Sử dụng danh sách truy cập

Một phần của tài liệu Nghiên cứu chung về quản lý mạng TCP/IP và An ninh mạng TCP/IP (security (Trang 25 - 32)

Trong môi trường định tuyến của Cisco, có hai loại danh sách truy cập IP mà bạn có thể cấu hình: danh sách cấu hình chuẩn hoặc cơ sở và danh sách truy cập mở rộng. Một danh sách truy cập chuẩn cho phép lọc chỉ bằng địa chỉ nguồn. Điều này có nghĩa bạn chỉ có thể cho phép hoặc từ chối các gói tin thông qua một giao diện dựa vào địa chỉ nguồn IP trong gói. Do đó danh sách truy cập loại này được giới hạn trong các chức năng của nó. So sánh danh sách truy cập mở rộng cho phép lọc địa chỉ nguồn, địa chỉ đích và các tham số khác nhau kết hợp với các lớp phía trên trong giao thức, chẳng hạn như số cổng TCP và UDP.

Nguyên tắc cấu hình

Khi phát triển một danh sách truy cập định tuyến của Cisco, có một số nguyên tắc quan trọng cần lưu ý. Trước tiên danh sách truy cập của Cisco được đánh giá trong một kiểu liên tục bắt đầu với mục thứ nhất trong danh sách. Khi phù hợp, danh sách truy cập xử lý kết thúc và không có so sánh thêm xảy ra. Như vậy điều quan trọng của nó là đặt thêm chi tiết vào phía trên danh sách truy cập của bạn .Điều quan trọng thứ hai danh sách truy cập luôn luôn có ẩn một từ chối vào cuối danh sách truy cập. Điều này có nghĩa là nội dung của một gói không rõ ràng phù hợp với một trong các mục danh sách truy cập sẽ tự động bị từ chối. Bạn có thể đè lên từ chối ẩn bằng cách đặt một giấy phép rõ ràng ‘all’ vào mục

Nguyên tắc thứ ba liên quan đến cấu hình danh sách truy cập là mối quan tâm bổ sung vào danh sách. Bất cứ mục danh sách truy cập mới sẽ được tự động thêm vào dưới cùng của danh sách. Đây thực sự là điều quan trọng cần lưu ý, đặc biệt khi cố gắng thực hiện một hoặc nhiều sửa đổi danh sách truy cập. Đây là vì những phát biểu thêm vào phía dưới cùng của một danh sách truy cập có thể không có kết quả trong danh sách có thể đáp ứng yêu cầu của tổ chức. Nhiều khi có thể cần phải xóa và tạo lại một danh sách truy cập thay vì thêm vào các mục dưới cùng của danh sách.

Nguyên tắc thứ tư liên quan đến các danh sách truy cập là chúng được áp dụng đến một giao diện. Một trong những lỗi phổ biến một số người cho là thích hợp để tạo ra một danh sách truy cập và quên để áp dụng nó đến một giao diện. Trong những tình huống danh sách truy cập đơn giản cư trú trong khu vực cấu hình bộ nhớ của bộ định tuyến nhưng sẽ không được sử dụng để kiểm tra luồng các gói dữ liệu thông qua bộ định tuyến, trong ảnh hưởng tương tự để lại cửa nhà kho khép hờ sau khi mất thời gian xây dựng một cấu trúc tốt. Bây giờ chúng tôi có một đánh giá của khóa (key) nguyên tắc cấu hình danh sách truy cập, chúng tôi hãy trở lại chú ý của chúng tôi đến sự tạo ra chuẩn và mở rộng danh sách truy cập bộ định tuyến của Cisco.

Danh sách truy cập chuẩn

Định dạng cơ bản của một danh sách truy cập chuẩn như sau:

Danh sách- truy cập số {cho phép /từ chối} [địa chỉ IP ] [mặt nạ]

Mỗi danh sách truy cập được chỉ định một số duy nhất để nhận dạng danh sách riêng biệt cũng như khai báo loại danh sách truy cập hệ điều hành của bộ định tuyến .

Chuẩn danh sách truy cập IP của Cisco được chỉ định một số nguyên từ 1 đến 99. Một phát hành mới của hệ điều hành định tuyến của Cisco cho phép định nghĩa tên danh sách truy cập . Tuy nhiên, vì đặt tên danh sách truy cập ngược lại thì không tương thích với các phiên bản hệ điều hành bộ định tuyến có trước, chúng tôi sẽ sử dụng danh sách số trong các ví dụ được trình bày trong phần này.

Bởi vì danh sách truy cập chuẩn chỉ hỗ trợ lọc địa chỉ nguồn, địa chỉ IP định dạng trong danh sách truy cập ở trên bị giới hạn mô tả khởi đầu của gói. Mặt nạ theo địa chỉ IP được định rõ trong một cách thức tương tự như cách thức mà trong đó một mặt nạ mạng định rõ khi che một địa chỉ IP. Tuy nhiên, khi dùng một danh sách truy cập, số nhị phân 0 trong mặt nạ được sử dụng như một phép 'so sánh', trong khi số nhị phân 1 được sử dụng như là số bắt buộc. Điều này là vấn đề ngược nhau về việc sử dụng các số nhị phân 1 và

các số nhị phân 0 trong một mặt nạ mạng để che một địa chỉ IP. Một sự khác biệt là bộ định tuyến của Cisco thuật ngữ mặt nạ được sử dụng với một danh sách truy cập dựa vào là bằng một mặt nạ wildcard, không như mặt nạ mạng hoặc mặt nạ mạng con.

Để minh họa việc sử dụng một mặt nạ wildcard của bộ định tuyến Cisco chúng tôi cho rằng bộ định tuyến của tổ chức bạn được kết nối vào Internet và cấu hình mạng của bạn được minh họa trong hình 2.3. Với một World Wide Web server nằm ở sau bộ định tuyến. Chúng tôi tiếp tục giả định rằng bạn muốn cho phép tất cả các máy chủ trên lớp C mạng tại địa điểm khác có địa chỉ IP là 205.131.176.0 truy cập vào server. Nếu bạn đã sử dụng một network mask truyền thống thành phần của nó là 255.255.255.0. Viết mạng và mask dưới dạng nhị phân sẽ cho kết quả sau đây,ở đây ký tự x là điều kiện 'không quan tâm', số nhị phân 1 hoặc 0 có thể xảy ra trong vị trí bit thích hợp :

Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000 mask mạng 255.255.255.0 =11111111.11111111.11111111.00000000 =

- --- - - - --- - - --- - - - --- - --

- kết quả địa chỉ phù hợp

- 11001101.10000011.10100110.xxxxxxxx

Hình 2.3 Cấu hình mạng của Cisco

sử dụng các số nhị phân 1 và 0 trong wildcard mask là nghịch đảo. Tức là một số nhị phân 1 chỉ rõ một phù hợp không điều kiện trong khi một số nhị phân 0 chỉ rõ một điều kiện so sánh. Tuy nhiên, nếu bạn sử dụng cùng thành phần mask thay vì nghịch đảo thành phần của nó, bạn sẽ có nhiều khả năng đạt được một kết quả mà không cần các yêu cầu hoạt động của bạn. Điều này được minh họa bằng ví dụ sau, ở đây một wildcard mask được sử dụng thay vì một network mask:

Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000 Wildcard masks 255.255.255.0 =11111111.11111111.11111111.00000000 --- - - - --- - - --- - - - --- - - --

Kết quả địa chỉ phù hợp xxxxxxxx.xxxxxxxx.xxxxxxxx.00000000

Trong ví dụ trên bất kỳ giá trị trong ba vị trí nhóm tám thứ nhất được phép dài bằng giá trị nhóm tám cuối cùng (nhóm cuối cùng tất cả bằng 0). Điều này rõ ràng không phải là một giải pháp thỏa đáng đến đòi hỏi phục vụ Web không có thật trước đây của chúng tôi. Tuy nhiên, nếu chúng ta đặt các số 0 trong wildcard mask thì thông thường chúng tôi đặt các số nhị phân 1 trong network mask và ngược lại, chúng tôi sẽ định nghĩa đúng đắn wildcard mask. Sửa đổi hoạt động mặt nạ một lần nữa, chúng tôi thu được như sau: :

Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000 Wildcard mask 0.0.0.255 =00000000.00000000.00000000.11111111

- --- - - - --- - - --- - - - --- - --

Kết quả địa chỉ phù hợp =11001101.10000011.10100110.xxxxxxxx

Lưu ý rằng việc tạo thành các kết quả mask ở trên trong bất kỳ máy chủ trên mạng 205.131.176.0, đó yêu cầu mà chúng tôi phải đáp ứng. Mặc dù việc sử dụng wildcard mask của Cisco có thể bị một chút bối rối đầu tiên ,đặc biệt nếu bạn có một lượng kinh nghiệm đáng kể trong sử dụng subnet mask,chỉ một khái niệm nắm được, nó sẽ áp dụng dễ dàng đến danh sách truy cập bằng subnet mask đến địa chỉ mạng. Tuy nhiên, nó là vô cùng quan trọng hãy nhớ rằng wildcard mask là một nghịch đảo network mask, bao gồm chức năng của các số nhị phân 0 và 1, vị trí của chúng trong mask và áp dụng nó cho phù hợp. Bây giờ chúng ta tìm hiểu sự hình thành và cách sử dụng wildcard mask của Cisco,chúng ta quay trở lại ví dụ và hoàn tất việc tạo thành danh sách truy cập chuẩn .Danh sách truy cập được xây dựng như sau:

Trong ví dụ này, chúng tôi đã sử dụng danh sách số 77, nó từ 1 đến 99 ,định nghĩa danh sách truy cập bằng danh sách truy cập chuẩn đến hệ điều hành bộ định tuyến. Ngoài ra lưu ý rằng địa chỉ mạng 205.131.176.0 và wildcard mask 0.0.0.255 trong điều kiện không quan tâm với bất kỳ giá trị trong nhóm tám cuối cùng của địa chỉ mạng, cho phép bất kỳ máy chủ trên mạng 205.131.176.0 để có các gói của nó chảy thông qua bộ định tuyến mà không bị lọc. Vài tin tức nữa liên quan đến danh sách truy cập cần chú ý. Trước tiên, nếu bạn bỏ quên một mask từ một liên kết địa chỉ IP, một mask ẩn 0.0.0.0 là giả định, Đồng thời có yêu cầu phù hợp giữa địa chỉ IP danh nghĩa trong danh sách truy cập và gói xảy ra, cho phép hoặc từ chối trong danh sách truy cập để lấy hiệu lực. Thứ hai, như đã đề cập trước đó, một danh sách truy cập ẩn từ chối tất cả các truy cập khác. Điều này tương đương chấm dứt danh sách truy cập với phát biểu sau:

Danh sách truy cập 77 từ chối 0.0.0.0 255.255.255.255

Để cung cấp một ví dụ nữa của việc sử dụng danh sách truy cập chuẩn, chúng ta cho rằng mạng sử dụng một bộ định tuyến để kết nối giữa hai phần Ethernet với nhau.

Hình 10.4 Sử dụng bộ định tuyến kết nối hai phần Ethernet

Xem xét việc sử dụng bộ định tuyến minh họa trong hình 10.4, chúng tôi giả sử phần 1 có địa chỉ mạng 198.78.46.0 và bạn muốn cho các máy khách với địa chỉ máy chủ . 16 và phân .18 trên phần 1 truy cập vào bất kỳ máy chủ nằm trên phần 2. Để làm như vậy, cấu hình định tuyến đầu tiên của bạn bao gồm áp dụng danh sách truy cập đến đầu giao

Giao diện Ethernet 1 Nhóm truy cập ra 23

Danh sách truy cập 23 cho phép 198.78.46.160.0.0.0 Danh sách truy cập 23 cho phép 198.78.46.180.0.0.0

Trong ví dụ trước lưu ý rằng phát biểu nhóm truy cập được sử dụng để định nghĩa dòng dữ liệu trực tiếp được kết hợp với một danh sách truy cập. Ngoài ra lưu ý rằng danh sách truy cập được áp dụng đến giao diện ra trên Ethernet 1 thay vì đến giao diện vào trên Ethernet 0 (E0) theo hướng định tuyến từ phần 1 bằng một danh sách truy cập vào. Trong khi cả hai phương pháp làm việc, phương pháp sau không xem xét hiệu quả chặn tất cả các lưu thông khác từ phần 1 để lại. Do đó, trong ví dụ này chúng tôi đã quyết định áp dụng danh sách truy cập đến giao diện ra trên E1. Bây giờ chúng ta có một đánh giá chuẩn danh sách truy cập IP, chúng ta chuyển sự chú ý đến họ hàng mở rộng của chúng.

Danh sách truy cập mở rộng

Một chuẩn danh sách truy cập được giới hạn để định rõ một bộ lọc qua việc sử dụng một địa chỉ nguồn IP . So sánh, một danh sách truy cập mở rộng cung cấp cho bạn khả năng lọc địa chỉ nguồn, địa chỉ đích và thông tin của giao thức lớp, ví dụ các giá trị UDP và TCP. Trong thực tế, danh sách truy cập mở rộng cung cấp cho bạn khả năng tạo ra rất nhiều gói lọc phức tạp ,khả năng của các bộ lọc này có thể mở rộng đáng kể vượt ra ngoài giới hạn danh sách truy cập chuẩn.

Danh sách truy cập mở rộng định dạng như sau :

Số danh sách truy cập {cho phép /từ chối} giao thức địa chỉ IP nguồn

Source-mask địa chỉ IP đích destination-mask/ [toán hạng điều hành] [thiết lập]

Tương tự danh sách truy cập chuẩn, danh sách mở rộng được đánh số. Danh sách truy cập mở rộng được đánh số từ 100 đến 199 để phân biệt chúng từ danh sách truy cập chuẩn IP. Tham số giao thức định nghĩa rõ giao thức TCP/IP, chẳng hạn như ip, tcp, UDP, ICMP và một số định tuyến giao thức có thể được lọc. Ví dụ sau gồm giao thức định tuyến cổng nội IGRP (Interior Gateway Routing Protocol) và đường dẫn ngắn nhất mở thứ nhất OSPF (Open Shortest Path First ). Các đối số địa chỉ IP nguồn và đích mô tả địa chỉ IP nguồn và đích được biểu diễn bằng dấu chấm thập phân. Đối số source-mask và destination-mask mô tả định tuyến wildcard được sử dụng trong cùng một cách như được mô tả trước đây khi chúng tôi nghiên cứu hoạt động của danh sách truy cập chuẩn. Để đạt được khả năng định rõ thông tin thêm với các gói lọc, bạn có thể tùy chọn các đối số hoạt

động và toán hạng trong danh sách truy cập mở rộng của bạn. Khi sử dụng hoạt động và toán hạng có thể được thuê để so sánh giá trị cổng tcp và udp. Liên quan đến tcp và udp, đối số các hoạt động có thể là một trong bốn từ khóa sau:

LT: ít hơn GT: lớn hơn EQ: bằng

NEQ: không bằng

Trong sự so sánh, đối số toán hạng mô tả giá trị nguyên của cổng đích với giao thức được định rõ. Đối với giao thức TCP được hổ trợ tùy chọn là từ khóa 'thiết lập'. Khi định rõ, một phù hợp xảy ra nếu một chương trình dữ liệu TCP có ACK hoặc trường bit cài đặt RST, chỉ rằng một thiết lập kết nối đã xảy ra.

Để minh họa việc sử dụng một danh sách truy cập mở rộng, chúng tôi giả định rằng bộ định tuyến đã minh hoạ trước trong hình 2.4 sẽ được kết nối vào Internet. Chúng tôi tiếp tục giả định rằng bạn muốn cho phép bất kỳ máy chủ trên mạng, đằng sau bộ định tuyến có địa chỉ IP là 198.78.46.0 để thiết lập kết nối TCP vào bất kỳ máy chủ trên Internet. Tuy nhiên, chúng tôi cũng cho rằng, ngoại trừ chấp nhận thư điện tử thông qua giao thức vận chuyển thư đơn giản SMTP (Simple Mail Transport Protocol), nó là chính sách tổ chức để cài bất kỳ máy chủ trên mạng Internet từ thiết lập các kết nối TCP đến máy chủ trên mạng 198.78.46.0 Để hoàn thành trước công việc, bạn phải bảo đảm rằng yêu cầu đầu tiên cho một kết nối SMTP là được thực hiện trên cổng đích 25 TCP , xảy ra từ số cổng lớn hơn 1023, với khởi đầu luôn luôn sử dụng cổng đích 25 để truy cập trao đổi mail trên tổ chức mạng của bạn và máy chủ kia sử dụng số cổng lớn hơn 1023.

Trên cơ sở trước và giả thiết rằng địa chỉ trao đổi thư trên mạng 198.78.46.0 là 198.78.46.77, sau đây là hai danh sách truy cập được:

Danh sách truy cập 101 cho phép tcp 198.78.46.00.0.0.255 0.0.0.0 255.255.255.255

Danh sách truy cập 102 cho phép tcp 0.0.0.0 255.255.255.255 198.78.46.07 EQ25

Giao diện nối tiếp 0 Nhóm truy cập ip 101 Giao diện Ethernet 0 Nhóm truy cập ip 102

Trong ví dụ trước lưu ý rằng danh sách truy cập 101 được áp dụng đến cổng nối tiếp bộ định tuyến và được xây dựng để cho phép bất kỳ máy chủ trên mạng 198.78.46.0 thiết lập một kết nối TCP vào Internet. Danh sách truy cập thứ hai được đánh số 102 trong ví dụ trên được áp dụng cho giao diện Ethernet 0 (E0) được minh họa trước đó trong hình 2.4. Phát biểu thứ nhất trong danh sách truy cập 102 cho phép bất kỳ gói TCP mô tả một thiết lập kết nối xảy ra. Trong khi phát biểu thứ hai trong danh sách truy cập cho phép các gói TCP từ bất kỳ địa chỉ nguồn nào chảy đến địa chỉ mạng định rõ

Một phần của tài liệu Nghiên cứu chung về quản lý mạng TCP/IP và An ninh mạng TCP/IP (security (Trang 25 - 32)

Tải bản đầy đủ (DOC)

(48 trang)
w