Filtrowanie ruchu w sieci

Transkrypt

1 Filtrowanie ruchu w sieci dr inż. Jerzy Domżał Akademia Górniczo-Hutnicza im. Stanisława Staszica w Krakowie, Katedra Telekomunikacji 5 grudnia 2016 r. dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 1 / 48

2 Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 2 / 48

8 Listy kontroli dostępu Wprowadzenie podstawowa funkcja filtrowanie ruchu ACL (Access Control Lists) to zbiór wyrażeń zezwalających lub odrzucających, które są stosowane w odniesieniu do adresów lub protokołów warstw wyższych ACLs muszą być odpowiednio skonfigurowane i umieszczone we właściwym miejscu akceptacja i odrzucenie mogą być oparte na pewnych specyfikacjach, na przykład adresie źródłowym, adresie docelowym lub numerze portu TCP/UDP listy ACL zużywają zasoby CPU na ruterze, ponieważ każdy pakiet musi zostać przetworzony przez CPU listy ACL można tworzyć dla wszystkich rutowanych protokołów sieciowych filtrują one ruch sieciowy, kontrolując czy rutowane pakiety zostały przekazane lub zablokowane na interfejsach rutera dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 4 / 48

9 Funkcje list ACL wewnętrzne filtrowanie pakietów ochrona wewnętrznej sieci przed nielegalnym dostępem z Internetu ograniczenie dostępu do portów wirtualnych terminali dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 5 / 48

10 Po co tworzyć listy ACL? ograniczają ruch sieciowy i wpływają na zwiększenie wydajności sieci umożliwiają kontrolę przepływu ruchu np. mogą ograniczać zawartość uaktualnień rutingu zapewniają podstawowy poziom zabezbieczenia w dostępie do sieci dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 6 / 48

11 Dlaczego kolejność ma znaczenie? wyrażenia są oceniane w kolejności w jakiej zostały wprowadzone na listę przez administratora sieci pakiety są porównywane z listą po jednej pozycji, aż do momentu gdy znajdzie się pasujący wpis następne warunki nie są sprawdzane podczas tworzenia listy ACL nowe wiersze dodawane są na końcu listy; nie można usuwać pojedynczych wierszy, a jedynie całą listę dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 7 / 48

12 Zadania konfiguracji listy ACL Polecenia ACL mogą być długimi ciągami znaków. Najważniejsze zadania przy tworzeniu list ACL: utworzenie list ACL przy użyciu ogólnego trybu konfiguracji wskazanie numeru listy ACL z przedziału 1-99 standardowa lista ACL wskazanie numeru listy ACL z przedziału rozszerzona lista ACL ostrożny wybór i logiczne uporządkowanie listy ACL wybór sprawdzanych protokołów zastosowanie listy ACL na interfejsie preferowane są zewnętrzne listy ACL dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 8 / 48

13 Przykład access-list 1 permit access-list 1 deny ! access-list 2 permit access-list 2 deny ! interface ethernet 0 ip address ! ip access-group 1 in ip access-group 2 out dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 9 / 48

14 Maska zastępcza 32 bitowy numer podzielony na 4 oktety, z których każdy składa się z ośmiu bitów bit maski zastępczej równy 0 oznacza sprawdź odpowiadającą wartość bitu, a bit 1 oznacza brak sprawdzania maska zastępcza jest parą dla adresu IP, podobnie jak maska podsieci, ale ich rola jest inna zera i jedynki w masce podsieci określają części sieci, podsieci i hosta w odpowiadającym jej adresie IP zera i jedynki w masce zastępczej określają czy odpowiadające im bity w adresie IP mają być sprawdzane czy zignorowane dla potrzeb list ACL dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 10 / 48

15 Użycie maski z wyrażeniem any zamiast pisać: access-list 1 permit można użyć krótszego zapisu: access-list 1 permit any dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 11 / 48

16 Użycie maski z wyrażeniem host zamiast pisać: access-list 1 permit można użyć krótszego zapisu: access-list 1 permit host dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 12 / 48

18 Standardowe listy ACL Standardowe listy ACL sprawdzają źródłowy adres rutowanych pakietów IP i porównują je z wyrażeniami definiującymi ACL dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 14 / 48

19 Standardowe listy ACL c.d. Standardowe listy ACL umożliwiają lub nie dostęp do całego stosu protokołów (np. IP) na podstawie adresów sieci, podsieci i hosta. Składnia polecenia: Router(config)#access-list numer-listy-dostępu {deny permit} źródło [maska-zastępcza-źródła] [log] Router(config)#no access-list numer-listy-dostępu log parametr opcjonalny, powoduje powstanie informacyjnego komunikatu logowania dotyczącego pakietu pasującego do wpisu, który ma być wysłany do konsoli dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 15 / 48

20 Standardowe listy ACL c.d. na końcu każdej listy znajduje się niejawne polecenie deny any polecenie ip access-group łączy istniejącą listę ACL z interfejsem. Aby uzyskać dostęp do konkretnego interfejsu konieczne jest wejście w tryb konfiguracji interfejsu Router(config-if)#ip access-group numer-listy-dostępu {in out} dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 16 / 48

22 Rozszerzone listy ACL Rozszerzone listy ACL są używane częściej niż standardowe, ponieważ oferują większą elastyczność i kontrolę. Sprawdzają adres źródłowy i docelowy, jak również protokoły i numery portów TCP i UDP dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 18 / 48

23 Rozszerzone listy ACL c.d. dostęp można umożliwić bądź uniemożliwić na podstwie pochodzenia pakietu, jego miejsca przeznaczenia, typu protokołu, adresów portów oraz aplikacji rozszerzona lista ACL może zezwolić na ruch poczty elektronicznej z interfejsu Fa0/0 do konkretnych interfejsów docelowych S0/0, ale zakazać transferów plików i przeglądania sieci WWW podczas gdy standardowe listy ACL mogą zezwalać lub zakazywać tylko całego stosu protokołów, rozszerzona lista ACL daje możliwość wskazania konkretnego protokołu w stosie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 19 / 48

24 Rozszerzone listy ACL c.d. Składnia polecenia: Router(config)#access-list numer-listy-dostępu [dynamic nazwa-dynamiczna [timeout minuty]] {deny permit} protokół źródło maska-zastępcza-źródła cel maska-zastępcza-celu [precedence pierwszeństwo] [tos tos] [log log-input [zakres-czasu nazwa-zakresu-czasu]] [fragments] [eq] nr-portu Router(config)#no access-list numer-listy-dostępu log parametr opcjonalny, powoduje powstanie informacyjnego komunikatu logowania dotyczącego pakietu pasującego do wpisu, który ma być wysłany do konsoli dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 20 / 48

25 Rozszerzone listy ACL c.d. na jednej liście ACL można skonfigurować wiele wyrażeń każde z nich powinno zawierać ten sam numer listy dostępu wiążący wyrażenie z listą ACL można zastosować tyle warunków ile jest potrzebne wyrażenia warunków są ograniczone jedynie pamięcią rutera access-list 114 permit tcp any eq telnet access-list 114 deny tcp any eq ftp dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 21 / 48

26 Rozszerzone listy ACL c.d. rozszerzone listy ACL są bardzo elastyczne oferują wiele opcji i argumentów zależnie od używanego protokołu obsługiwane protokoły: ICMP (Internet Control Message Protocol) IGMP (Internet Group Message Protocol) TCP (Transmission Control Protocol) UDP (User Datagram Protocol) dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 22 / 48

28 Domyślne wartości rozszerzonej listy ACL domyślne wartości rozszerzonej listy ACL zabraniają wszystkiego na końcu rozszerzonej listy ACL znajduje się polecenie deny any na końcu rozszerzonej listy dostępu znajduje się dodatkowe pole Warstwa aplikacji Numery portów Warstwa transportu TCP UDP dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 24 / 48

29 Łączenie listy z interfejsem polecenie ip access-group łączy istniejącą rozszerzoną listę ACL z interfejsem dozwolona jest jedna lista ACL na interfejs, na kierunek, na protokół Router(config)#ip access-group numer-listy-dostępu {in out} dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 25 / 48

30 Nazwane listy ACL rozwiązanie Cisco od IOS ver możliwe jest nadawanie standardowym i rozszerzonym listom ACL nazw zamiast numerów zalety nazwanej listy dostępu: intuicyjna identyfikacja listy ACL za pomocą nazwy alfanumerycznej eliminacja ograniczenia do 99 prostych i 100 rozszerzonych list ACL możliwość modyfikacji list ACL bez konieczności usuwania ich i ponownej konfiguracji dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 26 / 48

31 Nazwane listy ACL c.d. nazwaną listę ACL tworzymy za pomocą polecenia ip access-list Składnia polecenia: Router(config)#ip access-list {extended standard}nazwa Wprowadzenie powyższego polecenia powoduje przejście użytkownika w tryb konfiguracji listy ACL Router(config-ext-nacl)#permit deny protokół źródło maska-zastępcza-źródła [operator [port]] cel maska-zastępcza-celu [operator [port]] [established] [precedence pierwszeństwo] [tos tos] [log] [time-range nazwa-zakresu-czasu] dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 27 / 48

32 Nazwane listy ACL c.d. Przed zaimplementowaniem nazwanej listy ACL należy wziąć pod uwagę poniższe: nazwane listy ACL nie są kompatybilne z wersjami systemu Cisco IOS wcześniejszymi niż wersja 11.2 nie można uzyć tej samej nazwy dla wielu list ACL dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 28 / 48

33 Rozmieszczanie list ACL lista ACL umieszczona we właściwej lokalizacji nie tylko filtruje ruch, lecz również sprawia, że cała sieć działa efektywniej lista ACL powinna zostać umieszczona tam, gdzie będzie miała największy wpływ na zwiększenie wydajności sieci ogólna zasadą jest umieszczenie rozszerzonej listy ACL możliwie najbliżej źródła zakazanego ruchu standardowe listy ACL nie określają adresów docelowych, dlatego powinny być umieszczone możliwie najbliżej punktu docelowego dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 29 / 48

34 Ściany ogniowe ściana ogniowa (firewall) to urządzenie komputerowe lub sieciowe znajdujące się między użytkownikiem a światem zewnętrznym chroni wewnętrzną sieć przed intruzami zwykle składa się z kilku różnych maszyn pracujących wspólnie na rzecz zapobiegania niepożądanemu i nielegalnemu dostępowi ściana ogniowa może zezwalać tylko niektórym użytkownikom na komunikowanie się z Internetem lub umożliwić tylko pewnym aplikacjom nawiązywanie połączeń między hostem wewnętrzym a zewnętrznym dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 30 / 48

35 Użycie list ACL ze ścianami ogniowymi na ruterach ścian ogniowych (często umieszczanych między siecią wewnętrzną a zewnętrzną) należy używać list ACL listy ACL można również stosować na ruterze umieszczonym między dwiema częściami sieci w ten sposób można kontrolować ruch wchodzący lub wychodzący z konkretnej części sieci wewnętrznej dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 31 / 48

36 Użycie list ACL ze ścianami ogniowymi c.d. aby skorzystać z zalet zabezpieczeń list ACL należy przynajmniej skonfigurować listy ACL na ruterach granicznych w ten sposób zapewnia się zabezpieczenie przed siecią zewnętrzną lub mniej kontrolowanym obszarem sieci wewnętrznej na ruterach granicznych można utworzyć listę ACL dla każdego protokołu sieciowego skonfigurowanego na interfejsach rutera można skonfigurować listę ACL, dzięki której ruch napływający, wpływający lub obydwa będą filtrowane na interfejsie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 32 / 48

37 Ograniczanie dostępu do wirtualnego terminala dla potrzeb bezpieczeństwa użytkownicy mogą uzyskać zezwolenie lub zakaz dostępu do rutera przez terminal wirtualny, a jednocześnie zakaz dostępu do punktów docelowych z tego rutera administrator może przykładowo skonfigurować listę ACL, która zezwala na terminalowy dostęp do rutera w celach zarządczych lub rozwiązania problemów, a jednocześnie ograniczyć dostęp poza ten ruter ograniczanie dostępu do vty nie jest powszechnie stosowane jako mechanizm kontroli ruchu; jest to raczej zwiększenie bezpieczeństwa sieciowego dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 33 / 48

38 Ograniczanie dostępu do wirtualnego terminala c.d. dostęp do vty osiąga się poprzez protokół Telnet, za pomocą którego nawiązuje się niefizyczne połączenie z ruterem dlatego istnieje tylko jeden typ listy ACL dla vty (identyczne ograniczenia należy zastosować na wszystkich łączach vty, ponieważ nie można kontrolować, które łącze zostanie użyte przez użytkownika) listę ACL dla vty tworzy się tak samo jak dla interfejsu, ale wdraża się ją poleceniem access-class, a nie access-group dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 34 / 48

39 Ograniczanie dostępu do wirtualnego terminala c.d. Podczas konfiguracji listy dostępu dla łączy vty należy pamiętać o następujących faktach: podczas kontroli dostępu do interfejsu można użyć nazwy lub numeru na łączach wirtualnych można używać tylko numerowanych list dostępu na wszystkich łączach wirtualnego terminala powinny być ustawione takie same ograniczenia dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 35 / 48

40 Weryfikacja list ACL polecenie show ip interface wyświetla informacje na temat interfejsu IP i wskazuje, czy zaimplementowano listy ACL polecenie show access-lists wyświetla zawartość wszystkich list ACL; aby zobaczyć konkretną listę, należy wprowadzić jej nazwę bądź numer jako opcję polecenia dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 36 / 48

42 Podsumowanie istnieją dwa głowne typy list ACL standardowa i rozszerzona nazwane listy ACL umożliwiają identyfikację list dostępu za pomocą nazw zamiast numerów listy ACL można skonfigurować dla wszystkich rutowanych protokołów sieciowych listy ACL są zwykle używane na ruterach ścian ogniowych, często umieszczonych między siecią wewnętrzną a zewnętrzną listy ACL mogą również ograniczyć dostęp do rutera przez wirtualny terminal dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 38 / 48

43 Podsumowanie listy ACL pełnią kilka funkcji na ruterze włączając implementację procedur zabezpieczeń i dostępu listy ACL są używane do zarządzania i kontroli ruchu w przypadku niektórych protokołów na interfejsie można zastosować do dwóch list ACL: jedną dla ruchu przychodzącego i drugą dla ruchu wychodzącego dzięki listom ACL, po sprawdzeniu czy pakiet pasuje do wyrażenia ACL, może on uzyskać zezwolenie lub zakaz użycia danego interfejsu bity masek zastępczych używają numerów 1 i 0 w celu określenia sposobu traktowania odpowiadających im bitów adresu IP dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 39 / 48

44 Przykład Jak zapewnić dostęp tylko jednemu hostowi ( ) przez telnet? dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 40 / 48

45 Przykład Jak zapewnić dostęp tylko jednemu hostowi ( ) przez telnet? access-list 114 permit tcp any eq telnet dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 41 / 48

46 Przykład Jak zapewnić dostęp tylko jednemu hostowi ( ) przez telnet? access-list 114 permit tcp any eq telnet access-list 114 deny ip any dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 42 / 48

47 Przykład Jak zapewnić dostęp tylko jednemu hostowi ( ) przez telnet? access-list 114 permit tcp any eq telnet access-list 114 deny ip host any access-list 114 permit ip any any dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 43 / 48

48 Dziękuję za uwagę! Pytania? dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 44 / 48

49 Organizacje studenckie BEST (Board of European Students of Technology) jest międzynarodową apolityczną organizacją non-profit zrzeszającą studentów z 95 renomowanych uczelni technicznych w 33 europejskich krajach. Poprzez różnego rodzaju projekty staramy się połączyć ze sobą trzy środowiska: studenckie, akademickie oraz gospodarcze, tak w Polsce, jak i zagranicą. Organizacja szkoleń, kursów a nawet targów pracy w kraju i zagranicą. dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 45 / 48

50 Organizacje studenckie Niezależne Zrzeszenie Studentów to organizacja skupiająca wyłącznie osoby kreatywne, pomysłowe, otwarte i gotowe na nowe wyzwania czyli Studentów Akademii Górniczo-Hutniczej. Podstawowym zadaniem NZS jest pomoc Studentom AGH. NZS organizuje wiele szkoleń i warsztatów umożliwiających poszerzenie wiedzy i kształtowanie nowych umiejętności przy współpracy z wieloma profesjonalnymi instytucjami, takimi jak np. Centrum Karier. dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 46 / 48

51 Organizacje studenckie Głównym obowiązkiem Uczelnianej Rady Samorządu Studentów jest reprezentowanie interesów wszystkich studentów AGH. Samorząd Studencki: opiniuje najważniejsze dla studentów akty prawne, organizuje wydarzenia kulturalne, naukowe i sportowe, współdecyduje o przyznaniu pomocy materialnej dla studentów, współdecyduje o rozdziale środków na działalność studencką, ma przedstawicieli w Senacie i w Radach Wydziałów służy radą i pomocą wszystkim studentom i wiele, wiele innych... dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 47 / 48

52 Organizacje studenckie Erasmus Student Network (ESN) is a non-profit international student organisation. Our mission is to represent international students, thus provide opportunities for cultural understanding and self-development under the principle of Students Helping Students. dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 48 / 48