Использование списка ACL в формате классификации
Список ACL в формате классификации состоит из операторов permit для различных протоколов, которые могут быть предназначены для внутренней сети. (См. Приложение A для списка наиболее часто используемых протоколов и приложений.) ???? Используйте команду show access-list для отображения числа записей управления доступом (ACE) для определения требуемых протоколов. Изучите все сомнительные и неожиданные результаты перед созданием явного оператора permit для непредусмотренных протоколов.
Использование функции коммутации Netflow.
Netflow – это функция коммутации, которая в активированном состоянии предоставляет подробную информацию о технологическом процессе. Если функция Netflow активирована на ваших граничных маршрутизаторах, команда show ip cache flow выдает список протоколов, зарегистрированных с помощью функции Netflow. Функция Netflow не определяет все протоколы, поэтому эта методика должна применяться совместно с остальными.
3.2. Определение недопустимого трафика Помимо направленной защиты список ACL для транзитного трафика также должен обеспечивать оперативную защиту от определенных типов недопустимых видов трафика в Интернете.
– Пространство Deny RFC 1918.
–Пакеты Deny, адрес источника которых входит в пространство адресов специального пользования, определяемых в RFC 3330.
– Использование анти-спуфинговых фильтров в соответствии с RFC 2827; ваше адресное пространство не должно быть источником пакетов, расположенных за пределами автономной системы (AS).
Остальные типы рассматриваемых трафиков включают в себя:
Внешние протоколы и IP-адреса, необходимые для связи с граничным маршрутизатором
–ICMP из IP-адресов поставщиков услуг
–Протоколы маршрутизации
– IPSec VPN, если граничный маршрутизатор используется в качестве граничного устройства
Четко определенный ответный трафик для внутреннего соединения с Интернетом
–Специальные виды трафика ICMP (протокола управляющих сообщений Интернета)
–Ответы на запрос системы исходящих имен доступа (DNS)
– Установленный протокол TCP
– Ответный трафик пользовательского протокола данных (UDP)
–Информационные соединения FTP
– Информационные соединения TFTP
– Мультимедийные соединения
Четко определенный внешний трафик, предназначенный для защиты внутренних адресов
1. Трафик VPN
– Ассоциация межсетевой безопасности и протокол управления ключами (ISAKMP)
– Просмотр трансляции сетевых адресов (протокол NAT)
– Собственный механизм инкапсуляции
– Инкапсуляция защищенной полезной нагрузки (протокол ESP)
–Протокол аутентификации заголовка (AH)
2. HTTP для веб-серверов
3. Протокол безопасных соединений (SSL) для веб-серверов FTP для FTP-серверов
4. Входящие информационные соединения FTP
5. Входящие пассивные информационные соединения FTP (pasv)
6. Простой протокол передачи почты (SMTP)
7. Другие приложения и серверы
8. Входящий запрос DNS
9. Зонный перенос входящего DNS
Применение ACL
Вновь созданный список ACL следует применять к входящему трафику для интерфейсов со стороны Интернета в граничных маршрутизаторах. В примере, приведенном в разделе Обычная установка, ACL применяется в интерфейсах Интернет-сетей на IR1 и IR2.
Пример ACL Данный список доступа обеспечивает простой и в тоже время вполне реальный пример обычных записей, требуемых в списке ACL для транзитного трафика. Эти базовые списки ACL необходимо сопоставлять с элементами локальных конфигураций, характерных для каждого из узлов.
!--- Добавить анти-спуфинговые записи.
!--- Запретить источники адресов специального пользования.
access-list 110 deny ip 127.0.0.0 0.255.255.255 any
access-list 110 deny ip 192.0.2.0 0.0.0.255 any
access-list 110 deny ip 224.0.0.0 31.255.255.255 any
access-list 110 deny ip host 255.255.255.255 any
--- Оператор deny не должен быть настроен
--- на ретрансляции протокола динамической конфигурации хоста (DHCP).
access-list 110 deny ip host 0.0.0.0 any
!--- Пространство фильтра RFC 1918.
access-list 110 deny ip 10.0.0.0 0.255.255.255 any
access-list 110 deny ip 172.16.0.0 0.15.255.255 any
access-list 110 deny ip 192.168.0.0 0.0.255.255 any
!--- Протокол разрешенного пограничного шлюза (BGP) в граничный маршрутизатор.
access-list 110 permit tcp host bgp_peer gt 1023 host router_ip eq bgp
access-list 110 permit tcp host bgp_peer eq bgp host router_ip gt 1023
!--- Не используйте свое пространство, как источник
access-list 110 deny ip ваша маршрутизируемая подсеть Интернет any
!--- Разрешить ответный трафик явным образом.
!--- Разрешить специальные типы ICMP.
access-list 110 permit icmp any any echo-reply
access-list 110 permit icmp any any unreachable
access-list 110 permit icmp any any time-exceeded
access-list 110 deny icmp any any
!--- Это исходящие запросы DNS.
access-list 110 permit udp any eq 53 host первичный сервер DNS gt 1023 !--- Разрешить допуск первоначальных запросов DNS и ответов в первичный сервер DNS.
access-list 110 permit udp any eq 53 host первичный сервер DNS eq 53
!--- Разрешить законный бизнес-трафик. access-list 110 permit tcp any маршрутизируемая подсеть Интернет established
access-list 110 permit udp any range 1 1023 маршрутизируемая подсеть Интернет gt 1023
!--- Разрешить информационные соединения ftp.
access-list 110 permit tcp any eq 20 маршрутизируемая подсеть Интернет gt 1023
!--- Разрешить информационные соединения tftp и мультимедийные соединения.
access-list 110 permit udp any gt 1023 маршрутизируемая подсеть Интернет gt 1023
!--- Разрешить трафик от внешнего источника явным образом.
!--- Это входящие запросы DNS. access-list 110 permit udp any gt 1023 host eq 53
!-- Это запросы DNS зонного переноса в первичный сервер DNS.
access-list 110 permit tcp host вторичный сервер DNS gt 1023 host первичный сервер DNS eq 53
!--- Разрешить первоначальные зонные переносы DNS.
access-list 110 permit tcp host вторичный сервер DNS eq 53 host первичный сервер DNS eq 53
!--- Запретите весь остальной трафик DNS.
access-list 110 deny udp any any eq 53 access-list 110 deny tcp any any eq 53
!--- Разрешить трафик IPSec VPN.
access-list 110 permit udp any host Головной узел IPSec eq 500
access-list 110 permit udp any host Головной узел IPSec eq 4500
access-list 110 permit 50 any host Головной узел IPSec
access-list 110 permit 51 any host Головной узел IPSec access-list 110 deny ip any host Головной узел IPSec
!--- Это Интернет-подключения к
!--- к общедоступному серверу.
access-list 110 permit tcp any host общедоступный веб-сервер eq 80 access-list 110 permit tcp any host общедоступный веб-сервер eq 443 access-list 110 permit tcp any host общедоступный сервер FTP eq 21
!--- Разрешены информационные соединения с сервером FTP
!--- через ACE permit established.
!--- Разрешить информационные соединения PASV с сервером FTP.
access-list 110 permit tcp any gt 1023 host общедоступный сервер FTP gt 1023
access-list 110 permit tcp any host общедоступный сервер SMTP eq 25
!--- Запретите весь остальной трафик. access-list 101 deny ip any any Примечание.
Ключевое слово log может быть использовано для получения дополнительной информации об источниках и назначениях для данного протокола. Кроме того, данное ключевое слово предоставляет подробное объяснение использования списка управления доступом, успешный выход к записям в списке ACL, который использует ключевое слово log для повышения коэффициента использования CPU. Влияние регистрации на производительность системы зависит от платформы.
Сообщения о недоступности ICMP генерируются для пакетов, которые в административном порядке запрещены списком ACL. Это может повлиять на производительность маршрутизатора и канала. Используйте команду no ip unreachables для отключения сообщений IP-недоступности в интерфейсе, где развернут транзитный (граничный) список ACL.
Этот ACL может быть внутренне развернут с помощью всех операторов permit для проверки того, что законный бизнес-трафика не отклоняется. Как только законный бизнес-трафик определен и рассчитан, могут быть настроены специальные элементы deny.