Wykład 4 07-11-2012
Listy zwrotne:
Potrafią zidentyfikować odpowiedzi związane z ruchem IP, ICMP, UDP, TCP zainicjowanym z sieci chronionej
Mechanizm dostępny tylko dla nazwanych list
Przykład:
Otwierana jest sesja telnet do 200.2.2.2 z 176.16.1.1 z portu 1050
Dane w segmencie inicjującym (obok transmisji)
| Adres | Port | |
|---|---|---|
| Źródło | 176.16.1.1 | 1050 |
| Cel | 200.2.2.2 | 23 |
Postać tworzonego zapisu w liście dostępu:
permit tcp 200.2.2.2 eq 23 176.16.1.1 eq 1050
Potrafią zidentyfikować odpowiedzi związane z ruchem zainicjowanych z sieci chronionej
Dwuetapowa konfiguracja
R1(config)# ip access-list ext PING_wyjściowy
R1(config-ext-nacl)# permit icmp any any reflect icmp timeout 30
R1(config-ext-nacl)# permit ip any any
R1(config)# ip access-list ext PING_powrotny
R1(config-ext-nacl)# evaluate ICMP
R1(config-ext-nacl)# remark (wpuszczamy tylko ICMP zainicjowany przez nas)
R1(config-ext-nach)# denny icmp any any log
R1(config-ext-nach)# permit ip any any
Nie mogą być wykorzystywane dla aplikacji zmieniającej w trakcie sesji numery portów
Poleceni e remark – komentowanie zapisów w listach ACL
Rejestrowanie i sprawdzanie przypadków użycia ACL:
Parametr log
Parametr log-input – dodatkowo inf przez jaki interfejs (port) nadszedł pakiet
Uwaga – duża ilość zapisywanych zdarzeń – przydatny zewnętrzny serwer, na który komunikaty te są wysyłane
Listy kontekstowe:
R1(config)# ip access-list ext FTP_pasywny
R1(config-ext-nach)# permit tcp any gt 1023 any eq ftp
R1(config-ext-nach)# permit tcp any gt 1023 any gt 1023
R1(config-ext-nach)# deny ip any any
R1(config-if)# ip access-group FTP_pasywny
Tzw. Stanowe sprawdzanie transmisji (Content Based Access Control - CBAC)
Obsługują protokoły warstw sieciowej i transportowej (TCP/IP) oraz aplikacje jednokanałowe i wiele aplikacji wielokanałowych
Bezpiecznie obsługują pakiety pofragmentowane
Listy kontekstowe konfiguracja:
Wybór interfejsu dla którego konfigurowany ma być CABC
Konfiguracja ACL dla interfejsu
Definicja limitów czasu i wartość poprawnych
Definicja reguł inspekcyjnych
Monitorowanie pracy CBAC
ip inspect name nazwa protokół [alert {on|off}] [audit-trial {on|off}] [timeout sekundy]
- alert – włącza wysyłanie komunikatów do dziennika systemu po wykryciu nieprawidłowości
- audit-trial – rejestracja w dzienniku systemu danych dot połączeń, tzn. adresów, portów, liczby bajtów
R1(config)# ip inspect name Telnet tcp audit-trial on
R1(config)# end
Dla RPC I Java stosowany jest inny format komendy do definicji inspekcji:
R1(config)# access-list 166 deny ip any any
R1(config)# access-list 167 permit tcp any any eq Telnet
R1(config)# ip inspect name Telnet tcp
R1(config)# interface serial 0/1
R1(config)# ip access-group 166 in
R1(config)# ip access-group 167 out
R1(config)# ip inspect Telnet out
Definicja limitów czasu:
tcp synwait-time 305 – czas oczekiwania na rozpoczęci sesji
tcp finwait-time 55 – czas obsługi TCP po wymianie bitów FIN
tcp idle-time 36005 – czas bezczynności dla TCP
udp idle-time 305 – czas bezczynności dla UDP
dns idle-time 55 – czas bezczynności dla DNS
Monitorowanie działania CBAC:
#show ip access-list 166
#show ip inspect sessions
CBAC sprawdza tylko protokoły TCP i UDP (dla ICMP tradycyjne ACL)
Pakiety adresowane do/z routera nie są sprawdzane
Pakiety zabezpieczone przy pomocy CET (Cisco Encryption Technology) nie mogą być obsługiwane
Pakiety zabezpieczone przy pomocy IPSec mogą być obsługiwane pod warunkiem, że router z CBAC jest końcem tunelu