ФИЛЬТРАЦИЯ ТРАФИКА С ИСПОЛЬЗОВАНИЕМ СПИСКОВ

реклама
ФИЛЬТРАЦИЯ ТРАФИКА С ИСПОЛЬЗОВАНИЕМ
СПИСКОВ КОНТРОЛЯ ДОСТУПА
ЧАСТЬ 1
Тергеусизова А.С.
Алматинский университет энергетики и связи, г.Алматы
Республика Казахстан
aliya55@mail.ru
Использование списков контроля доступа
Безопасность в корпоративной сети играет крайне важную роль. Важно предотвратить
несанкционированный доступ пользователей и защитить сеть от различного рода атак, таких
как DoS-атаки. В случае несанкционированного доступа злоумышленники могут изменить,
разрушить или украсть конфиденциальные данные с серверов. DoS-атаки препятствуют
доступу легальных пользователей к ресурсам. В обоих случаях компания теряет время и
деньги.
Фильтрация трафика позволяет администратору контролировать трафик в различных
сегментах сети. Фильтрация представляет собой процесс анализа содержимого пакета с
целью разрешения или блокировки его передачи.
Фильтрация пакетов может быть простой и сложной и может запрещать или разрешать
трафик по следующим критериям:
- исходный IP-адрес;
- конечный IP-адрес;
- MAC-адреса;
- протоколы;
- тип приложения.
Фильтрацию пакетов можно сравнить с фильтрацией нежелательной почты. Многие
почтовые приложения позволяют пользователю настраивать автоматическое удаление
сообщений электронной почты, приходящих с определенного исходного адреса. Фильтрация
пакетов может осуществляться подобным образом путем настройки маршрутизатора на
определение нежелательного трафика.
Фильтрация пакетов позволяет повысить производительность сети. Благодаря запрету
нежелательного или запрещенного трафика близко к его источнику, трафик не передается по
сети и не потребляет ценные ресурсы.
В число устройств, чаще всего используемых для фильтрации трафика, входят
следующие:
- брандмауэры, встроенные в интегрированные маршрутизаторы;
- выделенные устройства обеспечения безопасности;
- серверы.
Некоторые устройства фильтруют только трафик, возникающий во внутренней сети.
Более совершенные устройства безопасности способны распознавать и фильтровать
известные типы атак из внешних источников.
Корпоративные маршрутизаторы способны распознавать вредоносный трафик и
предотвращать его попадание в сеть и нарушение работоспособности сети. Практически все
маршрутизаторы выполняют фильтрацию трафика по исходным и конечным IP-адресам
пакетов. Они также фильтруют определенные приложения и протоколы, такие как IP, TCP,
HTTP, FTP и Telnet.
Одним из наиболее распространенных способов фильтрации трафика является
использование списков контроля доступа (ACL-списков). ACL-списки можно использовать
для управления входящим и существующим трафиком в сети и его фильтрации.
Размер ACL-списка может варьироваться от одной инструкции, по которой
разрешается или блокируется трафик от одного источника, до сотни инструкций,
разрешающих или запрещающих пакеты с нескольких источников. В основном, ACL-списки
используются для определения типов принимаемых или отклоняемых пакетов.
ACL-списки определяют трафик для нескольких целей:
- указание внутренних узлов для NAT;
- обнаружение и классификация трафика для обеспечения расширенных возможностей,
таких как QoS и организация очереди;
- ограничение содержимого обновления маршрутизации;
- ограничение отладочных выходных данных;
- контроль доступа виртуальных терминалов к маршрутизаторам.
Использование ACL-списков может быть сопряжено со следующими потенциальными
проблемами:
- дополнительная нагрузка на маршрутизатор для проверки всех пакетов означает
меньшее время на фактическую пересылку пакетов;
- плохо организованные ACL-списки создают даже еще большую нагрузку на
маршрутизатор и могут нарушить работоспособность сети;
- неправильно размещенные ACL-списки блокируют допустимый трафик и разрешают
запрещенный.
Администратору доступно несколько вариантов создания списков контроля доступа.
Сложность требований к структуре определяет тип необходимого ACL-списка. Существует
три типа ACL-списков.
Стандартные ACL-списки
Стандартный ACL-список является самым простым из трех типов. При создании
стандартного ACL-списка для IP-протокола, фильтрация по ACL-спискам осуществляется на
основе исходного IP-адреса пакета. Стандартные ACL-списки определяют разрешения
пакетов на основе всего протокола, такого как IP-протокол. Таким образом, при запрете
узлового устройства стандартным ACL-списком, запрещаются все службы этого узла. Такой
тип ACL-списка полезен для разрешения доступа всех служб определенного пользователя
или локальной сети (LAN) через маршрутизатор с запретом доступа с других IP-адресов.
Стандартные ACL-списки определяются по присваиваемым им номерам. Номера из
диапазона от 1 до 99 и от 1 300 до 1 999 присваиваются спискам доступа, разрешающим или
блокирующим IP-трафик.
Расширенные ACL-списки
Расширенные ACL-списки используются для фильтрации не только по исходному IPадресу, но и по конечному IP-адресу, протоколу и номерам портов. Расширенные ACLсписки используются чаще стандартных, поскольку они являются более определенными и
обеспечивают более высокий уровень контроля. Расширенным ACL-спискам присваиваются
номера из диапазона от 100 до 199 и от 2 000 до 2 699.
Именованные ACL-списки
Именованные ACL-списки (NACL-списки) имеют формат стандартного или
расширенного списка и обозначаются описательным именем, а не номером. При настройке
именованных ACL-списков, маршрутизатор IOS использует режим подкоманды NACL.
Таблица 1
Типы списков доступа IOS
В списках контроля доступа содержится одна или более инструкций. Каждая
инструкция либо разрешает, либо запрещает трафик на основе указанных параметров.
Трафик сравнивается с каждой инструкцией в ACL-списке по порядку, пока не будет
найдено совпадение или не закончится список инструкций.
Последняя инструкция в ACL-списке всегда неявно запрещает трафик. Эта инструкция
автоматически вставляется в конец каждого ACL-списка, хотя и не присутствует в нем
физически. Неявный запрет блокирует весь трафик. Эта возможность позволяет
предотвратить случайное попадание нежелательного трафика.
После создания списка контроля доступа, его необходимо применить к интерфейсу,
чтобы задействовать его. ACL-список предназначен для фильтрации входящего или
исходящего трафика, проходящего через интерфейс. Если пакет соответствует разрешающей
инструкции, то он пропускается маршрутизатором. Если он соответствует запрещающей
инструкции, он останавливается. ACL-список без единой разрешающей инструкции
приводит к блокированию всего трафика. Это объясняется тем, что в конце каждого ACLсписка указывается неявное запрещение. Таким образом, ACL-список будет препятствовать
прохождению всего трафика, если не указаны особые разрешения.
Администратор может использовать входящий или исходящий ACL-список для
интерфейса маршрутизатора. Входящее или исходящее направление всегда рассматривается
с точки зрения маршрутизатора. Трафик, поступающий через интерфейс, является входящим,
а отправляемый через интерфейс – исходящим.
При получении пакета по интерфейсу, маршрутизатор проверяет следующие
параметры:
- наличие ACL-списка, связанного с интерфейсом;
- определение типа ACL-списка (входящий/исходящий);
- определение соответствия трафика разрешающим или запрещающим условиям.
ACL-список, применяемый как исходящий к интерфейсу, не действует для входящего
трафика по тому же интерфейсу.
Для каждого интерфейса маршрутизатор может иметь один ACL-список для одного
направления по каждому сетевому протоколу. Для IP-протокола, один интерфейс может
иметь один входящий ACL-список и один исходящий ACL-список одновременно.
ACL-списки, применяемые к интерфейсу, создают запаздывание трафика. Даже один
длинный ACL-список может повлиять на производительность маршрутизатора.
Список литературы:
1. Официальный сайт программы Сетевых Академий Cisco (учебный портал)
http://cisco.netacad.net;
2. М.Уэнстром. Организация защиты сетей Cisco®. – М.: Издательский дом
«Вильямс», 2005.
3. Д.Чэмпен-мл., Э.Фокс. Брандмауэры Cisco® Secure PIX®. – М.: Издательский дом
«Вильямс», 2003.
4. А.Вито. Основы организации сетей Cisco. – М.: Издательский дом «Вильямс»,
2004.
Скачать