intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

DYNAMIC ACCESS LISTS

Chia sẻ: Nguyendanh Son | Ngày: | Loại File: DOCX | Số trang:4

127
lượt xem
18
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Xét ngữ cảnh sau: admin tạo một Access List (ACL) để cấm không cho các PC trên mạng 10.0.0.0 truy xuất ra bên ngoài. Tuy nhiên, vì một số lý do nào đó, admin muốn tạm thời cho phép một vài PC trên mạng 10.0.0.0 được phép truy xuất ra bên ngoài trong một khoảng thời gian định trước. Để thực hiện điều này, admin có 2 giải pháp: Chỉnh sửa lại ACL trên router Sử dụng dynamic ACLTrước hết, chúng ta tìm hiểu một số khái niệm liên quan đến dynamic ACL....

Chủ đề:
Lưu

Nội dung Text: DYNAMIC ACCESS LISTS

  1. DYNAMIC ACCESS LISTS Xét ngữ cảnh sau: admin tạo một Access List (ACL) để cấm không cho các PC trên mạng 10.0.0.0 truy xuất ra bên ngoài.  Tuy nhiên, vì một số lý do nào đó, admin muốn tạm thời cho phép một vài PC trên mạng 10.0.0.0 được phép truy xuất ra bên  ngoài trong một khoảng thời gian định trước. Để thực hiện điều này, admin có 2 giải pháp: Chỉnh sửa lại ACL trên router Sử dụng dynamic ACLTrước hết, chúng ta tìm hiểu một số khái niệm liên quan đến dynamic ACL. 1.Lock­and­Key Là một đặc tính bảo mật cho phép lọc các IP traffic động. Được cấu hình với IP dynamic extended ACL.Khi Lock­and­Key được cấu hình, những người dùng mà traffic của họ đang bị  cấm bởi ACL có thể tạm thời được phép đi qua router trong một khoảng thời gian định trước. Khi được kích hoạt, lock­and­ key sẽ cấu hình lại ACL đang được áp dụng trên interface để cho phép những người dùng xác định trước được phép đi qua  interface. Sau một khoảng thời gian định nghĩa trước, lock­and­key sẽ cấu hình interface trở lại trạng thái ban đầu. Với lock­and­key, admin có thể cho phép người dùng được phép tạm thời vượt qua firewall trong khi vẫn giảm thiểu nguy cơ  tấn công vào hệ thống mạng. 2.Khi nào sử dụng Lock­and­Key Khi bạn muốn một người dùng ở xa (hay một nhóm người dùng ở xa) có thể truy xuất vào một host bên trong hệ thống mạng  của bạn thông qua Internet. Lock­and­key sẽ chứng thực người dùng, sau đó sẽ cho phép truy xuất có giới hạn (thông qua  firewall router) vào một host hay một subnet trong một khoảng thời gian định trước. Khi bạn muốn một số host trong mạng LAN truy xuất đến một remote host được bảo vệ bởi một firewall. Các host này đòi hỏi  phải được chứng thực thông qua TACACS+ server hay một server chứng thực khác trước khi được phép truy xuất đến remote  host 3.Lock­and­Key làm việc như thế nào User telnet đến router firewall biên (border firewall router) được cấu hình lock­and­key. Hệ điều hành mạng Cisco IOS nhận gói tin telnet, mở một phiên làm việc telnet, yêu cầu người dùng nhập mật khẩu  và thực thi quá trình chứng thực người dùng. Người dùng phải được chứng thực thành công trước khi có thể vượt qua firewall  để ra ngoài. Quá trình chứng thực được thực thi bởi chính router hay TACACS+, RADIUS server. Khi quá trình chứng thực thành công, người dùng sẽ tự động thoát ra khỏi phiên làm việc telnet và phần mềm sẽ tạo  ra một entry (mục) tạm thời trong dynamic ACL. Lúc này, người dùng đã có thể trao đổi dữ liệu qua firewall. Phần mềm sẽ tự động xóa entry tạm thời khi hết thời gian time­out được cấu hình hoặc khi admin xóa bằng tay.(còn tiếp) 4. Nguy cơ spoofing với lock­and­key Khi lock­and­key được kích hoạt, nó sẽ tự mở một "cánh cửa" trên firewall, bằng cách tạm thời cấu hình lại interface, để cho  phép người dùng truy xuất qua. Khi "cánh cửa" này đang mở, một host khác có thể spoof địa chỉ của người dùng đã được  chứng thực để đoạt quyền truy xuất qua firewall5. Các điều kiện tiên quyết cho việc cấu hình Lock­and­Key Sử dụng IP extended ACL. Triển khai quá trình chứng thực và phân quyền người dùng theo mô hình AAA của Cisco. Sử dụng lệnh autocommand.Các thí dụ cấu hình Thí dụ 1 username name password password
  2. interface ethernet0 ip address 172.18.23.9 255.255.255.0 ip access­group 101 in access­list 101 permit tcp any host 172.18.23.2 eq telnet access­list 101 dynamic mytestlist timeout 120 permit ip any any line vty 0 login local autocommand access­enable timeout 5 Thí dụ 2 aaa authentication login default tacacs+ enable aaa accounting exec stop­only tacacs+ aaa accounting network stop­only tacacs+ enable password ciscotac isdn switch­type basic­dms100 interface ethernet0 ip address 172.18.23.9 255.255.255.0 ! interface BRI0 ip address 172.18.21.1 255.255.255.0 encapsulation ppp dialer idle­timeout 3600 dialer wait­for­carrier­time 100 dialer map ip 172.18.21.2 name diana dialer­group 1 isdn spid1 2036333715291 isdn spid2 2036339371566 ppp authentication chap ip access­group 102 in ! access­list 102 permit tcp any host 172.18.21.2 eq telnet access­list 102 dynamic testlist timeout 5 permit ip any any ! ! ip route 172.18.250.0 255.255.255.0 172.18.21.2 priority­list 1 interface BRI0 high ! tacacs­server host 172.18.23.21 tacacs­server host 172.18.23.14 tacacs­server key test1 tftp­server rom alias all ! dialer­list 1 protocol ip permit
  3. ! line con 0 password cisco line aux 0 line VTY 0 4 autocommand access­enable timeout 5 password cisco ! II.4. Dynamic ACLs Đặc điểm: chỉ sử dụng lọc các IP traffic, Dynamic ACLs bị phụ thuộc vào sự kết nối Telnet, sự xác thực (local or remote), và  extended ACLs.  + Một user sẽ mở kết nối đến router biên được cấu hình lock­and­key. Những kết nối của user thông qua virtual terminal port  trên router. + Khi nhận telnet packet router sẽ mỡ một telnet session và yêu cầu xác thực một password hoặc một tài khoản username.  User phải vượt qua sát thực mới được cho phép đi qua router. Quá trình xác thực sẽ thực hiện bởi router hoặc một server xác  thực sử dụng giao thức RADIUS hoặc TACACS server. + Khi user qua được sát thực, chúng sẽ thoát ra khỏi telnet session và một entry sẽ xuất hiện trọng Dynamic ACLs + Lúc đó, các người dùng sẽ trao đổi dữ liệu thông qua Firewall. + Khi dúng khoảng thời gian timeout được cấu hình, router sẽ xóa entry vừa tạo trong dynamic ACLs hoặc người quản trị có  thể xóa bằng tay. Timeout có hai loại là idle timeout hoặc absolute timeout. Idle timeout là nếu user không sử dụng session  này trong một khoảng thời gian thì entry trong Dynamip sẽ bị xóa. Absolute timeout là khoảng thời gian cố định cho phép  user sử dụng session này khi hết thời gian thì entry trong Dynamic ACLs sẽ bị xóa. Ứng dụng:  + Khi bạn muốn chỉ định một user hay một group user truy cập đến một host nào đó trong mạng của bạn, hay kết nối tới  những host từ xa thông qua Internet. Lock­and­key ACLs sẽ xác thực người dùng và sau đó cho phép giới hạn truy cập thông  qua router firewall cho một host hay một mạng con trong một chu kỳ thời gian giới hạn. + Khi bạn muốn một đường mạng con trong mạng local network truy cập tới một host nào đó trong mạng từ xa mà được bảo  vệ bởi một firewall. Với lock­and­key ACLs, bạn có thể truy cập tới host ở xa chỉ với một nhóm host được đề nghị. Lock­and­ key ACLs yêu cầu những người dùng xác thực thông qua một AAA, TACACS+ server, hay những server bảo mật khác trước  khi cho phép những host truy cập đến những host ở xa. Cách tạo Dynamic ACLs:  Ví dụ [Only registered and activated users can see links] Các bước cấu hình: Step 1: Tạo một tài khoản người dùng local trên router Step 2: Tạo một Extended ACLs cho phép tất cả các host được telnet đến host 10.2.2.2. Khi telnet thành công sẽ cho phép  đường mạng 192.168.10.0 đi qua đường mạng 192.168.30.0 với thời gian timeout 15 phút (absolute time)(ALCs động sẽ sinh  ra khi lệnh access­enable được bật lên và sẽ mất đi sau 15 phút bất chấp user có sử dụng nó hay ko) Step 3: Gán ACLs cho interface chỉ định Step 4: Chỉ định nếu user telnet và xác thực thành công thì sẽ thiết lập một session 5 phút, nếu user ko sử dụng session này  nó sẽ kết thúc sau 5 phút (idle timeout) nếu user sử dụng session này nó sẽ kết thúc sau 120 phút. [Only registered and activated users can see links]
  4. 6. Reflexive ACLs: Đặc điểm: ACLs này chỉ đc tạo bởi Extend Name ACLs không đc tạo bởi Numbering hay Standard Name ACL  Ứng dụng: được sử dụng để cho phép các IP traffic từ bên ngoài của session mà khởi tạo từ bên trọng nội mạng và ngăn  những IP traffic khởi tạo session từ mạng bên ngoài. ACLs này sẽ xem xét gói tin gởi ra ngoài nếu là gói khởi tạo session nó  tự động thêm vào một outbound entry để cho phép traffic trả lời về. Rèflexive ACLs có thể lọc session tốt hơn thay vì chỉ  ACK và RST bit như câu lệnh permit…established. Rèflexive lọc cả địa chỉ nguồn, đích, port, ACK và RST bit của gói tin.  Ngoài ra, session filtering sử dụng những bộ lọc tạm thời cái mà được xóa khi một session kết thúc.  Cách tạo Reflexive ACLs:  Ví dụ [Only registered and activated users can see links] + Cấu hình ACLs cho phép ICMP và TCP traffic cả chiều inbound và outbound nhưng chỉ cho phép nếu gói tin đầu tiên của  session bắt nguồn từ mạng nội bộ. Tất cả các traffic khác sẽ bị cấm. Reflexive ACLs được gán trên interface s0/1/0 + Các bước cấu hình: Step 1: Tạo một Extend name ACLs để cho phép các traffic đi ra ngoài Internet Step 2: Tạo một Extend name ACLs để chứa Reflexive ACLs tự động được tạo ra khi có gói outbound match với Name ACLs  ở bước 1. Step 3: Gán các name ACLs cho interface 7. Time­based ACLs Đặc điểm: chức năng tương tự extended ACLs, nhưng chúng cho phép điều khiển truy cập dựa vào thời gian  Ứng dụng: Dùng để lọc gói tin dựa vào nhiều thông tin như Exended ACLs và dựa vào cả thông tin về thời gian.  Cách tạo Time­based ACLs:  Ví dụ: Thiết lập ACLs cho phép một kết nối Telnet được cho phép từ inside network tới the outside network vào Monday,  Wednesday, and Friday trong suốt giờ hành chánh. + Các bước cấu hình: Step 1. Định nghĩa khoảng thời gian để thi hành ACLs và đặt cho nó một cái tên.(khoảng thời gian này phụ thuộc vào giờ hệ  thống trên router, chức năng này làm việc tốt với sự đồng bộ thời gian của giao thức Network Time Protocol (NTP) nhưng lúc  này đồng hồ của router không được sử dụng. ) Step 2. Áp dụng khoảng thời gian này cho ACLs Step 3. ÁP dụng ACL cho interface.
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
4=>1