Использование списка ACL в формате классификации

Список ACL в формате классификации состоит из операторов permit для различных протоколов, которые могут быть предназначены для внутренней сети. (См. Приложение A для списка наиболее часто используемых протоколов и приложений.) ???? Используйте команду show access-list для отображения числа записей управления доступом (ACE) для определения требуемых протоколов. Изучите все сомнительные и неожиданные результаты перед созданием явного оператора permit для непредусмотренных протоколов.

Использование функции коммутации Netflow.

Netflow – это функция коммутации, которая в активированном состоянии предоставляет подробную информацию о технологическом процессе. Если функция Netflow активирована на ваших граничных маршрутизаторах, команда show ip cache flow выдает список протоколов, зарегистрированных с помощью функции Netflow. Функция Netflow не определяет все протоколы, поэтому эта методика должна применяться совместно с остальными.

3.2. Определение недопустимого трафика Помимо направленной защиты список ACL для транзитного трафика также должен обеспечивать оперативную защиту от определенных типов недопустимых видов трафика в Интернете.

– Пространство Deny RFC 1918.

–Пакеты Deny, адрес источника которых входит в пространство адресов специального пользования, определяемых в RFC 3330.

– Использование анти-спуфинговых фильтров в соответствии с RFC 2827; ваше адресное пространство не должно быть источником пакетов, расположенных за пределами автономной системы (AS).

Остальные типы рассматриваемых трафиков включают в себя:

Внешние протоколы и IP-адреса, необходимые для связи с граничным маршрутизатором

–ICMP из IP-адресов поставщиков услуг

–Протоколы маршрутизации

– IPSec VPN, если граничный маршрутизатор используется в качестве граничного устройства

Четко определенный ответный трафик для внутреннего соединения с Интернетом

–Специальные виды трафика ICMP (протокола управляющих сообщений Интернета)

–Ответы на запрос системы исходящих имен доступа (DNS)

– Установленный протокол TCP

– Ответный трафик пользовательского протокола данных (UDP)

–Информационные соединения FTP

– Информационные соединения TFTP

– Мультимедийные соединения

Четко определенный внешний трафик, предназначенный для защиты внутренних адресов

1. Трафик VPN

– Ассоциация межсетевой безопасности и протокол управления ключами (ISAKMP)

– Просмотр трансляции сетевых адресов (протокол NAT)

– Собственный механизм инкапсуляции

– Инкапсуляция защищенной полезной нагрузки (протокол ESP)

–Протокол аутентификации заголовка (AH)

2. HTTP для веб-серверов

3. Протокол безопасных соединений (SSL) для веб-серверов FTP для FTP-серверов

4. Входящие информационные соединения FTP

5. Входящие пассивные информационные соединения FTP (pasv)

6. Простой протокол передачи почты (SMTP)

7. Другие приложения и серверы

8. Входящий запрос DNS

9. Зонный перенос входящего DNS

Применение ACL

Вновь созданный список ACL следует применять к входящему трафику для интерфейсов со стороны Интернета в граничных маршрутизаторах. В примере, приведенном в разделе Обычная установка, ACL применяется в интерфейсах Интернет-сетей на IR1 и IR2.

Пример ACL Данный список доступа обеспечивает простой и в тоже время вполне реальный пример обычных записей, требуемых в списке ACL для транзитного трафика. Эти базовые списки ACL необходимо сопоставлять с элементами локальных конфигураций, характерных для каждого из узлов.

!--- Добавить анти-спуфинговые записи.

!--- Запретить источники адресов специального пользования.

access-list 110 deny ip 127.0.0.0 0.255.255.255 any

access-list 110 deny ip 192.0.2.0 0.0.0.255 any

access-list 110 deny ip 224.0.0.0 31.255.255.255 any

access-list 110 deny ip host 255.255.255.255 any

--- Оператор deny не должен быть настроен

--- на ретрансляции протокола динамической конфигурации хоста (DHCP).

access-list 110 deny ip host 0.0.0.0 any

!--- Пространство фильтра RFC 1918.

access-list 110 deny ip 10.0.0.0 0.255.255.255 any

access-list 110 deny ip 172.16.0.0 0.15.255.255 any

access-list 110 deny ip 192.168.0.0 0.0.255.255 any

!--- Протокол разрешенного пограничного шлюза (BGP) в граничный маршрутизатор.

access-list 110 permit tcp host bgp_peer gt 1023 host router_ip eq bgp

access-list 110 permit tcp host bgp_peer eq bgp host router_ip gt 1023

!--- Не используйте свое пространство, как источник

access-list 110 deny ip ваша маршрутизируемая подсеть Интернет any

!--- Разрешить ответный трафик явным образом.

!--- Разрешить специальные типы ICMP.

access-list 110 permit icmp any any echo-reply

access-list 110 permit icmp any any unreachable

access-list 110 permit icmp any any time-exceeded

access-list 110 deny icmp any any

!--- Это исходящие запросы DNS.

access-list 110 permit udp any eq 53 host первичный сервер DNS gt 1023 !--- Разрешить допуск первоначальных запросов DNS и ответов в первичный сервер DNS.

access-list 110 permit udp any eq 53 host первичный сервер DNS eq 53

!--- Разрешить законный бизнес-трафик. access-list 110 permit tcp any маршрутизируемая подсеть Интернет established

access-list 110 permit udp any range 1 1023 маршрутизируемая подсеть Интернет gt 1023

!--- Разрешить информационные соединения ftp.

access-list 110 permit tcp any eq 20 маршрутизируемая подсеть Интернет gt 1023

!--- Разрешить информационные соединения tftp и мультимедийные соединения.

access-list 110 permit udp any gt 1023 маршрутизируемая подсеть Интернет gt 1023

!--- Разрешить трафик от внешнего источника явным образом.

!--- Это входящие запросы DNS. access-list 110 permit udp any gt 1023 host eq 53

!-- Это запросы DNS зонного переноса в первичный сервер DNS.

access-list 110 permit tcp host вторичный сервер DNS gt 1023 host первичный сервер DNS eq 53

!--- Разрешить первоначальные зонные переносы DNS.

access-list 110 permit tcp host вторичный сервер DNS eq 53 host первичный сервер DNS eq 53

!--- Запретите весь остальной трафик DNS.

access-list 110 deny udp any any eq 53 access-list 110 deny tcp any any eq 53

!--- Разрешить трафик IPSec VPN.

access-list 110 permit udp any host Головной узел IPSec eq 500

access-list 110 permit udp any host Головной узел IPSec eq 4500

access-list 110 permit 50 any host Головной узел IPSec

access-list 110 permit 51 any host Головной узел IPSec access-list 110 deny ip any host Головной узел IPSec

!--- Это Интернет-подключения к

!--- к общедоступному серверу.

access-list 110 permit tcp any host общедоступный веб-сервер eq 80 access-list 110 permit tcp any host общедоступный веб-сервер eq 443 access-list 110 permit tcp any host общедоступный сервер FTP eq 21

!--- Разрешены информационные соединения с сервером FTP

!--- через ACE permit established.

!--- Разрешить информационные соединения PASV с сервером FTP.

access-list 110 permit tcp any gt 1023 host общедоступный сервер FTP gt 1023

access-list 110 permit tcp any host общедоступный сервер SMTP eq 25

!--- Запретите весь остальной трафик. access-list 101 deny ip any any Примечание.

Ключевое слово log может быть использовано для получения дополнительной информации об источниках и назначениях для данного протокола. Кроме того, данное ключевое слово предоставляет подробное объяснение использования списка управления доступом, успешный выход к записям в списке ACL, который использует ключевое слово log для повышения коэффициента использования CPU. Влияние регистрации на производительность системы зависит от платформы.

Сообщения о недоступности ICMP генерируются для пакетов, которые в административном порядке запрещены списком ACL. Это может повлиять на производительность маршрутизатора и канала. Используйте команду no ip unreachables для отключения сообщений IP-недоступности в интерфейсе, где развернут транзитный (граничный) список ACL.

Этот ACL может быть внутренне развернут с помощью всех операторов permit для проверки того, что законный бизнес-трафика не отклоняется. Как только законный бизнес-трафик определен и рассчитан, могут быть настроены специальные элементы deny.

Наши рекомендации