Главная » 2014»Январь»31 » Основные правила фильтрования для маршрутизаторов Cisco
12:23
Основные правила фильтрования для маршрутизаторов Cisco
На рис. 1 представлена одна из возможных конфигураций, использующих Cisco в качестве фильтрующего маршрутизатора. Это пример, показывающий реализацию конкретного набора правил. Вне всякого сомнения, правила в вашей организации будут другими.
Рисунок 1: Маршрутизатор, фильтрующий пакеты
В этом примере компания имеет сетевой адрес класса C, 195.55.55.0. Сеть компании подключена к Internet через провайдера (поставщика услуг Internet). Принятые в компании правила разрешают доступ к службам Internet любому, так что все исходящие подключения принимаются. Все входящие подключения проходят через «почтовый хост». Для внешнего мира поддерживаются только почтовая служба и DNS.
Реализация:
Разрешить все исходящие подключения по протоколу TCP
Разрешить входящие подключения по протоколам SMTP и DNS к почтовому хосту
Разрешить входящие потоки данных по протоколу FTP к портам с непривилегированными номерами (>1024)
Попытаться защитить службы, работающие на портах с большими номерами
В этой конфигурации проверяются только входящие пакеты, поступающие из Internet. Правила проверяются последовательно и проверка прекращается, когда будет найдено первое совпадение. В конце списка правил доступа идет неявное правило запрещения, запрещающее все. Ниже представлен список правил доступа по IP для Cisco IOS v. 10.3 и более поздних версий:
no ip source-route
!
interface ethernet 0
ip address 195.55.55.1
no ip directed-broadcast
!
interface serial 0
no ip directed-broadcast
ip access-group 101 in
!
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip any 0.0.0.255 255.255.255.0
access-list 101 deny ip any 0.0.0.0 255.255.255.0
!
access-list 101 deny ip 195.55.55.0 0.0.0.255
access-list 101 permit tcp any any established
!
access-list 101 permit tcp any host 195.55.55.10 eq smtp
access-list 101 permit tcp any host 195.55.55.10 eq dns
access-list 101 permit udp any host 192.55.55.10 eq dns
!
access-list 101 deny tcp any any range 6000 6003
access-list 101 deny tcp any any range 2000 2003
access-list 101 deny tcp any any eq 2049
access-list 101 deny udp any any eq 2049
!
access-list 101 permit tcp any 20 any gt 1024
!
access-list 101 permit icmp any any
!
snmp-server community FOOBAR RO 2
line vty 0 4
access-class 2 in
access-list 2 permit 195.55.55.0 0.0.0.255
Объяснение:
Удаляем все пакеты с внутренней маршрутизацией (source-routed packets). Внутренняя маршрутизация (source routing) может использоваться для подмены адресов.
Удаляем все целенаправленные широковещательные передачи (directed broadcasts), используемые в атаках класса smurf.
Если входящий пакет поступает якобы из локальной сети, сети закольцовывания или приватной сети, удаляем его.
* Все пакеты, относящиеся к уже установленным TCP-подключениям, проходят без дальнейшей проверки.
Все подключения к портам с привилегированными номерами блокируются, кроме портов SMTP и DNS.
Блокируются все службы, прослушивающие TCP-порты с большими номерами. В частности, речь идет о службах X-Windows (порт 6000+) и OpenWindows (порт 2000+). Служба NFS (порт 2049) обычно работает по протоколу UDP, но может работать и по протоколу TCP, поэтому ее тоже надо блокировать.
Входящие подключения с порта 20 на порты с большими номерами считаются подключениями по FTP для передачи данных.
Список контроля доступа access-list 2 ограничивает доступ к самому маршрутизатору (службы telnet и SNMP)
Все пакеты протокола UDP блокируются, чтобы защитить службы RPC.
Недостатки:
С помощью списков контроля доступа маршрутизатора нельзя реализовать мощные правила доступа. Пользователи легко могут создать «черные ходы» в системы, чтобы обойти правила «нельзя подключаться извне по telnet» или «никаких X-приложений». Взломщики также устанавливают «черные ходы» для telnet во взламываемых системах.
Нельзя гарантировать, какие именно службы поддерживаются при подключениях к портам с большими номерами.
Проверка исходного порта для входящих подключений, устанавливающих канал передачи данных по протоколу FTP, — слабый способ защиты. Он также не позволяет обращаться к некоторым FTP-сайтам. При этом использование службы усложняется, а попытки злоумышленников сканировать ваши системы не предотвращаются.
Способов усиления защиты остается немного. Заблокируйте все входящие TCP-подключения и предложите пользователям использовать пассивные FTP-клиенты. Можно также блокировать исходящие сообщения ICMP echo-reply и destination-unreachable, чтобы спрятать свою сеть и предотвратить использование сканеров сети. На сайте Cisco.com был когда-то архив примеров построения брандмауэров на базе маршрутизаторов Cisco, но сейчас он, по-видимому, в сети недоступен.
Загрузить, скачать Администрирование, Основные правила фильтрования для маршрутизаторов Cisco бесплатно.
Скачать Основные правила фильтрования для маршрутизаторов Cisco бесплатно
Основные правила фильтрования для маршрутизаторов Cisco бесплатно и без регистрации.
При копировании материала указывайте источник
Основные правила фильтрования для маршрутизаторов Cisco download free
Записки сисадмина
