Списки контроля доступа

Краткие итоги

1. Для защиты информации на интерфейсах маршрутизаторов конфигурируются списки доступа (ACL), которые обеспечивают базовый уровень безопасности.
2. Списки доступа могут использоваться, чтобы разрешать (permit) или запрещать (deny) продвижение пакетов через маршрутизатор.
3. Запрет или разрешение сетевого трафика через интерфейс маршрутизатора реализуется на основании анализа совпадения определенных условий (правил).
4. В списке доступа ACL могут анализироваться адреса источника, адреса назначения, протоколы и номера портов.
5. Списки доступа могут быть определены для каждого установленного на интерфейсе протокола и для каждого направления сетевого трафика (исходящего и входящего).
6. Каждый список должен иметь уникальный идентификационный номер или имя.
7. Стандартные списки доступа для принятия решения анализируют в пакете только IP-адрес источника сообщения.
8. Расширенные списки доступа проверяют IP-адрес источника, IP-адрес назначения, поле протокола в заголовке пакета и номер порта в заголовке сегмента.
9. Стандартные списки доступа должны располагаться поближе к адресату назначения.
10. Расширенные списки доступа должны быть установлены по возможности близко к источнику сообщений.
11. Условие deny any (запретить все остальное) есть неявно в конце любого списка доступа.
12. Создание списка доступа производится в режиме глобального конфигурирования. Формат команды создания стандартного списка доступа следующий:

    Router(config)#access-list {номер} {permitили deny} {адрес источника}.
       
13. Привязка списка доступа к интерфейсу производится в режиме детального конфигурирования интерфейса. Формат команды привязки списка к интерфейсу следующий:

    Router(config-if)#{протокол} access-group {номер} {in или out}
       
14. Формат команды создания расширенного списка доступа следующий:

    Router(config)#access-list {номер} {permitили deny} {протокол} {адрес источника}{адрес назначения} {порт}
       
15. Именованные списки доступа позволяют за счет введения имени списка сократить затем объем записей при конфигурировании.
16. Контроль списков доступа производится по командам show run, show access-list, show ip interface.
17. Нумерация строк именованного списка доступа позволяет корректировать его.
18. Протокол IPv6 поддерживает именованные расширенные списки доступа. Вместо команды назначения списка доступа на интерфейс (ip access-group) протокола IPv4, в сетях IPv6 используется команда ipv6 traffic-filter.
19. В конце списка доступа IPv6 неявно присутствует команда deny ipv6 any any.
20. Список доступа IPv6 включает также два неявных условия:

    permit icmp any any nd-ns,
    permit icmp any any nd-na,
       

    необходимых для разрешения передачи пакетов обнаружения соседних устройств и их МАС-адресов (Neighbor Discovery - nd) средствами протокола ICMP (вместо протокола ARP в сетях IPV4).

Вопросы

1. Для чего используются списки доступа?
2. На основании чего формируется запрет или разрешение сетевого трафика через интерфейс маршрутизатора?
3. Какие параметры пакета могут анализироваться в стандартном и расширенном списке доступа?
4. Где устанавливаются списки доступа и для какого трафика?
5. Какое условие имеется неявно в конце любого списка доступа?
6. Для чего нужны идентификационные номера списков доступа?
7. Каков формат команды создания стандартного списка доступа?
8. Каков формат команды создания расширенного списка доступа?
9. Каков формат команды привязки списка к интерфейсу?
10. Чем различается функционирование входящих и исходящих списков доступа?
11. Какие достоинства имеют именованные списки доступа?
12. Какая команда используется для ограничения удаленного доступа через виртуальные линии vty?
13. Какие команды производят контроль списков доступа?
14. Возможно ли редактирование списков доступа?
15. В чем особенности конфигурирования списков доступа в сетях IPv6?
16. Какие команды используются для удаления списков доступа IPv6?

Упражнения

1. Сконфигурируйте список доступа для защиты узла 192.168.10.11 Сети 1 нижеприведенной схемы от несанкционированного доступа со всех узлов Сети 2 и одного узла Сети 3 по командам протокола ICMP. Кроме того разрешить доступ по Telnet с узлов Сети 2 на узел Сети 1.
   

   
   
2. Проведите проверку и отладку сети с использованием команд show running-config, show access-list, show ip access-list, show ip interface, ping, traceroute, tracert и telnet.