From 2d7e1ef4715f76e1304cfef064e3d065286cfa03 Mon Sep 17 00:00:00 2001 From: xf0r3m Date: Sun, 17 Nov 2024 11:28:01 +0100 Subject: [PATCH] =?utf8?q?Rozpocz=C4=99ci=C4=99=20i=20zako=C5=84czenie=20p?= =?utf8?q?isania=20rodzia=C5=82u=205,=20modu=C5=82u=203=20kursu=20CCNA.=20?= =?utf8?q?Do=20przeredagowania.?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit --- articles/terminallog/Cisco_-_CCNA.html | 355 ++++++++++++++++++++++++- 1 file changed, 352 insertions(+), 3 deletions(-) diff --git a/articles/terminallog/Cisco_-_CCNA.html b/articles/terminallog/Cisco_-_CCNA.html index b02bda5..dcc78b8 100755 --- a/articles/terminallog/Cisco_-_CCNA.html +++ b/articles/terminallog/Cisco_-_CCNA.html @@ -13728,8 +13728,8 @@ O*E2 0.0.0.0/0 [110/1] via 10.1.1.6, 00:04:14, GigabitEthernet0/0
  • Standardowe ACL - ACL filtruje tylko w warstwie 3, na podstawie adresu źródłowego.
  • Rozszerzone ACL - ACL może filtrować w warstwie - 3 lub 4 na podstawie adresu źródłowego lub docelowego, protokołu - TCP lub UDP, czy numeru portu.
    • + 3 lub 4 na podstawie adresu źródłowego lub docelowego, protokołu, + czy numeru portu.

    Dla ACL ważny jest również kierunek przesyłanie pakietu. Każdy @@ -13807,7 +13807,8 @@ access-list 10 permit 192.168.16.0 0.0.15.255

  • Standardowe ACL - ich kryteria dopasowania dotyczną jedynie adresów źródłowych (działają w warstwie 3).
  • Rozszerzone ACL - działają w warstwie 4, w - jednej regule możemy zapisać do 5 warunków: protokoł (TCP, UDP), + jednej regule możemy zapisać do 5 warunków: protokoł + (najczęściej TCP lub UDP), adres, port - źródłowy, adres, port - docelowy.

    • @@ -13874,6 +13875,354 @@ access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www dobre praktyki podczas ich tworzenia przypomnieliśmy sobie również w jaki sposób oblicza się maski blankietowe.

    +

    3.5. Konfiguracja list ACL dla IPv4

    +

    + W poprzednim rodziale dowiedzieliśmy się czym są ACL-ki i w jaki + sposób możemy wykorzystać je do kształtowania ruchu. Poznaliśmy + również podstawowe polecenie, ale bez ich omawiania. Ten rozdział + przedstawi nam w jaki sposób tworzy oraz modyfikować, standardowe i + rozszerzone listy ACL oraz dodatkowo jak wykorzystać ACL do kontroli + zdalnego dostępu do urządzeń. +

    +

    3.5.1. Konfiguracja standardowych ACL dla IPv4

    +

    + Tworzenie ACL najlepiej rozpocząć od zapisania w edytorze tekstu + specyfiki polityki bezpieczeństwa organizacji, następnie musimy + przełożyć te zasady na polecenia IOS, w tym momencie warto dołączać + komentarze. Kiedy nasza lista jest hipotetycznie gotowa, możemy ją + skopiować do środowiska testowego - może to być PT lub fizyczne + urządzenie. +

    +

    + Chcąc utworzyć standardową numerowaną listę ACL w konfiguracji + globalnej wydajemy następujące polecenie: +

    +
    +Router(config)# access-list access-list-number {deny | permit | remark text} source [source-wildcard] [log]
+
    +

    + Jeśli będziemy chcieli usunąć listę użyjemy polecenia: + no access-list access-list-number +

    +

    + Poszczególne elementy składni polecenia tworzenia standardowych + numerycznych ACL znajduje się poniżej: +

    + +

    + Chcąc utworzyć listę ACL standardową nazwaną, w konfiguracji + globalnej musimy wydać następujące polecenie: +

    +
    +Router(config)# ip access-list standard access-list-name
+
    +

    + access-list-name to unikatowa nazwa + dla listy. Zatwierdzenie tego polecenia, spowoduje, że przejedziemy + w trybu konfiguracji listy ACL. Wówczas konfiguracja takiej listy + skupia się tworzeniu reguł rozpoczynających się od słów kluczowych + permit, deny i ewentualnie + remark. +

    +
    +R1(config)# ip access-list standard PERMIT-ACCESS
+R1(config-std-nacl)# remark ACE permits host 192.168.10.10
+R1(config-std-nacl)# permit host 192.168.10.10
+
    +

    + Chcąc usunąć taką listę poprzedzamy polecenie + ip access-list standard PERMIT-ACCESS + słowem kluczowym no. +

    +

    + Określenie listy nie czyni jej jeszcze działającą. Jak pamiętamy + listy są przypisywane do interfejsów i to na określonych kierunkach + transmisji, więc chcąc podłączyć listę do interfejsu należy wydać + poniższe polecenie: +

    +
    +Router(config-if) # ip access-group {access-list-number | access-list-name} {in | out}
+
    +

    + Po słowie access-group, podajemy + albo numer listy, albo jej nazwę i na koncu podajemy kierunek dla + ruchu wychodzącego - out a dla ruchu + przychodzącego - in. Aby odwołać + listę musimy poprzedzić polecenie + ip access-group słowem no + oraz podać numer bądź nazwę listy. +

    +

    Zadanie praktyczne - Packet Tracer

    +

    + Konfigurowanie numerowanych standardowych list ACL IPv4 - scenariusz
    + Konfigurowanie numerowanych standardowych list ACL IPv4 - zadanie
    + Konfigurowanie nazywanych standardowych list ACL IPv4 - scenariusz
    + Konfigurowanie nazywanych standardowych list ACL IPv4 - zadanie +

    +

    3.5.2. Modyfikowanie list ACL dla IPv4

    +

    + Modyfikowanie ACL-ek, nie uchodzi za szczególnie przyjmne zajęcie. + To zadanie może zrealizować na dwa sposoby. Możemy użyć albo + wcześniej zapisanej w edytorze tekstu listy - tę listę wdrożoną + należy usunąć poprzez słowo no, zmieć co trzeba i następnie + utworzyć nową listę wklejając jej polecenia z edytora. Drugim + sposobem jest użycie numerów sekwencyjnych. +

    +

    + Numery skwencyjne wyświetlane są gdy używamy polecenia + show access-list do wyświetlenia + list ACL. +

    +
    +R1# show access-lists 
+Standard IP access list 1 
+    10 deny 19.168.10.10 
+    20 permit 192.168.10.0, wildcard bits 0.0.0.255
+R1#
+
    +

    + Do ich edycji musimy skorzystać z polecenia + ip access-list standard, następnie + usuwamy wadliwy wpis, w tym przypadku jest + 10 poprzedzając numer sekwencji + słowem no i następnie poprawiony wpis rozpoczynamy od numeru + sekwencji. Poniżej znajduje się przykład z IOS: +

    +
    +R1# conf t
+R1(config)# ip access-list standard 1
+R1(config-std-nacl)# no 10
+R1(config-std-nacl)# 10 deny host 192.168.10.10
+R1(config-std-nacl)# end
+R1# show access-lists
+Standard IP access list 1
+    10 deny   192.168.10.10
+    20 permit 192.168.10.0, wildcard bits 0.0.0.255
+R1#
+
    +

    + W przypadku nazwanej listy postępujemy podobnie, tylko zamiast numery + podajemy nazwę. Użycie numerów sekencyjnych daje nam jeszcze jedną + dodatkową nazwę funkcję mianowicie pozwala nam wprowadzać wpisy w + konkretne miejsca, na liście. Biorąc pod uwagę poprzedni przykład + chcąc dodać host 192.168.10.5, którego ruch ma również zostać + zablokowany, to jeśli dopiszemy ją to ta reguła nie będzieć mieć + sensu. Druga reguła dopuszcza ruch z całej sieci 192.168.10.0/24. + Zatem musimy wstawić regułę zablokowania hosta 192.168.10.5 pomiędzy + regułę 10 a 20, na przykład. Możemy ją również wstawić na początku + samej listy, również będzie ona miała swoje zastosowanie. +

    +
    +R1# configure terminal
+R1(config)# ip access-list standard NO-ACCESS
+R1(config-std-nacl)# 15 deny 192.168.10.5
+R1(config-std-nacl)# end
+R1#
+R1# show access-lists
+Standard IP access list NO-ACCESS
+    15 deny   192.168.10.5
+    10 deny   192.168.10.10
+    20 permit 192.168.10.0, wildcard bits 0.0.0.255
+R1#
+
    +

    + Chcąc wstawić w regułę edytujemy listę za pomocą polecenia + ip access-list następnie + rozpoczynamy wpis od numer np. 15. Na koniec opuszczamy tryb + konfiguracji listy i wyświetlamy zawartość listy. Wydaje mi się, że + nie takiego efektu się spodziewaliśmy. Ten efekt jest spowodowany + działaniem funkcji mieszaczjącej na standardowych listach ACL dla + IPv4. +

    +

    + Wyświetlając listę za pomocą polecenia + show access-lists możemy zauważyć + że IOS zlicza przypasowania do wpisów w ACL, dzięki czemu możemy + zauważyć, czy te wpisy mają w ogóle zastosowanie. Czyszcenia + liczników możemy dokonać za pomoca polecenia: +

    +
    +R1# clear access-list counters
+
    +

    + Wydanego w trybie uprzywilejowanym EXEC. +

    +

    3.5.3. Zabezpieczenia linii VTY za pomocą standardowyej ACL IPv4.

    +

    + Przy użyciu ACL może określić, kto może się podłączyć do naszego + urządzenia zdalnie, a kto nie. Cała metoda polega na utworzeniu + standardowej listy ACL i następnie na liniach VTY możemy za pomocą + polecenia access-class wskazać ACL, która będzie + zezwalać lub blokować zdalny dostę dla zapisanych w niej sieciach lub + hostach. Poniżej znajduej się składania polecenia + access-class: +

    +
    +R1(config-line)# access-class {access-list-number | access-list-name} { in | out } 
+
    +

    + Zwróć my uwagę to polecenie pozwala również na ustalenie kierunku. + Stosowanym w praktyce kierunkiem jest + in, drugi kierunek odfiltrowuje + ruch VTY wychodzący i jest on rzadko stosowany. +

    +
    +R1(config)# username ADMIN secret class
+R1(config)# ip access-list standard ADMIN-HOST
+R1(config-std-nacl)# remark This ACL secures incoming vty lines
+R1(config-std-nacl)# permit 192.168.10.10
+R1(config-std-nacl)# deny any
+R1(config-std-nacl)# exit
+R1(config)# line vty 0 4
+R1(config-line)# login local
+R1(config-line)# transport input ssh
+R1(config-line)# access-class ADMIN-HOST in
+R1(config-line)# end
+R1#
+
    +

    + Przy tak skonfigurowanej liniach VTY, dostęp przez SSH do urządzenia + będzie mieć wyłącznie host o adresie 192.168.10.10. +

    +

    3.5.4. Rozszerzone listy ACL

    +

    + Rozszerzone listy ACL pozwalają nam na dodanie większej ilości + kryteriów dopasowania pakietów. Listy rozszerzone podobnie jak listy + standardowe również mogą być numerowane oraz nazwa. Składnia tworząca + listę wraz ze wpisem wygląda następująco: +

    +
    +Router(config)# access-list access-list-number {deny | permit | remark text} 
+protocol source source-wildcard [operator {port}] destination destination-wildcard
+[operator {port}] [established] [log]
+
    +

    + Pierwszą zmianą odnośnie list standardowych jest: + protocol - nazwa lub numer protokołu + sieci Internet. Typowymi słowami kluczowymi są tutaj: + ip, tcp, udp, icmp. Pełną listę możemy wyświetlić za pomocą + znaku zapytania (?). Słowo kluczowe IP pasuje do + wszystkich protokołów IP; + destination i + destination-wildcard - adres ip oraz + maska blankietowa dla sieci bądź hosta docelowego. Mogą tutaj + występować słowa kluczowe host oraz any; + operator - porównuje porty źródłowe + i docelowe. Możliwe argumenty to: lt (mniejsze niż), + gt (większe niż), eq (równy), neq + (nie równy) oraz range (zakres); + port - numer bądź nazwa portu TCP + lub UDP. Pod znakiem zapytania (?), dostępna jest + pełna lista wraz z numerami portów; + established - funkcja + zapory pierwszej generacji, tylko dla TCP. +

    +

    + Włączanie list rozszerzonych wygląda tak samo jak w przypadku list + standardowych, oto przykład: +

    +
    +R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq www
+R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443
+R1(config)# interface g0/0/0
+R1(config-if)# ip access-group 110 in
+R1(config-if)# exit
+R1(config)#
+
    +

    + Stosowanie list rozszerzonych umożliwia nam dostęp do bardzo + wygodnej funkcji. Jeśli chcemy zabezpieczyć naszą sieć wewnętrzną + za pomocą ACL-ek, to utworzyli byśmy dwie listy jedną na ruch + wchodzący do interfejsu sieci wewnętrznej, zezwalający np. jej + użytkownikom na korzystanie z HTTP/S. Wówczas hosty naszej sieci, + nie będą mogły korzystać z innych protokołów, jednak ta pojedyncza + lista daje możliwość skomunikowania się z hostami naszej sieci przez + hosty z zewnątrz. Potrzebujemy drugiej ACL-ki, która zablokuje taką + możliwość. Mogli byś my utworzyć pustą listę i przypisać ją do + kierunku wychodzącego naszego interfejsu wewnętrzego i to tyle. Cały + ruch zablokowany, w tym odpowiedzi od serwerów WWW dla hostów naszej + sieci. Oczywiście przy takiej transmisji moglibyśmy dopuścić ruch + na porcie źródłowym TCP/80 lub TCP/443 (HTTP, HTTPS). Co nie jest + dobrym rozwiązaniem, ponieważ nie jest problemem wysłanie pakietu + o sfałszowanym porcie źródłowym. W tym przypadku z korzystamy z + wpisu dopuszczającego cały TCP dla sieci 192.168.10.0/24, ale tylko + dla połączeń już nawiązanych, blokując tym samym możliwość nawiązania + nowego połączenia z zewnatrz temu służy opcja + established. Należa zapamiętać, że z tej funkcji + może skorzystać tylko dla protokołu TCP. +

    +
    +R1(config)# access-list 120 permit tcp any 192.168.10.0 0.0.0.255 established
+R1(config)# interface g0/0/0
+R1(config-if)# ip access-group 120 out 
+R1(config-if)# exit
+R1(config)#
+
    +

    + Wiele pozostałych czynności dokonywanych na listach rozszerzonych + dokonuje się w sposób analogiczny do listy standardowych. Przyczym + w przypadku wstawiania zasad do listy, to na listach rozszerzonych + nie działa algorytm mieszczający, zatem kolejność wpisów powinna być + taka jaką my sobie zadeklarowaliśmy, ale nie jak ustalił to IOS. +

    +

    + Do weryfikacji ACL, możemy wykorzystać polecenia: + show ip interface, pokaże nam ono + jakie listy są przypisane do tego interfejsu; + show access-list, zwróci + zdeklarowane w systemie listy ACL; + show running-config | begin ip access-list, + wyświetla listy ACL z bierzącej konfiguracji urządzenia. +

    +

    Zadanie praktyczne - Packet Tracer

    +

    + Konfiguracja rozszerzonych list ACL IPv4 - Scenariusz 1 - scenariusz
    + Konfiguracja rozszerzonych list ACL IPv4 - Scenariusz 1 - zadanie
    + Konfiguracja rozszerzonych list ACL IPv4 - Scenariusz 2 - scenariusz
    + Konfiguracja rozszerzonych list ACL IPv4 - Scenariusz 2 - zadanie +

    +

    Zadanie praktyczne - Packet Tracer

    +

    + Wdrażanie ACL IPv4 - wyzwanie - scenariusz
    + Wdrażanie ACL IPv4 - wyzwanie - zadanie +

    +

    Laboratorium

    +

    + Konfiguracja i weryfikacja rozszerzonych list ACL IPv4 +

    +

    Podsumowanie

    +

    + Ten rozdziała pokazał nam w jaki sposób tworzyć oraz modyfikować + listy ACL. Poznaliśmy sposób na zabezpieczenie linii VTY za pomocą + ACL oraz funkcję established rozszerzonych list dostępu. + Na koniec poznaliśmy w jaki sposób możemy weryfikować listy ACL na + naszych urządzeniach. +

    -- 2.39.5