Saturday, December 11, 2010

[Access Control List] Extended ACL

I.Các khái niệm
eACL kiểm tra nhiều phần của packet, nó cho phép ta có thể lọc packet dựa vào cả source và dest port cùng một lúc...


 Các thành phần mà eACL có thể so sánh để lọc packets
-Source IP packet
-Một phần của source IP dựa vào wildcard mask
-Dest ip
-Protocols(TCP,UDP,ICMP..)
-Source port, dest port

Ví dụ một số acl
access-list 101 deny ip any host 10.1.1.1 <-- câu lệnh này sẽ cấm tất cả các source ip address đến đích là host 10.1.1.1
access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23  <-- câu lệnh này cấm tất cả các tcp packet có source port lớn hơn(gt-greater than) 1023 đi đến host 10.1.1.1 với dest port 23(telnet)
access-list 101 deny tcp any host 10.1.1.1 eq 23  <--cấm tất cả các tcp packet đi đến host 10.1.1.1 qua dest port là 23(telnet)

access-list 101 deny tcp any host 10.1.1.1 eq telnet  <-- tương tự câu lệnh trên nhưng ko sử dụng chỉ số port mà sử dụng tên của ứng dụng(telnet)
access-list 101 deny udp 1.0.0.0 0.255.255.255 lt 1023 any  <--cấm toàn bộ các udp packet đi từ mạng 1.0.0.0/8 có source port nhỏ hơn(lt-less than) 1023 đến bất cứ một đích nào

Khi triển khai một eACL, ta cần phải chú ý một số vấn đề:
-Muốn lọc các tcp packet thì phải sử dụng keyword tcp, tương tự với udp. Điều này cũng đồng nghĩa với việc, bạn phải xác định rõ bạn đang muốn xử lý packet thuộc giao thức nào
-Xác định source port, dest port

Ví dụ 1:
 Trong hình trên, ta đã thiết lập một acl dùng để cho phép một packet đi từ PC1 đến SVR.Packet này xuất phát từ mạng 172.16.1.0/24 thuộc giao thức tcp đi đến mạng đích là 172.16.3.0/24 và cổng là 21.
                                               Một số giao thức và chỉ số port

II.Cấu hình một eACL

Cấu trúc câu lệnh để cấu hình eACL:


access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard




Khi cấu hình một eACL, cần lưu ý một số đặc điểm sau:


-Nên eACL càng gần nguồn packet cần lọc càng tốt, việc này giúp hạn chế được băng thông và lọc packet kỹ hơn
-access-list-number:dãy number từ 100 đến 199 và 2000 đến 2699
-Một số từ khóa tắt:
  • eq(equal to): ngang bằng
  • neq(not equal to):ko ngang bằng,khác
  • lt(less than): thấp hơn
  • gt(greater than):cao hơn
  • range:một dãy(port)


Mô hình bài LAB đơn giản

Download video cấu hình và file pkt

http://www.mediafire.com/?o2nmvcmd2yx0s2f
Posted by at
Labels: , , , , ,

2 comments:

  1. UnknownApril 9, 2013 at 11:41:00 AM GMT+7

    Ban oi linh mediafire chet mat roi.

    ReplyDelete
  2. Cuong NguyenApril 19, 2013 at 1:27:00 AM GMT+7

    Bài viết đã quá lâu nên mình không còn giữ tài liệu liên quan nữa. Các bài viết của mình hướng tới việc hiểu kỹ cách thức làm việc (how it works) và cách thức để nắm vững vấn đề (how to master it). Video và bài lab mình đưa ra chỉ có tính tham khảo, bạn có thể tự setup một mô hình tương tự và tự đưa ra các yêu cầu và giải quyết chúng. Hoặc bạn có thể tham khảo các bài lab trên Internet, ví dụ:
    http://gns3vault.com/Security/extended-access-list.html

    ReplyDelete

Subscribe to: Post Comments (Atom)