D. Access Control Lists
6.1ACL Logging
E. Tạo Access Control Lists
6.1ACL Logging
Các mục trước chủ yếu tập trung vào các sự kiện đăng nhập hệ thống, lỗi quan trọng, và tin nhắn .Nhưng một lĩnh vực quan trọng để điều tra là việc sử dụng logging để quản lý danh sách điều khiển truy cập. Khi thực hiện, các bản ghi ACL được liệt kê như là Cấp 6 sự kiện .
Để thực thi ACL logging, các lệnh rất đơn giản bạn cần phải thêm câu lệnh log hoặc log-
input vào câu lệnh ACL khi mà bạn không muốn để thêm dòng này cho tất báo cáo ACL của
mình . Tuy nhiên cách này có thể sẽ làm tràn ngập bản ghi của bạn với rất nhiều thông tin mà bạn sẽ không thể xác định kết quả hữu ích của nó .
Sử dụng từ khoá đăng nhập sẽ liệt kê các loại thông điệp , ngày, và thời gian trong bản ghi ACL là một lựa chọn phù hợp chỉ cho ACL trên tiêu chuẩn IOS phiên bản 12.0 và mới hơn. Các từ khóa log-input cho thông tin về giao diện và địa chỉ MAC nguồn,và một ví dụ về việc sử dụng này là nếu cùng ACL được áp dụng cho nhiều hơn một giao diện .
Logging có thể là một trong những lý do mà bạn không dựa vào mặc định từ chối tất cả các quy tắc của một ACL Nếu một gói tin bị cấm do mặc định từ, gói tin đó sẽ không được gửi tới máy chủ syslog. Thì câu lệnh bạn sử dụng là : access-list 123 deny ip any any log.
6.2 Anti-spoofing Logging
Phần trước bạn đã làm quen với việc tạo ra ACL chống giả mạo .Trong phần này, bạn sẽ thấy những ACL sử dụng với chức năng logging cho thu thập thông tin để phân tích. Ví dụ, giả sử rằng các mạng nội bộ là 172.16.0.0/16 , bạn cần sử dụng danh sách các câu lệnh :
Router#configure terminal
Router(config)#access-list 123 deny ip 172.16.0.0 0.0.255.255 any log-input Router(config)#access-list 123 permit ip any any
Router(config)#access-list 145 permit ip 172.16.0.0 0.0.255.255 any log-input Router(config)#access-list 145 deny ip any any log-input
Router(config)#^Z Router#
Đối với ví dụ tiếp theo, giả định rằng các bộ định tuyến có một giao diện Ethernet nội bộ (nơi mà các mạng đáng được tin cậy ) và có hai giao diện bên ngoài nối tiếp các đoạn cấu hình sau đây cho ứng của ACLs, lần đầu tiên danh sách 123 mạng sau đó danh sách 145 mạng, ta sử dụng câu lệnh để cấu hình là : Router#configure terminal Router(config)#interface Serial 0 Router(config-if)#ip access-group 123 in Router(config-if)#exit Router(config)#interface Serial 1
Router(config-if)# ip access-group 123 in Router(config-if)#exit
Router(config)#interface Serial 0
Router(config-if)# ip access-group 145 out Router(config)#^Z
Router# 6.3 VTY Logging
Khi truy cập vào bộ định tuyến, một phương pháp chính được sử dụng thông qua các khoá VTY là thường tấn công trên một mạng lớn .Lúc này bạn cần liệt kê một danh sách cấm truy cập vào đường truyền này .
ví dụ: bạn sẽ một lần nữa giả định 172.16.0.0/16 mạng nội , và rằng chỉ có một máy chủ đáng tin cậy đã cho phép truy cập VTY, 172.16.23.45. Với những biến được định nghĩa, sau đây là đoạn cấu hình đăng nhập VTY phiên trên router.
Router#configure terminal
Router(config)#access-list 155 permit host 172.16.23.45 any log-input
Router(config)#access-list 155 deny ip any any log-input Router(config)#^Z
Router#
Một khi bạn đã tạo ra các danh sách, như được hiển thị, bạn sẽ cần phải áp dụng các danh sách . Trong các câu lệnh cấu hình sau đây, danh sách được áp dụng cho phiên VTY 0 đến 4.
Router#configure terminal Router(config)#line vty 0 4
Router(config)#access-class 155 in Router(config)#^Z
Router#
7. Configuring Anti-spoofing Logging
Tạo một ACL đăng nhập được sử dụng để chống giả mạo, sử dụng các thông tin sau : Router có giao diện Ethernet0, Serial0, và Serial1. Ethernet0 được kết nối với các mạng đáng tin cậy, trong đó có các địa chỉ IP 192.168.45.0/24 . Trong trường hợp Bạn muốn mở rộng mạng này bạn cần sử dụng các câu lệnh sau để cấu hình :
Router#configure terminal
Router(config)#access-list 160 deny ip 192.168.45.0 0.255.255.255 any log-input
Router(config)#access-list 170 permit ip 192.168.45.0 0.255.255.255 any log-input
Router(config)#access-list 170 deny ip any any log-input Router(config)#^Z Router# Router#configure terminal Router(config)#interface Serial 0 Router(config-if)#ip access-group 160 in Router(config-if)#exit Router(config)#interface Serial 1 Router(config-if)# ip access-group 160 in Router(config-if)#exit Router(config)#interface Serial 0
Router(config-if)# ip access-group 170 out Router(config)#^Z