IOS - безопасность - access lists
IOS -
безопасность - access lists
Где
применяются:
-
фильтрация при
прохождении пакетов через
интерфейс
-
управление доступом к
виртуальным
терминалам
-
фильтрация изменений в таблицах
маршрутизации
Что собой
представляют:
последовательность шаблонов
просматривается по очереди; если
происходит
сопоставление с
разрешающим шаблоном, то пакет
считается
разрешенным; если с
запрещающим или
сопоставления не
происходит вовсе, то пакет
является
запрещенным.
Как
применяются:
-
создается список доступа и
присваивается имя или номер
-
применяется к
интерфейсу (на входе или на выходе),
терминальной линии, таблице
маршрутизации
Типы списков доступа:
Протокол - номер протокола или имя (eigrp, gre, icmp,
igmp, igrp, ipinip, nos, ospf, tcp
или udp; ip - любой).
Оператор сравнивает исходный порт или порт
назначения (lt, gt, eq, neq, или range
(интервал - 2 числа)) с числом или
мнемоническим именем порта.
Маски - инверсные (например: 0.0.0.255). any -
сокращение для 0.0.0.0 255.255.255.255. host
адрес - вместо "адрес 0.0.0.0".
Все добавления к списку будут
добавлены в конец, хочешь
вставить в середины - удали все и по новой...
В конце списка
подразумевается "запретить все".
established применим только для TCP
(удовлетворяет, если взведены биты AXK или RST).
precedence
-
critical
-
flash
-
flash-override
-
immediate
-
internet
-
network
-
priority
-
routine
TOS
-
max-reliability
-
max-throughput
-
min-delay
-
min-monetary-cost
-
normal
ICMP
-
administratively-prohibited
-
alternate-address
-
conversion-error
-
dod-host-prohibited
-
dod-net-prohibited
-
echo
-
echo-reply
-
general-parameter-problem
-
host-isolated
-
host-precedence-unreachable
-
host-redirect
-
host-tos-redirect
-
host-tos-unreachable
-
host-unknown
-
host-unreachable
-
information-reply
-
information-request
-
mask-reply
-
mask-request
-
mobile-redirect
-
net-redirect
-
net-tos-redirect
-
net-tos-unreachable
-
net-unreachable
-
network-unknown
-
no-room-for-option
-
option-missing
-
packet-too-big
-
parameter-problem
-
port-unreachable
-
precedence-unreachable
-
protocol-unreachable
-
reassembly-timeout
-
redirect
-
router-advertisement
-
router-solicitation
-
source-quench
-
source-route-failed
-
time-exceeded
-
timestamp-reply
-
timestamp-request
-
traceroute
-
ttl-exceeded
-
unreachable
Все фрагменты
фрагментированного пакета, кроме
первого,
принимаются ACL
безусловно.
Проще всего создавать списки в
текстовом редакторе (первая строчка должна быть
командой no access-list ...), а затем
копировать на
маршрутизатор командой:
copy
tftp:имя-файла system:running-config
Начиная с версии 11.2 вместо номеров можно
использовать имена (команды ip access-list standard
имя и ip access-list extended
имя, которые
переводят
конфигурацию в подрежим ввода списка
доступа, на котором доступны команды dynamic, deny и
permit с
синтаксисом
аналогичным
описанному выше; выход по команде exit).
Поименованный список можно слегка
модифицировать командами no permit и no deny.
Применять
поименованные списки можно только при
фильтрации пакетов и
маршрутов.
Применение к
интерфейсу. К
интерфейсу можно применить только один список
доступа. Список доступа м.б. либо inbound
(приверяется когда пакет
поступает на вход
интерфейса снаружи), либо outbound
(проврка происходит, когда пакет
приходит изнутри киски на
интерфейс).
(config-if)#ip access-group
номер-или-имя-листа {in | out}
Ограничение на доступ к
виртуальному
терминалу:
(config-line)#access-class
номер-листа {in | out}
Если делается попытка
применить
несконфигурированный список, то
подразумевается permit any.
Для каждой строки permit/deny ведется
статистика сколько пакетов было
пропущено/запрещено этой строкой (это можно
использовать для сбора
суммарной статистики по портам), при
модификации ACL или
перезагрузке счетчики
сбрасываются::
show access-lists
номер-или-имя-ACL
clear access-list counters
номер-или-имя-ACL
Сбор статистики о
нарушениях (исходный адрес,
конечный адрес, число пакетов, число байт, ACL)
производится с помощью команды (на
определенный
интерфейс):
ip accounting access-violations
show ip accounting [checkpoint] access-violations
Сбор статистики (исходный адрес,
конечный адрес, число пакетов, число байт)
производится с помощью команды (на
определенный
интерфейс):
ip accounting output-packets
show ip accounting [checkpoint] output-packets
Длина таблицы учета (по
умолчанию 512 строк по 25 байт каждая)
задается командой (на
глобальном уровне):
ip accounting-threshold threshold
Фильтрация пакетов,
подлежащих учету, в
зависимости от IP-адреса (должен
соответствовать входной ИЛИ
выходной IP адрес пакета),
задается на
глобальном уровне:
ip accounting-list ip-address wildcard
пакеты, не прошедшие фильтр,
называются
транзитными и хранятся в
отдельной таблице, размер которой
определяется командой (по
умолчанию 0):
ip accounting-transit число
Обнуление базы данных учета и
создание checkpoint
clear ip accounting
Управление и отладка:
-
show access-list
-
show ip access-lst
-
Журнализация
производится на уровне 6 (informational), так что
настройка команд logging должна быть
соответсвующей. Первый пакет
попадает в журнал сразу,
остальные
накапливаются 5-минутными
интервалами.
|