Na koniec poznaliśmy najlepsze praktyki bezpieczeństwa oraz podstawy
kryptografii.
</p>
+ <h1 id="3.4.aclconcepts">3.4. Koncepcje ACL</h1>
+ <p>
+ <strong>ACL</strong>, czyli listy kontroli dostępu do seria poleceń
+ IOS służąca do filtrowania ruchu. Filtrowanie ruchu odbywa się
+ na podobnej zasadzie do routingu. Informacje z nagłówków są
+ konfrontowane z kryteriami reguł ACL i na podstawie najlepszego
+ dopasowania, ruch może zostać albo przepuszczony dalej albo
+ zablokowany. Listy składają się z sekwencyjnych instrukcji zezwolenia
+ albo odmowy te reguły nazywane ACE - wpisami listy kontroli.
+ </p>
+ <p>
+ Poniżej znajduje się lista zadań, które mogą zostać wykonane za
+ pomocą ACL:
+ </p>
+ <ul>
+ <li>Ogranicznie ruchu w celu zwiększenia wydajności sieci.</li>
+ <li>Zapewnienie kontroli przepływu.</li>
+ <li>Zapewnienie podstawowych zabezpieczeń podczas dostępu do sieci.</li>
+ <li>Filtrowanie ruchu w oparciu o typ ruchu.</li>
+ <li>Kontrolowanie hostów aby zezwolić lub zablokować dostęp do sieci.</li>
+ <li>Zapewnienie priorytetu określonym klasom ruchu sieciowego.</li>
+ </ul>
+ <p>
+ Filtrowanie pakietów może wystąpić w warstwie 3 lub w 4, w zalezności
+ od zastosowanych przez nas list kontroli dostępu. Routery Cisco
+ obsługują dwa rodzaje list ACL:
+ </p>
+ <ul>
+ <li><strong>Standardowe ACL</strong> - ACL filtruje tylko w warstwie
+ 3, na podstawie adresu źródłowego.</li>
+ <li><strong>Rozszerzone ACL</strong> - ACL może filtrować w warstwie
+ 3 lub 4 na podstawie adresu źródłowego lub docelowego, protokołu
+ TCP lub UDP, czy numeru portu.</li>
+ </ul>
+ <p>
+ Dla ACL ważne jest również kierunek przesyłanie pakietu. Każdy
+ interfejs mimo, że transmisja odbywa się w dwóch kierunkach naraz
+ to możemy określić czy dana transmisja pakietów opuszcza interfejs
+ lub przez niego wchodzi. I to niezależnie od sieci, bowiem każdy
+ z interfejsów przesyła ruch w obu kierunkach, a my możemy nałożyć
+ po jednej z list każdy z kiernków.
+ </p>
+ <p>
+ Listy muszą mieć chociaż jedną wpis zezwolenia, w przeciwnym razie
+ wszelki ruch zostanie odrzucony z powoduje niejawnego wpisu
+ odrzucania całego ruchu. Każda z list posiada taką nie jawną regułę.
+ </p>
+ <h3 id="3.4.1.pka">Zadanie praktyczne - działanie listy ACL</h3>
+ <p>
+ <a href="">Demonstracja działania listy ACL - scenariusz</a><br />
+ <a href="">Demonstracja działania listy ACL - zadanie</a>
+ </p>
+ <h2 id="3.4.2.wildcardmaskinacls">3.4.2. Maska blankietowa z lista ACL</h2>
+ <p>
+ ACL używają w regułach masek blankietowych. Obliczanie tych masek
+ poznaliśmy w przypadku omawiania OSPF-a. Dla przypomnienia aby
+ tworzyć maskę blankietową, musimy odjąć od maski /32 bitowej maskę
+ podsieci w postaci dziesiętnej. W przypadku maski blankietowej,
+ 0 oznaczają zgodność a 1 ignorowanie.
+ </p>
+ <p>
+ ACL-ki wprowadzają dwa słowa kluczowe dla konkretynych wartości masek
+ blankietowych:
+ </p>
+ <ul>
+ <li><strong>any</strong> - 0.0.0.0</li>
+ <li><strong>host</strong> - 255.255.255.255. Przyczym słowo
+ <em>host</em> zapisujemy przez adresem IP hosta.</li>
+ </ul>
+ <p>
+ Możemy również tworzyć maski blankietowe dla zakresów IP, jeśli
+ chcemy aby jeden wpis obejmował kilka sieci. to wówczas możemy
+ utworzyć taki o to wpis w ACL:
+ </p>
+<pre class="code-block">
+access-list 10 permit 192.168.16.0 0.0.15.255
+</pre>
+ <p>
+ Ten wpis spowoduje zezwolenie na ruch z adresów 192.168.16.0 do
+ 192.168.31.0.
+ </p>
+ <h2 id="3.4.2.instructionsforcreatingacls">3.4.2. Wytyczne do tworzenia ACL</h2>
+ <p>
+ Do interfejsu możemy przypisać określoną liczbę ACL, są to dwie listy
+ dla każde protokołu - IPv4 i IPv6, dla ruchu przychodzącego i
+ wychodzącego.
+ </p>
+ <p>
+ Podczas implementacji ACL w sieci musimy wykazać się sporą
+ starannością, ponieważ błędy w listach mogą doprowadzić do przestojów
+ w łączności. Poniżej znajdują się zasady jaki należy kierować się.
+ </p>
+ <ul>
+ <li>Opierać listy ACL na zasadach bezpieczeństwa organizacji.</li>
+ <li>Określić co ma robić konkretna lista ACL.</li>
+ <li>Użyć edytora tekstu, aby tworzyć, edytować i zapisywać wszystkie
+ listy ACL.</li>
+ <li>Dokumentować listy ACL za pomocą polecenia
+ <strong>remark</strong>.</li>
+ <li>Testować listy w sieci testowej przed zastosowaniem jest w sieci
+ produkcyjnej.</li>
+ </ul>
</div>
</body>
</html>
projects / mmdev.git / commitdiff