Filtrowanie ruchu w sieci

Podobne dokumenty
Listy dostępu systemu Cisco IOS

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

MODEL WARSTWOWY PROTOKOŁY TCP/IP

ZiMSK NAT, PAT, ACL 1

7. ACL, NAT, PAT, DHCP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Przesyłania danych przez protokół TCP/IP

Protokoły sieciowe - TCP/IP

Ćwiczenie Konfiguracja i weryfikacja rozszerzonych list kontroli dostępu (ACL) Topologia

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Sieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

ARP Address Resolution Protocol (RFC 826)

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PODSTAWY RUTINGU IP. WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r.

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci

Podstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN

Sieci Komputerowe Modele warstwowe sieci

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Translacja adresów - NAT (Network Address Translation)

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A


Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci

Plan wykładu. Wyznaczanie tras. Podsieci liczba urządzeń w klasie C. Funkcje warstwy sieciowej

Topologia sieci. Cele nauczania.

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

4. Podstawowa konfiguracja

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Adresowanie grupowe. Bartłomiej Świercz. Katedra Mikroelektroniki i Technik Informatycznych. Łódź, 25 kwietnia 2006

Wprowadzenie do obsługi systemu IOS na przykładzie Routera

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

7. Konfiguracja zapory (firewall)

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Bezpieczeństwo w M875

Lab 9 Konfiguracja mechanizmu NAT (Network Address Translation)

Adresy w sieciach komputerowych

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

ZADANIE.03 Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

ZiMSK. Konsola, TELNET, SSH 1

Model sieci OSI, protokoły sieciowe, adresy IP

Ćwiczenie Rozwiązywanie problemów z konfiguracją i miejscem ustawienia listy ACL w sieci Topologia

TCP/IP (Transmission Control Protocol / Internet Protocol) komunikacji otwartej stosem protokołów

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Uproszczony opis obsługi ruchu w węźle IP. Trasa routingu. Warunek:

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

Dr Michał Tanaś(

Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL.

Akademia Techniczno-Humanistyczna w Bielsku-Białej

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Ćwiczenie Konfiguracja i weryfikacja ograniczeń dostępu na liniach VTY

Zapory sieciowe i techniki filtrowania.

Projektowanie bezpieczeństwa sieci i serwerów

1) Skonfiguruj nazwę hosta na ruterze zgodną z przyjętą topologią i Tabelą adresacji.

Protokół ARP Datagram IP

Instalacja i konfiguracja pakietu iptables

Wprowadzenie 5 Rozdział 1. Lokalna sieć komputerowa 7

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców

Ćwiczenie Konfiguracja i weryfikacja list kontroli dostępu w IPv6 Topologia

MODEL OSI A INTERNET

Funkcje warstwy sieciowej. Podstawy wyznaczania tras. Dostarczenie pakietu od nadawcy od odbiorcy (RIP, IGRP, OSPF, EGP, BGP)

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

Co to jest iptables?

TCP/IP formaty ramek, datagramów, pakietów...

Problemy techniczne SQL Server

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Laboratorium - Używanie wiersza poleceń systemu IOS do obsługi tablic adresów MAC w przełączniku

Listy dostępu. Autor: Dawid Koń IVFDS L07

Zapora systemu Windows Vista

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Sieci komputerowe i bazy danych

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Przykłady wykorzystania polecenia netsh

Wirtualne laboratorium - Cisco Packet Tracer

Wirtualne laboratorium - Packet Tracer

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

Podstawy Sieci Komputerowych Laboratorium Cisco zbiór poleceń

Ćwiczenie Konfiguracja routingu między sieciami VLAN

Scenariusz lekcji Opracowanie: mgr Bożena Marchlińska NKJO w Ciechanowie Czas trwania jednostki lekcyjnej: 90 min.

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Spis treúci. Księgarnia PWN: Wendell Odom, Rick McDonald - Akademia sieci Cisco CCNA. Semestr 2

9. System wykrywania i blokowania włamań ASQ (IPS)

Konfigurowanie sieci VLAN

ZiMSK. VLAN, trunk, intervlan-routing 1

Router programowy z firewallem oparty o iptables

MASKI SIECIOWE W IPv4

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci.

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Transkrypt:

Filtrowanie ruchu w sieci dr inż. Jerzy Domżał Akademia Górniczo-Hutnicza im. Stanisława Staszica w Krakowie, Katedra Telekomunikacji 5 grudnia 2016 r. dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 1 / 48

Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 2 / 48

Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 2 / 48

Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 2 / 48

Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 2 / 48

Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 2 / 48

Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 3 / 48

Listy kontroli dostępu Wprowadzenie podstawowa funkcja filtrowanie ruchu ACL (Access Control Lists) to zbiór wyrażeń zezwalających lub odrzucających, które są stosowane w odniesieniu do adresów lub protokołów warstw wyższych ACLs muszą być odpowiednio skonfigurowane i umieszczone we właściwym miejscu akceptacja i odrzucenie mogą być oparte na pewnych specyfikacjach, na przykład adresie źródłowym, adresie docelowym lub numerze portu TCP/UDP listy ACL zużywają zasoby CPU na ruterze, ponieważ każdy pakiet musi zostać przetworzony przez CPU listy ACL można tworzyć dla wszystkich rutowanych protokołów sieciowych filtrują one ruch sieciowy, kontrolując czy rutowane pakiety zostały przekazane lub zablokowane na interfejsach rutera dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 4 / 48

Funkcje list ACL wewnętrzne filtrowanie pakietów ochrona wewnętrznej sieci przed nielegalnym dostępem z Internetu ograniczenie dostępu do portów wirtualnych terminali dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 5 / 48

Po co tworzyć listy ACL? ograniczają ruch sieciowy i wpływają na zwiększenie wydajności sieci umożliwiają kontrolę przepływu ruchu np. mogą ograniczać zawartość uaktualnień rutingu zapewniają podstawowy poziom zabezbieczenia w dostępie do sieci dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 6 / 48

Dlaczego kolejność ma znaczenie? wyrażenia są oceniane w kolejności w jakiej zostały wprowadzone na listę przez administratora sieci pakiety są porównywane z listą po jednej pozycji, aż do momentu gdy znajdzie się pasujący wpis następne warunki nie są sprawdzane podczas tworzenia listy ACL nowe wiersze dodawane są na końcu listy; nie można usuwać pojedynczych wierszy, a jedynie całą listę dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 7 / 48

Zadania konfiguracji listy ACL Polecenia ACL mogą być długimi ciągami znaków. Najważniejsze zadania przy tworzeniu list ACL: utworzenie list ACL przy użyciu ogólnego trybu konfiguracji wskazanie numeru listy ACL z przedziału 1-99 standardowa lista ACL wskazanie numeru listy ACL z przedziału 100-199 rozszerzona lista ACL ostrożny wybór i logiczne uporządkowanie listy ACL wybór sprawdzanych protokołów zastosowanie listy ACL na interfejsie preferowane są zewnętrzne listy ACL dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 8 / 48

Przykład access-list 1 permit 5.6.0.0 0.0.255.255 access-list 1 deny 7.9.0.0 0.0.255.255! access-list 2 permit 1.2.3.4 0.0.0.0 access-list 2 deny 1.2.0.0 0.0.255.255! interface ethernet 0 ip address 1.1.1.1 255.0.0.0! ip access-group 1 in ip access-group 2 out dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 9 / 48

Maska zastępcza 32 bitowy numer podzielony na 4 oktety, z których każdy składa się z ośmiu bitów bit maski zastępczej równy 0 oznacza sprawdź odpowiadającą wartość bitu, a bit 1 oznacza brak sprawdzania maska zastępcza jest parą dla adresu IP, podobnie jak maska podsieci, ale ich rola jest inna zera i jedynki w masce podsieci określają części sieci, podsieci i hosta w odpowiadającym jej adresie IP zera i jedynki w masce zastępczej określają czy odpowiadające im bity w adresie IP mają być sprawdzane czy zignorowane dla potrzeb list ACL dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 10 / 48

Użycie maski z wyrażeniem any zamiast pisać: access-list 1 permit 0.0.0.0 255.255.255.255 można użyć krótszego zapisu: access-list 1 permit any dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 11 / 48

Użycie maski z wyrażeniem host zamiast pisać: access-list 1 permit 172.30.16.29 0.0.0.0 można użyć krótszego zapisu: access-list 1 permit host 172.30.16.29 dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 12 / 48

Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 13 / 48

Standardowe listy ACL Standardowe listy ACL sprawdzają źródłowy adres rutowanych pakietów IP i porównują je z wyrażeniami definiującymi ACL dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 14 / 48

Standardowe listy ACL c.d. Standardowe listy ACL umożliwiają lub nie dostęp do całego stosu protokołów (np. IP) na podstawie adresów sieci, podsieci i hosta. Składnia polecenia: Router(config)#access-list numer-listy-dostępu {deny permit} źródło [maska-zastępcza-źródła] [log] Router(config)#no access-list numer-listy-dostępu log parametr opcjonalny, powoduje powstanie informacyjnego komunikatu logowania dotyczącego pakietu pasującego do wpisu, który ma być wysłany do konsoli dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 15 / 48

Standardowe listy ACL c.d. na końcu każdej listy znajduje się niejawne polecenie deny any polecenie ip access-group łączy istniejącą listę ACL z interfejsem. Aby uzyskać dostęp do konkretnego interfejsu konieczne jest wejście w tryb konfiguracji interfejsu Router(config-if)#ip access-group numer-listy-dostępu {in out} dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 16 / 48

Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 17 / 48

Rozszerzone listy ACL Rozszerzone listy ACL są używane częściej niż standardowe, ponieważ oferują większą elastyczność i kontrolę. Sprawdzają adres źródłowy i docelowy, jak również protokoły i numery portów TCP i UDP dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 18 / 48

Rozszerzone listy ACL c.d. dostęp można umożliwić bądź uniemożliwić na podstwie pochodzenia pakietu, jego miejsca przeznaczenia, typu protokołu, adresów portów oraz aplikacji rozszerzona lista ACL może zezwolić na ruch poczty elektronicznej z interfejsu Fa0/0 do konkretnych interfejsów docelowych S0/0, ale zakazać transferów plików i przeglądania sieci WWW podczas gdy standardowe listy ACL mogą zezwalać lub zakazywać tylko całego stosu protokołów, rozszerzona lista ACL daje możliwość wskazania konkretnego protokołu w stosie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 19 / 48

Rozszerzone listy ACL c.d. Składnia polecenia: Router(config)#access-list numer-listy-dostępu [dynamic nazwa-dynamiczna [timeout minuty]] {deny permit} protokół źródło maska-zastępcza-źródła cel maska-zastępcza-celu [precedence pierwszeństwo] [tos tos] [log log-input [zakres-czasu nazwa-zakresu-czasu]] [fragments] [eq] nr-portu Router(config)#no access-list numer-listy-dostępu log parametr opcjonalny, powoduje powstanie informacyjnego komunikatu logowania dotyczącego pakietu pasującego do wpisu, który ma być wysłany do konsoli dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 20 / 48

Rozszerzone listy ACL c.d. na jednej liście ACL można skonfigurować wiele wyrażeń każde z nich powinno zawierać ten sam numer listy dostępu wiążący wyrażenie z listą ACL można zastosować tyle warunków ile jest potrzebne wyrażenia warunków są ograniczone jedynie pamięcią rutera access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet access-list 114 deny tcp 172.16.6.0 0.0.0.255 any eq ftp dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 21 / 48

Rozszerzone listy ACL c.d. rozszerzone listy ACL są bardzo elastyczne oferują wiele opcji i argumentów zależnie od używanego protokołu obsługiwane protokoły: ICMP (Internet Control Message Protocol) IGMP (Internet Group Message Protocol) TCP (Transmission Control Protocol) UDP (User Datagram Protocol) dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 22 / 48

Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 23 / 48

Domyślne wartości rozszerzonej listy ACL domyślne wartości rozszerzonej listy ACL zabraniają wszystkiego na końcu rozszerzonej listy ACL znajduje się polecenie deny any na końcu rozszerzonej listy dostępu znajduje się dodatkowe pole Warstwa aplikacji 21 23 25 53 69 161 520 Numery portów Warstwa transportu TCP UDP dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 24 / 48

Łączenie listy z interfejsem polecenie ip access-group łączy istniejącą rozszerzoną listę ACL z interfejsem dozwolona jest jedna lista ACL na interfejs, na kierunek, na protokół Router(config)#ip access-group numer-listy-dostępu {in out} dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 25 / 48

Nazwane listy ACL rozwiązanie Cisco od IOS ver. 11.2 możliwe jest nadawanie standardowym i rozszerzonym listom ACL nazw zamiast numerów zalety nazwanej listy dostępu: intuicyjna identyfikacja listy ACL za pomocą nazwy alfanumerycznej eliminacja ograniczenia do 99 prostych i 100 rozszerzonych list ACL możliwość modyfikacji list ACL bez konieczności usuwania ich i ponownej konfiguracji dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 26 / 48

Nazwane listy ACL c.d. nazwaną listę ACL tworzymy za pomocą polecenia ip access-list Składnia polecenia: Router(config)#ip access-list {extended standard}nazwa Wprowadzenie powyższego polecenia powoduje przejście użytkownika w tryb konfiguracji listy ACL Router(config-ext-nacl)#permit deny protokół źródło maska-zastępcza-źródła [operator [port]] cel maska-zastępcza-celu [operator [port]] [established] [precedence pierwszeństwo] [tos tos] [log] [time-range nazwa-zakresu-czasu] dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 27 / 48

Nazwane listy ACL c.d. Przed zaimplementowaniem nazwanej listy ACL należy wziąć pod uwagę poniższe: nazwane listy ACL nie są kompatybilne z wersjami systemu Cisco IOS wcześniejszymi niż wersja 11.2 nie można uzyć tej samej nazwy dla wielu list ACL dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 28 / 48

Rozmieszczanie list ACL lista ACL umieszczona we właściwej lokalizacji nie tylko filtruje ruch, lecz również sprawia, że cała sieć działa efektywniej lista ACL powinna zostać umieszczona tam, gdzie będzie miała największy wpływ na zwiększenie wydajności sieci ogólna zasadą jest umieszczenie rozszerzonej listy ACL możliwie najbliżej źródła zakazanego ruchu standardowe listy ACL nie określają adresów docelowych, dlatego powinny być umieszczone możliwie najbliżej punktu docelowego dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 29 / 48

Ściany ogniowe ściana ogniowa (firewall) to urządzenie komputerowe lub sieciowe znajdujące się między użytkownikiem a światem zewnętrznym chroni wewnętrzną sieć przed intruzami zwykle składa się z kilku różnych maszyn pracujących wspólnie na rzecz zapobiegania niepożądanemu i nielegalnemu dostępowi ściana ogniowa może zezwalać tylko niektórym użytkownikom na komunikowanie się z Internetem lub umożliwić tylko pewnym aplikacjom nawiązywanie połączeń między hostem wewnętrzym a zewnętrznym dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 30 / 48

Użycie list ACL ze ścianami ogniowymi na ruterach ścian ogniowych (często umieszczanych między siecią wewnętrzną a zewnętrzną) należy używać list ACL listy ACL można również stosować na ruterze umieszczonym między dwiema częściami sieci w ten sposób można kontrolować ruch wchodzący lub wychodzący z konkretnej części sieci wewnętrznej dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 31 / 48

Użycie list ACL ze ścianami ogniowymi c.d. aby skorzystać z zalet zabezpieczeń list ACL należy przynajmniej skonfigurować listy ACL na ruterach granicznych w ten sposób zapewnia się zabezpieczenie przed siecią zewnętrzną lub mniej kontrolowanym obszarem sieci wewnętrznej na ruterach granicznych można utworzyć listę ACL dla każdego protokołu sieciowego skonfigurowanego na interfejsach rutera można skonfigurować listę ACL, dzięki której ruch napływający, wpływający lub obydwa będą filtrowane na interfejsie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 32 / 48

Ograniczanie dostępu do wirtualnego terminala dla potrzeb bezpieczeństwa użytkownicy mogą uzyskać zezwolenie lub zakaz dostępu do rutera przez terminal wirtualny, a jednocześnie zakaz dostępu do punktów docelowych z tego rutera administrator może przykładowo skonfigurować listę ACL, która zezwala na terminalowy dostęp do rutera w celach zarządczych lub rozwiązania problemów, a jednocześnie ograniczyć dostęp poza ten ruter ograniczanie dostępu do vty nie jest powszechnie stosowane jako mechanizm kontroli ruchu; jest to raczej zwiększenie bezpieczeństwa sieciowego dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 33 / 48

Ograniczanie dostępu do wirtualnego terminala c.d. dostęp do vty osiąga się poprzez protokół Telnet, za pomocą którego nawiązuje się niefizyczne połączenie z ruterem dlatego istnieje tylko jeden typ listy ACL dla vty (identyczne ograniczenia należy zastosować na wszystkich łączach vty, ponieważ nie można kontrolować, które łącze zostanie użyte przez użytkownika) listę ACL dla vty tworzy się tak samo jak dla interfejsu, ale wdraża się ją poleceniem access-class, a nie access-group dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 34 / 48

Ograniczanie dostępu do wirtualnego terminala c.d. Podczas konfiguracji listy dostępu dla łączy vty należy pamiętać o następujących faktach: podczas kontroli dostępu do interfejsu można użyć nazwy lub numeru na łączach wirtualnych można używać tylko numerowanych list dostępu na wszystkich łączach wirtualnego terminala powinny być ustawione takie same ograniczenia dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 35 / 48

Weryfikacja list ACL polecenie show ip interface wyświetla informacje na temat interfejsu IP i wskazuje, czy zaimplementowano listy ACL polecenie show access-lists wyświetla zawartość wszystkich list ACL; aby zobaczyć konkretną listę, należy wprowadzić jej nazwę bądź numer jako opcję polecenia dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 36 / 48

Spis treści 1 Funkcje list dostępu 2 Standardowe listy ACL 3 Rozszerzone listy ACL 4 Konfiguracja i rozmieszczenie list 5 Podsumowanie dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 37 / 48

Podsumowanie istnieją dwa głowne typy list ACL standardowa i rozszerzona nazwane listy ACL umożliwiają identyfikację list dostępu za pomocą nazw zamiast numerów listy ACL można skonfigurować dla wszystkich rutowanych protokołów sieciowych listy ACL są zwykle używane na ruterach ścian ogniowych, często umieszczonych między siecią wewnętrzną a zewnętrzną listy ACL mogą również ograniczyć dostęp do rutera przez wirtualny terminal dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 38 / 48

Podsumowanie listy ACL pełnią kilka funkcji na ruterze włączając implementację procedur zabezpieczeń i dostępu listy ACL są używane do zarządzania i kontroli ruchu w przypadku niektórych protokołów na interfejsie można zastosować do dwóch list ACL: jedną dla ruchu przychodzącego i drugą dla ruchu wychodzącego dzięki listom ACL, po sprawdzeniu czy pakiet pasuje do wyrażenia ACL, może on uzyskać zezwolenie lub zakaz użycia danego interfejsu bity masek zastępczych używają numerów 1 i 0 w celu określenia sposobu traktowania odpowiadających im bitów adresu IP dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 39 / 48

Przykład Jak zapewnić dostęp tylko jednemu hostowi (172.16.6.2) przez telnet? dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 40 / 48

Przykład Jak zapewnić dostęp tylko jednemu hostowi (172.16.6.2) przez telnet? access-list 114 permit tcp 172.16.6.2 0.0.0.0 any eq telnet dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 41 / 48

Przykład Jak zapewnić dostęp tylko jednemu hostowi (172.16.6.2) przez telnet? access-list 114 permit tcp 172.16.6.2 0.0.0.0 any eq telnet access-list 114 deny ip 172.16.6.0 0.0.0.255 any dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 42 / 48

Przykład Jak zapewnić dostęp tylko jednemu hostowi (172.16.6.2) przez telnet? access-list 114 permit tcp 172.16.6.2 0.0.0.0 any eq telnet access-list 114 deny ip host 172.16.6.2 any access-list 114 permit ip any any dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 43 / 48

Dziękuję za uwagę! Pytania? dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 44 / 48

Organizacje studenckie BEST (Board of European Students of Technology) jest międzynarodową apolityczną organizacją non-profit zrzeszającą studentów z 95 renomowanych uczelni technicznych w 33 europejskich krajach. Poprzez różnego rodzaju projekty staramy się połączyć ze sobą trzy środowiska: studenckie, akademickie oraz gospodarcze, tak w Polsce, jak i zagranicą. Organizacja szkoleń, kursów a nawet targów pracy w kraju i zagranicą. dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 45 / 48

Organizacje studenckie Niezależne Zrzeszenie Studentów to organizacja skupiająca wyłącznie osoby kreatywne, pomysłowe, otwarte i gotowe na nowe wyzwania czyli Studentów Akademii Górniczo-Hutniczej. Podstawowym zadaniem NZS jest pomoc Studentom AGH. NZS organizuje wiele szkoleń i warsztatów umożliwiających poszerzenie wiedzy i kształtowanie nowych umiejętności przy współpracy z wieloma profesjonalnymi instytucjami, takimi jak np. Centrum Karier. dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 46 / 48

Organizacje studenckie Głównym obowiązkiem Uczelnianej Rady Samorządu Studentów jest reprezentowanie interesów wszystkich studentów AGH. Samorząd Studencki: opiniuje najważniejsze dla studentów akty prawne, organizuje wydarzenia kulturalne, naukowe i sportowe, współdecyduje o przyznaniu pomocy materialnej dla studentów, współdecyduje o rozdziale środków na działalność studencką, ma przedstawicieli w Senacie i w Radach Wydziałów służy radą i pomocą wszystkim studentom i wiele, wiele innych... dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 47 / 48

Organizacje studenckie Erasmus Student Network (ESN) is a non-profit international student organisation. Our mission is to represent international students, thus provide opportunities for cultural understanding and self-development under the principle of Students Helping Students. dr inż. Jerzy Domżał (AGH) Wprowadzenie do sieci Internet 5 grudnia 2016 r. 48 / 48

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres