Лабораторная работа №2
ИССЛЕДОВАНИЕ ВОЗМОЖНОСТЕЙ ФИЛЬТРАЦИИ ПАКЕТОВ В
ОПЕРАЦИОННОЙ СИСТЕМЫ CISCO IOS С ИСПОЛЬЗОВАНИЕ
СПИСКОВ КОНТРОЛЯ ДОСТУПА (ACL)
Цель работы. Знакомство с понятием «Список контроля доступа» (ACL).
Рассмотрение стандартных и расширенных типов списков контроля доступа. создание в пакете Cisco Packet Tracer полигонов для экспериментов со стан- дартными и расширенными списками доступа. Проведение экспериментов по исследованию возможностей стандартной и расширенной списка доступа.
2.1 Общие понятия о списках контроля доступа
В операционной системе CISCO (IOS) список контроля доступа ACL
(Access Control List) — это последовательный список правил, позволяющий выделить из всего информационного сетевого потока определенную часть трафика. ACL применяются для многих целей. В данной лабораторной рабо- те рассматривается вопрос использования механизма ACL в качестве пакет- ного фильтра на интерфейсах маршрутизаторов с целью эффективного кон- троля входящего и исходящего трафик сети, т.е. для обеспечения сетевой безопасности.
Для контроля трафика механизм ACL анализирует заголовки IP-пакетов
(«пакетный фильтр»), определяя IP-адреса источника и приемника, а также заголовки тех протокольных сообщений, которые помещены в тело IP- пакета.
Глубина анализа определяется типом ACL:
1. стандартный ACL – выполняет простейший анализ только по IP- адресу источника, работает быстро;
2. расширенный ACL – выполняет глубокий анализ по IP-адресам источ- ника и получателя сообщения, а также по многим другим критериям (типам протоколов, номерам портов и пр.), работает медленнее, чем стандартный.
Имеются ряд других типов ACL, которые в данной работе не рассматри- ваются.
Выявленный в результате анализа тип пакета может быть разрешен для прохождения (permit) или запрещен (deny).
Для фильтрации пакетов на каком-либо интерфейсе к этому интерфейсу должен быть прикреплѐн (специальной командой IOS) определенный ACL.
То есть списки ACL создаются предварительно, а затем уже могут быть при- креплены к интерфейсу.
Определенный ACL может фильтровать либо входной, либо выходной поток пакетов определенного интерфейса.
При фильтрации входного трафика весь поступающий на интерфейс тра- фик подвергается фильтрации. Нежелательные пакеты отбрасываются и уже только потом остальные пакеты маршрутизируются.
При фильтрации выходного трафика пакет фильтруется после процесса маршрутизации перед тем, как попасть на выходной интерфейс.
Какой поток фильтровать – входящий или выходящий – указывается в команде прикрепления ACL к интерфейсу.
На каждом интерфейсе может быть размещен один входной и один вы- ходной ACL.
В рамках операционной системы IOS список доступа создаѐтся в виде набора текстовых правил, каждое из которых создаѐтся в контексте глобаль- ной конфигурации командой access-list.
В общем виде каждое правило может быть представлена следующим об- разом:
<номер списка> < действие> < условие>
Для стандартных ACL списки имеет номера в пределах 1–99, а для рас- ширенных ACL номера списков 100–199.
< действие> может быть permit (разрешено) или deny (запрещено).
<условие> определяет возможный набор параметров пакета.
Созданный список должен быть прикреплен к определѐнному интерфейсу маршрутизатора в контексте конфигурирование интерфейса специальной ко- мандой.
При фильтрации на интерфейсе обработка пакета ведется строго в том по- рядке, в котором заданы правила списка на этом интерфейсе. Соответствен- но, когда пакет попадает на интерфейс, его параметры проверяются на усло- вия первого правила, если условия первого правила совпадают с параметрами пакета, дальнейшая его обработка прекращается. Пакет либо будет пропущен
(пройдет дальше), либо будет уничтожен. Если условия первого правила не совпали с параметрами пакета идет обработка условий второго правила, если они совпали с параметрами пакета обработка прекращается, если нет, идет обработка условий третьего правила и так далее пока не проверятся условия всех правил. Если никакое из условий не совпадает, пакет просто уничтожа- ется, т. е. в конце списка правил всегда расположено непрописанное правило
«все пакеты запретить».
2.2. Стандартные ACL
В дальнейшем при описании команд мы будем придерживаться таких до- говоренностей:
ключевые слова, которые используются в неизменном виде, будем за- писывать жирным шрифтом, например deny;
название параметра, список параметров, действия, вместо которых в реальной строке должно быть записано конкретное значение, название и т. д. будем отмечать угловыми скобками, например: <номер>;
альтернативный вариант записи будем обозначать { <вариант1> | <ва- риант2> } (в реальной записи можно выбрать только одну из альтернатив), например: { permit | deny }.
необязательные параметры выделяются квадратными скобками, например [<комментарий>];
приглашение командной строки будем выделять подчѐркиванием, например router(config)#.
Запись правила стандартного списка доступа (в сокращѐнном виде) вы- глядит следующим образом:
<
имя маршрутизатора>(config)#access-list <номер списку>
{permit | deny }
{<source netaddress> <source-wildcard> | any | host <source hostaddress>} здесь
permit – разрешить доступ при соблюдении условий;
deny – запретить доступ при соблюдении условий;
<
source netaddress> – IP-адрес сети из которой отправлен пакет;
<
source-wildcard> – маска исходного IP-адреса сети в специальной форме (wildcard маска или шаблонная маска);
host – IP-адрес, с которого отправлен пакет, принадлежит хосту;
<
source hostaddress> –IP-адрес хоста с которого отправлен пакет
any – любые IP-адреса отправителей.
В правилах списка доступа применяется шаблонная (инверсная) маска. это маска получается инвертированием обычной маски, то есть нули обыч- ной маски заменяются на единицы, а единицы заменяются на нули. Для мас- ки в десятичном представлении байт инверсной маски получается вычитани- ем из 255 байта обычной маски. Например, обычная маска – 255.255.255.0; шаблонная маска – 0.0.0.255; обычная маска – 255.255.192.0; шаблонная маска – 0.0.63.255.
При планировании списков доступа следует учесть, что в конце списка всегда стоит неявная команда deny any запрещающая весь остальной трафик.
Примеры стандартных списков (для маршрутизатора с именем Router).
Router(config)#access-list 10 permit 192.168.32.0 0.0.0.255
Этим правилом мы разрешаем трафик для сети 192.168.32.0/24, весь остальной трафик запрещѐн.
Router(config)#access-list 20 deny 192.168.32.5
Router(config)#access-list 20 permit 192.168.32.0 0.0.0.255
Этим правилом мы разрешаем трафик для всех хостов сети
192.168.32.0/24 кроме хоста 192.168.32.5.
2.3. Расширенные ACL
Для более точного контроля над фильтрацией трафика управления можно создать расширенные списки контроля доступа IPv4. Расширенные ACL- списки нумеруются от 100 до 199 (в некоторых случаях используются и дру- гие номера).
Расширенные ACL-списки используются чаще, чем стандартные, по- скольку они обеспечивают больший объем контроля. Расширенные ACL- списки проверяют не только IP-адреса источников пакетов, но также IP- адреса назначения, протоколы tcp, udp, icmp и ряд других, номера портов от- правителя и получателя (для протоколов tcp, udp) и ряд других сетевых пара- метров. Это обеспечивает более широкий спектр критериев, на которых можно строить ACL-список.
Сокращѐнная форма правила расширенного списка выглядит следующим образом: здесь
permit – разрешить доступ при соблюдении условий;
deny – запретить доступ при соблюдении условий;
<
протокол> – название протокола, который анализируется, например tcp, udp, icmp; если кроме IP не анализируется никакие другие протоко- лы, то указывается просто ip;
<
source netaddress> – IP-адрес сети, из которой отправлен пакет;
<
source-wildcard> – маска IP-адреса сети отправителя в специальной форме;
any – любые IP-адреса;
host – признак того, что стоящий после этого слова ip-адрес принадле- жит хосту;
<
source hostaddress> – IP-адрес хоста, с которого отправлен пакет;
<
operator> – название логического механизма сравнения номера tcp- порта в заголовке пришедшего tcp-сегмента или номера udp-порта в за- головке пришедший udp-дейтаграммы с соответствующими значения- ми правила; чаще всего используются операторы eq (равно) и neq (не равно);
<
source port number> – номер порта источника;
<
source appl.name> – имя стандартного приложения (ftp, telnet, http, www и пр.), которое отправило сообщение (для стандартных приложе- ний для которых определены стандартные номера портов);
<
distination netaddress> – IP-адрес сети назначения;
<
distination-wildcard> – маска IP-адреса сети назначения в специальной форме
<
distination hostaddress> – IP-адрес хоста назначения;
<
distination port number> – номер порта назначения;
<
distination appl.name> – имя стандартного приложения, которому предназначено сообщение;
established – п араметр, который разрешает возврат в сеть только того трафика tcp, который изначально исходил из этой сети
(только для про- токола tcp).
Не следует забывать о косвенной (неявно присутствующей) записи в кон- це каждого ACL-списка, которая запрещает весь трафик. При отсутствии по крайней мере одной разрешающей команды permit в ACL-списке весь тра- фик на интерфейсе, где применѐн ACL, будет запрещен. Чтобы исключить блокировку всего трафика после списка запрещающих правил необходимо в конец списка добавить команду permit ip any any («весь остальной трафик разрешить»).
Для просмотра имеющихся списков доступа необходимо в контексте ад- министратора ввести команду
<
имя маршрутизатора>#show ip access-list
2.4. Прикрепление списков доступа к интерфейсам
Для того, чтобы список доступа начал выполнять свою работу, он должен быть применен к конкретному интерфейсу. Для этого необходимо перейти в контексте конфигурирование этого интерфейса с помощью команды
<
имя маршрутизатора>#interface <имя интерфейса>
<
имя маршрутизатора>(config-if)# а затем прикрепить соответствующий список доступа к этому интерфейсу с помощью команды
<
имя маршрутизатора>(config-if)#
ip access-group <номер-списка>
{ in | out }
Список доступа может быть применѐн либо как входной (in) либо как вы- ходной (out). Когда вы применяете список доступа как входной, то маршру- тизатор получает входной пакет и сверяет его параметры с элементами спис- ка. Маршрутизатор разрешает пакету маршрутизироваться на интерфейс назначения, если пакет удовлетворяет разрешающим элементам списка, либо
отбрасывает пакет, если он соответствует условиям запрещающих элементов списка.
Если вы применяете список доступа как выходной, то роутер получает входной пакет, маршрутизирует его на интерфейс назначения и только тогда обрабатывает параметры пакета согласно элементам списка доступа этого интерфейса. Далее маршрутизатор либо разрешает пакету покинуть интер- фейс, либо отбрасывает его согласно разрешающим и запрещающим элемен- там списка соответственно.
При размещении списков доступа на интерфейсах руководствуются сле- дующими правилами. Стандартный ACL необходимо размещать максималь- но близко к получателю трафика. Что же касается расширенных ACL, то их, как правило, следует помещать как можно ближе к источнику фильтруемых пакетов.
2.5. Редактирование списков доступа
Стандартные и расширенные нумерованные списки редактировать нельзя
(по крайнем мере простым способом). К примеру, нельзя в середину списка вставить команду или удалить ее. Для этого нужно сначала деактивировать
(открепить) список на самом интерфейсе (в контексте конфигурирования ин- терфейса) командой
<
имя маршрутизатора>(config-if)#
no ip access-group <номер-списка>
{ in | out } затем перейти в контекст администратора (команда exit) и полностью удалить список доступа, используя команду
<
имя маршрутизатора>(config)#no access-list <номер списка> а затем создать скорректированный список заново.
2.6. Последовательность выполнения работы
2.6.1. Построение простейшего полигона
Принципы построения сети в рабочем окне Cisco Packet Tracer изложены в методических указаниях к выполнению лабораторных работ по курсу
«Компьютерные сети» (лабораторная работа №1). В соответствии с этими принципами постройте составную сеть изображенную на рис. 2.1. и настрой- те ее в соответствии с таблицей 2.1. Здесь v – номер Вашего варианта (зада- ется преподавателем). Номера конкретных узлов можете задать по своему усмотрению.
Если вы применяете список доступа как выходной, то роутер получает входной пакет, маршрутизирует его на интерфейс назначения и только тогда обрабатывает параметры пакета согласно элементам списка доступа этого интерфейса. Далее маршрутизатор либо разрешает пакету покинуть интер- фейс, либо отбрасывает его согласно разрешающим и запрещающим элемен- там списка соответственно.
При размещении списков доступа на интерфейсах руководствуются сле- дующими правилами. Стандартный ACL необходимо размещать максималь- но близко к получателю трафика. Что же касается расширенных ACL, то их, как правило, следует помещать как можно ближе к источнику фильтруемых пакетов.
2.5. Редактирование списков доступа
Стандартные и расширенные нумерованные списки редактировать нельзя
(по крайнем мере простым способом). К примеру, нельзя в середину списка вставить команду или удалить ее. Для этого нужно сначала деактивировать
(открепить) список на самом интерфейсе (в контексте конфигурирования ин- терфейса) командой
<
имя маршрутизатора>(config-if)#
no ip access-group <номер-списка>
{ in | out } затем перейти в контекст администратора (команда exit) и полностью удалить список доступа, используя команду
<
имя маршрутизатора>(config)#no access-list <номер списка> а затем создать скорректированный список заново.
2.6. Последовательность выполнения работы
2.6.1. Построение простейшего полигона
Принципы построения сети в рабочем окне Cisco Packet Tracer изложены в методических указаниях к выполнению лабораторных работ по курсу
«Компьютерные сети» (лабораторная работа №1). В соответствии с этими принципами постройте составную сеть изображенную на рис. 2.1. и настрой- те ее в соответствии с таблицей 2.1. Здесь v – номер Вашего варианта (зада- ется преподавателем). Номера конкретных узлов можете задать по своему усмотрению.
Рисунок 2.1 – Схема простейшего полигона в рабочей области Cisco Packet Tracer
Таблица 2.1.
IP-адреса узлов сети простейшего полигона
IP-address Net1
IP-address Net2 200.200.v.0/24 200.210.v.0/24
Настройка узлов сети производится в окне настройки рабочей станции
(появляется при щелчке мышью на изображении рабочей станции или роуте- ра в рабочей области). Примеры настройки рабочей станции PC0 и одного из интерфейсов роутера в их окнах настройки показаны на рис. 2.2–2.4 для ва- рианта v=133.
Рисунок 2.2 – Пример настройки IP-адреса рабочей станции РС0
Рисунок 2.3 – Пример настройки маршрутизации по умолчанию для рабочей станции РС0
Рисунок 2.4 – Пример настройки IP-адреса интерфейса FastEthernet0/0 маршрутизатора Router0
Для проверки правильности настройки сети выполните пингование РС1 из рабочей станции РС0. Напомним что пингование выполняется в окне
Command Prompt. Для входа в это окно в окне настройки РС2 откройте за- кладку Desktop и выберите иконку Command Prompt (рис. 2.5).
Рисунок 2.5 – Запуск окна Command Prompt на рабочей станции РС1
Сделайте скриншот результата пингования.
2.6.2. Настройка стандартного ACL
С использованием стандартного ACL на построенном простейшем поли- гоне необходимо запретить доступ к рабочей станции РС1 из рабочей стан- ции РС0, при этом доступ из рабочей станции РС2 должен быть разрешѐн.
1) В маршрутизаторе Router0 сформируйте стандартный ACL, реализую- щий заданное правило. Настройку следует производить из терминала, в каче- стве которого используйте рабочую станцию РС2. Работа из терминала с операционной системой IOS рассматривается в лабораторной работе №6 кур- са «Компьютерные сети». Здесь мы вкратце напомним основные принципы этой работы.
В окне настройки РС2 откройте закладку Desktop и выберите иконку
Terminal.
В появившемся окне Terminal Configuration щелкните ОК, появится окно терминала. Нажмите Enter (на клавиатуре). Должно появиться приглашение
Router>, что говорит о том, что Вы находитесь в контексте (режиме) пользо- вателя IOS.
Стандартный список ACL формируется в глобальном контексте конфигу- рирования. Для перехода в этот режим необходимо выполнить следующую последовательность команд (жирным шрифтом будем отмечать вывод опера- ционной системы, обычным шрифтом – ввод оператора):
Router>enable
Router#config terminal
Router(config)#
Далее можно водить правила списка доступа. Так как список доступа по умолчанию запрещает всѐ, что явно не разрешено, то в соответствии с зада- нием необходимо разрешить доступ к РС1 из рабочей станции РС2 (доступ из рабочей станции РС0 будет запрещѐн по умолчанию):
Router(config)#access-list 10 permit host 200.200.133.3 2) Далее список необходимо прикрепить к интерфейсу. Так как список стандартный то его необходимо прикрепить к интерфейсу, который макси- мально приближен к точке назначения. В нашем случае точка назначения это
РС1. Максимально близкий интерфейс к ней – Fast Ethernet 1/0 (f1/0) роутера.
Поэтому следует перейти в контекст настройки этого интерфейса:
Router(config)#interface f1/0 а затем прикрепить к нему список доступа как выходной (из маршрутизато- ра):
Router(config-if)#ip access-group 10 out
3) Проверьте работу списка доступа. Выполните пингование рабочей станции РС1 сначала из РС0 (здесь доступ должен быть закрыт), а затем из
РС2 (здесь доступ должен быть открыт).
2.6.3. Построение расширенного полигона
Постройте составную сеть, изображенную на рис. 2.5, и настройте ее в соответствии с таблицей 2.2. Здесь v – номер Вашего варианта (задается пре- подавателем). IP-адреса узлов выберите произвольно в рамках IP-адресов со- ответствующих сетей и укажите возле соответствующих интерфейсов.
Для настройки таблиц маршрутизации в маршрутизаторах используйте терминалы (РС1 для роутера General и РС4 для роутера ISP). Работа с терми- налами в операционной системе IOS маршрутизаторов и настройка с их по- мощью таблиц маршрутизации показана в лабораторных работах 6 и 7 курса
«Компьютерные сети».
Рисунок 2.5. – Схема расширенного полигона в рабочей области Cisco Packet Tracer
(для варианта v=133)
Таблица 2.2
IP-адреса узлов сети расширенного полигона
IP-address
Net1
IP-address
Net2
IP-address
Net3
IP-address
Net4
IP-address
Net5 10.v.1.0/24 10.v.2.0/24 212.v.211.16/30 200.10.v.0/24 210.10.v.0/24
Для проверки правильности настройки сети выполните пингование сер- веров сетей Net4 и Net5 из рабочих станций Net1 и Net2. Сделайте скриншот результатов пингования.
Проверьте возможность обращения к веб серверу HTTP из сетей Net1 и
Net2. для этого в окне настройки рабочие станции сети откройте закладку
Desktop и выберите иконку Web Browser. В появившемся окне браузера (рис.
2.6) в строке URL наберите IP адрес веб-сервера (ServerHTTP) и нажмите кнопку Go. В окне браузера должен появиться текст страницы веб-сервера
(рис. 2.7). Сделайте скриншот окна браузера. рисунок 2.6 – Исходное окно браузера рабочей станции РС1
Рисунок 2.6 – Окно браузера рабочей станции со страницей из веб-сервера
ServerHTTP
2.2.4. Настройка расширенного ACL
С использование расширенного ACL необходимо запретить доступ к веб серверу (ServerHTTP) из сети Net1, при этом доступ к веб-серверу из осталь- ных сетей должен быть разрешѐн.
Расширенные списки следует помещать как можно ближе к источнику фильтруемых пакетов. В нашем случае источник фильтруемых пакетов это сеть Net1. Ближайшие к ней маршрутизатор это роутер Central. поэтому спи- сок доступа будем создавать в этом роутере с использованием терминала в рабочей станции PC1, которая является консолью этого роутера.
Через терминал РС1 войдите в режим глобальной конфигурации и набе- рите команды списка доступа:
Router(config)#access-list 110 deny tcp 10.133.1.0 0.0.0.255 host
210.10.133.2 eq www
Router(config)#access-list 110 permit ip any any
Первое правило запрещает доступ из сети
10.133.1.0/24 к веб-серверу хоста с IP-адресом
210.10.133.2. Обратите внимание на использование обратной маски 0.0.0.255 (обычная маска 255.255.255.0).
Второе правило разрешает весь остальной трафик.
Список будем прикреплять к интерфейсу FastEthernet0/0 (f0/0) роутера
Central. Так как к этому интерфейсу подключена только одна сеть
10.133.1.0/24, то первое правило можно записать следующим образом:
Router(config)#access-list 110 deny tcp any host 210.10.133.2 eq www
Далее созданный список необходимо прикрепить к интерфейсу:
Router(config)#interface f0/0
Router(config-if)#ip access-group 110 in
Это интерфейс входящий (in) для пакетов, которые фильтруются.
Попробуйте теперь из рабочей станции сети 10.133.1.0/24 обратиться к веб-серверу. Сделайте скриншот окна браузера после такого обращения.
Проверьте результат обращения к серверу из рабочей станции любой дру- гой сети. Сделайте скриншот окна браузера после такого обращения.
2.2.5 Индивидуальное задание
Открепите от интерфейса и удалите созданный список.
Получите у преподавателя индивидуальное задание по созданию стан- дартного или расширенного списка доступа для созданной сети.
Настройте ACL согласно полученному заданию и продемонстрируйте правильность этой настройки. Сделайте скриншоты команд настройки ACL и демонстрации результата настройки.
2.3 Содержание отчета
Отчет составляется в электронном формате и распечатывается. Отчет должен содержать:
– название работы;
– цель работы;
– номер Вашего варианта;
– скриншот схемы простейшего полигона в рабочей области Cisco Packet
Tracer
(с заданными согласно Вашему варианту IP-адресами);
- скриншот результата пингования рабочей станции PC1 из рабочей стан- ции PC2.
- скриншот команд создания стандартного списка доступа и прикрепле- ния его к интерфейсу роутера.
- скриншот результатов пингования рабочей станции PC1 из рабочих станций РС0 и PC2 после этой операции;
– скриншот схемы расширенного полигона в рабочей области Cisco
Packet Tracer
(с заданными согласно Вашему варианту IP-адресами);
- скриншот команд создания расширенного списка доступа и прикрепле- ния его к интерфейсу роутера.
- скриншот результатов обращения (окон браузеров) к веб-серверу из ра- бочих станций сетей Net1 и Net2 после этой операции;
– индивидуальное задание;
- скриншот команд создания и прикрепления к интерфейсу списка досту- па согласно индивидуальному заданию;
- результаты экспериментов по работе сети после этой операции (пинго- вание, обращение к серверу и т. п.).
Контрольные вопросы
1. Что такое список контроля доступа.
2. Какие типы списков контроля доступа вы знаете.
3. Возможности стандартного списка контроля доступа.
4. Возможности расширенного списка контроля доступа.
5.
Что такое входной и выходной список контроля доступа.