FORGALOMIRÁNYÍTÓK. 11. Hozzáférési listák (ACL-ek) CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

Hasonló dokumentumok
CISCO gyakorlati segédlet. Összeállította: Balogh Zoltán

8. Forgalomszűrés hozzáférési listák használatával

2019/02/12 12:45 1/13 ACL

CSOMAGSZŰRÉS CISCO ROUTEREKEN ACL-EK SEGÍTSÉGÉVEL PACKET FILTERING ON CISCO ROUTERS USING ACLS

1. Forgalomirányítók konfigurálása

13. gyakorlat Deák Kristóf

Hálózati eszközök biztonsága

III. előadás. Kovács Róbert

Forgalomszűrés hozzáférési listák használatával S Z E R K E S Z T E T T E : M A J S A R E B E K A

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Department of Software Engineering

2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata

1. IP címek méretezése

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

Változások a Sulinet szűrési szabályokban

Tájékoztató. Használható segédeszköz: -

1. Kapcsolók konfigurálása

Advanced PT activity: Fejlesztési feladatok

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

HÁLÓZATI ISMERETEK GNS 3

Informatikai hálózattelepítő és - Informatikai rendszergazda

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Tájékoztató. Használható segédeszköz: -

INFORMATIKAI BIZTONSÁG ALAPJAI

4. Vállalati hálózatok címzése

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Tájékoztató. Használható segédeszköz: -

Az 1. ábrán látható értékek szerint végezzük el az IP-cím konfigurációt. A küldő IP-címét a következő módon tudjuk beállítani:

Kommunikációs rendszerek programozása. Switch-ek

Az RSVP szolgáltatást az R1 és R3 routereken fogjuk engedélyezni.

FORGALOMIRÁNYÍTÓK. 6. Forgalomirányítás és irányító protokollok CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

Gyakorlati vizsgatevékenység


Tartalom. Router és routing. A 2. réteg és a 3. réteg működése. Forgalomirányító (router) A forgalomirányító összetevői

FORGALOMIRÁNYÍTÓK. 3. A forgalomirányítók konfigurálása CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

WS 2013 elődöntő ICND 1+ teszt

BASH script programozás II. Vezérlési szerkezetek

Sávszélesség szabályozás kezdőknek és haladóknak. Mátó Péter

8.) Milyen típusú kábel bekötési térképe látható az ábrán? 2 pont

1. Melyik az alábbi ábrák közül, az EIA/TIA 568 A szabvány szerinti bekötési sorrend?

Switch konfigurációs demo

Department of Software Engineering

az egyik helyes választ megjelölte, és egyéb hibás választ nem jelölt.

A kapcsolás alapjai, és haladó szintű forgalomirányítás. 1. Ismerkedés az osztály nélküli forgalomirányítással

Cisco Teszt. Question 2 Az alábbiak közül melyek vezeték nélküli hitelesítési módok? (3 helyes válasz)

FOKSZ Mérnökinformatikus záróvizsga szóbeli tételsor

Képességeken alapuló felmérés. Akadémiai hallgatói változat

Hálózati sávszélesség-menedzsment Linux rendszeren. Mátó Péter Zámbó Marcell

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Tájékoztató. Értékelés. 100% = 90 pont A VIZSGAFELADAT MEGOLDÁSÁRA JAVASOLT %-OS EREDMÉNY: EBBEN A VIZSGARÉSZBEN A VIZSGAFELADAT ARÁNYA 30%.

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze

2. Melyik az alábbi ábrák közül, az EIA/TIA 568 A szabvány szerinti bekötési sorrend?

Cisco Catalyst 3500XL switch segédlet

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Tájékoztató. Használható segédeszköz: -

Informatikai hálózattelepítő és - Informatikai rendszergazda

A CISCO routerek parancsai: Parancsok: access-enable Ezzel a paranccsal a forgalomirányító létrehozhat egy ideiglenes bejegyzést egy dinamikus

CISCO PACKET TRACER PARANCS SEGÉDLET

WAN technológiák. 4. Az ISDN és a DDR. Mártha Péter

Internet ROUTER. Motiváció

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

IPTABLES. Forrás: Gregor N. Purdy: Linux iptables zsebkönyv

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. Kocsis Gergely, Supák Zoltán

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Kéretlen levelek, levélszemét, spamek kezelése a GroupWise-ban

Alhálózatok létrehozása

FORGALOMIRÁNYÍTÓK. 7. Távolságvektor alapú forgalomirányító protokollok CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

Hálózati réteg. Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont

4. előadás. Internet alapelvek. Internet címzés. Miért nem elegendő 2. rétegbeli címeket (elnevezéseket) használni a hálózatokban?

SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI

MÉRÉSI JEGYZŐKÖNYV. Andrejkovics Imre (RI8HFG), Ferenczy Ádám (MRGSZ4), Kocsis Gergely (GK2VSO) Mérés megrendelője: Derka István

Tűzfalak működése és összehasonlításuk

Tájékoztató. Használható segédeszköz: -

Hálózati alapismeretek

Hálózatkezelés Szolgáltatási minőség (QoS)

Mindent egybevetve CCNA Discovery II. szemeszter Hálózati feladatok kis- és középvállalatoknál vagy internetszolgáltatóknál Case Study

Hálózati architektúrák laborgyakorlat

Tájékoztató. Használható segédeszköz: -

MÉRÉSI JEGYZŐKÖNYV. Andrejkovics Imre (RI8HFG), Ferenczy Ádám (MRGSZ4), Kovács Gerely (GK2VSO) Mérés megrendelője: Derka István

Útmutató az IP és Routing mérésekben használt Cisco routerek alapszint konfigurációjához i

Tájékoztató. Használható segédeszköz: -

6. Az IP-címzés használata a hálózati tervezésben

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

Lajber Zoltán. Bevezetés

CISCO gyakorlati segédlet

HÁLÓZATBIZTONSÁG III. rész

2011 TAVASZI FÉLÉV 3. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM. IP címzés. Számítógép hálózatok gyakorlata

1.1.4 laborgyakorlat: VLSM alhálózatok számítása

Informatikai hálózattelepítő és - Informatikai rendszergazda

Tájékoztató. Használható segédeszköz: -

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

Számítógép hálózatok gyakorlat

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP P címzés

Fábián Zoltán Hálózatok elmélet

TestLine - zsoltix83 hálozat 1 Minta feladatsor

2017 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Átírás:

FORGALOMIRÁNYÍTÓK 11. Hozzáférési listák (ACL-ek)

1. A hozzáférési listák működésének alapelvei 2. Hozzáférési listák

ACL jellemzők Jellemzők Forgalomirányító interfészén keresztülhaladó forgalomra vonatkozóan lépnek érvénybe Ezek a listák írják elő a router számára, hogy a csomagokat fogadja el, vagy utasítsa vissza az interfészeken (szűrik a forgalmat) Forgalomfelügyelet, a hálózatról kiinduló és oda befutó elérések bizonságossá tétele Interfészenként (pl. Fa0/0, S0/0, stb.), protokollonként (pl. IP, IPX, stb), irányonként (bejövő, kimenő) egy ACL lehet aktív Az ACL-ek a forrás- és a célcímekre, a protokollokra és a felsőbb rétegbeli portszámokra nézve adnak meg feltételeket.

ACL jellemzők ACL-eket a következő okok miatt szokás létre hozni Korlátozható a hálózat forgalma, és növelhető a teljesítménye. A mozgóképforgalom korlátozásával például az ACL-ek jelentősen csökkenthetik a hálózat terhelését, és ebből következően növelhetik teljesítményét. Biztosítják a forgalom szabályozását. Az ACL-ek segítségével az útvonalfrissítések továbbítása is korlátozható. Ha a hálózati környezet miatt nincs szükség a frissítésekre, sávszélességet lehet megtakarítani. Alapszintű hálózati hozzáférés-szabályozást biztosítanak. Az ACL-ek engedélyezhetik például a hálózat egy részének elérését egy állomás számára, és megtilthatják egy másiknak. Eldönthetjük, hogy milyen típusú forgalom továbbítódjon és milyen törlődjön a forgalomirányító interfészein. Például engedélyezhetjük az elektronikus levelek továbbítását, de a telnetet tilthatjuk. A rendszergazdák szabályozhatják, hogy az ügyfelek a hálózat mely részeihez férhetnek hozzá. Ki lehet választani bizonyos állomásokat, és számukra engedélyezni vagy megtiltani a hálózat egy részének elérését A felhasználók számára engedélyezni vagy tiltani lehet bizonyos szolgáltatások, például az FTP vagy a HTTP elérését.

ACL működése Az ACL-ek felépítése Minden lista egy vagy több sorból áll Fontos szerepet játszik az utasítások megadásának sorrendje Az IOS szoftver a csomagokat minden utasítás feltételeivel összeveti, a lista tetejétől az alja felé haladva Ha egy hozzáférési listát további feltételekkel kell bővíteni, akkor a teljes ACL listát törölni kell, új feltételekkel újra létre kell hozni (szövegszerkesztő használata) Minden lista végére egy implicit tiltás (deny any) kerül, ha a lista legalább egy elemből áll Az ACL-ek kiértékelése Csomag paramétereit a lista elemeivel hasonlítja össze, az első sortól az utolsóig Egyezés esetén a lista végrehajtódik, a kiértékelés végetér Ha nincs egyezés a csomag eldobásra kerül (deny any!!!)

ACL működése Az ACL-ek felépítése Minden lista egy vagy több sorból áll Fontos szerepet játszik az utasítások megadásának sorrendje Az IOS szoftver a csomagokat minden utasítás feltételeivel összeveti, a lista tetejétől az alja felé haladva Ha egy hozzáférési listát további feltételekkel kell bővíteni, akkor a teljes ACL listát törölni kell, új feltételekkel újra létre kell hozni (szövegszerkesztő használata) Minden lista végére egy implicit tiltás (deny any) kerül, ha a lista legalább egy elemből áll Az ACL-ek kiértékelése Csomag paramétereit a lista elemeivel hasonlítja össze, az első sortól az utolsóig Egyezés esetén a lista végrehajtódik, a kiértékelés végetér Ha nincs egyezés a csomag eldobásra kerül (deny any!!!)

ACL ek definiálása (létrehozása) ACL létrehozása, konfigurálása Létrehozás access-list paranccsal történik globális konfigurációs módban Interfészhez rendelés protokollfüggő access-group paranccsal Amikor egy ACL-t hozzárendelünk egy interfészhez, akkor ki kell választanunk, hogy a bejövő vagy a kimenő forgalomra vonatkozzon. ACL listaszámok Normál IP: 1-99, 1300-1999 Kiterjesztett IP: 100-199, 2000-2699 AppleTalk: 600-699 Normál IPX: 800-899 Kiterjesztett IPX: 900-999 IPX/SAP: 1000-1099 Nevesített ACL-ek Nem rendelkeznek számmal, számuk korlátlan

ACL ek definiálása (létrehozása) Router(config)# access-list 1 deny 192.168.1.2 0.0.0.0 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# interface FastEthernet 0/0 Router(config-if)# ip access-group 1 in Törlése: Router(config)# no access-list 1

ACL ek létrehozásának legfontosabb szabályai Irányonként és protokollonként egy ACL-t kell létrehozni. A normál hozzáférési listákat a célhoz a lehető legközelebb kell alkalmazni. A kiterjesztett hozzáférési listákat a forráshoz a lehető legközelebb kell alkalmazni. A kimenő és a bejövő jelzőket úgy kell használni, mintha a forgalomirányító belsejéből néznénk a portokat. Az utasítások feldolgozása sorban, a lista tetejétől az alja felé haladva történik, amíg a forgalomirányító egyezést nem talál. Ha nincs egyezés, a forgalomirányító eldobja a csomagot. Minden hozzáférési lista alján egy implicit deny any (mindent letilt) szabály található. Ez szabály nem jelenik meg az utasításlista alján. A hozzáférési listák utasításait a specifikusabbaktól az általánosabbak felé haladva kell megadni. Az egyes állomásokra vonatkozó tiltásokat kell először megadni, a csoportokra vonatkozó vagy általános szűrőket utolsóként kell elhelyezni.

Helyettesítő maszk használata ACL forrás, vagy célcím megadása IP szám és helyettesítő maszk együttes használata Helyettesítő (wildcard) maszk értelmezése 32 bites szám pontozott decimális jelöléssel (4 oktettre bontva) Amelyik bit a maszkban 0, az a bit az IP számban nem változhat Amelyik bit a maszkban 1, az a bit az IP számban változhat. Helyettesítő maszk helyettesítése 192.168.1.1 0.0.0.0 host 192.168.1.1 0.0.0.0 255.255.255.255 any

Helyettesítő maszk alkalmazása Teljes C osztályú címtartomány megfeleltetése 193.224.80.0 0.0.0.255 Elfogadható bitminta számolása 11000001.11000001.01010000.00000000 00000000.00000000.00000000.11111111 11000001.11000001.01010000.nnnnnnnn Páros IP számok megfeleltetése a tartományból 193.224.80.0 0.0.0.254 Elfogadható bitminta számolása 11000001.11000001.01010000.00000000 00000000.00000000.00000000.11111110 11000001.11000001.01010000.nnnnnnn0

Az ANY és a HOST kulcsszó Az ACL-ekben két különleges kulcsszót használunk, ezek az any és a host. Az any kulcsszó a 0.0.0.0 IP-címmel és a 255.255.255.255 helyettesítő maszkkal egyenértékű. Lényegében bármely vele összehasonlított címmel egyezést mutat. A host kulcsszó a 0.0.0.0 maszk helyettesítésére alkalmas. Az ilyen maszknál az ACL-ben és a csomagban szereplő cím minden bitjének egyeznie kell. Ezzel a módszerrel mindig csak egyetlen címet lehet kiválasztani.

Az ANY és a HOST kulcsszó

ACL-ek ellenőrzése ACL ellenőrzésének lehetősége Futó konfiguráció vizsgálata ACL-ek vizsgálata ACL hozzárendelések vizsgálata Router# show running-config Router# show access-lists Router# show ip interface

1. A hozzáférési listák működésének alapelvei 2. Hozzáférési listák

Normál ACL-ek Jellemzők Csomagszintű (3. réteg) vizsgálat Csak az irányítandó IP csomagok forráscímet képes ellenőrizni Adott protokollkészlet forgalmát engedélyezi vagy tiltja Célhoz minél közelebbi router/interfészhez célszerű rendelni Hozzáférési lista tartományok: 1-99 és 1300-1999 Normál ACL megadása access-list <listaszám> <permit deny remark> <forrás> [<forrás helyettesítő maszk>] [log]

Normál ACL-ek Router(config) access-list 1 remark A fonok gepenek tiltasa Router(config)# access-list 1 deny 192.168.1.2 0.0.0.0 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# access-list 1 deny any

Kiterjesztett ACL-ek Jellemzők A kiterjesztett ACL-eket gyakrabban használjuk, mivel szélesebb körű ellenőrzést tesznek lehetővé Forrás, célcím, protokoll és port egyeztetésére egyaránt képesek Forráshoz minél közelebbi interfészhez célszerű rendelni Hozzáférési lista tartományok: 100-199 és 2000-2699 A kiterjesztett ACL-ek logikai műveleteket egyenlő (equal, eq), nem egyenlő (not equal, neq), nagyobb mint (greater than, gt), kisebb mint (less than, lt) is képesek végezni a megadott protokollokon. Kiterjesztett ACL megadása access-list <listaszám> <deny permit remark> <protokoll> <forráscím> <forrás helyettesítő maszk> <célcím> <célcím helyettesítő maszk> [<operátor> <portszám>]

Kiterjesztett ACL-ek Router(config) access-list 101 remark Telnet tiltása Router(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq telnet Router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any Router(config)# access-list 101 deny any any

Kiterjesztett ACL-ek

Nevesített IP ACL-ek Jellemző Normál és kiterjesztett listák készítése listaszámok nélkül Előnyök Szöveges név alapján könnyebb az ACL-ek azonosítása Nincs korlátozás a nevesített ACL-ek használatában Nevesített ACL működés közben (törlés és újrakonfigurálás nélkül) is módosíthatóak. Az új sorok a lista végére kerülnek Router(config)# ip access-list extended test Router(config-ext-nacl)# permit ip host 192.168.1.2 host 172.16.1.2 Router(config-ext-nacl)# permit tcp host 192.168.1.3 host 172.16.1.2 eq www

ACL-ek elhelyezése Ha a forgalmat szűrni kívánjuk, az ACL-t oda kell elhelyezni, ahol általa a legnagyobb mértékben lehet növelni a hatékonyságot. Ha az ACL-ek megfelelő helyen vannak, akkor nemcsak a forgalom szűrése végezhető el, de a teljes hálózat működése hatékonyabbá tehető. Az általános szabály úgy hangzik, hogy a kiterjesztett ACL-t olyan közel kell helyezni a tiltott forgalom forrásához, amennyire csak lehetséges. A normál ACL-ek célcímet nem tartalmaznak, így ezeket a célhoz kell a lehető legközelebb elhelyezni.

ACL-ek elhelyezése

Tűzfalak A tűzfal egy hálózatszerkezeti elem, amely a felhasználó és a külvilág között elhelyezkedve védi a belső hálózatot a támadásoktól. A tűzfal-forgalomirányítókon, melyek gyakran a belső és a külső hálózat (pl. az Internet) között helyezkednek el, ACL-eket kell használni. Ezek szabályozzák a belső hálózat meghatározott részébe irányuló és az onnan kilépő forgalmat. A tűzfal-forgalomirányítók elfedik a belső hálózat struktúráját. ACL-eket a hálózat egyes részei között elhelyezett forgalomirányítókon is használhatunk a belső hálózat részei között haladó forgalom ellenőrzésére. A védekezés alapvető eleme az ACL-ek létrehozása a hálózat szélein lévő határ-forgalomirányítókon. Így alapszintű védelmet nyújthatunk egy magánjellegű hálózatrész számára a külső hálózat vagy a hálózat kevésbé ellenőrzött részei felől érkező veszélyekkel szemben.

Tűzfalak

Virtuális terminálok ACL védelme Jellemzők Virtuális interfészhez csak számozott listát lehet rendelni Minden virtuális vonalon ugyanazon szabályokat kell megadni A vty-hozzáférés korlátozásával a hálózat biztonságát lehet növeli. A vty-vonalak elérése telnet protokollon keresztül történik, vagyis fizikai kapcsolat ekkor nem jön létre a forgalomirányítóval. Emiatt csak egyfajta vty hozzáférési lista létezik. ACL létrehozása Az előbb megismert módszerek szerint ACL hozzárendelés access-class paranccsal

Virtuális terminálok ACL védelme Router(config) access-list 1 Korlatozas Router(config)# access-list 1 permit 192.168.1.1 0.0.0.0 Router(config)# access-list 1 deny 192.168.1.0 0.0.0.255 Router(config)# line vty 0 4 Router(config-line)# login Router(config-line)# password cisco Router(config-line)# access-class 1 in

Ellenőrző kérdések 1. 2.

Ellenőrző kérdések 3. 4.

Ellenőrző kérdések 5.

Ellenőrző kérdések 6. 7. 8.

Ellenőrző kérdések 9. 10.

Ellenőrző kérdések 10.

Köszönöm a figyelmet!

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés