Просмотр идентифицированных пакетов и начало фильтрации доступа во внутреннюю сеть
После определения и просмотра пакетов, отфильтрованных списком ACL на первом этапе, обновите ACL классификации для вычисления новых определенных протоколов и IP-адресов. Добавьте анти-спуфинговые записи в список ACL. В соответствии с указаниями, в ACL классификации замените отдельные записи deny на операторы permit. Вы можете использовать команду show access-list для контроля отдельных записей deny и числа случаев выполнения функции. Это предоставляет информацию о запрещенных попытках доступа в сеть без включенных записей регистрации ACL. Последняя строка в списке ACL должна иметь вид deny ip any any. Снова число случаев выполнения функции для этой последней записи может предоставить информацию о запрещенных попытках доступа.
Контроль и обновление списка ACL.
Просмотреь заполненный список ACL для того, чтобы проверить, что новые введенные требуемые протоколы добавлены в соответствии со списком управления. Контроль списка управления доступом также дает возможность получить информацию о запрещенных попытках доступа в сеть, что в свою очередь приводит к получению сведений о предстоящей атаке.
Пример развертывания
В данном примере представлен список управления транзитным доступом, защищающий сеть, основанную на данной адресации.
IP-адрес маршрутизатора ISP – 10.1.1.1.
IP-адрес граничного маршрутизатора Интернета – 10.1.1.2.
Сеть с Интернет-маршрутизацией – 192.168.201.0 255.255.255.0.
Головной узел VPN – 192.168.201.100.
Веб-сервер – 192.168.201.101.
Сервер FTP – 192.168.201.102.
Сервер SMTP – 192.168.201.103.
Первичный сервер DNS – 192.168.201.104.
Вторичный сервер DNS – 172.16.201.50.
Список ACL транзитной защиты создан на основе данной информации. Список ACL открывает доступ одноранговых узлов eBGP в маршрутизатор ISP, предоставляет анти-спуфинговые фильтры, предоставляет специальный ответный и входной трафики и отклоняет все остальные виды трафика явным образом.
no access-list 110
!--- Этап 1 – Добавим анти-спуфинговые записи.
!--- Запретим источники адресов специального пользования.
!--- О дополнительных адресах специального пользования.
access-list 110 deny ip 127.0.0.0 0.255.255.255 any
access-list 110 deny ip 192.0.2.0 0.0.0.255 any access-list 110 deny ip 224.0.0.0 31.255.255.255 any
access-list 110 deny ip host 255.255.255.255 any
!--- Оператор deny не должен быть настроен
!--- на ретрансляции протокола динамической конфигурации хоста (DHCP).
access-list 110 deny ip host 0.0.0.0 any
!--- Пространство фильтра RFC 1918.
access-list 110 deny ip 10.0.0.0 0.255.255.255 any
access-list 110 deny ip 172.16.0.0 0.15.255.255 any
access-list 110 deny ip 192.168.0.0 0.0.255.255 any !--- Разрешите протокол BGP в граничный маршрутизатор.
access-list 110 permit tcp host 10.1.1.1 gt 1023 host 10.1.1.2 eq bgp
access-list 110 permit tcp host 10.1.1.1 eq bgp host 10.1.1.2 gt 1023
!--- Не использовать свое пространство, как источник).
access-list 110 deny ip 192.168.201.0 0.0.0.255 any
!--- Этап 2 – Разрешите ответный трафик явным образом.
!--- Разрешите специальные типы ICMP.
access-list 110 permit icmp any any echo-reply access-list 110 permit icmp any any unreachable
access-list 110 permit icmp any any time-exceeded access-list 110 deny icmp any any
!--- Это исходящие запросы DNS. access-list 110 permit udp any eq domain host 192.168.201.104 gt 1023
!--- Разрешите допуск первоначальных запросов DNS и ответов в первичный сервер DNS.
access-list 110 permit udp any eq domain host 192.168.201.104 eq domain
!--- Разрешите законный бизнес-трафик. access-list 110 permit tcp any 192.168.201.0 0.0.0.255 established
access-list 110 permit udp any range 1 1023 192.168.201.0 0.0.0.255 gt 1023
!--- Разрешите информационные соединения ftp. access-list 110 permit tcp any eq ftp-data 192.168.201.0 0.0.0.255 gt 1023
!--- Разрешите информационные соединения tftp и мультимедийные соединения.
access-list 110 permit udp any gt 1023 192.168.201.0 0.0.0.255 gt 1023
!--- Этап 3 – Разрешить ответный трафик явным образом.
!--- Это входящие запросы DNS. access-list 110 permit udp any gt 1023 host 192.168.201.104 eq domain
!-- Это запросы DNS зонного переноса в первичный сервер DNS. access-list 110 permit tcp host 172.16.201.50 gt 1023 host 192.168.201.104 eq domain
!--- Разрешите первоначальные зонные переносы DNS. access-list 110 permit tcp host 172.16.201.50 eq domain host 192.168.201.104 eq domain
!--- Запретите весь остальной трафик DNS.
access-list 110 deny udp any any eq domain access-list 110 deny tcp any any eq domain
!--- Разрешите трафик IPSec VPN. access-list 110 permit udp any host 192.168.201.100 eq isakmp
access-list 110 permit udp any host 192.168.201.100 eq non500-isakmp
access-list 110 permit esp any host 192.168.201.100
access-list 110 permit ahp any host 192.168.201.100 access-list 110 deny ip any host 192.168.201.100
!--- Это Интернет-подключения к !--- к общедоступному серверу.
access-list 110 permit tcp any host 192.168.201.101 eq www
access-list 110 permit tcp any host 192.168.201.101 eq 443 access-list 110 permit tcp any host 192.168.201.102 eq ftp
!--- Разрешены информационные соединения с сервером FTP
!--- через ACE permit established на этапе 3.
!--- Разрешить информационные соединения PASV с сервером FTP.
access-list 110 permit tcp any gt 1023 host 192.168.201.102 gt 1023
access-list 110 permit tcp any host 192.168.201.103 eq smtp
!--- Этап 4 – Добавьте явный оператор deny.
access-list 110 deny ip any any Edge-router(config)#interface serial 2/0 Edge-router(config-if)#ip access-group 110 in
Выводы
При выборе решения разработки контроля выходного потока офисного сервера корпоративной сети было рассмотрено преимущество CISCO, которая позволяет значительного удешевить международный и междугородний трафик. Экономия средств включает снижение расходов на корпоративную телефонию за счет передачи голоса и данных по единой сети, более низких тарифов на международные/междугородные коммуникации и минимизации использования линий традиционной телефонии. В дополнение к сокращению затрат, предприятия малого и среднего бизнеса, выбравшие для себя IP-платформу, смогут добиться более высоких показателей удовлетворенности клиентов за счет постоянной доступности своих сотрудников и расширенных возможностей взаимодействия и обслуживания.
Перед принятием решения о разработке сети предприятия были рассмотрены технологии по реализации межсетевого экрана, ведущих производителей серверного оборудования, такие как Avaya, Alcatel, Nortel Networks, Cisco Systems. Cisco Systems предлагает высоконадежные масштабируемые решения для контакт-центров, которые позволяют улучшить качество обслуживания клиентов и предоставляют компаниям существенные конкурентные преимущества.для построения корпоративных сетей в качестве коммуникационного оборудования использует другого производителя, чаще всего Cisco Systems.
Основной продукт компании Alcatel - IP-АТС OmniPCX различных серий, к конвергентным относятся OmniPCX Enterprise и OmniPCX Office.
Так как Alcatel предлагает решения только не полного построения корпоративной сети. Коммуникационным оборудованием в сетях Alcatel используются устройства других производителей, и также как и Avaya в качестве связующего оборудования Cisco Systems.
Разработанная специально для предприятий малого и среднего бизнеса, платформа Nortel Business Communications Manager 450 вобрала в себя 10-летний опыт разработки лучшего в отрасли программного обеспечения, реализующего мощные и надежные функции. Благодаря одновременной поддержке как IP-технологий, так и традиционных цифровых технологий, BCM может стать «мостиком» для перехода от конфигурации с поддержкой IP к конфигурации, целиком основанной на IP-технологиях; таким образом, эта платформа предоставляет все преимущества самых современных технологий и при этом позволяет использовать ранее сделанные вложения.
Cisco Systems базируются на основе архитектуры AVVID (Architecture for Voice, Video and Integrated Data). Cisco предлагает несколько десятков продуктов. Они предназначены для решения большого числа корпоративных задач, включая создание межсетевых экранов, ее подключение к сетям общего пользования, а также предоставление современных сервисов для абонентов. Эти системы масштабируемы - от нескольких десятков пользователей до нескольких сотен тысяч, в том числе географически распределенных.
Выбор при разработке был остановлен на решении Cisco Systems, так как эта компания является мировым лидером по производству высоконадёжного качественного телекоммуникационного оборудования. Cisco Systems помимо разработки решений по телекоммуникациям, открывает различные центры по обучению и сертификации специалистов для построения и разработке современных мультисервисных сетей, что является немаловажным при технической поддержке и разработке современных корпоративных сетей.