Списки контроля доступа

5.2. Конфигурирование стандартных списков доступа

Конфигурирование списков доступа производится в два этапа:

1. Создание списка доступа в режиме глобального конфигурирования.
2. Привязка списка доступа к интерфейсу в режиме детального конфигурирования интерфейса.

Формат команды создания стандартного списка доступа следующий:

Router(config)#access-list {номер} {permitилиdeny} {адрес источника}
  

Списки доступа могут фильтровать как трафик, входящий в маршрутизатор (in), так и трафик, исходящий из маршрутизатора (out). Направление трафика указывается при привязке списка доступа к интерфейсу. Формат команды привязки списка к интерфейсу следующий:

Router(config-if)#{протокол} access-group {номер} {in или out}
  

После привязки списка доступа его содержимое не может быть изменено. Не удовлетворяющий администратора список доступа должен быть удален командой no access-list и затем создан заново.

Ниже приведены примеры конфигурирования стандартных списков доступа по защите Сети 1 ( рис. 5.3).

Рис. 5.3. Схема сети

Пример 1. Необходимо, чтобы узлы Сети 1 были доступны только узлу Сети 2 с адресом 192.168.20.11, а все остальные узлы Сети 2 и Сети 3 не имели бы доступа в Сеть1. Список доступа следует установить на интерфейс G0/0 маршрутизатора Router_A. Номер списка доступа (10) выбирается из диапазона табл. 5.1.

Создание и установка списка доступа производится по командам:

Router_A(config)#access-list 10 permit 192.168.20.11
Router_A(config)#int g0/0
Router_A(config-if)#ip access-group 10 out
  

Согласно созданной конфигурации ко всем исходящим из маршрутизатора через интерфейс G0/0 пакетам будет применяться список доступа:

• permit 192.168.20.11 - присутствует в списке в явном виде,
• deny any - присутствует неявно в конце каждого списка доступа.

Некоторые версии операционных систем IOS маршрутизаторов требуют в обязательном порядке использование инверсных масок Wild Card при задании адресов узлов и сетей, либо расширения host при задании адресов узлов. Подобные дополнения рассмотрены в следующих примерах.

Пример 2. Серверы Сети 1 должны быть доступны всем узлам Сети 2 и узлу Сети 3 с адресом 192.168.30.11, остальные узлы Сети 3 не должны иметь доступа. Список доступа установить на интерфейс G0/0 Router_A. В списке доступа анализируются адреса сети и отдельного узла, поэтому необходимо использовать маску Wild Card. Нулевые значения шаблонной маски Wild Card означают требование обработки соответствующих разрядов адреса, а единичные значения - игнорирование соответствующих разрядов адреса при функционировании списка доступа. Таким образом, маска 0.0.0.0 предписывает анализ и обработку всех разрядов адреса, т.е. в этом случае будет обрабатываться адрес узла. Маска 0.0.0.255 показывает, что обрабатываться будет только сетевая часть адреса класса С.

Следовательно, список доступа будет следующим:

Router_A(config)#access-list 11 permit 192.168.30.11 0.0.0.0
Router_A(config)#access-list 11 permit 192.168.20.0 0.0.0.255
Router_A(config)#int g0/0
Router_A(config-if)#ip access-group 11 out
  

Согласно созданной конфигурации ко всем исходящим из маршрутизатора пакетам через интерфейс f0/0 будет применяться список доступа:

• permit 192.168.30.11 0.0.0.0 - разрешение доступа узлу в Сеть 1,
• permit 192.168.20.0 0.0.0.255 - разрешение доступа всем узлам Сети 2 в Сеть 1,
• deny any - присутствует неявно в конце списка доступа.

Записи 192.168.30.11 0.0.0.0 полностью соответствует другой вариант - host 192.168.30.11, который также предписывает обрабатывать адрес только одного узла.

Пример 3. В Сети рис. 5.3 необходимо установить список доступа, который:

1. блокирует рабочей станции 192.168.20.11 Сети 2 доступ в Сеть1;
2. блокирует рабочей станции 192.168.30.24 Сети 3 доступ в Сеть1;

Для этого создается список доступа:

Router_А(config)#access-list12 deny host 192.168.20.11 
Router_А(config)#access-list12 deny host 192.168.30.24 
Router_А(config)#access-list12 permit any 
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group 12 out
  

Данный список блокирует доступ в Сеть 1 только двум рабочим станциям 192.168.20.11 и 192.168.30.24, а всем остальным - доступ разрешен. Если бы отсутствовала третья строка списка доступа, то ни одна станция из других сетей не могла бы попасть в Сеть 1.

Поскольку созданные маршрутизатором пакеты списками доступа не фильтруются, то это дает возможность открывать несанкционированные Telnet- и SSH-сессии. Поэтому для повышения безопасности удаленного доступа через виртуальные линии vty могут использоваться списки контроля доступа c командой access-class. Списки доступа, созданные этой командой, управляют процессом создания исходящих и входящих соединений маршрутизатора. Формат команды следующий:

Router(config)#access-class {номер} {in [vrf-also] | out}
  

Пример конфигурирования списка ограничения удаленного доступа рассмотрен для сети рис. 5.4. Например, в сети ограничивается удаленный доступ, например по Telnet, с одного из узлов сети 192.168.10.0 или 192.168.20.0:

R-A(config)#enable password cis-1
R-A(config)#line vty 0 4
R-A(config-line)#password cis-2
R-A(config-line)#login
  

Рис. 5.4. Сеть со списком ограничения удаленного доступа

Для ограничения доступа только узлу 192.168.10.11 из сети 1 создается следующий список:

R-A(config-line)#access-class 11 in
R-A(config-line)#exit
R-A(config)#access-list 11 permit 192.168.20.11 0.0.0.0
R-A(config)#access-list 11 deny any
  

Параметр in ограничивает доступ входящим соединениям между адресами списка и маршрутизатором, out - блокирует исходящие соединения.