Op context gebaseerde toegangscontrole (CBAC) configureren

Downloadopties

PDF (271.5 KB)
Met Adobe Reader op diverse apparaten bekijken

Bijgewerkt:9 juni 2020

Document-id:13814

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Achtergrondinformatie

Welk verkeer wilt u eruit laten?

Welk verkeer wilt u binnenlaten?

Uitgebreide IP-toegangslijst 101

Uitgebreide IP-toegangslijst 102

Welk verkeer wilt u inspecteren?

Gerelateerde informatie

Inleiding

De functie Context-Based Access Control (CBAC) van de Cisco IOS^® Firewall Feature Set inspecteert actief de activiteit achter een firewall. CBAC specificeert welk verkeer moet worden ingeschakeld en welk verkeer moet worden vrijgegeven door gebruik te maken van toegangslijsten (op dezelfde manier als Cisco IOS toegangslijsten gebruikt). CBAC-toegangslijsten bevatten echter IP-inspectieverklaringen waarmee u het protocol kunt inspecteren om te controleren of er niet met wordt geknoeid voordat het protocol naar de systemen achter de firewall gaat.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

CBAC kan ook worden gebruikt met Network Address Translation (NAT), maar de configuratie in dit document heeft voornamelijk betrekking op pure inspectie. Als u NAT uitvoert, moeten uw toegangslijsten de globale adressen weerspiegelen, niet de echte adressen.

Voorafgaand aan configuratie, overweeg deze vragen.

Welk verkeer wil je loslaten?
Welk verkeer wil je binnenlaten?
Welk verkeer wil je inspecteren?

Welk verkeer wilt u eruit laten?

Welk verkeer u wilt uitlaten hangt af van uw siteveiligheidsbeleid, maar in dit algemene voorbeeld is alles toegestaan uitgaand. Als uw toegangslijst alles ontkent, dan kan geen verkeer vertrekken. Specificeer uitgaand verkeer met deze uitgebreide toegangslijst:

access-list 101 permit ip [source-network] [source-mask] any
access-list 101 deny ip any any

Welk verkeer wilt u binnenlaten?

Welk verkeer u wilt laten binnen hangt van uw plaatsveiligheidsbeleid af. Het logische antwoord is echter alles wat uw netwerk niet beschadigt.

In dit voorbeeld is er een lijst van verkeer dat logisch lijkt om binnen te laten. ICMP-verkeer (Internet Control Message Protocol) is over het algemeen aanvaardbaar, maar biedt wel enkele mogelijkheden voor DOS-aanvallen. Dit is een voorbeeldtoegangslijst voor inkomend verkeer:

Uitgebreide IP-toegangslijst 101

permit tcp 10.10.10.0 0.0.0.255 any (84 matches)
permit udp 10.10.10.0 0.0.0.255 any
permit icmp 10.10.10.0 0.0.0.255 any (3 matches)
deny ip any any

Uitgebreide IP-toegangslijst 102

permit eigrp any any (486 matches)
permit icmp any 10.10.10.0 0.0.0.255 echo-reply (1 match)
permit icmp any 10.10.10.0 0.0.0.255 unreachable
permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
permit icmp any 10.10.10.0 0.0.0.255 echo (1 match)
permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
deny ip any any (62 matches)

access-list 101 permit tcp 10.10.10.0 0.0.0.255 any
access-list 101 permit udp 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp 10.10.10.0 0.0.0.255 any
access-list 101 deny ip any any

access-list 102 permit eigrp any any
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo-reply
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 unreachable
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
access-list 102 deny ip any any

Toegangslijst 101 is voor uitgaand verkeer. Toegangslijst 102 is voor inkomend verkeer. De toegangslijsten maken alleen een routingprotocol, Enhanced Interior Gateway Routing Protocol (EIGRP) en opgegeven ICMP-inkomend verkeer mogelijk.

In het voorbeeld, is een server aan de kant Ethernet van de router niet toegankelijk van Internet. De toegangslijst blokkeert het opzetten van een sessie. Om het toegankelijk te maken, moet de toegangslijst worden gewijzigd om het gesprek toe te staan om voor te komen. Als u een toegangslijst wilt wijzigen, verwijdert u de toegangslijst, bewerkt u de lijst en past u de bijgewerkte toegangslijst opnieuw toe.

Opmerking: De reden dat u de toegangslijst 102 verwijdert voordat u bewerkt en opnieuw toepast, is te wijten aan de "ontken ip any" aan het einde van de toegangslijst. In dit geval, als u een nieuwe ingang moest toevoegen alvorens u de toegang-lijst verwijdert, verschijnt de nieuwe ingang na ontkennen. Daarom wordt dit nooit gecontroleerd.

In dit voorbeeld wordt het Simple Mail Transfer Protocol (SMTP) alleen voor 10.10.10.1 toegevoegd.

Uitgebreide IP-toegangslijst 102

permit eigrp any any (385 matches)
permit icmp any 10.10.10.0 0.0.0.255 echo-reply
permit icmp any 10.10.10.0 0.0.0.255 unreachable
permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
permit icmp any 10.10.10.0 0.0.0.255 echo
permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
permit tcp any host 10.10.10.1 eq smtp (142 matches)

!--- In this example, you inspect traffic that has been 
!--- initiated from the inside network.

Welk verkeer wilt u inspecteren?

De CBAC binnen Cisco IOS ondersteunt:

Trefwoordnaam	Protocol
vaag	UCS Me-protocol
ftp	File Transfer Protocol
h323	H.323-protocol (bijvoorbeeld Microsoft NetMeeting of Intel Video Phone)
http	HTTP-protocol
RCMD	R-opdrachten (r-exec, r-login, r-sh)
RealAudio	Real Audio-protocol
rpc	Remote Procedure Call-protocol
smtp	Simple Mail Transfer Protocol
sqlnet	SQL Net-protocol
stroomlijnwerk	StreamWorks-protocol
tcp	Transmission Control Protocol
tftp	TFTP-protocol
udp	User Datagram Protocol
vdolive	VDOLive protocol

Elk protocol is gekoppeld aan een trefwoordnaam. Pas de sleutelwoordnaam op een interface toe die u wilt inspecteren. Met deze configuratie worden bijvoorbeeld FTP, SMTP en Telnet geïnspecteerd:

router1#configure
Configuring from terminal, memory, or network [terminal]? Enter configuration
commands, one per line. End with CNTL/Z.
router1(config)#ip inspect name mysite ftp
router1(config)#ip inspect name mysite smtp
router1(config)#ip inspect name mysite tcp
router1#show ip inspect config
Session audit trail is disabled
one-minute (sampling period) thresholds are [400:500]connections
max-incomplete sessions thresholds are [400:500]
max-incomplete tcp connections per host is 50.
Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name mysite

ftp timeout 3600
smtp timeout 3600
tcp timeout 3600

Dit document beschrijft welk verkeer u wilt uitschakelen, welk verkeer u wilt inschakelen en welk verkeer u wilt controleren. Nu u bereid bent om CBAC te configureren, voltooit u de volgende stappen:

Pas de configuratie toe.
Voer de toegangslijsten in zoals hierboven is ingesteld.
Configureer de inspectieverklaringen.
Pas de toegangslijsten op de interfaces toe.

Na deze procedure, verschijnt uw configuratie zoals aangetoond in dit diagram en configuratie.

Op context gebaseerde configuratie van toegangscontrole
! version 11.2 no service password-encryption service udp-small-servers service tcp-small-servers ! hostname router1 ! ! no ip domain-lookup ip inspect name mysite ftp ip inspect name mysite smtp ip inspect name mysite tcp ! interface Ethernet0 ip address 10.10.10.2 255.255.255.0 ip access-group 101 in ip inspect mysite in no keepalive ! interface Serial0 no ip address encapsulation frame-relay no fair-queue ! interface Serial0.1 point-to-point ip address 10.10.11.2 255.255.255.252 ip access-group 102 in frame-relay interface-dlci 200 IETF ! router eigrp 69 network 10.0.0.0 no auto-summary ! ip default-gateway 10.10.11.1 no ip classless ip route 0.0.0.0 0.0.0.0 10.10.11.1 access-list 101 permit tcp 10.10.10.0 0.0.0.255 any access-list 101 permit udp 10.10.10.0 0.0.0.255 any access-list 101 permit icmp 10.10.10.0 0.0.0.255 any access-list 101 deny ip any any access-list 102 permit eigrp any any access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo-reply access-list 102 permit icmp any 10.10.10.0 0.0.0.255 unreachable access-list 102 permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo access-list 102 permit icmp any 10.10.10.0 0.0.0.255 time-exceeded access-list 102 permit tcp any host 10.10.10.1 eq smtp access-list 102 deny ip any any ! line con 0 line vty 0 4 login ! end

Op context gebaseerde configuratie van toegangscontrole

!
version 11.2
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname router1
!
!
no ip domain-lookup
ip inspect name mysite ftp
ip inspect name mysite smtp
ip inspect name mysite tcp
!
interface Ethernet0
ip address 10.10.10.2 255.255.255.0
ip access-group 101 in
ip inspect mysite in


no keepalive
!
interface Serial0
no ip address
encapsulation frame-relay
no fair-queue
!
interface Serial0.1 point-to-point
ip address 10.10.11.2 255.255.255.252
ip access-group 102 in
frame-relay interface-dlci 200 IETF
!
router eigrp 69
network 10.0.0.0
no auto-summary
!
ip default-gateway 10.10.11.1
no ip classless
ip route 0.0.0.0 0.0.0.0 10.10.11.1
access-list 101 permit tcp 10.10.10.0 0.0.0.255 any
access-list 101 permit udp 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp 10.10.10.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 102 permit eigrp any any
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo-reply
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 unreachable
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
access-list 102 permit tcp any host 10.10.10.1 eq smtp
access-list 102 deny ip any any
!
line con 0
line vty 0 4
login
!
end

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	09-Jun-2020	Eerste vrijgave

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)

Dit document is van toepassing op deze producten

IOS Firewall