ФИЛЬТРАЦИЯ ТРАФИКА С ИСПОЛЬЗОВАНИЕМ СПИСКОВ КОНТРОЛЯ ДОСТУПА ЧАСТЬ 1 Тергеусизова А.С. Алматинский университет энергетики и связи, г.Алматы Республика Казахстан aliya55@mail.ru Использование списков контроля доступа Безопасность в корпоративной сети играет крайне важную роль. Важно предотвратить несанкционированный доступ пользователей и защитить сеть от различного рода атак, таких как DoS-атаки. В случае несанкционированного доступа злоумышленники могут изменить, разрушить или украсть конфиденциальные данные с серверов. DoS-атаки препятствуют доступу легальных пользователей к ресурсам. В обоих случаях компания теряет время и деньги. Фильтрация трафика позволяет администратору контролировать трафик в различных сегментах сети. Фильтрация представляет собой процесс анализа содержимого пакета с целью разрешения или блокировки его передачи. Фильтрация пакетов может быть простой и сложной и может запрещать или разрешать трафик по следующим критериям: - исходный IP-адрес; - конечный IP-адрес; - MAC-адреса; - протоколы; - тип приложения. Фильтрацию пакетов можно сравнить с фильтрацией нежелательной почты. Многие почтовые приложения позволяют пользователю настраивать автоматическое удаление сообщений электронной почты, приходящих с определенного исходного адреса. Фильтрация пакетов может осуществляться подобным образом путем настройки маршрутизатора на определение нежелательного трафика. Фильтрация пакетов позволяет повысить производительность сети. Благодаря запрету нежелательного или запрещенного трафика близко к его источнику, трафик не передается по сети и не потребляет ценные ресурсы. В число устройств, чаще всего используемых для фильтрации трафика, входят следующие: - брандмауэры, встроенные в интегрированные маршрутизаторы; - выделенные устройства обеспечения безопасности; - серверы. Некоторые устройства фильтруют только трафик, возникающий во внутренней сети. Более совершенные устройства безопасности способны распознавать и фильтровать известные типы атак из внешних источников. Корпоративные маршрутизаторы способны распознавать вредоносный трафик и предотвращать его попадание в сеть и нарушение работоспособности сети. Практически все маршрутизаторы выполняют фильтрацию трафика по исходным и конечным IP-адресам пакетов. Они также фильтруют определенные приложения и протоколы, такие как IP, TCP, HTTP, FTP и Telnet. Одним из наиболее распространенных способов фильтрации трафика является использование списков контроля доступа (ACL-списков). ACL-списки можно использовать для управления входящим и существующим трафиком в сети и его фильтрации. Размер ACL-списка может варьироваться от одной инструкции, по которой разрешается или блокируется трафик от одного источника, до сотни инструкций, разрешающих или запрещающих пакеты с нескольких источников. В основном, ACL-списки используются для определения типов принимаемых или отклоняемых пакетов. ACL-списки определяют трафик для нескольких целей: - указание внутренних узлов для NAT; - обнаружение и классификация трафика для обеспечения расширенных возможностей, таких как QoS и организация очереди; - ограничение содержимого обновления маршрутизации; - ограничение отладочных выходных данных; - контроль доступа виртуальных терминалов к маршрутизаторам. Использование ACL-списков может быть сопряжено со следующими потенциальными проблемами: - дополнительная нагрузка на маршрутизатор для проверки всех пакетов означает меньшее время на фактическую пересылку пакетов; - плохо организованные ACL-списки создают даже еще большую нагрузку на маршрутизатор и могут нарушить работоспособность сети; - неправильно размещенные ACL-списки блокируют допустимый трафик и разрешают запрещенный. Администратору доступно несколько вариантов создания списков контроля доступа. Сложность требований к структуре определяет тип необходимого ACL-списка. Существует три типа ACL-списков. Стандартные ACL-списки Стандартный ACL-список является самым простым из трех типов. При создании стандартного ACL-списка для IP-протокола, фильтрация по ACL-спискам осуществляется на основе исходного IP-адреса пакета. Стандартные ACL-списки определяют разрешения пакетов на основе всего протокола, такого как IP-протокол. Таким образом, при запрете узлового устройства стандартным ACL-списком, запрещаются все службы этого узла. Такой тип ACL-списка полезен для разрешения доступа всех служб определенного пользователя или локальной сети (LAN) через маршрутизатор с запретом доступа с других IP-адресов. Стандартные ACL-списки определяются по присваиваемым им номерам. Номера из диапазона от 1 до 99 и от 1 300 до 1 999 присваиваются спискам доступа, разрешающим или блокирующим IP-трафик. Расширенные ACL-списки Расширенные ACL-списки используются для фильтрации не только по исходному IPадресу, но и по конечному IP-адресу, протоколу и номерам портов. Расширенные ACLсписки используются чаще стандартных, поскольку они являются более определенными и обеспечивают более высокий уровень контроля. Расширенным ACL-спискам присваиваются номера из диапазона от 100 до 199 и от 2 000 до 2 699. Именованные ACL-списки Именованные ACL-списки (NACL-списки) имеют формат стандартного или расширенного списка и обозначаются описательным именем, а не номером. При настройке именованных ACL-списков, маршрутизатор IOS использует режим подкоманды NACL. Таблица 1 Типы списков доступа IOS В списках контроля доступа содержится одна или более инструкций. Каждая инструкция либо разрешает, либо запрещает трафик на основе указанных параметров. Трафик сравнивается с каждой инструкцией в ACL-списке по порядку, пока не будет найдено совпадение или не закончится список инструкций. Последняя инструкция в ACL-списке всегда неявно запрещает трафик. Эта инструкция автоматически вставляется в конец каждого ACL-списка, хотя и не присутствует в нем физически. Неявный запрет блокирует весь трафик. Эта возможность позволяет предотвратить случайное попадание нежелательного трафика. После создания списка контроля доступа, его необходимо применить к интерфейсу, чтобы задействовать его. ACL-список предназначен для фильтрации входящего или исходящего трафика, проходящего через интерфейс. Если пакет соответствует разрешающей инструкции, то он пропускается маршрутизатором. Если он соответствует запрещающей инструкции, он останавливается. ACL-список без единой разрешающей инструкции приводит к блокированию всего трафика. Это объясняется тем, что в конце каждого ACLсписка указывается неявное запрещение. Таким образом, ACL-список будет препятствовать прохождению всего трафика, если не указаны особые разрешения. Администратор может использовать входящий или исходящий ACL-список для интерфейса маршрутизатора. Входящее или исходящее направление всегда рассматривается с точки зрения маршрутизатора. Трафик, поступающий через интерфейс, является входящим, а отправляемый через интерфейс – исходящим. При получении пакета по интерфейсу, маршрутизатор проверяет следующие параметры: - наличие ACL-списка, связанного с интерфейсом; - определение типа ACL-списка (входящий/исходящий); - определение соответствия трафика разрешающим или запрещающим условиям. ACL-список, применяемый как исходящий к интерфейсу, не действует для входящего трафика по тому же интерфейсу. Для каждого интерфейса маршрутизатор может иметь один ACL-список для одного направления по каждому сетевому протоколу. Для IP-протокола, один интерфейс может иметь один входящий ACL-список и один исходящий ACL-список одновременно. ACL-списки, применяемые к интерфейсу, создают запаздывание трафика. Даже один длинный ACL-список может повлиять на производительность маршрутизатора. Список литературы: 1. Официальный сайт программы Сетевых Академий Cisco (учебный портал) http://cisco.netacad.net; 2. М.Уэнстром. Организация защиты сетей Cisco®. – М.: Издательский дом «Вильямс», 2005. 3. Д.Чэмпен-мл., Э.Фокс. Брандмауэры Cisco® Secure PIX®. – М.: Издательский дом «Вильямс», 2003. 4. А.Вито. Основы организации сетей Cisco. – М.: Издательский дом «Вильямс», 2004.