Лабораторная работа
CBAC - контроль доступа на основе анализа передаваемых данных
Механизм контекстного управления доступом (СВАС - Context-Based Access Control) брандмауэра, реализуемого на основе операционной системы Cisco IOS, обеспечивает безопасное, ориентированное на приложения управление доступом через все рубежи периметра сети. Механизм СВАС обеспечивает безопасность работы TCP- и UDP-приложений, работа которых осуществляется через общеизвестные порты, например, такие как потоки данных FTP и электронной почты, путем тщательного изучения адресов отправителя и получателя потоков данных. Кроме того, технология СВАС позволяет использовать механизмы брандмауэра в составе единого решения системы обеспечения безопасности.
Механизм СВАС имеет возможность "интеллектуальной" фильтрации TCP- и UDP-пакетов данных, основанной на информации об используемых в ходе сеанса протоколах уровня приложения. Кроме того, данный механизм имеет возможность проверки потока данных для сеанса связи, открытого на любом интерфейсе маршрутизатора. СВАС проверяет передаваемые через брандмауэр потоки данных с целью выявления информации о состоянии TCP- и UDP-сеансов связи и управления такими сеансами. Данная информация о состоянии сеансов связи приводит к созданию временных разрешающих записей в списках управления доступом брандмауэра, необходимых для получения возвращающегося потока данных и создания дополнительных соединений для передачи данных в разрешенных сеансах связи.
Возможность проверки пакетов данных на сетевом уровне и защиты информации о TCP- и UDP-сеансах связи позволяет использовать СВАС для обнаружения и предотвращения некоторых типов сетевых взломов. Кроме того, СВАС позволяет производить проверку порядковых номеров пакетов данных при TCP-соединениях для идентификации того, что они принадлежат определенному диапазону. В случае получения подозрительного пакета данных он блокируется механизмом СВАС. Проверка, осуществляемая с помощью механизма СВАС, также позволяет предотвратить взломы типа DoS (Denial of Service — отказ в обслуживании), включая взломы с использованием фрагментации IP-пакетов. Однако уместно отметить, что брандмауэр предотвращает взломы узла, с которым было установлено соединение, но не может воспрепятствовать взлому служб, которые обеспечиваются данным узлом. Подобный взлом возможен путем посылки большого количества неначальных IP-фрагментов или фрагментированных пакетов через маршрутизатор. Поскольку в списках управления доступом (ACL) маршрутизатора проверяется только начальный фрагмент цепочки фрагментов пакета (offset=0), на взламываемом маршрутизаторе может скопиться большое количество неначальных фрагментов, что повлечет за собой попытки повторной сборки пакетов маршрутизаторов.
Для СВАС требуется 600 байт памяти DRAM для каждого объекта, который обрабатывается в данный момент. Поэтому при больших нагрузках на маршрутизатор может возникнуть дефицит памяти. Для фильтрации пакетов с учетом состояния маршрутизатору также необходимо тщательно анализировать каждый пакет данных, проверяя достоверность многих его параметров. При обработке большого потока данных может не хватить вычислительной мощности центрального микропроцессора, вследствие чего уменьшится производительность системы в целом.
CBAC
1) Соберите схему, изображенную на рисунке. Задайте ip-адреса компьютерам, убедитесь, что на серверах настроены службы HTTP и FTP.
2) Настройте маршрутизатор следующим образом:
! Обозначим протоколы, которые будут подвергаться контролю и передаче
Router(config)#ip inspect name CBAC http
Router(config)#ip inspect name CBAC icmp
Router(config)#ip inspect name CBAC tcp
Router(config)#ip inspect name CBAC telnet
Router(config)#ip inspect name CBAC udp
! Создадим список доступа для внешнего порта маршрутизатора,
! запрещающий любые соединения
Router(config)#ip access-list extended 100
Router(config-ext-nacl)#deny ip any any
Router(config-ext-nacl)#ex
! Создадим список доступа для внутреннего порта маршрутизатора,
! разрешающий любые соединения, инициируемые из сети 192.168.0.0
Router(config)#ip access-list extended 101
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any
Router(config-ext-nacl)#deny any any
Router(config-ext-nacl)#ex
! Настроим порт маршрутизатора, находящийся в локальной сети
Router(config)#int fa0/0
Router(config-if)#ip ad 192.168.0.1 255.255.255.0
! Включение проверки файерволом всех входящих пакетов
Router(config-if)#ip inspect CBAC in
! Присвоение порту списка доступа
Router(config-if)#ip access-group 101 in
Router(config-if)#no shut
Router(config-if)#ex
! Настроим порт маршрутизатора, находящийся в глобальной сети
Router(config)#int fa0/1
Router(config-if)#ip ad 200.200.200.1 255.255.255.0
! Присвоение порту списка доступа
Router(config-if)#ip access-group 100 in
Router(config-if)#no shut
Router(config-if)#ex
3) Используя команду ping убедитесь, что сервера доступны для компьютеров локальной сети.
4) Т.к. внешнему порту маршрутизатора присвоен список доступа, запрещающий любые соединения, то сервера не смогут пинговать компьютеры локальной сети. Проведите эксперимент.
5) Проверьте работоспособность сервисов HTTP (в браузере необходимо вводить не символьное имя, а ip-адрес) и FTP.
Индивидуальное задание.
Соберите схему. Настройте маршрутизатор по аналогии с предыдущим заданием. CBAC должен быть настроен для порта, относящегося к сети 1, в режиме in.
|
Вариант |
1 сеть |
2 сеть |
3 сеть |
|
|
1 |
192.168.16.0/20 |
192.168.32.0/20 |
192.168.48.0/20 |
|
|
2 |
200.200.200.0/24 |
200.200.201.0/24 |
200.200.202.0/24 |
|
|
3 |
10.96.0.0/12 |
10.112.0.0/12 |
10.128.0.0/12 |
|
|
4 |
172.16.0.0/16 |
172.17.0.0/16 |
172.18.0.0/16 |
|
|
5 |
10.64.0.0/10 |
10.128.0.0/10 |
10.192.0.0/10 |
|
|
6 |
192.168.0.0/24 |
10.0.0.0/8 |
172.16.0.0/16 |
|
|
7 |
10.48.0.0/16 |
10.49.0.0/16 |
10.50.0.0/16 |
|
|
8 |
192.168.0.0/24 |
192.168.1.0/24 |
192.168.2.0/24 |
|
|
9 |
210.210.32.0/19 |
210.210.64.0/19 |
210.210.128.0/19 |
|
|
10 |
10.10.0.0/16 |
10.11.0.0/16 |
10.12.0.0/16 |
|
Контрольные вопросы
-
Как расшифровывается аббревиатура CBAC?
-
В чем назначение CBAC?
-
Какие достоинства CBAC вы знаете?
-
Недостатки?
-
Сколько байт памяти использует CBAC для каждого соединения?
-
Использование каких протоколов вы разрешали через CBAC?