DAS_3_Bezpečnost
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOC.
Kontrolu na shodu portu zajistíme připojení výrazu eq číslo_portu za specifikaci zdrojové,
resp. cílové adresy. Klíčovými slovy lt, gt je také možné vybrat všechna čísla portů menší
nebo větší než zadaná hodnota a nebo za klíčovým slovem range uvést minimální a
maximální hodnotu portu, které musí při srovnávání vyhovovat. Například
permit udp host 10.0.0.1 eq 520 any
propustí UDP pakety ze stanice 10.0.0.1 se zdrojovým portem 520 kamkoli,
deny tcp 172.16.0.0 0.0.255.255 gt 5000 host 120.1.1.100 eq 23
zakáže ze sítě 172.16.0.0/16 a z portů vyšších než 5000 TCP spojení na port 23 (Telnet
server) stanice 120.1.1.100. Konečně
permit udp any range 16000 17000 host 172.16.1.100 gt 4096
propustí UDP datagramy z kterékoli adresy z rozsahu zdrojových portů 16000 až 17000 na
adresu 172.16.1.100 na cílové porty větší než 4096.
V souvislosti s protokolem TCP je také užitečné klíčové slovo established. To umožní, aby v
jednom směru byla navazována TCP spojení a ve druhém směru nikoli, avšak data spojení
navázaného z povoleného směru byla v protějším směru ACL propouštěna. To např. můžeme
dovolit otevírání TCP spojení z vnitřní sítě do Internetu, avšak zakázat (potenciálně
nebezpečné) navazování spojení ze stanic na Internetu na stanice vnitřní sítě. Data TCP
spojení předtím navázaného z vnitřní sítě budou však i ve směru z Internetu do vnitřní sítě
propouštěna. Klíčové slovo establised lze přidat na konec položky ACL povolující TCP
spojení a jejím uvedením zajistíme, že ACL propustí pouze TCP segmenty s nastaveným
flagem ACK=1 nebo RST=1. ACK=0 je totiž pouze v prvním segmentu TCP spojení
(trojfázového handshake), tedy ve výzvě k navázání spojení. V každém dalším TCP segmentu
(vč. 2. a 3. fáze 3-fázového handshake) je již flag ACK nastaven, takže se všechny ostatní
segmenty mimo prvotní žádosti o navázání spojení propustí (establised má smysl pouze ve
spojitosti s položkou typu permit). Mimo to se propustí také i případné segmenty s příkazem
k násilnému ukončení spojení (RST).
ACL řídících protokolů:
U protokolů ICMP a IGMP je základní syntaxe zápisu ACL také rozšířená, aby bylo možné
filtrovat selektivně jednotlivé typy zpráv. Typy zpráv se pojmenovávají symbolicky, jejich
přehled lze zjistit z kontextové nápovědy IOS stiskem otazníku při vkládání položky ACL.
ACL propouštějící, resp. zakazující některé ICMP zprávy pak mohou vypadat např:
… permit icmp 172.16.1.0 0.0.0.255 any echo-request
… deny icmp 172.16.2.0 0.0.0.255 host 172.16.3.1 redirect
První položka dovoluje průchod ICMP zpráv echo-request (ping-dotaz) ze sítě 172.16.1.0/24
kamkoli, druhá zakazuje průchod zpráv ICMP redirect ze sítě 172.16.2.0/24 zasílaných na
adresu 172.16.3.1
Přiřazení ACL na rozhraní:
Aby nadefinovaný ACL začal filtrovat, je třeba jej nejprve přiřadit na příslušné rozhraní a