تنظيمات access list ها و امنيت در شبکه

ccna · 2007-06-11, 10:55 AM

پس از آنکه تنظيمات اينترفيس هاي روتر انجام شد، لحظه اي بايد درنگ کرد تا ببينيم آيا شبکه اي که از طريق اين اينترفيس ها، امکان اتصال به آن فراهم شده است شبکه امني خواهد بود.ممکن است شما يک وب سرور داشته باشيد و تنها مايليد به بسته هايي اجازه ورود به شبکه خود را بدهيد که فقط مربوط به وب سرور مي باشند و مايليد که اجازه هرگونه ارتباط ديگر را با سرورهاي داخل شبکه خود را از اينترنت بگيريد.در چنين مواردي روش معمولي که بکار مي رود استفاده از access list ها مي باشد.شما در روتر خود با تعريف يکسري access list خاص اجازه ورود هر بسته اي به شبکه بجز بسته هاي مربوط به وب سرور را مي گيريد.
سيسکو دو نوع کلاس متفاوت از access list در درون روترهاي خود قرار داده است.در اولين کلاس که به آن access list استاندارد مي گويند تنها مي توان آدرس مبدا(source address) را فيلتر کرد.براي نامگذاري اين access list ها از شماره 1 تا 99 مي توان استفاده کرد.کلاس دوم که access list توسعه يافته ناميده مي شود از شماره 100 شروع شده و تا199 ادامه مي يابد و مي توان فيلتر مورد نظر را روي فيلدهاي آدرس مبدا(source address)، آدرس مقصد (destination address)، پروتکل(protocol) و پورت(protocol port) اعمال نمود.
پس از آنکه يک access list ساخته شد بايد آنرا به يک اينترفيس نسبت داد تا مورد استفاده قرار گيرد.در تنظيمات اينترفيس،از عبارت access-group براي اعمال يا حذف يک access-list از ان اينترفيس استفاده مي شود.به مثال زير توجه کنيد:

Interface serial0
Ip access-group 101 in
Ip access-group 6 out

در مجموعه دستورات فوق فيلترهاي موجود در access list توسعه يافته شماره 101 بر روي بسته هاي ورودي به اينترفيس serial0 اعمال خواهد شد.همچنين فيلترهاي موجود در access list استاندارد شماره 6 بر روي بسته هاي خروجي از اينترفيس serial0 اعمال مي شوند.
به عنوان مثال access list شماره 6 را به صورت زير تعريف مي کنيم:

Access-list 6 permit 234.5.6.12
Access-list 6 deny 5.10.10.32 0.0.0.31
access-list 10 permit 5.10.0.0 0.0.255.255

در خط اول به ترافيک ارسالي از آدرس 234.5.6.12 اجازه عبور داده مي شود.
خط دوم ترافيک ارسالي از آدرسهاي 5.10.10.32 تا 5.10.10.63 را رد مي کند.
در access list ها، سيسکو به جاي netmask از wildcard mask استفاده مي کند. تفاوت آن با netmask در اين است که netmask از چپ به راست عمل مي کند ولي wildcard از راست به چپ.در خط انتهايي با استفاده از wildcard mask حوزه آدرسها مشخص شده است.آدرسهايي که با 5،10، شروع مي شوند. يعني اين خط به ترافيک ارسالي از آدرسهاي 5.10.0.0 تا 5.10.255.255 اجازه عبور مي دهد.
در رابطه با access list ها بايد به چند مسئله توجه کرد:
1- access list ها طراحي شده اند تا به ترافيکهاي مورد نظر اجازه عبور داده شود.يعني فرض بر آن است که تمام ترافيکها deny مي شوند و براي ترافيکي که مي خواهيم عبور داده شود با استفاده از access list اجازه عبور صادر مي کنيم.
2- پردازش access list وقت زيادي از پردازنده را مي گيرد.بنابراين وروديهايي که بيشتر مورد استفاده قرار مي گيرند را بايد در ابتداي access list قرار داد تا تعداد پردازش انجام شده کاهش يابد زيرا پردازش access list از ابتدا به انتها انجام مي شود و اولين ورودي که شرايط مورد نظر را داشته باشد نتيجه اعمال شده و بقيه access list پردازش نخواهد شد.
3- نکته ديگري که بايد مورد توجه قرار گيرد اين است که تغييرات در روتر بصورت آني اعمال مي شوند.بنابراين به هنگام تغيير محتويات يک access list بهتر است ابتدا آنرا از اينترفيس مربوطه پس بگيريم و سپس پس از پايان تغييرات دوباره آنرا به اينترفيس مورد نظر اعمال کنيم.

ساختن access list توسعه يافته معمولا دشوارتر است.از آنجائيکه access list توسعه يافته هم آدرس مبدا و هم آدرس مقصد را تحت تاثير قرار مي دهد بنابراين در هر ورودي access list دو قسمت مورد نياز است.يک مثال کوتاه در ادامه آمده است:

access-list 101 permit tcp any any established
access-list 101 permit tcp any 204.34.5.25 host eq 80
access-list 101 permit ip 203.45.34.0 0.0.0.255 204.34.5.0 0.0.0.255
access-list 101 permit tcp 203.44.32.0 0.0.0.31 204.34.5.0 0.0.0.255 eq telnet
access-list 101 permit tcp any 204.34.5.10 eq smtp

خط اول به ترافيک مربوط به tcp که داراي فلگ established باشند اجازه عبور مي دهد.اين بدان معني است که access list به ترافيک ورودي مربوط به کليه اتصالاتي که از داخل با بيرون برقرار شده اجازه عبور به داخل را مي دهد.اين خصيصه بسيار مهمي است چون ترافيک مربوط به اتصالات tcp که با خارج برقرار شده است بر روي پورتي که به صورت random انتخاب مي شود ارسال مي شوند با استفاده از فيلد فلگ ترافيک مي توان به آنها اجازه عبور داد و نيازي به دانستن شماره پورت نمي باشد.
نکته ديگري که در مورد اين خط اول وجود دارد اين است که اتصالات tcp از خارج به داخل تنها براي برقراري ارتباط اوليه نياز به پردازش چند خط از access list را دارند و بعدا که ارتباط برقرار شد فيلد فلگ ترافيک ارسالي برابر established شده و در access list تنها همين خط اول پردازش شده و چون تطابق برقرار است به ترافيک اجازه عبور داده شده و پردازش access list پايان مي يابد.بنابراين محل قرار گيري اين خط در ابتداي access list بسيار مهم است.
در خط دوم ديده مي شود که به جاي فيلد wildcard mask عبارت Host قرار گرفته است.هر گاه که يک آدرس IP مشخص را استفاده کنيم در wildcard همين عبارت host قرار مي گيرد.در بقيه خطوط نيز مطلب جديدي وجود ندارد و با توجه به توضيحات قبلي قابل فهم مي باشد..

با تشکر: پویان پبدنی

HOMINET · 2007-08-26, 10:31 PM

سلام :

از مطالبی که گفتین ممنون البته خیلی ساده رد شدین ولی بازم مفیده
من برام یه سوال پیش اومده راستش میخواستم بدونم چه جوابی میشه به این خط acc داد
طبق دونسته هامون میدونیم که زمانی که ما در خط acc که مینویسیم از دستور any استفاده کنیم در آخر دستورات خودش ور میداره deny any میکنه و این از معایب acc هستش و کاریش نمیشه کرد بجز اینکه بزنیم بصورت دستی permit any و همینطور دستور any any که مقصد و مبدا رو در mode پورت استفاده میکنیم که امکان داره مسیر رفت و برگشت رو در پورتی که تعریف کردیم ببندد که فکر کنم به ios بستگی داره و میخوام بدونم بعد از نوشتن این خط در آخر دستورات خودش چی مینویسه البته در حالت extended mode که از tcp و ip استفاده میکنیم:

access-list 100 deny tcp any any eq 80
access-list 100 permit tcp host 10.10.10.1 host 2.2.2.2 eq 80

اینجا آخرش ما tcp any any داریم یا ip any any ممنون میشم جو بمو بدین و دلیلش چیه ؟
البته یه مثال هستش فقط ... مرسی در ضمن من تازه کارم اگه اشتباه گفتم ببخشید ..

shabake_karan · 2007-09-04, 07:44 PM

خوب ، این مقاله خیلی خوب است. ,.ولی یک نکته هم من برای بهینه سازیACL اضافه می کنم

در IOS برای match کردن و Packet filtering روتر از مفهومی به نام ACL استفاده می کنه. تمامی این ها به صورت Ordered قرار دارند و اگر که تعداد این entry ها زیاد باشد عمل search کردن در ارسال packet ها Processing & Forwarding Delay به مبزان قابل توجهی افزایش پیدا میکنه . به علاوه استفاده از ACL های زیاد میزان قابل توجهی CPU Time & Load تحمیل می کنه. برای رفع این مشکل Cisco قابلیتی به نام Turbo ACL رو به IOS اضافه کرده است. در TACL T تمام ACL ها Compiled می شوند و در درون Lookup Table کوچکی قرار می گبرند که تمام Packet Header ها با اونها تطبیق داده می شود و به role های از پیش تعیین شده تبدیل می شوند. و درنتیجه زمان کمتری برای Match کردن Packet ها نیاز است که تقریبا ثابت است و در کاهش CPU Time & Overload بسیار تاثیر گذار است. البته در صورت وجود Time-range ACL این قابیت کاربرد نداره به دلیل اینکه Processing بیشتری بر روی Packet احتیاج اشت.
برای استفاده از TACL ، تنها کافی است که در Config Mode ، عبارت access-list compiled وارد شود. به منظور Verfiry کردن و اطلاع از جزئیات ، entry ها و میزان حافظه مورد اشغال شده می شود که از فرمان show access-list compiled استفاده کرد.

2007-06-11, 10:55 AM	#1 (permalink)
ccna (PoyanOnline) Registered User Join Date: Sep 2004 Location: Esfahan نوشته ها: 255 Thanks: 11 Thanked 43 Times in 21 Posts Groans: 0 Groaned at 2 Times in 2 Posts	تنظيمات access list ها و امنيت در شبکه پس از آنکه تنظيمات اينترفيس هاي روتر انجام شد، لحظه اي بايد درنگ کرد تا ببينيم آيا شبکه اي که از طريق اين اينترفيس ها، امکان اتصال به آن فراهم شده است شبکه امني خواهد بود.ممکن است شما يک وب سرور داشته باشيد و تنها مايليد به بسته هايي اجازه ورود به شبکه خود را بدهيد که فقط مربوط به وب سرور مي باشند و مايليد که اجازه هرگونه ارتباط ديگر را با سرورهاي داخل شبکه خود را از اينترنت بگيريد.در چنين مواردي روش معمولي که بکار مي رود استفاده از access list ها مي باشد.شما در روتر خود با تعريف يکسري access list خاص اجازه ورود هر بسته اي به شبکه بجز بسته هاي مربوط به وب سرور را مي گيريد. سيسکو دو نوع کلاس متفاوت از access list در درون روترهاي خود قرار داده است.در اولين کلاس که به آن access list استاندارد مي گويند تنها مي توان آدرس مبدا(source address) را فيلتر کرد.براي نامگذاري اين access list ها از شماره 1 تا 99 مي توان استفاده کرد.کلاس دوم که access list توسعه يافته ناميده مي شود از شماره 100 شروع شده و تا199 ادامه مي يابد و مي توان فيلتر مورد نظر را روي فيلدهاي آدرس مبدا(source address)، آدرس مقصد (destination address)، پروتکل(protocol) و پورت(protocol port) اعمال نمود. پس از آنکه يک access list ساخته شد بايد آنرا به يک اينترفيس نسبت داد تا مورد استفاده قرار گيرد.در تنظيمات اينترفيس،از عبارت access-group براي اعمال يا حذف يک access-list از ان اينترفيس استفاده مي شود.به مثال زير توجه کنيد: Interface serial0 Ip access-group 101 in Ip access-group 6 out در مجموعه دستورات فوق فيلترهاي موجود در access list توسعه يافته شماره 101 بر روي بسته هاي ورودي به اينترفيس serial0 اعمال خواهد شد.همچنين فيلترهاي موجود در access list استاندارد شماره 6 بر روي بسته هاي خروجي از اينترفيس serial0 اعمال مي شوند. به عنوان مثال access list شماره 6 را به صورت زير تعريف مي کنيم: Access-list 6 permit 234.5.6.12 Access-list 6 deny 5.10.10.32 0.0.0.31 access-list 10 permit 5.10.0.0 0.0.255.255 در خط اول به ترافيک ارسالي از آدرس 234.5.6.12 اجازه عبور داده مي شود. خط دوم ترافيک ارسالي از آدرسهاي 5.10.10.32 تا 5.10.10.63 را رد مي کند. در access list ها، سيسکو به جاي netmask از wildcard mask استفاده مي کند. تفاوت آن با netmask در اين است که netmask از چپ به راست عمل مي کند ولي wildcard از راست به چپ.در خط انتهايي با استفاده از wildcard mask حوزه آدرسها مشخص شده است.آدرسهايي که با 5،10، شروع مي شوند. يعني اين خط به ترافيک ارسالي از آدرسهاي 5.10.0.0 تا 5.10.255.255 اجازه عبور مي دهد. در رابطه با access list ها بايد به چند مسئله توجه کرد: 1- access list ها طراحي شده اند تا به ترافيکهاي مورد نظر اجازه عبور داده شود.يعني فرض بر آن است که تمام ترافيکها deny مي شوند و براي ترافيکي که مي خواهيم عبور داده شود با استفاده از access list اجازه عبور صادر مي کنيم. 2- پردازش access list وقت زيادي از پردازنده را مي گيرد.بنابراين وروديهايي که بيشتر مورد استفاده قرار مي گيرند را بايد در ابتداي access list قرار داد تا تعداد پردازش انجام شده کاهش يابد زيرا پردازش access list از ابتدا به انتها انجام مي شود و اولين ورودي که شرايط مورد نظر را داشته باشد نتيجه اعمال شده و بقيه access list پردازش نخواهد شد. 3- نکته ديگري که بايد مورد توجه قرار گيرد اين است که تغييرات در روتر بصورت آني اعمال مي شوند.بنابراين به هنگام تغيير محتويات يک access list بهتر است ابتدا آنرا از اينترفيس مربوطه پس بگيريم و سپس پس از پايان تغييرات دوباره آنرا به اينترفيس مورد نظر اعمال کنيم. ساختن access list توسعه يافته معمولا دشوارتر است.از آنجائيکه access list توسعه يافته هم آدرس مبدا و هم آدرس مقصد را تحت تاثير قرار مي دهد بنابراين در هر ورودي access list دو قسمت مورد نياز است.يک مثال کوتاه در ادامه آمده است: access-list 101 permit tcp any any established access-list 101 permit tcp any 204.34.5.25 host eq 80 access-list 101 permit ip 203.45.34.0 0.0.0.255 204.34.5.0 0.0.0.255 access-list 101 permit tcp 203.44.32.0 0.0.0.31 204.34.5.0 0.0.0.255 eq telnet access-list 101 permit tcp any 204.34.5.10 eq smtp خط اول به ترافيک مربوط به tcp که داراي فلگ established باشند اجازه عبور مي دهد.اين بدان معني است که access list به ترافيک ورودي مربوط به کليه اتصالاتي که از داخل با بيرون برقرار شده اجازه عبور به داخل را مي دهد.اين خصيصه بسيار مهمي است چون ترافيک مربوط به اتصالات tcp که با خارج برقرار شده است بر روي پورتي که به صورت random انتخاب مي شود ارسال مي شوند با استفاده از فيلد فلگ ترافيک مي توان به آنها اجازه عبور داد و نيازي به دانستن شماره پورت نمي باشد. نکته ديگري که در مورد اين خط اول وجود دارد اين است که اتصالات tcp از خارج به داخل تنها براي برقراري ارتباط اوليه نياز به پردازش چند خط از access list را دارند و بعدا که ارتباط برقرار شد فيلد فلگ ترافيک ارسالي برابر established شده و در access list تنها همين خط اول پردازش شده و چون تطابق برقرار است به ترافيک اجازه عبور داده شده و پردازش access list پايان مي يابد.بنابراين محل قرار گيري اين خط در ابتداي access list بسيار مهم است. در خط دوم ديده مي شود که به جاي فيلد wildcard mask عبارت Host قرار گرفته است.هر گاه که يک آدرس IP مشخص را استفاده کنيم در wildcard همين عبارت host قرار مي گيرد.در بقيه خطوط نيز مطلب جديدي وجود ندارد و با توجه به توضيحات قبلي قابل فهم مي باشد.. با تشکر: پویان پبدنی

2007-08-26, 10:31 PM	#2 (permalink)
HOMINET (homayoun ghafari) Registered User Join Date: Aug 2007 Location: tehran نوشته ها: 1 Thanks: 0 Thanked 0 Times in 0 Posts Groans: 0 Groaned at 0 Times in 0 Posts	در مورد فرامین access list سلام : از مطالبی که گفتین ممنون البته خیلی ساده رد شدین ولی بازم مفیده من برام یه سوال پیش اومده راستش میخواستم بدونم چه جوابی میشه به این خط acc داد طبق دونسته هامون میدونیم که زمانی که ما در خط acc که مینویسیم از دستور any استفاده کنیم در آخر دستورات خودش ور میداره deny any میکنه و این از معایب acc هستش و کاریش نمیشه کرد بجز اینکه بزنیم بصورت دستی permit any و همینطور دستور any any که مقصد و مبدا رو در mode پورت استفاده میکنیم که امکان داره مسیر رفت و برگشت رو در پورتی که تعریف کردیم ببندد که فکر کنم به ios بستگی داره و میخوام بدونم بعد از نوشتن این خط در آخر دستورات خودش چی مینویسه البته در حالت extended mode که از tcp و ip استفاده میکنیم: access-list 100 deny tcp any any eq 80 access-list 100 permit tcp host 10.10.10.1 host 2.2.2.2 eq 80 اینجا آخرش ما tcp any any داریم یا ip any any ممنون میشم جو بمو بدین و دلیلش چیه ؟ البته یه مثال هستش فقط ... مرسی در ضمن من تازه کارم اگه اشتباه گفتم ببخشید .. آخرین ویرایش توسط HOMINET در 2007-08-26 ساعت 11:16 PM.

2007-09-04, 07:44 PM	#3 (permalink)
shabake_karan (Iman Mansouri) Registered User Join Date: Apr 2006 Location: Tehran نوشته ها: 931 Thanks: 10 Thanked 173 Times in 103 Posts Groans: 0 Groaned at 0 Times in 0 Posts	خوب ، این مقاله خیلی خوب است. ,.ولی یک نکته هم من برای بهینه سازیACL اضافه می کنم در IOS برای match کردن و Packet filtering روتر از مفهومی به نام ACL استفاده می کنه. تمامی این ها به صورت Ordered قرار دارند و اگر که تعداد این entry ها زیاد باشد عمل search کردن در ارسال packet ها Processing & Forwarding Delay به مبزان قابل توجهی افزایش پیدا میکنه . به علاوه استفاده از ACL های زیاد میزان قابل توجهی CPU Time & Load تحمیل می کنه. برای رفع این مشکل Cisco قابلیتی به نام Turbo ACL رو به IOS اضافه کرده است. در TACL T تمام ACL ها Compiled می شوند و در درون Lookup Table کوچکی قرار می گبرند که تمام Packet Header ها با اونها تطبیق داده می شود و به role های از پیش تعیین شده تبدیل می شوند. و درنتیجه زمان کمتری برای Match کردن Packet ها نیاز است که تقریبا ثابت است و در کاهش CPU Time & Overload بسیار تاثیر گذار است. البته در صورت وجود Time-range ACL این قابیت کاربرد نداره به دلیل اینکه Processing بیشتری بر روی Packet احتیاج اشت. برای استفاده از TACL ، تنها کافی است که در Config Mode ، عبارت access-list compiled وارد شود. به منظور Verfiry کردن و اطلاع از جزئیات ، entry ها و میزان حافظه مورد اشغال شده می شود که از فرمان show access-list compiled استفاده کرد. __________________ ایمان منصوری :: i.mansouri@mynetnote.net http://www.mynetnote.net

امکانات بيشتر	جستجو در اين بحث
Show Printable Version Email this Page	جستجو در اين بحث: جستجوی پیشرفته
نحوه نمايش	Rate This Thread
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode	Rate This Thread:

مطالب مشابه
مطلب	آغازگر	انجمن	پاسخ	آخرین نوشته
مقاله در مورد ایزا	tactools	Microsoft ISA Server -ا-	67	2008-11-11 01:41 PM
Securing the ISA Server Configuration	ben611b	Microsoft ISA Server -ا-	9	2008-05-07 01:40 PM
آشنائى با عناصر يک شبکه محلى	sinaeslami	مقالات عمومی شبکه -ا-	0	2005-10-06 01:26 PM
شبکه VPN چیست؟	masood_y	مقالات عمومی شبکه -ا-	0	2005-08-02 12:11 PM
آشنائى با عناصر يک شبکه محلى	sinaeslami	مقالات عمومی شبکه -ا-	0	2005-07-31 07:41 PM