Wykład 4 12 11 07

Wykład 4 07-11-2012

Listy zwrotne:

Otwierana jest sesja telnet do 200.2.2.2 z 176.16.1.1 z portu 1050

Dane w segmencie inicjującym (obok transmisji)

Adres Port
Źródło 176.16.1.1 1050
Cel 200.2.2.2 23

permit tcp 200.2.2.2 eq 23 176.16.1.1 eq 1050

R1(config-ext-nacl)# permit icmp any any reflect icmp timeout 30

R1(config-ext-nacl)# permit ip any any

  1. R1(config)# ip access-list ext PING_powrotny

R1(config-ext-nacl)# evaluate ICMP

R1(config-ext-nacl)# remark (wpuszczamy tylko ICMP zainicjowany przez nas)

R1(config-ext-nach)# denny icmp any any log

R1(config-ext-nach)# permit ip any any

Rejestrowanie i sprawdzanie przypadków użycia ACL:

Listy kontekstowe:

R1(config)# ip access-list ext FTP_pasywny

R1(config-ext-nach)# permit tcp any gt 1023 any eq ftp

R1(config-ext-nach)# permit tcp any gt 1023 any gt 1023

R1(config-ext-nach)# deny ip any any

R1(config-if)# ip access-group FTP_pasywny

Tzw. Stanowe sprawdzanie transmisji (Content Based Access Control - CBAC)

Obsługują protokoły warstw sieciowej i transportowej (TCP/IP) oraz aplikacje jednokanałowe i wiele aplikacji wielokanałowych

Bezpiecznie obsługują pakiety pofragmentowane

Listy kontekstowe konfiguracja:

Wybór interfejsu dla którego konfigurowany ma być CABC

Konfiguracja ACL dla interfejsu

Definicja limitów czasu i wartość poprawnych

Definicja reguł inspekcyjnych

Monitorowanie pracy CBAC

ip inspect name nazwa protokół [alert {on|off}] [audit-trial {on|off}] [timeout sekundy]

- alert – włącza wysyłanie komunikatów do dziennika systemu po wykryciu nieprawidłowości

- audit-trial – rejestracja w dzienniku systemu danych dot połączeń, tzn. adresów, portów, liczby bajtów

R1(config)# ip inspect name Telnet tcp audit-trial on

R1(config)# end

Dla RPC I Java stosowany jest inny format komendy do definicji inspekcji:

R1(config)# access-list 166 deny ip any any

R1(config)# access-list 167 permit tcp any any eq Telnet

R1(config)# ip inspect name Telnet tcp

R1(config)# interface serial 0/1

R1(config)# ip access-group 166 in

R1(config)# ip access-group 167 out

R1(config)# ip inspect Telnet out

Definicja limitów czasu:

Monitorowanie działania CBAC:

#show ip access-list 166

#show ip inspect sessions


Wyszukiwarka

Podobne podstrony:
Wykład 5 12 11 07
wykład kinezjologia 1 7 11 07
Wykład 9 (21.11.07), toxycologia
12 11 07 El?seo? Dios
AKO Wyklad 12 11 11 id 53978 Nieznany (2)
Filozofia z etyką wykład 5 (12 11)
Baraniewski, wykład, 1 12 11
Wykład 5 (06.11.07), toxycologia
wyklad 5 12.11.2007, wyklady - dr krawczyk
Wykład 8 (20.11.07), toxycologia
Baraniewski, wykład, 8 12 11
Wykład 7 12 11 28
Wykład 6 12 11 21
wykład kinezjologia 1 7 11 07
Wykład 9 (21.11.07), toxycologia
AKO Wykład 12 11 11
wykłady 12 11 2013
Wykłady PAU Wykłąd PAU 7 12 11
wykłady do 11 12 13

więcej podobnych podstron