Use access list

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Настройка Site-To-Site IPSec VPN на Cisco

Настройка GRE туннеля на Cisco

Настройка DMVPN на оборудовании Cisco

Cisco ASA: блокировка доступа к сайтам

Расширенные листы контроля доступа (Extended ACL)

На устройствах Cisco

3 минуты чтения

В наших материалах по Cisco, посвященных конфигурации сетевых устройств мы часто встречаемся со стандартными листами (списками) контроля доступа. А теперь поговорим о расширенных. Расширенные листы могут также фильтровать трафик по следующим параметрам:

• IP-адреса — фильтрация на основе IP-адреса источника и адреса назначения;
• Порты — фильтрация на основе порта источника / порта назначения;
• Тип протокола TCP/IP — протоколы TCP, UDP, IP и так далее;

Что делать?

Для начала необходимо создать лист. Сделаем это с помощью команды:

Синтаксис команды следующий:

• NUMBER — номер листа;
• PERMIT/DENY — разрешение или запрет трафика;
• SOURCE/DESTINATION ADDRESS — адреса источника и назначения;
• WILDCARD_MASK — обратная маска;
• PROTOCOL_INFORMATION — название или номер протокола TCP, UDP, IP и так далее;

Кстати, для расчета wildcard (обратной) маски, вы можете воспользоваться нашим калькулятором подсетей:

Следующим шагом необходимо применить наш свежесозданный лист на интерфейс и его направление (на вход или выход):

Параметры in и out определяют направление, на котором будет применен лист контроля доступа Для нумерации расширенных листов контроля доступа необходимо использовать следующую нумерацию: со 100 до 199 и с 2000 до 2699

Пример настройки (сценарий №1)

В топологии указанной ниже, нам нужно разрешить пользователям из подсети 10.0.0.0/24 доступ к серверу S2 (адрес 192.168.0.1), но не к серверу S1 (адрес 172.16.0.1/24).

Для начала, напишем ACL и разрешим доступ к серверу S2. Сделаем это мы следующей командой:

Данная команда разрешает весь трафик из подсети 10.0.0.0 на хост 192.168.1.0. Затем, запретим доступ к серверу S1:

Наконец, применим данные листы контроля доступа на интерфейсе R1:

Пример настройки (сценарий №2)

Приведем иной пример использования расширенных листов контроля доступа: У нас снова есть сеть 10.0.0.0/24 и сервер S1, который слушает порт 80. Нам нужно разрешить пользователям доступ к веб-ресурсам на данном сервере, но также необходимо запретить какой-либо другой доступ, к примеру Telnet.

Для начала, нам нужно разрешить трафик из пользовательской подсети к веб-серверу на порту 80, что выполняется командой

Используя ключевое слово TCP, мы можем фильтровать пакеты по портам источника и назначения. В примере выше, мы разрешили путь трафику из подсети 10.0.0.0 на хост 172.16.0.1 на порт 80 (веб-порт).

Теперь нужно запретить Telnet трафик из подсети 10.0.0.0 в подсеть 172.16.0.1. Для этого нужен еще один аксес-лист, на этот раз с запрещающим выражением:

Далее, применим его на интерфейс с помощью следующих команд:

Как мы уже описывали в предыдущей статье, в конце каждого листа всегда есть всезапрещающее правило. После применения первого правила, весь остальной трафик ходить не будет.

• Extended ACL
• Cisco листы контроля доступы
• 173
• 25

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Mikrotik Wireless Access List

Wireless Access list — список доступа беспроводных устройств

Wireless Access list — список доступа беспроводных устройств находится во вкладке Wireless -> Wireless Tables -> Access List.
Как говорит инструкция от MikroTik, список доступа (Access List) необходим для ограничения разрешенных подключений от других устройств и для управления параметрами подключения.

Если открыть «Новое Правило Точки Доступа», оно называется «New AP Access Rule», то в этом окне мы видим набор опций.
«Главные» опции две:
[V] Authentication— Разрешено пройти аутентификацию согласно security-profile
[V] Forwarding — Клиент может посылать кадры соседним клиентам, подключенным к тойже AP (точке доступа)

Чтобы правильно настроить Access List, необходимо знать его основы:
• Правила в списке проверяются по порядку, одно за другим, начиная с нулевого
• Если правило не активно (disabled) то оно игнорируется
• Если правило сработало, то дальнейшее продвижение по правилам прекращается
• Если ни одно правило не подошло, то используется правило по умолчанию — конфигурация беспроводного интерфейса
• Если правило из списка доступа сработало но галочка [ ] Authentication не установлена (autentication=no), то соединение с этим удаленным устройством будет отклонено

Контролировать работу правил можно по вкладке «Registration». Каждый подключенный клиент будет иметь комментарий от правила по которому он подключился. Другими словами, при создании нового правила, пишите его описание в комментариях. Как можно догадаться, комментария от запрещающего правила, во вкладке «Registration», вы не увидите.

Неправильный пример правила Access List

К примеру, вы хотите ограничить клиентов только по мощности сигнала — если клиент далеко от точки доступа то подключение запрещено.
Разумно создать вот такое правило:

Правило будет подключать клиента если уровень его сигнала будет больше чем -55. Но смысла от этого единственного правила нет, от него только вред.
Опция signal-range=-55..0 говорит о том что клиент будет подключен к точки доступа, пока его уровень сигнала находится в пределах -55..0. Если уровень сигнала, в течении 10 секунд будет ниже заявленного, то точка доступа отключит клиента. Но следующее правило — правило по умолчанию (его нет в списке), по этому правилу клиент и подключится к точке доступа, используя профиль безопасности беспроводного интерфейса.
Для ограничения доступа по мощности сигнала, необходимо добавить второе правило, которое будет запрещать аутентификацию. На втором правиле сработает запрещение аутентификации и переход к правилу по умолчанию не состоится.

Access List — решение для кафе и квартиры

Вы знаете что в кафе часто бесплатно раздают WiFi. Чтобы оградить кафе от бесполезных клиентов, не посетителей кафе, можно использовать низкий уровень сигнала для аутентификации и установить время выхода из диапазона 1 час.

Данное решение подойдет и для квартиры — повысит взломоустойчивость Wifi точки доступа. Разумеется, решение можно дополнить аутентификацией по MAC адресу и т.д..

Задача данной статьи показать главные ошибки при создании правил, показать где можно контролировать работу правил и предложить возможные решения.

Обращайтесь в нашу компанию за помощью. Сертифицированные специалисты помогут вам настроить оборудование. Также мы можем предложить вам надёжные решения в сфере IT (Интернет, телефония, удалённый доступ. )

Use access list

Security Profiles

• none — шифрование не используется. Зашифрованные кадры не принимаются. Широко используется в системах гостевого доступа, вроде предоставления Интернета в кафе или гостинице. Для подключения нужно знать только имя беспроводной сети.
• static-keys-required — WEP-режим. Не принимать и не посылають незашифрованные кадры. Скомпроментированый протокол. Использовать нельзя, или в крайних случаях (для старых устройств). Основная статья — Настройка WEP-шифрования.
• static-keys-optional — WEP-режим. Поддержка шифрования и дешифрования, но также позволяют получать и отправлять незашифрованные кадры. Использовать нельзя, или в крайних случаях (для старых устройств). Основная статья — Настройка WEP-шифрования.
• dynamic-keys — WPA режим.

). Не забывайте регулярно менять пароль (например раз в 15 дней). Mikrotik позволяется сделать это скриптом, у меня так меняется пароль на 10 офисах одновременно, если интересно — могу описать в отдельной статье.

• disabled — защита управления отключена.
• allowed — разрешить использовать защиту, если это поддерживается удаленной стороной.
• required — требуется. Для базовой станции установить связь только с клиентами поддерживающими Managment Protection. Для клиентов — установить связь только с точками доступа поддерживающими Managment Protection.

Managment Protection не используем — оставляем disabled.

MAC Authentication — авторизация по mac-адресу. Эта настройка применяется к тем клиентам, которых нет в access-list. Сервер RADIUS будет использовать MAC-адрес клиента в качестве имени пользователя.

Галочку не ставим.

MAC Accounting — включить MAC-статистику.

Галочку не ставим.

EAP Accounting — включить EAP-статистику.

Параметр не изменяем.

MAC Mode — значения:

• as-username — использовать только имя при проверке подлинности в RADIUS-сервере.
• as-username-and-password — использовать имя и пароль при проверке подлинности в RADIUS-сервере (в качестве атрибута User-Name).

• eap-tls — использование встроенной аутентификации EAP TLS. Клиент и сервер поддерживают сертификаты.
• eap ttls mschapv2 — аутентификации EAP с именем пользователя и паролем.
• passthrough — точка доступа будет ретранслировать процесс аутентификации на сервер RADIUS.

TLS Mode — режим проверки TLS. Значения:

• verify certificate — проверять сертификат.
• dont verify certificate — не проверять сертификаты у клиента.
• no certificates — не использовать сертификат, использовать метод 2048 bit anonymous Diffie-Hellman key.
• verify certificate with crl — проверять сертификат по спискам CRL (список аннулированных сертификатов SSL).

TLS certificate — тут указываем непосредственно сертификат TLS.

Access List

MAC Address — MAC адрес устройства, которое будет подключатся к вашему роутеру. Если снять галочку Default Authenticate и выставить тут MAC адрес, то только это устройство сможет подключится к сети. Это и есть ограничение подключения по MAC-адресам в Mikrotik. Для того, что бы другое устройство смогло подключится к вашей точке, нужно внести его MAC в список правил.

Interface — интерфейс к которому будет производится подключение. Если указать «all» — правило будет применяться ко всем беспроводным интерфейсам вашего устройства.

Signal Strength Range — диапазон уровня сигнала, при котором возможно подключение. Настройка применяется в сетях с бесшовным роумингом между точками. Служит для того, что-бы ваше устройство не держалось за текущую точку доступа до критически слабого уровня сигнала, а перерегистрировалось на новую точку (при одинаковом SSID).

Authentication — возможность авторизации. Если убрать галочку, устройство с этим MAC адресом, не сможет подключиться к вашей сети.

Forwarding — возможность обмена информацией с другими участниками беспроводной сети. Если убрать галочку с этого пункта — пользователь этого устройства не будет иметь доступа к другим клиентам wifi-сети.

Private Key — возможность установки персонального ключа шифрования для устройства с данным MAC адресом. Только для режимов WEP.

Private Pre Shared Key — персональный ключ шифрования. Используется в режиме WPA PSK.

Managment Protection Key — ключ защиты Managment Protection. Managment Protection — защита от атак деаутентификации и клонирования MAC-адреса. Выставляется на вкладке «General» в Security Profiles.

Connect List

Area Prefix — правило действует для интерфейса с заданным префиксом. Area — позволяет создать группу и включить беспроводные устройства в нее, а затем использовать определенные правила для этой группы и всех входящих в нее устройств, вместо того, чтобы создавать отдельные правила для каждого устройства. Это значение заполняется в настройках точки доступа и может быть сопоставлено с правилами в connect-list.

Signal Strength Range — подключатся только к точкам доступа в пределах заданного диапазона уровня сигнала.

Use access list

По традиции для тех кто будет собирать эту схему Packet tracer я привожу полную конфигурацию всех устройств с описанием команд.

Конфигурация для маршрутизатора:

Запускаем пинг с пользовательского компа до сервера

Как видим доступ есть. Нам же необходимо, чтобы доступ имел только админ. Для этого нам необходимо создать список доступа (пусть он будет иметь порядковый номер 10), в котором мы разрешим всем пакетам от администратора (172.16.0.100) доступ в подсеть серверов (172.16.1.0/24). После чего применим это правило на сабинтерфейсе fa0/0.3 (для серверов) для всех исходящих пакетов.

Тестируем настройки. Запускаем пинг с пользовательского компьютера в сторону сервера.

Пишет Destination host unreachable – хост назначения недоступен.

Запускаем пинг с компьютера администратора.

Пинг идет – значит ACL настроили правильно. Что происходит когда мы пингуем сервер с ноутбука администратора? Пакет сначала поступает на саибинтерфейс fa0/0.2 маршрутизатора. На данном интерфейсе не настроены списки доступа значит пакет проходит далее. Роутер смотрит в свою таблицу маршрутизации и видит что подсеть серверов находится на сабинтерфейсе fa0/0.3. Перед отправкой пакета маршрутизатор видит, что к данному интерфейсу прикреплен ACL 10. В данном списке доступа всего одна запись – разрешить отправку пакетов только хосту 172.16.0.100 (ноут админа). Маршрутизатор смотрит в Ip-пакет и видит адрес отправителя 172.16.0.100 после чего отправляет пакет в подсеть серверов. Ip-пакет с любым отличным от 172.16.0.100 будет отбрасываться, так как в конце ACL 10 стоит неявный deny any – запретить все.

Теперь перейдем к расширенным спискам доступа. Пользователям в нашей сети необходимо иметь доступ к файловому хранилищу и веб-сайту. Мы же ранее полностью ограничили им доступ к серверу. Необходимо исправить ситуацию и в этом нам помогут расширенные списки доступа. Расширенные списки доступа могут проверять Ip-адреса источника/отправителя, тип протокола, UDP/TCP-порты. В нашей ситуации необходимо будет проверять номера портов. Если пользователь обращается к серверу по разрешенному порту, то маршрутизатор пропускает такой пакет. Разрешенные порты: 80 (HTTP – доступ к веб-сайту), 21 (FTP – доступ к файловому хранилищу). Протоколы HTTP и FTP работают поверх TCP. Также для распознавания доменных имен на нашем сервере поднят DNS. DNS-сервер работает на порту 53.

Размещать расширенный список доступа будем на сабинтерфейсе fa0/0.3. Но на этом интерфейсе уже размещен список доступа. Вспоминаем правило: Нельзя разместить более одного списка доступа на интерфейс. Так что придется удалить созданный ранее список доступа. Правило, созданное для администратора перенесем в новый расширенный список с именем Server-out.

Конфигурация для маршрутизатора:

С компьютера админа пинг до сервера есть:

С компьютера пользователя пинга нет:

Проверим с компьютера пользователя проходят ли DNS-запросы до сервера. Для этого запустим утилиту nslookup – которая определяет Ip-адрес до доменному имени.

DNS-запросы проходят без проблем. Проверим доступ к нашему условному Web-сайту через браузер:

Cisco ACL

Материал из Xgu.ru

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Содержание

[править] Стандартные и расширенные ACL

Именованные ACL могут быть стандартные и расширенные. У них немного отличается синтаксис с нумерованными:

В конце любого ACL есть невидимое правило deny ip any any.

[править] Стандартные ACL

Стандартный ACL позволяет указывать только IP-адрес отправителя:

Применение ACL на интерфейсе:

[править] Пример настройки стандартного ACL

Пример стандартного нумерованного ACL, который запрещает хосту 10.0.3.2 доступ в сегмент сервера, но разрешает всем остальным:

Применение ACL на интерфейсе (если применить ACL на интерфейсе fa0/0 в направлении in, то он заблокирует и доступ хоста 10.0.3.2 в интернет):

Тот же пример только с именованным ACL:

Применение ACL на интерфейсе:

[править] Применение ACL к vty

К vty ACL применяется другой командой:

Для ограничения доступа к маршрутизатору, по протоколам telnet или SSH, можно использовать стандартный ACL и применить его к vty.

Данный пример ACL разрешает подключаться к маршрутизатору только с адреса 4.4.4.4:

[править] Расширенные ACL

Расширенный ACL, при указании протоколов IP, ICMP и др., позволяет указывать IP-адреса отправителя и получателя:

Расширенный ACL, при указании протоколов TCP или UDP, позволяет указывать и порты отправителя и/или получателя:

[править] Пример настройки расширенного ACL

Задание для расширенного ACL:

• запретить хосту 10.0.3.2 доступ к серверу по RDP,
• запретить хосту 10.0.3.1 доступ по HTTP,
• разрешить всем остальным из сети 10.0.3.0 всё,
• запретить всем остальным хостам (хотя в конце и так есть невидимое deny ip any any, его часто дописывают в конце правил, чтобы явно видеть по срабатыванию счетчиков, что трафик заблокировал ACL):

Пример расширенного нумерованного ACL:

Применение ACL на интерфейсе:

Расширенный именованный ACL:

Применение ACL на интерфейсе:

[править] Команды просмотра

[править] Другие виды ACL

[править] Динамические ACL

[править] Пример настройки динамических ACL

Создание обычного ACL (в нём разрешён telnet для того чтобы пользователи могли пройти аутентификацию):

Создание динамического ACL:

Если необходимо чтобы параметр any при применении ACL был заменен на IP-адрес инициатора telnet-соединения, то в команде access-enable host необходимо указать параметр host.

Дополнительно можно настроить временной интервал, после которого динамическая запись будет удалена независимо от активности пользователя:

Применение ACL на интерфейсе:

Настройка доступа telnet:

Команда access-enable host активирует динамический ACL:

• host — указывает, что запись будет создана для хостов, которые инициировали сессию telnet,
• timeout — настройка периода времени после которого, в случае не использования динамической записи, запись будет удалена.

[править] Проверка работы

Проверка связи до активирования динамического ACL:

Просмотр информации на dyn1 до активирования динамического ACL:

После активирования динамического ACL (qua7 пингуется, а интерфейс dyn1 по-прежнему нет):

Просмотр информации на dyn1 после активирования динамического ACL:

Если команда access-enable указана без параметра timeout, то запись будет оставаться постоянно. Удалить её можно с помощью команды clear ip access-template. Например, очистить запись в динамическом ACL:

[править] Пример конфигурации маршрутизатора

[править] Reflexive ACL

Reflexive ACl могут быть настроены только с расширенными именованными ACL. Сами RACL не применяются к интерфейсу, они применяются к ACL.

[править] Настройка RACL

Схема сети такая же как и для динамических ACL.

Создание ACL для исходящего трафика:

Создание ACL для входящего трафика:

[править] Настройка таймеров

Значение глобального таймера по умолчанию 300 секунд:

Изменение значения глобального таймера:

Можно для каждой записи указать своё значение таймера, например:

Если настроены и глобальный и специфический таймер для записи, то приоритет у более специфического таймера.

[править] Пример конфигурации

[править] Временные интервалы для ACL

Применение временных интервалов к правилам ACL может быть полезно, например, в таких случаях:

• правилами компании разрешается различный тип доступа в зависимости от времени рабочего дня,
• необходимо создать временное правило

Первый вариант может быть, например, когда в компании запрещен доступ к определенным ресурсам в рабочее время, но разрешен час до начала рабочего времени, и час после окончания рабочего времени.

Второй вариант может возникнуть, например, когда в компании периодически необходимо предоставлять сотрудникам временный доступ к ресурсам. Например, в компании неделю работает подрядчик и ему нужен доступ к каким-то из серверов компании. Если создать правило сразу с временным интервалом, то оно перестанет работать (станет неактивным) в строго определенное время и можно не бояться забыть его удалить. К сожалению, ACL со временем, как правило, сильно разрастаются и в них остаются «мертвые» правила. Такой подход с временными интервалами хотя бы немного позволит упростить поддержание ACL в актуальном виде.

[править] Настройка параметров временного интервала

Пример настройки временного интервала для рабочих дней:

Пример настройки временного интервала для выходных дней:

Просмотр информации о настроенных временных интервалах (второй интервал неактивен, так как сейчас рабочий день):