DAS_3_Bezpečnost
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOC.
explicitně povoleno, je zakázáno“.
Při návrhu filtrace provozu pomocí ACL je vždy třeba stanovit:
• na kterém rozhraní kterého směrovače bude ACL aplikován
• zda bude filtrovat provoz vstupující do tohoto rozhraní nebo z tohoto rozhraní
vystupující
• jaká kritéria způsobující propuštění nebo zahození procházejících paketů bude ACL
obsahovat
Zabezpečení sítě není zpravidla možné zajistit pouze jedním ACL, ale kombinuje se
funkčnost několika různých ACL umístěných na vhodná rozhraní. Na každé rozhraní lze
umístit vždy jeden ACL filtrující provoz vstupující do rozhraní a jeden ACL filtrující provoz
vystupující.
Poznámka:
Při návrhu ACL je třeba mít neustále na zřeteli, že nestačí povolit datový tok povoleného
aplikačního protokolu pouze ve směru z vnitřní sítě ven, ale i „odpovědi“ ve směru dovnitř.
Při tom si je třeba vždy ujasnit, že čísla zdrojového a cílového portu budou pro zpětný směr
přehozená. Nerespektování tohoto faktu je nejčastější chybou při konfiguraci ACL.
Použití ACL na Cisco IOS:
Na směrovačích (a směrovaných portech L3 přepínačů) s Cisco IOS spočívá aplikace ACL ve
dvou krocích:
1. Definice ACL
2. Aplikace ACL na příslušné rozhraní a určení směru provozu, pro který bude ACL
filtrovat (dovnitř nebo ven z rozhraní)
U protokolové rodiny TCP/IP mohou ACL filtrovat podle zdrojové a cílové IP adresy,
protokolu, zdrojového a cílového portu, precedence (ToS) a některých dalších položek
hlaviček 3. a 4. vrstvy. Jednotlivé ACL se jednoznačně identifikují číslem, v tomto případě
v rozsahu 100-199. Základní syntaxe definice jednotlivých položek ACL je následující:
access-list <N> {permit | deny} <PROTOCOL> <source-IP-addr>
<source-addr-wildcard> <destination-IP-addr> <destination-addr-wildcard>
• N je číslo ACL, do kterého má být položka přidána (vždy na konec). Pokud ACL
s tímto číslem ještě neexistuje, zařazením první položky se automaticky vytvoří
• permit | deny určuje, zda paket vyhovující kritériím dané položky bude propuštěn
(permit) nebo zahozen (deny)
• PROTOCOL určuje typ protokolu (3./4.vrstva), na který se položka ACL vztahuje.
Lze zvolit ip, tcp, udp, icmp nebo igmp. Volba ip ostatní z možných protokolů
zahrnuje.
• source-IP-addr a destination-IP-addr jsou zdrojová, resp.cílová IP adresa uváděná
jako čtyři dekadické číslice oddělené tečkami
• source-addr-wildcard a destination-addr-wildcard jsou tzv. wildcard masky
určující, které bity zdrojové a cílové adresy testovaného paketu mají být porovnávány
s adresami specifikovanými v položce a které mají být při tomto porovnávání
ignorovány. Maska se zadává jako čtveřice dekadických číslic, avšak můžeme ji
chápat jako 32-místnou sekvenci jedniček a nul odpovídající jednotlivým bitům IP