Безопасность : Межсетевой экран Cisco IOS

Контроль доступа на основе контекста (CBAC): Введение и конфигурация

16 ноября 2010 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (17 июня 2008) | Отзыв

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Общие сведения

CBAC может также использоваться с преобразованием сетевых адресов (NAT), но конфигурация в настоящем документе прежде всего касается анализа в чистом виде. При реализации NAT списки контроля доступа должны отражать глобальные адреса, а не реальные адреса.

Перед настройкой необходимо ответить на следующие вопросы.

Какие виды трафика требуется выпускать из сети?

Виды трафика, которые требуется выпускать из сети, зависят от политики безопасности на объекте, но в этом обобщенном примере разрешается весь исходящий трафик. Если список контроля доступа запрещает все виды трафика, то исходящий трафик запрещается полностью. Укажите исходящий трафик при помощи этого расширенного списка контроля доступа:

access-list 101 permit ip [source-network] [source-mask] any
access-list 101 deny ip any any

Какие виды трафика требуется впускать в сеть?

Виды впускаемого трафика определяются политикой безопасности на объекте. Однако логичный ответ – любые виды трафика, не несущие вреда для сети.

В этом примере имеется список видов трафика, которые разумно пропускать в сеть. Обычно допустим трафик протокола управляющих сообщений Интернет (ICMP), но он может быть уязвимым для DOS-атак. Ниже приведен пример списка контроля доступа для входящего трафика.

Расширенный список контроля доступа IP 101

permit tcp 10.10.10.0 0.0.0.255 any (84 matches)
permit udp 10.10.10.0 0.0.0.255 any
permit icmp 10.10.10.0 0.0.0.255 any (3 matches)
deny ip any any

Расширенный список контроля доступа IP 102

permit eigrp any any (486 matches)
permit icmp any 10.10.10.0 0.0.0.255 echo-reply (1 match)
permit icmp any 10.10.10.0 0.0.0.255 unreachable
permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
permit icmp any 10.10.10.0 0.0.0.255 echo (1 match)
permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
deny ip any any (62 matches)

access-list 101 permit tcp 10.10.10.0 0.0.0.255 any
access-list 101 permit udp 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp 10.10.10.0 0.0.0.255 any
access-list 101 deny ip any any

access-list 102 permit eigrp any any
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo-reply
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 unreachable
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
access-list 102 deny ip any any

Список контроля доступа 101 используется для исходящего трафика. Список контроля доступа 102 используется для входящего трафика. Списки контроля доступа разрешают только маршрутный протокол, усовершенствованный внутренний протокол маршрутизации сетевых интерфейсов (EIGRP) и указанные типы входящего трафика ICMP.

В этом примере сервер на стороне Ethernet маршрутизатора недоступен из Интернета. Список контроля доступа запрещает установление сеанса. Для получения доступа необходимо изменить список контроля доступа, разрешив диалог. Для изменения списка контроля доступа удалите список контроля доступа, отредактируйте его и повторно примените обновленный список контроля доступа.

Примечание. Необходимость удаления списка контроля доступа 102 перед его редактированием и повторным применением вызвана наличием оператора «deny ip any any» в конце списка контроля доступа. В этом случае добавление новой записи перед удалением списка контроля доступа привело бы к появлению новой записи после оператора deny. Таким образом, обращения к этой записи никогда бы не происходило.

В этом примере добавляется упрощенный протокол электронной почты (SMTP) только для 10.10.10.1.

Расширенный список контроля доступа IP 102

permit eigrp any any (385 matches)
permit icmp any 10.10.10.0 0.0.0.255 echo-reply
permit icmp any 10.10.10.0 0.0.0.255 unreachable
permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
permit icmp any 10.10.10.0 0.0.0.255 echo
permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
permit tcp any host 10.10.10.1 eq smtp (142 matches)

!--- In this example, you inspect traffic that has been
!--- initiated from the inside network.

Какие виды трафика требуется анализировать?

CBAC в операционной системе Cisco IOS поддерживает следующие виды трафика:

Ключевое слово

Протокол

cuseeme

Протокол CUSeeMe

ftp

Протокол передачи файлов (FTP)

h323

Протокол H.323 (например, Microsoft NetMeeting или Intel Video Phone)

http

Протокол HTTP

rcmd

R-команды (r-exec, r-login, r-sh)

realaudio

Протокол Real Audio

rpc

Протокол удаленного вызова процедур (RPC)

smtp

Упрощенный протокол передачи электронной почты (SMTP)

sqlnet

Сетевой протокол SQL

streamworks

Протокол StreamWorks

tcp

Протокол TCP

tftp

Протокол TFTP

udp

Протокол дейтаграмм пользователя

vdolive

Протокол VDOLive

Каждый протокол именуется ключевым словом. Ключевое слово указывается для интерфейса, на котором требуется выполнять анализ пакетов. Например, эта конфигурация задает анализ FTP, SMTP, и Telnet:

router1#configure
Configuring from terminal, memory, or network [terminal]? Enter configuration
commands, one per line. End with CNTL/Z.
router1(config)#ip inspect name mysite ftp
router1(config)#ip inspect name mysite smtp
router1(config)#ip inspect name mysite tcp
router1#show ip inspect config
Session audit trail is disabled
one-minute (sampling period) thresholds are [400:500]connections
max-incomplete sessions thresholds are [400:500]
max-incomplete tcp connections per host is 50.
Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name mysite

ftp timeout 3600
smtp timeout 3600
tcp timeout 3600

В этом документе было рассмотрено определение видов трафика, которые требуется выпускать, впускать или анализировать. Теперь, когда вы готовы к настройке CBAC, выполните следующие шаги.

  1. Приведите в действие конфигурацию.

  2. Введите контроль списка доступа, как показано в приведенной выше конфигурации.

  3. Настройте инструкции контроля.

  4. Примените списки контроля доступа к интерфейсам.

После этой процедуры ваша конфигурация примет вид, показанный на следующей схеме и в образце конфигурации.

/image/gif/paws/13814/32.gif

Конфигурация контроля доступа на основе контекста

!
version 11.2
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname router1
!
!
no ip domain-lookup
ip inspect name mysite ftp
ip inspect name mysite smtp
ip inspect name mysite tcp
!
interface Ethernet0
ip address 10.10.10.2 255.255.255.0
ip access-group 101 in
ip inspect mysite in


no keepalive
!
interface Serial0
no ip address
encapsulation frame-relay
no fair-queue
!
interface Serial0.1 point-to-point
ip address 10.10.11.2 255.255.255.252
ip access-group 102 in
frame-relay interface-dlci 200 IETF
!
router eigrp 69
network 10.0.0.0
no auto-summary
!
ip default-gateway 10.10.11.1
no ip classless
ip route 0.0.0.0 0.0.0.0 10.10.11.1
access-list 101 permit tcp 10.10.10.0 0.0.0.255 any
access-list 101 permit udp 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp 10.10.10.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 102 permit eigrp any any
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo-reply
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 unreachable
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
access-list 102 permit tcp any host 10.10.10.1 eq smtp
access-list 102 deny ip any any
!
line con 0
line vty 0 4
login
!
end


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13814