Уральский государственный Технический университет

Кафедра АСУ

ЗАЩИТА КОМПЬЮТЕРНЫХ СЕТЕЙ НА ОСНОВЕ

СПИСКОВ УПРАВЛЕНИЯ ДОСТУПОМ ACL CISCO

Методические указания к лабораторной работе по курсу

“Cетевые технологии” для студентов всех форм обучения специальности 220200 – Автоматизированные системы

обработки информации и управления

Екатеринбург

2006

ОГЛАВЛЕНИЕ

1. Введение в технологию ACL …………….…………………………………. 3

2. Стандартные списки доступа …......………………....….………….……... 4

3. Просмотр и редактирование ACL ..…….……....…………………………. 5

4. Расширенные списки доступа ……………………………………………... 6

5. Исследовательская составная IP-сеть и подготовка ее к работе …. 8

6. Задачи защиты сетей с применением ACL …………...…………………. 9

Содержание отчета ..………………………………………………………… 10

Библиогрфический список …………………………………………………10

1. Введение в технологию ACL

Списки управления доступом (AccessControlList,ACL) – одно из важнейших сре-дств организациибазовойбезопасности составных и распределенныхIP-сетей [3, 4]. Требование безопасности особенно актуально в локальных корпоративных сетях, когда они через пограничные маршрутизаторы связаны с открытой глобальной сетьюInternet.

Списки доступа являются управляемыми фильтрами для проходящего трафика и при соответствующей настройке один трафик они могут беспрепятственно пропускать дальше, другой – блокировать (подавлять, отбрасывать). ACLустанавливаются на интерфейсах маршрутизаторов. Очевидным и естественным местомACLявляются интерфейсы пограничных маршрутизаторов. В результате эти маршрутизаторы стано-вятся межсетевыми экранами или брандмаурами (firewall), подавляя непредусмотрен-ный сетевой трафик изInternetв корпоративную сеть и наоборот и обеспечивая защитупериметракорпоративной сети.

Операционная система маршрутизаторов от компании CiscoSystemsимеет мощные встроенные средства для создания разнообразных по сложности и функциональности списков доступа. При этом критерием для фильтрации могут быть значенияIP-адреса отправителя и получателя проходящих пакетов сетевого уровня, имена протоколовболее высокого уровня, номераTCP- иUDP-портов и др. параметры.

В целом, список доступа ACLпредставляет собой упорядоченный набор из одного или нескольких правил (шаблонов), используемых для сравнения с параметрами прохо-дящих пакетов через данный интерфейс. Синтаксически отдельное правило – это точно одна строка. Для каждого пакета списокACLпросматривается заново, последователь-но, начиная с первого правила:

♦ если параметры пакета не совпадают с параметрами данного правила, то правило игнорируется и рассматривается следующеепо порядку правило;

♦ если параметры пакета правилу удовлетворяют, то выполняется одно из запрог- раммированных в правиле действий – разрешить (ключевое словоpermit) про- хождение пакета дальше или блокировать (deny) прохождение. При этом после- дующие правила вACLдля этого пакета ужене рассматриваются.

С целью большей безопасности в конце каждого списка ACLприсутствует неотобра-жаемое (скрытое) правило – “запретить все кроме того, что вACLявно разрешено”. Об этом правиле следует всегда помнить.

Для идентификации конкретного ACLвсем его правилам присваивается некоторый одинаковый числовой номер (так называемые “нумерованные”ACL) или символьное имя (“именованные”ACL). Номер или имя используются для ссылки на правилаACLкак на единый объект. Далее рассматриваются только более распространенные нумеро-ванныеACL.

Существует два вида списков доступа: стандартные (standard)ACLи расширенные (extended)ACL. Более простые стандартныеACLсодержат в правилах толькоадресотправителяпакета, а расширенные – как адрес отправителя, так и адрес получателя, а также множество других контролируемых параметров (см. раздел 4).

Настройка списков доступа всегда соcтоит из двух шагов:

1) определения ACL, т.е. написания правил-шаблонов для сравнения;

2) активизации определенного ACLна заданном интерфейсе маршрутизатора.

Пока второй шаг не выполнен, списки доступа никакого влияния на фильтрацию паке-тов не оказывают.