آشنایی با ACLهای سیسکو

صفحه 1:
Cisco Access Control List pcre ‏ا‎ 

صفحه 2:
۲ در انن جلسه خواهیح 2 * انواع ۸۵66655-1151 های سیسکو کدامند ؟ و ات هی جه كيبردهايودارد ؟ 

صفحه 3:
9 ۳ ۱۹۰۰-0۵۵۵ Lappe eesy ‏دسترسی کنترل شده که به یک منبع مربوط باشد‎ ا فت 0 ا د 2 2 0007م (105). به منظور هاىمختلفبكر كرفته ميشود . كه ‎ee‏ 0 | ‏ات ل لت‎ STAC erp CMCC NBN) 00 ‏ا ل‎ pelea 

صفحه 4:
© ‏كدامند‎ ACCeSS-List ¢1531 ا ‎veer eee ERs‏ ا ا 6 0 2200 ال كن تم IP Standard Access-List 1-99 IP Extended Access-List 100-199 AppleTalk Access-List 600-699 IPX Standard Access-List 800-899 IPX Extended Access-List 900-999 IPX SAP 1000-1099 

صفحه 5:
IP Access-Lists ‏معرفی‎ Rommel <1 ‏ا ا‎ ere Ee ay الل ل 1 [7 ۱ - 5۲۷۸۷۱۱۵6۵۲ 5۲6 لور لبرت ا ةا ا ا ‎Destination IP ,Source-IP;,, .: Extended‏ ‎aa‏ همجنين 8016 68لا501 و 2016 0©56103610] كنترل دسترسى دارد 

صفحه 6:
IP Standard Access-List همانطور که گفته شد. در -أم)۸ استاندارد ۰ تنها میتوان بر روی مبدا مدیییت داشت. ذإ ۷ اج حدما = La access-list 10 deny host 192.168.10.30 1 2 

صفحه 7:
حكونكى اعمال :أ5أ|-55ع©26/ و 09 و 9 ‏اسآ[‎ oan re Cn eR Ee . ‏خاصی اختصاص دهیم‎ Interface port # Ip access-group [acl#][ / [ ices pleat ae as ar nee Read ۱۱۲6۲۲۵66 ۲۴۵ 1 Ip access-group 10 [out] Tie Pegler Oe. cn cece 19 1-1 (1 ‏ا‎ ‎Brecgis e year Spore | Om pea NRE AR ara arco 

صفحه 8:
IP Extended ACL ا ل 7 محدودیتهای دقیقتری را در نظر گرفت ۱ een ene در كدام روتر و كدام ©ع ©1183 66]] بايد ی ۱ Server Router © Workstation 4 we; 198, 150.19.94 512396 1: 22 

صفحه 9:
Peper ‏ات‎ 8 pene Jee ee I reeny mo O TPE. VG BRR RECS access-list 101 deny ip 221.23.123.0 0.0.0.255 host 198.150.13.34 ‏با توجه به اینکه ترافیک یک ترافیک ورودیست باید با اتفاده از دستور‎ Interface ethO ip access-group acl# in ‏کنترل دسترسی را انجام داد‎ 00 ‏م ا ا ا ا ل‎ Pea ‏دسترسی داشته باشد‎ سا Workstation 4 Server Rout we; 198, 150.19.94 $0.13.9 2212812845 2 Workstation 2 

صفحه 10:
Wildcard Mask جهت درک مفهوم 351 ۷۷۱۱062۲0 با مثال کوچکی پیش خواهيم رفت : میخواهیم شبکه ۱۶۸۳۲۰۰/۲۸ ۱۱۲ را ۰ ۰ ‎٩‏ :۰5 ۲ تم مسدود کنیم .. مرحله اول 0 ULL »9 ‏ل‎ eee ۱ BRS rer yy aes ‏ل‎ areal ‏الا"‎ aviary Coren ee ‏م ل ل‎ : ‏را هم از قرار زیر میتویسیم‎ 26655-115 access-list 1 deny 192.168.32.0 0.0.0.15 access-list 1 permit any 

صفحه 11:
Wildcard Mask Example ts REO EG HME TT ‏کته‎ ‎۱ ‎access-list 4 deny 210.93.105.0 0.0.0.255 access-list 4 permit any Interface serial 0 ip access-group 4 [out] : مثال مشابه با این تفاوت که تنها نیمه ۱۲۸ تایی اول شبکه را در نظر میگیریم access-list 4 deny 210.93.105.0 0.0.0.127 0 access-list 4 deny 210.93.105.128 0.0.0.127 ۹ nie eee en eer oe Ca oe ‎access-list 4 deny 210.93.105.0 0.0.0.254‏ مثال مشابه با اين تفاوت كه تنها أ هاى فرد در نظر كرفته شود : (بيت آخر أ برابر ‎)١‏ ‎access-list 4 deny 210.93.105.1 0.0.0.254 

صفحه 12:
Don’t Forget to Permit others از آنجایی که ۵0065515 ها دارای یک عبارت ۰ ۰ ۰ بصورت پیشفر: هر ليست ميباشئد :ا اس ۱ متوجه اعطاى مجوز ب 5 1 اشيم ... بعنوان مثال اگر ا ا دستوری دیگر . سطح دسترسی را برای دیگران باز گذاشت ‏ چرا که همانطور که گفته شد بصورت پیشفرض ؛ دستور 17 1117 در آخر | جك كردن تعامى ج ‎Mee‏ لذا اگر ل ل ل 0 ‎A‏ ا ممم اه access-list 1 deny 192.168.10.0 0.0.0.128 اراس تست ا ال اه لا ل ‎OES‏ مورد عکس نیز وجود دا ‎(hel) arora ee‏ ار (0615016) اختصاص دهيم و در آخر /[300 /1ع0 را ‎pies)‏ ‏ارجعیت أ206655-15 ها از بالا به پایین بررسی و خوانده میشود 

صفحه 13:
Protocol Type & Portst.1. Filtering Number access-list 110 deny host 10.10.10.1 any neq 22 access-list 110 permit any any eq 22 access-list 110 deny —_ any host 192.168.10.1 eq 53 ip access-list extended 120 deny tcp any any 1024 permit tcp host 10.10.2.10 any 3 deny tcp 10.10.10.128 0.0.0.127 host 172.16.1.20 © 42 20 23 ee ACL ip access-list extended Logging-ACL permit tcp host 10.10.10.11 host 192.168.1.10 eq 23 log permit tcp host 10.10.10.11 host 192.168.1.10 eq 23 log-input 

صفحه 14:
TCP header fields ۱۳۱5 ۱08 6۳۳۵۲6 ۵۵۵ 20 any 2 ‏غلط عاعم عط ده طعنهاز‎ 0 Match established connections 27 0 ENO Co eon ienctentat ey Match on the PSH bit re Weta Went spi 5 Match on the SYN bit ‎Match on the URG bit‏ نا ‎۹ Neto ernie (osteo Sebati ‎00 re Tone ttle log ‏تحادة كنطة أكصتدوة كعطء همد وم.آ1‎ ‎crs ct‏ ا ل ل ا ‎It 0‏ ‎Match only packets not on a given port number ‎20 neta enact ‎range Match only packets in the range of port numbers 05 0 ‎ 

صفحه 15:
Verifying ACLs Show commands: ‏ت۳۹‎ ‎* shows all access-lists configured on the router ‏تا ار‎ + shows the identified access list ‏م1 سمطه-‎ 22): = + shows the access-lists applied to the interface--both inbound and outbound. - 51۱0۷ ۲۷۱۳۱۸۱۱ 2 ۰ 5۳00۷۷5 ‏کاکاا وعععع2 ااح‎ ۵00 ۷۱۳۵۲ ۱۳۱۲6۲۲۵6۶ ۷ are applied on 

صفحه 16:
Enhanced Access Lists ۱ ells ‏ا ا‎ (conf)# Pee APA (conf-time-range)# periodic daily 10:00 to 13:00 ‏مت‎ (asco emir ele ) ‏رت ی ممع‎ MMC ‏دسم سما‎ 1 2-2-0-7 ‏ل لا‎ CY ينا ‎By Cece‏ ل ل 0 جء؟ ةن -ا6اء قم-0مناو طاناه مع0مع نيع عد |-ودعع 36 م1 کر ل ل 5 درم ةق ار كاعماءدم لمنادطما عد ك6غقناديع غهطا غذزا ددععءة ‎ere Reha‏ 631666 ع0 3م-0هناهمما مع00ع »ع :ذأ ا-ددعع 36 م1 ‎tue 1a‏ ۳ ‎utc‏ انع بأبرع الع - مون ع5 دنا امع ‎interface serial 1/0 /‏ ‎an‏ ا ل ل 000 0 613 اناه 6و له5؟ 35 ! 0 ‎Mien Cal ea (aS‏ یر ا ل 5 

Cisco Access Control List هایس یسکوACL آشناییب ا  :در این جلسه خواهیم آموخت • انواع Access-Listهای سیسکو کدامند ؟ • Access-Listچه ک اربردهاییدارد ؟ مقدمه معنای کلی : Access-Control-Listلیستی از مجوزهای دسترسی کنترل شده که به یک منبع مربوط باشد ، Cisco ACLدستوارتیهستند ک ه در س یستم ع ام لس یسکو ختلف کار گ رفته م یشود ،ک ه ب ( ،)IOSب ه م نظور هایم ی کیاز پ رکاربرد ت ریندستوراتم یباشد ... در ادامه با کاربردهای مختلف این لیست های دسترسی بطور اجمالی آشنا خواهیم شد.  کدامند ؟Access-List انواع ! مشخص کننده نوع آن استACL شماره : را نمایش میدهدAccess-List انواع معمول، جدول زیر ACL Type : ACL Number : IP Standard Access-List 1-99 IP Extended Access-List 100-199 AppleTalk Access-List 600-699 IPX Standard Access-List 800-899 IPX Extended Access-List 900-999 IPX SAP 1000-1099 IP Access-Lists معرفی استPacket Filtering هاAccess-List یکی از وظایف معمول و ی ا م بدا ک نترلدسترسیان جام م یدهدSource ت نها ب ر روی: Standard Standard ACL Template : access-list list# [permit/deny] source-ip wildcard-mask Extended ACL Template : IP ACLs • access-list list# [permit/deny] protocol src src-wildcard – dst dst-wildcard operator [port] Destination IP وSource-IP ب ر روی: Extended کنترل دسترسی داردDestination Port وSource Port و همچنین IP Standard Access-List همانطور که گفته شد ،در ACLاستاندارد ،تنها میتوان بر روی مبدا مدیریت داشت . به مثال زیر توجه کنید : با توجه به شکل زیر میخواهیم کاربر 192.168.10.30به شبکه 172.16.22.0دسترسی نداشته باشد پس مینویسیم : ‏access-list 10 deny host 192.168.10.30 چگونگی اعمال Access-List یست گ روهیرا ب ا ، ک اری یستند و ت نها ب عنوانی ل Access-Listها ب تنهاییق ادر ب ه ان جام ک ن است . س یاستهایدسترسیت عریفش ده در خود جایداده با استفاده از قالب دستوری زیر ،بایستی قانون و سیاست نوشته شده خود را در قالب یک گروه ،به درگاه خاصی اختصاص دهیم . ‏Interface port # ]Ip access-group [acl#] [in/out پس برای اتمام عملیات در مثال قبل مینویسیم : ‏Interface ethernet 1 ]Ip access-group 10 [out با توجه به قرارگیری این قانون در درگاه ، ethernet 1کاربر ، 192.168.10.30بجز عدم ارتباط با شبکه ، 172.16.22.0/24قادر است با اینترنت ارتباط خود را حفظ کند . IP Extended ACL از آنجایی که Extended-ACLبر روی مقصد و درگاهها نیز کنترل دارد ،میتوان در قوانین خود ، محدودیتهای دقیقتری را در نظر گرفت . در سناریوی زیر میخواهیم ،شبکه 221.23.123.0را به سرور 198.150.13.34مسدود کنیم . در کدام روتر و کدام interfaceباید Access-Listبکار رود ؟ ابتدا یک ACLدر روتر Cمینویسیم و آن را در اینترفیس ethernet 0روتر بکار میبریم . ‏access-list 101 deny ip 221.23.123.0 0.0.0.255 host 198.150.13.34 با توجه به اینکه ترافیک یک ترافیک ورودیست ،باید با استفاده از دستور ‏Interface eth0 ‏ip access-group acl# in کنترل دسترسی را انجام داد . با این عمل ،اجازه خواهیم داد که شبکه 221.23.123.0به جز آدرس 198.150.13.34به هر جای دیگر دسترسی داشته باشد . Wildcard Mask جهت درک مفهوم Wildcard Maskبا مثال کوچکی پیش خواهیم رفت : میخواهیم شبکه 192.168.32.0/28را از دسترسی به یک شبکه یا سیستم مسدود کنیم ... مرحله اول : Wildcard Maskرا م حاسبه م یکنیم : همانطور که میدانیم 28/یعنی 255.255.255.240 باینری آن برابر است با : 11111111.11111111.11111111.11110000 برای Wildcard Maskتنها بیت های 0مورد توجه قرار میگیرد . 15 = 1+2+4+8 >= 128/64/32/16/8/4/2/1 بنابراین Wildcard Maskبرابر است با 0.0.0.15 access-listرا هم از قرار زیر مینویسیم : ‏access-list 1 deny 192.168.32.0 0.0.0.15 ‏access-list 1 permit any Wildcard Mask Example مثال : Access-listمینویسیم که دسترسی شبکه 210.93.105.0را به هر جا ،بر روی سریال 0مسدود کرده و به دیگران اجازه عبور دهیم . ‏access-list 4 deny 210.93.105.0 0.0.0.255 ‏access-list 4 permit any ‏Interface serial 0 ]ip access-group 4 [out :مثال مشابه با این تفاوت که تنها نیمه 128تایی اول شبکه را در نظر میگیریم ‏access-list 4 deny 210.93.105.0 0.0.0.127 :و نیمه 128تایی دوم شبکه از قرار زیر ‏access-list 4 deny 210.93.105.128 0.0.0.127 مثال مشابه با این تفاوت که تنها ipهای زوج در نظر گرفته شود ( :بیت آخر ipبرابر )0 ‏access-list 4 deny 210.93.105.0 0.0.0.254 مثال مشابه با این تفاوت که تنها ipهای فرد در نظر گرفته شود ( :بیت آخر ipبرابر )1 ‏access-list 4 deny 210.93.105.1 0.0.0.254 Don’t Forget to Permit ‏others از آنجایی که access-listها دارای یک عبارت deny anyبصورت پیشفرض در آخر هر لیست میباشند ،لذا پس از نوشتن سطح دسترسی های مختلف باید متوجه اعطای مجوز permitبه گروه های دیگر باشیم ... بعنوان مثال اگر شبکه را از دسترس منع کردیم ،بایستی با نوشتن دستوری دیگر ،سطح دسترسی را برای دیگران باز گذاشت ،چرا که همانطور که گفته شد بصورت پیشفرض ،دستور deny anyدر آخر لیست موجود است که بعد از چک کردن تمامی قوانین ،دسترسی همه را قطع خواهد نمود .لذا اگر میخواهیم deny anyوجود داشته باشد ،پس قبل از آن قوانین اجازه دسترسی کاربران و شبکه ها را در آن لیست تعیین میکنیم تا با دستور پیشفرض مذکور با مشکل مواجه نشویم . به مثال زیر توجه کنید : ‏access-list 1 deny 192.168.10.0 0.0.0.128 ‏access-list 1 permit any با استفاده از این دستور deny any ،خنثی میگردد (البته اگر بصورت دستی deny anyرا قبل از آن وارد نکرده باشیم ! ) مورد عکس نیز وجود دارد ،بدین معنی که میتوان ابتدا شبکه ها و یا گره هایی از شبکه را به لیست سفید ( )permitاختصاص دهیم و در آخر deny anyرا اضافه کنیم . ارجعیت access-listها از باال به پایین بررسی و خوانده میشود ... Protocol Type & Port ب ر م بنایFiltering Number access-list 110 deny tcp host 10.10.10.1 any neq 22 access-list 110 permit tcp any any eq 22 access-list 110 deny udp any host 192.168.10.1 eq 53 ip access-list extended 120 deny tcp any any gt 1024 permit tcp host 10.10.2.10 any lt 23 deny tcp 10.10.10.128 0.0.0.127 host 172.16.1.20 range 20 23 Named-ACL ip access-list extended Logging-ACL permit tcp host 10.10.10.11 host 192.168.1.10 eq 23 log permit tcp host 10.10.10.11 host 192.168.1.10 eq 23 log-input TCP header fields access-list 106 permit udp any any ack Match on the ACK bit established Match established connections fin Match on the FIN bit fragments Check non-initial fragments psh Match on the PSH bit rst Match on the RST bit syn Match on the SYN bit urg Match on the URG bit eq Match only packets on a given port number gt Match only packets with a greater port number log Log matches against this entry log-input Log matches against this entry, incl. input interface lt Match only packets with a lower port number neq Match only packets not on a given port number precedence Match packets with given precedence value range Match only packets in the range of port numbers tos Match packets with given TOS value Verifying ACLs Show commands: – show access-lists • shows all access-lists configured on the router – show access-lists {name | number} • shows the identified access list – show ip interface • shows the access-lists applied to the interface--both inbound and outbound. – show running-config • shows all access lists and what interfaces they are applied on Enhanced Access Lists Time-Based . ایفای قشم یکنند ن ها در س اعتخاصیاز روز و ی ا روز خاصیدر هفته ف عا لش ده وACL (conf)# time-range APA (conf-time-range)# periodic daily 10:00 to 13:00 (conf-time-range)# ip access-list TimeACL in (conf-time-range)#ip access-list extended TimeACL (config-ext-nacl)# deny tcp any any eq www time-range APA (config-ext-nacl)# permit ipv6 any any Reflexive ! create the named extended access list that "sees" the outbound packets ip access-list extended outbound-packet-watch permit tcp any any reflect tcp-reflexive-temporary-list permit udp any any reflect udp-reflexive-temporary-list ! create the named extended access list that evaluates the inbound packets ip access-list extended inbound-packet-catcher evaluate tcp-reflexive-temporary-list evaluate udp-reflexive-temporary-list interface serial 1/0 ! apply the named access list to watch packets leaving the secure network ! as they go out serial 1/0 ip access-group outbound-packet-watch out ip access-group inbound-packet-catcher in Context-Based Access Control (CBAC)