Захист комп ютерних мереж за допомогою АСL-списків Лекція

Захист комп'ютерних мереж за допомогою АСL-списків Лекція № 15

План лекції 1. Види загроз комп'ютерним мережам. 2. Фільтрація трафіку за допомогою списків контролю доступу (Access Control List, ACL).

Мета лекції • Ознайомити студентів з сутністю основних понять безпеки, з видами загроз комп'ютерним мережам • Розкрити особливості загроз, умови використання, можливі засоби захисту • Показати, яким чином здійснюється захист комп'ютерних мереж за допомогою списків контролю доступу

Хто володіє інформацією – той керує світом. Руперт Мердок

Можливій розвиток Інтернету Еволюція Інтернету: погляд в перспективі до 2025 року 25 серпня 2010 р. Звіт, що був підготовлений Cisco спільно з компанією Global Business Network За даними компанії Symantec 65% користувачів Інтернету бували жертвами різного роду атак. Тому за думкою спеціалістів Cisco у Мережі можуть з'явитися безпечні аналоги з доступом до них на платній основі.

1. Види загроз комп'ютерним мережам

Основні поняття безпеки Цілісність Конфіденційність Доступність Захист інформації від випадкового або навмисного пошкодження (видалення). Засоби, яки дозволяють приховувати інформацію. Звичайно це досягається за допомогою шифрування. Ресурс системи, який запрошує легальний користувач повинен бути наданим йому у використання. Суттю захисту інформації є її доступність при збереженні цілісності інформації та гарантованій конфіденційності. 7

Загрози • Під загрозою розуміється будь-яка подія, що потенційно може завдати шкоди організації шляхом розкриття (порушення конфіденційності), модифікації або руйнування інформації (порушення цілісності), або відмови в обслуговуванні критичними сервісами (порушення доступу). 8

Людський фактор Однією із основних потенційних загроз для інформаційних систем є так званий людський фактор – цілеспрямовані або випадкові деструктивні дії персоналу, оскільки вони складають до 75% усіх випадків.

Види загроз Програми-реклами (Adware) Програми-шпигуни (Spyware) потенційно небезпечні програми Програми-жарти атаки хакерів черв'яки віруси руткіти фішинг спам вішинг трояни

Соціотехніка

Фішинг За даними Symantec 22% операцій на серверах хакерів пов'язані з продажею зламаних банківських рахунків.

Фішинг У 2008 році компанія Symantec, яка є одним з лідерів в області інформаційної безпеки, виявила 55389 фішингових Web-сайтів, що на 66% більше, ніж у 2007 році (33428 сайтів). 76% всіх фішингових Web-сайтів відносяться до сектору фінансових послуг (проти 52% у 2007 році). КО-14 / 21 квітня 2009 року

Вішинг

Віруси, черві В перші десятиліття комп'ютерної епохи основну небезпеку представляли хакери, зараз безпека інформації прогресує через комп'ютерні віруси (черві), що розповсюджуються за допомогою глобальної мережі Internet

Віруси

Самі відомі віруси

Віруси Згідно звіту, зростання числа нових шкідливих програм в порівнянні з 2005 р. склало 41%. Кількість вірусів, що були виявлені з 2003 року спеціалістами лабораторії Касперського При цьому стрімко збільшується кількість «троянських» програмшпигунів, орієнтованих на крадіжку даних користувачів онлайн-ігор, і спостерігається подальший розвиток «троянцев» шифровальщиків. Також наголошується підвищена увага тих, хто пишуть віруси до Microsoft Office, в якому було знайдено багато нових уразливостей.

Черві На кінець 2008 року більш 1 млн комп'ютерів були заражені черв'яком Downadup (Conficker), який швидко розповсюджувався в Інтернет завдяки декільком механізмів розмноження. У першому кварталі 2009 року Conficker було заражено вже 3 млн комп'ютерів.

Троянський кінь Trojan-Downloader. Win 32

DDo. S-атака Найбільшу небезпеку для інформаційних систем в цілому складають атаки типу «відмова в обслуговуванні» (Denial of service – DOS). На даний час відсутні засоби 100% захисту комп’ютерних мереж від атак даного типу. SYN Flood Ping of Death

Висновки

2. Фільтрація трафіку за допомогою списків контролю доступу (Access Control List, ACL)

Фільтрація трафіку Фільтрація являє собою процес аналізу вмісту пакету з метою дозволу або блокування його передачі. Фільтрація дозволяє адміністратору контролювати трафік у різних сегментах мережі. Фільтрація за протоколом за МАС-адресою за ІР-адресою за додатком

DMZ Демілітаризована зона – спеціальна область мережі, у якої розміщуються мережеві пристрої (сервери), до яких необхідно забезпечити доступ з боку користувачів Інтернет

DMZ

Списки контролю доступу Access Control List (ACL-списки) Фільтрація трафіку реалізується на основі списків доступу. Проблеми Додаткове навантаження на маршрутизатор Робота мережі може бути порушена Не вірно налаштовані списки можуть заборонити допустимий трафік і дозволити заборонений

Типи ACL-списків Стандартний фільтрація здійснюється на основі вихідної IP-адреси. Розширений Іменований Особливість стандартних ACL-списків Такий тип ACL-списку корисний для дозволу доступу всіх служб певного користувача або локальної мережі (LAN) через маршрутизатор з забороною доступу з інших IP-адрес. Кожному стандартному ACL-списку надається номер з діапазонів: 1. . 99 та 1300. . 1999. Router(config)# access-list 1 permit host 172. 34. 12. 1 Приклад команди створення стандартного списку, яка дозволяє доступ до мережі з окремого вузла

Типи ACL-списків Стандартний Розширений Іменований фільтрація здійснюється на основі вихідної та кінцевої IP-адреси, а також за протоколом і номерами портів Особливість розширених ACL-списків Розширені ACL-списки використовуються частіше стандартних, оскільки вони є більш визначеними і забезпечують більш високий рівень контролю. Розширеним ACL-списками присвоюються номери з діапазонів від 100 до 199 і від 2000 до 2699. Router(config)# access-list 100 deny tcp 172. 16. 2. 0 0. 0. 0. 255 any eq telnet Забороняє доступ з підмережі 172. 16. 2. 0/24 до будь-якого іншого вузла за допомогою протоколу Telnet

Типи ACL-списків Стандартний Розширений Іменований фільтрація здійснюється на основі вихідної та кінцевої IP-адреси, а також за протоколом і номерами портів Особливість іменованих ACL-списків Іменовані ACL-списки (Na. Cl-списки) мають формат стандартного або розширеного списку і позначаються описовим ім'ям, а не номером. При налаштуванні іменованих ACL-списків IOS маршрутизатору використовує режим підкоманд Na. Cl. Router(config)# ip access-list standart permit-ip Router(config-ext-nacl)#permit host 192. 168. 5. 47 Створюється стандартний список доступу з ім'ям дозволу IP Дозволяє доступ з IP-адреси 192. 168. 5. 47

Типи ACL-списків

Параметри ACL-списку permit – дозволити deny - заборонити ACL-список, який немає жодної інструкції, що дозволяє певний трафік, забороняє будь-який трафік

Групова маска - зворотна маска підмережі Щоб визначити групову маску для мережі або підмережі, потрібно відняти десяткову маску підмережі з маски, яка має всі цифри 255 (255. 255).

Вправа Мережа 192. 168. 77. 0 з маскою 255. 192 або /26 створює 4 підмережі: 192. 168. 77. 0/26 192. 168. 77. 64/26 192. 168. 77. 128/26 192. 168. 77. 192/26 access-list 55 permit Задача: надати дозвіл обміну даними з першими двома підмережами. Групова маска має вигляд: 0. 0. 0. 63 192. 168. 77. 0 192. 168. 77. 64 0. 0. 0. 63 Якщо підсумувати маски, те команду можна записати одним рядком: access-list 55 permit 192. 168. 77. 0 0. 0. 0. 127 Якою буде команда, якщо умова задачі стосується 3 і 4 підмереж?

Параметр host Для фільтрації трафіку з одного визначеного вузла використовується групова маска 0. 0 або параметр host. R 1(config)#access-list 9 deny 192. 168. 15. 99 0. 0 aбо R 1(config)#access-list 9 deny host 192. 168. 15. 99

Параметр any Для фільтрації трафіку всіх вузлів використовується групова маска 255 разом з ІРадресою вузла 0. 0 або параметр any. R 1(config)#access-list 9 permit 0. 0 255 aбо R 1(config)#access-list 9 permit any

Обробка ACL-списку ACL-списки бувають вхідні і вихідні. Списки зв'язуються з інтерфейсами маршрутизатору. Вхідний або вихідний напрям завжди розглядається з точки зору маршрутизатора. Трафік, що поступає через інтерфейс, є вхідним, а що відправляється через інтерфейс - вихідним. Для кожного інтерфейсу маршрутизатор може мати один ACL-список для одного напрямку по кожному мережевому протоколу. Для IP-протоколу, один інтерфейс може мати один вхідний ACL-список і один вихідний ACL-список одночасно.

Застосування списків задача застосування списків вирішується у такі етапи: • • вибір типу списку вибір маршрутизатору вибір інтерфейсу маршрутизатору вибір напряму застосування списку

Розміщення списків Стандартні ACL-списки необхідно розміщувати ближче до кінцевих вузлів

Розміщення списків Завдяки аналізу по вихідній і кінцевій адресі, ACL-список дозволяє блокувати пакети, що направляються в певну кінцеву мережу перш, ніж вони покинуть вихідний маршрутизатор. Пакети фільтруються перш, ніж вони перетнуть кордон мережі, що допомагає підтримувати пропускну здатність. Розширений ACL-список краще розміщувати ближче до вихідної адреси.

Команди створення ACL-списків

Створення списку Синтаксис команди створення стандартного ACL-списку наступний: access-list [номер-списку-доступу] [deny | permit] [вихідна ІР-адреса] [вихідна-групова маска] [log] Синтаксис команди видалення ACL-списку наступний no access-list [номер списку]

Створення списку Синтаксис команди створення розширеного ACL-списку наступний access-list [номер-списку-доступу] {deny | permit} {protocol | protocol-keyword} - наприклад IP, TCP, UDP, ICMP тощо {[вихідна ІР-адреса] [вихідна-групова маска] | any} [source-port] {[кінцева ІР-адреса] [кінцева-групова маска] | any} [log] Використання параметру protocol здійснюється разом з параметром source-port – число з діапазону 0… 255

Застосування списку Виконується в 2 етапи: 1. Визначається маршрутизатор та його інтерфейс, для якого буде використовуватися ACL-список. 2. Здійснюється вибір напрямку фільтрації трафіку. Router 1(config)# int s 0/0/0 Router 1(config-if)#ip access-group 101 in Дані команди забезпечують застосування створеного ACL-списку 101 до послідовного інтерфейсу маршрутизатору s 0/0/0, параметр in визначає напрям обробки трафіку, в даному випадку це вхідний трафік. Якщо трафік вихідний, те потрібно застосовувати параметр out.

Перегляд списку Переглянуті список можна за допомогою команди show access-list, наприклад: Router 3#sh access-list Extended IP access list 101 deny tcp any eq telnet permit ip any Router 3#

Висновок Застосування тільки даного засобу не забезпечує надійний захист мережі Необхідно використовувати додаткові засоби

Питання ?

Вправа Нехай в деякої області маємо підмережі: • 192. 168. 0. 0/24 • 192. 168. 1. 0/24 • 192. 168. 2. 0/24 • 192. 168. 3. 0/24 Необхідно визначити границю сумування. Перші 2 байти однакові – 192. 168, тобто перша частина адреси супермережі також буде 192. 168, а перша частина маски – 255 3 байт для кожної підмережі запишемо у двійковому вигляді можна сумувати 192. 168. 0000. 0 192. 168. 00000001. 0 192. 168. 00000010. 0 192. 168. 00000011. 0 Границя сумування У останніх 2 -х бітах є розбіжність, тому їх не враховуємо 192. 168. 0000. 0 255. 11111100. 0 Остаточно адреса супермережі буде 192. 168. 0. 0, маска – 255. 252. 0