DAS_3_Bezpečnost
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOC.
zvolit směr provozu, který má filtrovat. To lze provést v sekci odpovídající požadovanému
rozhraní příkazem ip access-group s uvedením čísla ACL a směru provozu. Směr do rozhraní
se označuje klíčovým slovem in, směr z rozhraní ven klíčovým slovem out.
Například:
interface FastEthernet 0/0
ip access-group 101 in
ip access-group 102 out
Jak jsme si již řekli, může být na každé rozhraní přiřazen nejvýše jeden ACL ve směru in a
nejvýše jeden ve směru out. Pokud je to užitečné, může být jeden ACL přiřazen i na více
rozhraní a to jak ve směru in tak out.
Time-based ACL:
Jednotlivé položky ACL (permit/deny) mohou platit jen v čase definovaném pomocí
zadaného časového rozsahu:
… permit | deny … time-range MY_TR
Časový rozsah lze zadat buďto jako periodicky se opakující nebo jednorázový (absolutní):
time-range MY_PERIODIC_TR periodic
periodic <week_days> hh:mm to [ <week_days>] hh:mm
time-range MY_ABSOLUTE_TR absolute
<čas a datum začátku platnosti>
<čas a datum konce platnosti>
Reflexivní ACL:
Reflexivní ACL automaticky rozeznávají vstupní provoz, který odpovídá povolenému
provozu výstupnímu a otevírají pro něj vstupní ACL. Otevření ACL trvá po dobu trvání
odpovídajícího výstupního datového toku (tj. do detekce FIN nebo RST v TCP spojení nebo
vypršení timeoutu neaktivity u UDP relace). Pokud výstupní ACL propustí tok z adresy SA
portu SP na adresu DA port DP, zajistí reflexivní ACL vytvoření dočasné položky ve
vstupním ACL, který povoluje stejný protokol (UDP,TCP,ICMP) z adresy DA portu DP na
adresu SA port SP. V případě protokolu ICMP se otevření vstupního ACL omezí na typ
zprávy párující s odchozí ICMP zprávou (typicky Echo Reply k Echo Request).
Poznámka:
V současných verzích IOS jsou reflexivní ACL podporovány pouze pro extended named
ACL.
ip access-list extended MY_ACL_OUT
permit TCP any 158.196.135.0 0.0.0.255 reflect MY_ACL_DYNAMIC
ip access-list extended MY_ACL_IN
evaluate MY_ACL_DYNAMIC
…
inteface s0
ip access-grout MY_ACL_OUT out
ip access-grout MY_ACL_IN in
Strategie implementace ACL:
• Vnitřní síť, vnější síť, demilitarizovaná zóna (DMZ)
• V DMZ „bastillon hosts“ (servery)
• Zákaz přímého provozu mezi vnější a vnitřní síti
Technologie Lock and Key (Cisco):
Položky ACL vkládané do jiných ACL na základě spouštěcí akce (autentizovaný telnet na
router + spouštěcí příkaz)
Context-Based Access Control - CBAC – (Cisco):
• Základní implementace (stavového) firewallu, v Cisco IOS Firewall Feature Set
• Zkoumá data vybraných aplikačních protokolů (řídící kanál), podle aktivit těchto
protokolů otevírá dynamické porty
• Otevírá vstupní ACL pro návratový provoz patřící k relaci některého z vybraných
aplikačních protokolů iniciované z vnitřní sítě
• Pro neznámé aplikační protokoly pracuje na úrovni TCP/UDP podobně jako reflexivní