Semenalidery.com

IT Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Use access list

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Настройка Site-To-Site IPSec VPN на Cisco

Настройка GRE туннеля на Cisco

Настройка DMVPN на оборудовании Cisco

Cisco ASA: блокировка доступа к сайтам

Расширенные листы контроля доступа (Extended ACL)

На устройствах Cisco

3 минуты чтения

В наших материалах по Cisco, посвященных конфигурации сетевых устройств мы часто встречаемся со стандартными листами (списками) контроля доступа. А теперь поговорим о расширенных. Расширенные листы могут также фильтровать трафик по следующим параметрам:

  • IP-адреса — фильтрация на основе IP-адреса источника и адреса назначения;
  • Порты — фильтрация на основе порта источника / порта назначения;
  • Тип протокола TCP/IP — протоколы TCP, UDP, IP и так далее;

Что делать?

Для начала необходимо создать лист. Сделаем это с помощью команды:

Синтаксис команды следующий:

  • NUMBER — номер листа;
  • PERMIT/DENY — разрешение или запрет трафика;
  • SOURCE/DESTINATION ADDRESS — адреса источника и назначения;
  • WILDCARD_MASK — обратная маска;
  • PROTOCOL_INFORMATION — название или номер протокола TCP, UDP, IP и так далее;

Кстати, для расчета wildcard (обратной) маски, вы можете воспользоваться нашим калькулятором подсетей:

Следующим шагом необходимо применить наш свежесозданный лист на интерфейс и его направление (на вход или выход):

Параметры in и out определяют направление, на котором будет применен лист контроля доступа Для нумерации расширенных листов контроля доступа необходимо использовать следующую нумерацию: со 100 до 199 и с 2000 до 2699

Пример настройки (сценарий №1)

В топологии указанной ниже, нам нужно разрешить пользователям из подсети 10.0.0.0/24 доступ к серверу S2 (адрес 192.168.0.1), но не к серверу S1 (адрес 172.16.0.1/24).

Для начала, напишем ACL и разрешим доступ к серверу S2. Сделаем это мы следующей командой:

Данная команда разрешает весь трафик из подсети 10.0.0.0 на хост 192.168.1.0. Затем, запретим доступ к серверу S1:

Наконец, применим данные листы контроля доступа на интерфейсе R1:

Пример настройки (сценарий №2)

Приведем иной пример использования расширенных листов контроля доступа: У нас снова есть сеть 10.0.0.0/24 и сервер S1, который слушает порт 80. Нам нужно разрешить пользователям доступ к веб-ресурсам на данном сервере, но также необходимо запретить какой-либо другой доступ, к примеру Telnet.

Для начала, нам нужно разрешить трафик из пользовательской подсети к веб-серверу на порту 80, что выполняется командой

Используя ключевое слово TCP, мы можем фильтровать пакеты по портам источника и назначения. В примере выше, мы разрешили путь трафику из подсети 10.0.0.0 на хост 172.16.0.1 на порт 80 (веб-порт).

Теперь нужно запретить Telnet трафик из подсети 10.0.0.0 в подсеть 172.16.0.1. Для этого нужен еще один аксес-лист, на этот раз с запрещающим выражением:

Далее, применим его на интерфейс с помощью следующих команд:

Как мы уже описывали в предыдущей статье, в конце каждого листа всегда есть всезапрещающее правило. После применения первого правила, весь остальной трафик ходить не будет.

  • Extended ACL
  • Cisco листы контроля доступы
  • 173
  • 25

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Mikrotik Wireless Access List

Wireless Access list — список доступа беспроводных устройств

Wireless Access list — список доступа беспроводных устройств находится во вкладке Wireless -> Wireless Tables -> Access List.
Как говорит инструкция от MikroTik, список доступа (Access List) необходим для ограничения разрешенных подключений от других устройств и для управления параметрами подключения.

Если открыть «Новое Правило Точки Доступа», оно называется «New AP Access Rule», то в этом окне мы видим набор опций.
«Главные» опции две:
[V] Authentication— Разрешено пройти аутентификацию согласно security-profile
[V] Forwarding — Клиент может посылать кадры соседним клиентам, подключенным к тойже AP (точке доступа)

    Чтобы правильно настроить Access List, необходимо знать его основы:
  • Правила в списке проверяются по порядку, одно за другим, начиная с нулевого
  • Если правило не активно (disabled) то оно игнорируется
  • Если правило сработало, то дальнейшее продвижение по правилам прекращается
  • Если ни одно правило не подошло, то используется правило по умолчанию — конфигурация беспроводного интерфейса
  • Если правило из списка доступа сработало но галочка [ ] Authentication не установлена (autentication=no), то соединение с этим удаленным устройством будет отклонено
Читать еще:  Объединение таблиц в access

Контролировать работу правил можно по вкладке «Registration». Каждый подключенный клиент будет иметь комментарий от правила по которому он подключился. Другими словами, при создании нового правила, пишите его описание в комментариях. Как можно догадаться, комментария от запрещающего правила, во вкладке «Registration», вы не увидите.

Неправильный пример правила Access List

К примеру, вы хотите ограничить клиентов только по мощности сигнала — если клиент далеко от точки доступа то подключение запрещено.
Разумно создать вот такое правило:

Правило будет подключать клиента если уровень его сигнала будет больше чем -55. Но смысла от этого единственного правила нет, от него только вред.
Опция signal-range=-55..0 говорит о том что клиент будет подключен к точки доступа, пока его уровень сигнала находится в пределах -55..0. Если уровень сигнала, в течении 10 секунд будет ниже заявленного, то точка доступа отключит клиента. Но следующее правило — правило по умолчанию (его нет в списке), по этому правилу клиент и подключится к точке доступа, используя профиль безопасности беспроводного интерфейса.
Для ограничения доступа по мощности сигнала, необходимо добавить второе правило, которое будет запрещать аутентификацию. На втором правиле сработает запрещение аутентификации и переход к правилу по умолчанию не состоится.

Access List — решение для кафе и квартиры

Вы знаете что в кафе часто бесплатно раздают WiFi. Чтобы оградить кафе от бесполезных клиентов, не посетителей кафе, можно использовать низкий уровень сигнала для аутентификации и установить время выхода из диапазона 1 час.

Данное решение подойдет и для квартиры — повысит взломоустойчивость Wifi точки доступа. Разумеется, решение можно дополнить аутентификацией по MAC адресу и т.д..

Задача данной статьи показать главные ошибки при создании правил, показать где можно контролировать работу правил и предложить возможные решения.

Обращайтесь в нашу компанию за помощью. Сертифицированные специалисты помогут вам настроить оборудование. Также мы можем предложить вам надёжные решения в сфере IT (Интернет, телефония, удалённый доступ. )

Use access list

Security Profiles

  • none — шифрование не используется. Зашифрованные кадры не принимаются. Широко используется в системах гостевого доступа, вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети.
  • static-keys-required — WEP-режим. Не принимать и не посылають незашифрованные кадры. Скомпроментированый протокол. Использовать нельзя, или в крайних случаях (для старых устройств). Основная статья — Настройка WEP-шифрования.
  • static-keys-optional — WEP-режим. Поддержка шифрования и дешифрования, но также позволяют получать и отправлять незашифрованные кадры. Использовать нельзя, или в крайних случаях (для старых устройств). Основная статья — Настройка WEP-шифрования.
  • dynamic-keys — WPA режим.

). Не забывайте регулярно менять пароль (например раз в 15 дней). Mikrotik позволяется сделать это скриптом, у меня так меняется пароль на 10 офисах одновременно, если интересно — могу описать в отдельной статье.

  • disabled — защита управления отключена.
  • allowed — разрешить использовать защиту, если это поддерживается удаленной стороной.
  • required — требуется. Для базовой станции установить связь только с клиентами поддерживающими Managment Protection. Для клиентов — установить связь только с точками доступа поддерживающими Managment Protection.

Managment Protection не используем — оставляем disabled.

MAC Authentication — авторизация по mac-адресу. Эта настройка применяется к тем клиентам, которых нет в access-list. Сервер RADIUS будет использовать MAC-адрес клиента в качестве имени пользователя.

Галочку не ставим.

MAC Accounting — включить MAC-статистику.

Галочку не ставим.

EAP Accounting — включить EAP-статистику.

Параметр не изменяем.

MAC Mode — значения:

  • as-username — использовать только имя при проверке подлинности в RADIUS-сервере.
  • as-username-and-password — использовать имя и пароль при проверке подлинности в RADIUS-сервере (в качестве атрибута User-Name).

  • eap-tls — использование встроенной аутентификации EAP TLS. Клиент и сервер поддерживают сертификаты.
  • eap ttls mschapv2 — аутентификации EAP с именем пользователя и паролем.
  • passthrough — точка доступа будет ретранслировать процесс аутентификации на сервер RADIUS.

TLS Mode — режим проверки TLS. Значения:

  • verify certificate — проверять сертификат.
  • dont verify certificate — не проверять сертификаты у клиента.
  • no certificates — не использовать сертификат, использовать метод 2048 bit anonymous Diffie-Hellman key.
  • verify certificate with crl — проверять сертификат по спискам CRL (список аннулированных сертификатов SSL).

TLS certificate — тут указываем непосредственно сертификат TLS.

Access List

MAC Address — MAC адрес устройства, которое будет подключатся к вашему роутеру. Если снять галочку Default Authenticate и выставить тут MAC адрес, то только это устройство сможет подключится к сети. Это и есть ограничение подключения по MAC-адресам в Mikrotik. Для того, что бы другое устройство смогло подключится к вашей точке, нужно внести его MAC в список правил.

Interface
— интерфейс к которому будет производится подключение. Если указать «all» — правило будет применяться ко всем беспроводным интерфейсам вашего устройства.

Читать еще:  Postgresql ms access

Signal Strength Range — диапазон уровня сигнала, при котором возможно подключение. Настройка применяется в сетях с бесшовным роумингом между точками. Служит для того, что-бы ваше устройство не держалось за текущую точку доступа до критически слабого уровня сигнала, а перерегистрировалось на новую точку (при одинаковом SSID).

Authentication — возможность авторизации. Если убрать галочку, устройство с этим MAC адресом, не сможет подключиться к вашей сети.

Forwarding — возможность обмена информацией с другими участниками беспроводной сети. Если убрать галочку с этого пункта — пользователь этого устройства не будет иметь доступа к другим клиентам wifi-сети.

Private Key — возможность установки персонального ключа шифрования для устройства с данным MAC адресом. Только для режимов WEP.

Private Pre Shared Key — персональный ключ шифрования. Используется в режиме WPA PSK.

Managment Protection Key — ключ защиты Managment Protection. Managment Protection — защита от атак деаутентификации и клонирования MAC-адреса. Выставляется на вкладке «General» в Security Profiles.

Connect List

Area Prefix — правило действует для интерфейса с заданным префиксом. Area — позволяет создать группу и включить беспроводные устройства в нее, а затем использовать определенные правила для этой группы и всех входящих в нее устройств, вместо того, чтобы создавать отдельные правила для каждого устройства. Это значение заполняется в настройках точки доступа и может быть сопоставлено с правилами в connect-list.

Signal Strength Range — подключатся только к точкам доступа в пределах заданного диапазона уровня сигнала.

Use access list

По традиции для тех кто будет собирать эту схему Packet tracer я привожу полную конфигурацию всех устройств с описанием команд.

Конфигурация для маршрутизатора:

Запускаем пинг с пользовательского компа до сервера

Как видим доступ есть. Нам же необходимо, чтобы доступ имел только админ. Для этого нам необходимо создать список доступа (пусть он будет иметь порядковый номер 10), в котором мы разрешим всем пакетам от администратора (172.16.0.100) доступ в подсеть серверов (172.16.1.0/24). После чего применим это правило на сабинтерфейсе fa0/0.3 (для серверов) для всех исходящих пакетов.

Тестируем настройки. Запускаем пинг с пользовательского компьютера в сторону сервера.

Пишет Destination host unreachable – хост назначения недоступен.

Запускаем пинг с компьютера администратора.

Пинг идет – значит ACL настроили правильно. Что происходит когда мы пингуем сервер с ноутбука администратора? Пакет сначала поступает на саибинтерфейс fa0/0.2 маршрутизатора. На данном интерфейсе не настроены списки доступа значит пакет проходит далее. Роутер смотрит в свою таблицу маршрутизации и видит что подсеть серверов находится на сабинтерфейсе fa0/0.3. Перед отправкой пакета маршрутизатор видит, что к данному интерфейсу прикреплен ACL 10. В данном списке доступа всего одна запись – разрешить отправку пакетов только хосту 172.16.0.100 (ноут админа). Маршрутизатор смотрит в Ip-пакет и видит адрес отправителя 172.16.0.100 после чего отправляет пакет в подсеть серверов. Ip-пакет с любым отличным от 172.16.0.100 будет отбрасываться, так как в конце ACL 10 стоит неявный deny any – запретить все.

Теперь перейдем к расширенным спискам доступа. Пользователям в нашей сети необходимо иметь доступ к файловому хранилищу и веб-сайту. Мы же ранее полностью ограничили им доступ к серверу. Необходимо исправить ситуацию и в этом нам помогут расширенные списки доступа. Расширенные списки доступа могут проверять Ip-адреса источника/отправителя, тип протокола, UDP/TCP-порты. В нашей ситуации необходимо будет проверять номера портов. Если пользователь обращается к серверу по разрешенному порту, то маршрутизатор пропускает такой пакет. Разрешенные порты: 80 (HTTP – доступ к веб-сайту), 21 (FTP – доступ к файловому хранилищу). Протоколы HTTP и FTP работают поверх TCP. Также для распознавания доменных имен на нашем сервере поднят DNS. DNS-сервер работает на порту 53.

Размещать расширенный список доступа будем на сабинтерфейсе fa0/0.3. Но на этом интерфейсе уже размещен список доступа. Вспоминаем правило: Нельзя разместить более одного списка доступа на интерфейс. Так что придется удалить созданный ранее список доступа. Правило, созданное для администратора перенесем в новый расширенный список с именем Server-out.

Конфигурация для маршрутизатора:

С компьютера админа пинг до сервера есть:

С компьютера пользователя пинга нет:

Проверим с компьютера пользователя проходят ли DNS-запросы до сервера. Для этого запустим утилиту nslookup – которая определяет Ip-адрес до доменному имени.

DNS-запросы проходят без проблем. Проверим доступ к нашему условному Web-сайту через браузер:

Cisco ACL

Материал из Xgu.ru

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Читать еще:  Access при расширении прорисовывать линии строки

Содержание

[править] Стандартные и расширенные ACL

Именованные ACL могут быть стандартные и расширенные. У них немного отличается синтаксис с нумерованными:

В конце любого ACL есть невидимое правило deny ip any any.

[править] Стандартные ACL

Стандартный ACL позволяет указывать только IP-адрес отправителя:

Применение ACL на интерфейсе:

[править] Пример настройки стандартного ACL

Пример стандартного нумерованного ACL, который запрещает хосту 10.0.3.2 доступ в сегмент сервера, но разрешает всем остальным:

Применение ACL на интерфейсе (если применить ACL на интерфейсе fa0/0 в направлении in, то он заблокирует и доступ хоста 10.0.3.2 в интернет):

Тот же пример только с именованным ACL:

Применение ACL на интерфейсе:

[править] Применение ACL к vty

К vty ACL применяется другой командой:

Для ограничения доступа к маршрутизатору, по протоколам telnet или SSH, можно использовать стандартный ACL и применить его к vty.

Данный пример ACL разрешает подключаться к маршрутизатору только с адреса 4.4.4.4:

[править] Расширенные ACL

Расширенный ACL, при указании протоколов IP, ICMP и др., позволяет указывать IP-адреса отправителя и получателя:

Расширенный ACL, при указании протоколов TCP или UDP, позволяет указывать и порты отправителя и/или получателя:

[править] Пример настройки расширенного ACL

Задание для расширенного ACL:

  • запретить хосту 10.0.3.2 доступ к серверу по RDP,
  • запретить хосту 10.0.3.1 доступ по HTTP,
  • разрешить всем остальным из сети 10.0.3.0 всё,
  • запретить всем остальным хостам (хотя в конце и так есть невидимое deny ip any any, его часто дописывают в конце правил, чтобы явно видеть по срабатыванию счетчиков, что трафик заблокировал ACL):

Пример расширенного нумерованного ACL:

Применение ACL на интерфейсе:

Расширенный именованный ACL:

Применение ACL на интерфейсе:

[править] Команды просмотра

[править] Другие виды ACL

[править] Динамические ACL

[править] Пример настройки динамических ACL

Создание обычного ACL (в нём разрешён telnet для того чтобы пользователи могли пройти аутентификацию):

Создание динамического ACL:

Если необходимо чтобы параметр any при применении ACL был заменен на IP-адрес инициатора telnet-соединения, то в команде access-enable host необходимо указать параметр host.

Дополнительно можно настроить временной интервал, после которого динамическая запись будет удалена независимо от активности пользователя:

Применение ACL на интерфейсе:

Настройка доступа telnet:

Команда access-enable host активирует динамический ACL:

  • host — указывает, что запись будет создана для хостов, которые инициировали сессию telnet,
  • timeout — настройка периода времени после которого, в случае не использования динамической записи, запись будет удалена.

[править] Проверка работы

Проверка связи до активирования динамического ACL:

Просмотр информации на dyn1 до активирования динамического ACL:

После активирования динамического ACL (qua7 пингуется, а интерфейс dyn1 по-прежнему нет):

Просмотр информации на dyn1 после активирования динамического ACL:

Если команда access-enable указана без параметра timeout, то запись будет оставаться постоянно. Удалить её можно с помощью команды clear ip access-template. Например, очистить запись в динамическом ACL:

[править] Пример конфигурации маршрутизатора

[править] Reflexive ACL

Reflexive ACl могут быть настроены только с расширенными именованными ACL. Сами RACL не применяются к интерфейсу, они применяются к ACL.

[править] Настройка RACL

Схема сети такая же как и для динамических ACL.

Создание ACL для исходящего трафика:

Создание ACL для входящего трафика:

[править] Настройка таймеров

Значение глобального таймера по умолчанию 300 секунд:

Изменение значения глобального таймера:

Можно для каждой записи указать своё значение таймера, например:

Если настроены и глобальный и специфический таймер для записи, то приоритет у более специфического таймера.

[править] Пример конфигурации

[править] Временные интервалы для ACL

Применение временных интервалов к правилам ACL может быть полезно, например, в таких случаях:

  • правилами компании разрешается различный тип доступа в зависимости от времени рабочего дня,
  • необходимо создать временное правило

Первый вариант может быть, например, когда в компании запрещен доступ к определенным ресурсам в рабочее время, но разрешен час до начала рабочего времени, и час после окончания рабочего времени.

Второй вариант может возникнуть, например, когда в компании периодически необходимо предоставлять сотрудникам временный доступ к ресурсам. Например, в компании неделю работает подрядчик и ему нужен доступ к каким-то из серверов компании. Если создать правило сразу с временным интервалом, то оно перестанет работать (станет неактивным) в строго определенное время и можно не бояться забыть его удалить. К сожалению, ACL со временем, как правило, сильно разрастаются и в них остаются «мертвые» правила. Такой подход с временными интервалами хотя бы немного позволит упростить поддержание ACL в актуальном виде.

[править] Настройка параметров временного интервала

Пример настройки временного интервала для рабочих дней:

Пример настройки временного интервала для выходных дней:

Просмотр информации о настроенных временных интервалах (второй интервал неактивен, так как сейчас рабочий день):

Ссылка на основную публикацию
Adblock
detector