до 99

Расширенные: от 100 до 199

 Символьные ACL разделяются  тоже на стандартные и расширенные. 

Расширенные напомню могут проверять гораздо больше, нежели стандартные, но и работают они медленнее, так как придется заглядывать внутрь пакета, в отличии от стандартных где мы смотрим только поле Source Address (Адрес отправителя). При создании ACL каждая запись списка доступа обозначается порядковым номером, по умолчанию в рамках десяти (10, 20, 30 и т.д). Благодаря чему, можно удалить конкретную запись и на её место вставить другую, но эта возможность появилась в Cisco IOS 12.3, до 12.3 приходилось ACL удалять, а потом создать заново полностью. Нельзя разместить более 1 списка доступа на интерфейс, на протокол, на направление. Объясняю: если у нас есть маршрутизатор и у него есть интерфейс, мы можем на входящее направление для IP-протокола разместить только один список доступа, например под номером 10. Ещё одно правило, касающееся самих маршрутизаторов, ACL не действует на трафик, сгенерированный самим маршрутизатором.

 Для фильтрации адресов  в ACL используется WildCard-маска. Это  обратная маска. Берем шаблонное  выражение: 255.255.255.255 и отнимаем от  шаблона обычную маску.

255.255.255.255-255.255.255.0, у нас  получается маска 0.0.0.255, что является  обычной маски 255.255.255.0, только 0.0.0.255 является WildCard маской.

Динамический (Dynamic ACL)

 Позволяет сделать  следующее, например у вас есть маршрутизатор, который подключен к какому-то серверу и нам нужно закрыть доступ к нему из внешнего мира, но в тоже время есть несколько человек, которые могут подключаться к серверу.

 Мы настраиваем динамический  список доступа, прикрепляем его  на входящем направлении, а  дальше людям, которым нужно  подключиться, подключаться через  Telnet к данному устройству, в результате динамический ACL открывает проход к серверу, и уже человек может зайти скажем через HTTP попасть на сервер. По умолчанию через 10 минут этот проход закрывается и пользователь вынужден ещё раз выполнить Telnet чтобы подключиться к устройству.

Рефлексивный (Reflexive ACL)

Здесь ситуация немножко отличается, когда узел в локальной сети отправляет TCP запрос в Интернет, у нас должен быть открытый проход, чтобы пришел TCP ответ для установки соединения. Если прохода не будет — мы не сможем установить соединение, и вот  этим проходом могут воспользоваться  злоумышленники, например проникнуть в сеть. Рефлексивные ACL работают таким образом, блокируется полностью доступ (deny any) но формируется ещё один специальный ACL, который может читать параметры пользовательских сессий, которые сгенерированны из локальной сети и для них открывать проход в deny any, в результате получается что из Интернета не смогут установить соединение. А на сессии сгенерированны из локальной сети будут приходить ответы.

Ограничение по времени (Time-based ACL)

 Обычный ACL, но с  ограничением по времени, вы  можете ввести специальное расписание, которое активирует ту или  иную запись списка доступа.  И сделать такой фокус, например  пишем список доступа, в котором  запрещаем HTTP-доступ в течении рабочего дня и вешаем его на интерфейс маршрутизатора, то есть, сотрудники предприятия пришли на работу, им закрывается HTTP-доступ, рабочий день закончился, HTTP-доступ открывается,  пожалуйста, если хотите — сидите в Интернете.

Настройка ACL.

Стандартный список доступа

Router(config)#access-list <номер списка от 1 до 99> {permit | deny | remark} {address | any | host} [source-wildcard] [log]

permit: разрешить

deny: запретить

remark: комментарий о списке доступа

address: запрещаем или разрешаем сеть

any: разрешаем или запрещаем всё

host: разрешаем или запрещаем хосту

source-wildcard: WildCard маска сети

log: включаем логгирование пакеты проходящие через данную запись ACL

Расширенный список доступа

Router(config)#access-list <номер списка от 100 до 199> {permit | deny | remark} protocol source [source-wildcard] [operator operand] [port <порт или название протокола> [established]

protocol source: какой протокол будем разрешать или закрывать (ICMP, TCP, UDP, IP, OSPF и т.д)

deny: запретить

operator:

A.B.C.D — адрес получателя

 any — любой конечный хост

 eq — только пакеты на этом порте

 gt — только пакеты с большим номером порта

 host — единственный конечный хост

 lt — только пакеты с более низким номером порта

 neq — только пакеты не на данном номере порта

 range — диапазон портов

port: номер порта (TCP или UDP), можно указать имя

established: разрешаем прохождение TCP-сегментов, которые являются частью уже созданной TCP-сессии

Прикрепляем к  интерфейсу

Router(config-if)#ip access-group <номер списка или имя ACL> {in | out}

in: входящее направление

out: исходящее направление

Именованные списки доступа

Router(config)#ip access-list {standard | extended} {<номер ACL> | <имя ACL>}

Router(config-ext-nacl)# {default | deny | exit | no | permit | remark}

standard: стандартный ACL

extended: расширенный ACL

default: установить команду в значение по умолчанию

Ограничение доступа  к маршрутизатору

R(config)#line vty 0 4 — переходим в режим настройки виртуальных линий.

R(config-line)#password <пароль>

 R(config-line)#login

 R(config-line)#access-class 21 in — настраиваем логин и пароль, а также закрепляем список доступа с разрешенными IP-адресами.

Динамические  списки доступа

R3(config)#username Student password 0 cisco — создаем пользователей для подключения через Telnet.

R3(config)#access-list 101 permit tcp any host 10.2.2.2 eq telnet

R3(config)#access-list 101 dynamic testlist timeout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 — разрешаем подключаться к серверу по Telnet всем узлам.

R3(config)#interface serial 0/0/1

 R3(config-if)#ip access-group 101 in — закрепляем 101 ACL за интерфейсом в входящем направлении.

R3(config)#line vty 0 4

 R3(config-line)#login local

 R3(config-line)#autocommand access-enable host timeout 5 — как только пользователь аутентифицируеться, сеть 192.168.30.0 будет доступна, через 5 минут бездействия сеанс закроется.

Рефлексивные списки доступа

R2(config)#ip access-list extended OUTBOUNDFILTERS

 R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 any reflect TCPTRAFFIC

 R2(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 any reflect ICMPTRAFFIC — заставляем маршрутизатор отслеживать трафик, который инициировался изнутри.

R2(config)#ip access-list extended INBOUNDFILTERS

 R2(config-ext-nacl)#evaluate TCPTRAFFIC

 R2(config-ext-nacl)#evaluate ICMPTRAFFIC — создаем входящую политику, которая требует, чтобы маршрутизатор проверял входящий трафик, чтобы видеть инициировался ли изнутри и связываем TCPTRAFFIC к INBOUNDFILTERS.

R2(config)#interface serial 0/1/0

 R2(config-if)#ip access-group INBOUNDFILTERS in

 R2(config-if)#ip access-group OUTBOUNDFILTERS out — применяем входящий и исходящий ACL на интерфейс.

Ограничение по времени

R1(config)#time-range EVERYOTHERDAY

 R1(config-time-range)#periodic Monday Wednesday Friday 8:00 to 17:00 — создаем список времени, в котором добавляем дни недели и время.

R1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range EVERYOTHERDAY — применяем time-range к ACL.

R1(config)#interface s0/0/0

 R1(config-if)#ip access-group 101 out — закрепляем ACL за интерфейсом.

Поиск проблем

 R#show access-lists {ACL номер | имя} — смотрим информацию о списке доступа.

 R#show access-lists — смотрим все списки доступа на маршрутизаторе.

Пример

Router#show access-lists

Extended IP access list nick

permit ip host 172.168.1.1 host 10.0.0.5

deny ip any any (16 match(es))

Standard IP access list nick5

permit 172.16.0.0 0.0.255.255

 

Технология Zone-Based Firewall

ZBF превносит в Cisco IOS понятие зон межсетевого экрана, в которые помещаются интерфейсы маршрутизатора, между зонами трафик по умолчанию запрещен. Разрешение трафика и его инспектирование производится с помощью уже ставшего популярным модульного CLI (CommandLine Interface).

Кроме того в Zone-Based PolicyFirewall используется Cisco Policy Language (CPL), которая позволяет более гибко, чем в предыдущих версиях межсетевого экрана, настраивать правила фильтрации трафика.

Основные положения:

-трафик предназначенный маршрутизатору или сгенерированный им разрешен по умолчанию;

-политика применяется к парам зон с указанием направления. То есть IN_OUT и OUT_IN это две разных политики;

-если один из интерфейсов принадлежит к какой-либо зоне, другой нет - трафик запрещен;

-CBAC и ZBFW можно использовать одновременно, но только на разных интерфейсах;

-правила  настраиваются не на интерфейсах,  а между зонами;

   -зона может состоять из одного интерфейса или нескольких интерфейсов;

-в пределах зоны по умолчанию разрешен весь трафик;

 

 

Технология Policy routing

Policy routing - это более гибкий механизм маршрутизации пакетов, чем адресная маршрутизация (destination routing). Его главная особенность состоит в том, что перед маршрутизацией все пакеты проходят через маршрутную карту (route map), которая определяет, какие пакеты маршрутизировать и какой роутер будет следующим. Мы можем включить policy routing если хотим, чтобы некоторые пакеты были направлены по пути, отличному от очевидно самого короткого пути (the obvious shortest path), то есть пути взятого из таблицы маршрутизации. Наиболее вероятные применения policy routing - предоставление равного доступа; маршрутизация, зависимая от типа протокола; маршрутизация от источника; маршрутизация основанная на диалоге, а не на классовой маршрутизации; маршрутизация на выделенных линиях.

Чтобы включить policy routing мы должны создать маршрутную карту, которая определяет какие именно пакеты она должна обрабатывать и какие действия с ними необходимо выполнить.

Чтобы включить policy routing на интерфейсе, в режиме конфигурации интерфейса командой ip policy route-map name-map  где, route map - имя маршрутной карты. Все пакеты, прибывающие на этот интерфейс, будут обработаны этой маршрутной картой. Главное помнить, что эта команда отключает режим fast switching для всех пакетов, прибывающих на этот интерфейс.

Нужно также указывать критерии, с которыми маршрутизатор будет  определять, подвергнуть ли пакеты политике маршрутизации. При настройке  политики маршрутизации нужно определить, куда выводятся пакеты, которые подходят по критериям соответствия.

Пакеты, которые генерируются самим маршрутизатором не поддаются политике маршрутизации. Для таких пакетов необходимо включить локальную политику маршрутизации (local policy routing).

Настройка ZBF:

 

1. Определим зоны безопасности:

 

   #zone security out-zone 
 # zone security in-zone

2. Определиминтерфейсывзоны: 
   #interface Vlan 1 
   #zone-member security in-zone 
   #interface Dialer 0 
   #zone-member security out-zone

3.Определенимпротоколыпокоторым  разрешендоступв  интернет: 
 
  #class-map type inspect match-any insp-traffic

  #match protocol icmp 
  #match protocol smtp 
  #match protocol pop3 
  #match protocol ftp 
4. Создадимполитику:

     #policy-map type inspectmypolicy 
     #class type inspect insp-traffic 
     #inspect 
    5.Создадимцепочкуправил inside -> outside:  
 
    #zone-pair security in-out source in-zone dest out-zone 
    #service-policy type inspect mypolicy

 
Обращаем внимание, что интерфейсы у нас будут свои (не Vlan b Dialer).

Настройка Policy map:

 

Прежде чем приступить к настройке PR, необходимо создать список доступа (для универсальности, можно создать сразу расширенный список доступа). В списке доступа мы укажем сети (пользовательскую и гостевую) из которой весь дефолтный трафик будет завернут например на ISA сервер (он же прокси).

ip access-list extended ISA

10 permit ip 172.16.10.0 0.0.0.255 any

 20 permit ip 172.16.20.0 0.0.0.255 any

Затем необходимо создать правило  маршрутизации или карту маршрутизации (Route-map), где нужно указать то, что мы хотим, чтобы маршрутизатор обратил внимание на сеть, указанную в списке доступа, командой match , а командой set - то, что мы хотим сделать с данными подпадающими под правило match.

route-map ISA permit 10

 match ip address ISA

 set ip next-hop 172.16.30.150

Теперь можно применить правило  на входящем интерфейсе VLAN.

int vlan 10

 ip policy route-map ISA

 

int vlan 20 
ip policy route-map ISA

Просмотреть политику PBR можно командой show route-map.

Теперь весь трафик по умолчанию c указанных сетей пойдет на адрес 172.16.30.150. Трафик из других сетей не будет  обрабатываться картой маршрутизации  и будет обработан согласно маршрутизации  по умолчанию.

ip access-list extended ISA

10 deny ip any 172.16.0.0 0.0.255.255

20 permit ip 172.16.10.0 0.0.0.255 any

30 permit ip 172.16.20.0 0.0.0.255 any

 

ip access-list extended ISA

10 deny ip any 172.16.0.0 0.0.255.255

20 permit ip 172.16.10.0 0.0.0.255 any

30 permit ip 172.16.20.0 0.0.0.255 any

 

route-map ISA permit 10

 match ip address ISA

 set ip next-hop 172.16.30.150

 

int vlan 10

 ip policy route-map ISA

int vlan 20

 ip policy route-map ISA