Danh sách điều khiển truy cập (Access Control List)

12 1.2K 11
Danh sách điều khiển truy cập (Access Control List)

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Đại Học Cần Thơ – Khoa Công Nghệ Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 Chương Danh sách điều khiển truy cập (Access Control List) Mục đích Chương nhằm giới thiệu cho người đọc vấn đề sau : • Danh sách truy cập • Ngun tắc hoạt động danh sách truy cập • Danh sách truy cập chuẩn mạng TCP/IP Biên soạn : Th.s Ngô Bá Hùng – 2005 73 Đại Học Cần Thơ – Khoa Công Nghệ Thơng Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 7.1 Giới thiệu Các mạng có sử dụng chọn đường nối tập nhỏ mạng LAN máy tính lại với Kế tiếp nhà quản trị mạng mở rộng nối kết router sang mạng bên Sự gia tăng việc sử dụng Internet mang đến nhiều thách thức việc điều khiển truy cập Các công nghệ mạng đường trục cáp quang dịch vụ băng thông rộng hoán chuyển tốc độ cao làm gia tăng nhiều thách thức điều khiển truy cập mạng Các nhà quản trị đối mặt với vấn đề có tính tiến thối lưỡng nan như: Làm từ chối nối kết không mong muốn cho phép truy cập hợp lệ ? Mặc dù công cụ mật khẩu, thiết bị phản hồi thiết bị an tồn vật lý hữu ích, chúng thường thiếu diễn giải mềm dẽo chế điều khiển mà hầu hết nhà quản trị mạng mong muốn Hình 7.1 – Vấn đề an ninh mạng diện rộng Danh sách truy cập (Access list) hay gọi Danh sách điều khiển truy cập (Access Control List) cung cấp công cụ mạnh cho việc điều khiển mạng Những danh sách đưa vào chế mềm dẽo việc lọc dịng gói tin mà chúng ra, vào giao diện router Các danh sách giúp mở rộng việc bảo vệ tài nguyên mạng mà không làm ảnh hưởng đến dòng giao tiếp hợp lệ Danh sách truy cập phân biệt giao thơng gói tin thành nhiều chủng loại mà chúng phép hay bị từ chối Danh sách truy cập sử dụng để: ƒ Nhận dạng gói tin cho việc xếp thứ tự ưu tiên hay xếp hàng đợi ƒ Hạn chế giảm nội dung thông tin cập nhật chọn đường Danh sách truy cập xử lý gói tin cho tính an tồn khác như: ƒ Cung cấp chế điều khiển truy cập động gói tin IP dựa vào chế nhận dạng người dùng nâng cao, sử dụng tính chìa ống khóa ƒ Nhận dạng gói tin cho việc mã hóa ƒ Nhận dạng truy cập dịch vụ Telnet cho phép để cấu hình router Biên soạn : Th.s Ngơ Bá Hùng – 2005 74 Đại Học Cần Thơ – Khoa Công Nghệ Thơng Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 7.2 Định nghĩa danh sách truy cập Danh sách truy cập phát biểu dùng để đặc tả điều kiện mà nhà quản trị muốn thiết đặt, nhờ router xử lý truyền tải mô tả danh sách truy cập theo cách thức khơng bình thường Danh sách truy cập đưa vào điều khiển cho việc xử lý gói tin đặc biệt theo cách thức Có hai loại danh sách truy cập là: ƒ Danh sách truy cập chuẩn (standard access list): Danh sách sử dụng cho việc kiểm tra địa gởi gói tin chọn đường Kết cho phép hay từ chối gởi cho giao thức dựa địa mạng/mạng hay địa máy o Ví dụ: Các gói tin đến từ giao diện E0 kiểm tra địa giao thức Nếu phép, gói tin chuyển giao diện S0 nhóm danh sách truy cập Nếu gói tin bị từ chối danh sách truy cập, tất gói tin chủng loại bị xóa Hình 7.2 – Ý nghĩa danh sách truy cập chuẩn ƒ Danh sách truy cập mở rộng (Extended access list): Danh sách truy cập mở rộng kiểm tra cho địa gởi nhận gói tin Nó kiểm tra cho giao thức cụ thể, số hiệu cổng tham số khác Điều cho phép nhà quản trị mạng mềm dẻo việc mơ tả muốn danh sách truy cập kiểm tra Các gói tin phép từ chối gởi tùy thuộc vào gói tin xuất phát từ đâu đến đâu 7.3 Nguyên tắc hoạt động Danh sách truy cập Danh sách truy cập diễn tả tập hợp qui luật cho phép đưa vào điều khiển gói tin vào giao diện router, gói tin lưu lại tạm thời router gói tin gởi giao diện router Danh sách truy cập tác dụng gói tin xuất phát từ router xét Biên soạn : Th.s Ngô Bá Hùng – 2005 75 Đại Học Cần Thơ – Khoa Công Nghệ Thơng Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 Hình 7.3 – Nguyên tắc hoạt động danh sách truy cập Khởi đầu tiến trình giống khơng phân biệt có sử dụng danh sách truy cập hay khơng: Khi gói tin vào giao diện, router kiểm tra để xác định xem chuyển gói tin hay khơng Nếu khơng được, gói tin bị xóa Một mục từ bảng chọn đường thể cho đích đến mạng với chiều dài đường đến đích giao diện router hướng đích đến Kế tiếp router kiểm tra để xác định xem giao diện hướng đến đích đến có danh sách truy cập khơng Nếu khơng, gói tin gởi vùng đệm cho ngỏ tương ứng, mà không bị danh sách truy cập chi phối Giả sử giao diện nhận đặt danh sách truy cập mở rộng Nhà quản trị mạng sử dụng biểu thức luận lý, xác để thiết lập danh sách truy cập Trước gói tin đưa đến giao diện ra, phải kiểm tra tập quy tắc định nghĩa danh sách truy cập gán cho giao diện Dựa vào kiểm tra danh sách truy cập mở rộng, gói tin phép danh sách vào (inbound list), có nghĩa tiếp tục xử lý gói tin sau nhận giao diện hay danh sách (outbound list), điều có nghĩa gởi gói tin đến vùng đệm tương ứng giao diện Ngược lại, kết kiểm tra từ chối việc cấp phép nghĩa gói tin bị hủy Khi hủy gói tin, vài giao thức trả lại gói tin cho người gởi Điều báo hiệu cho người gởi biết khơng thể đến đích Biên soạn : Th.s Ngô Bá Hùng – 2005 76 Đại Học Cần Thơ – Khoa Công Nghệ Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 Hình 7.4- Nguyên tăc lọc dựa danh sách truy cập Các lệnh danh sách truy cập hoạt động cách Chúng đánh giá gói tin từ xuống Nếu tiêu đề gói tin lệnh danh sách truy cập khớp với nhau, gói tin bỏ qua lệnh cịn lại Nếu điều kiện thỏa mãn, gói tin cấp phép hay bị từ chối Chỉ cho phép danh sách giao thức giao diện Trong ví dụ trên, giả sư có trùng hợp với bước kiểm tra gói tin bị từ chối truy cập giao diện hướng đến đích đến Gói tin bị bỏ đưa vào thùng rác Gói tin khơng cịn qua bước kiểm tra khác Chỉ gói tin không trùng với điều kiện bước kiểm tra chuyển vào bước kiểm tra thứ hai Giả sử tham số khác gói tin trùng khớp với bước kiểm tra thứ hai, lệnh cho phép, gói tin phép chuyển giao diện hướng đích Một gói tin khác không trùng với điều kiện bước kiểm tra thứ kiểm tra bước thứ hai, lại trùng với điều kiện kiểm tra thứ ba với kết phép Chú ý rằng: Để hoàn chỉnh mặt luận lý, danh sách truy cập phải có điều kiện mà tạo kết cho tất gói tin Một lệnh cài đặt cuối bao trùm cho tất gói tin mà bước kiểm tra trước khơng có kết Đây bước kiểm tra cuối mà khớp với tất gói tin Nó kết từ chối Điều làm cho tất gói tin bị bỏ 7.3.1 Tổng quan lệnh Danh sách truy cập Trong thực tế, lệnh danh sách truy cập chuỗi với nhiều ký tự Danh sách truy cập phức tạp để nhập vào hay thông dịch Tuy nhiên đơn giản hóa lệnh cấu hình danh sách truy cập cách đưa chúng hai loại tổng quát sau: Biên soạn : Th.s Ngô Bá Hùng – 2005 77 Đại Học Cần Thơ – Khoa Cơng Nghệ Thơng Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 Loại 1: Bao gồm lệnh để xử lý vấn đề tổng quát, cú pháp mô tả sau: access-list access-list- number {permit|deny} {test conditions} o access-list: từ khóa bắt buộc o access-list-number: Lệnh tổng thể dùng để nhận dạng danh sách truy cập, thông thường số Con số biểu thị cho loại danh sách truy cập o Thuật ngữ cho phép (permit) hay từ chối (deny) lệnh danh sách truy cập tổng quát biểu thị cách thức mà gói tin khớp với điều kiện kiểm tra xử lý hệ điều hành router Cho phép thơng thường có nghĩa gói tin phép sử dụng hay nhiều giao diện mà bạn mô tả sau o test conditions: Thuật ngữ cuối mô tả điều kiện kiểm tra dùng lệnh danh sách truy cập Một bước kiểm tra đơn giản việc kiểm tra địa nguồn Tuy nhiên thông thường điều kiện kiểm tra mở rộng để chứa đựng vài điều kiện kiểm tra khác Sử dụng lệnh danh sách truy cập tổng quát với số nhận dạng để chồng nhiều điều kiện kiểm tra vào chuỗi luận lý danh sách kiểm tra Loại 2: Xử lý danh sách truy cập sử dụng lệnh giao diện Cú pháp sau: {protocol} access-group access-list-number Với: Protocol: giao thức áp dụng danh sách truy cập Access-group: từ khóa Access-list-number: Số hiệu nhận dạng danh sách truy cập định nghĩa trước Tất lệnh danh sách truy cập nhận dạng số tương ứng với nhiều giao diện Bất kỳ gói tin mà chúng vượt qua điều kiện kiểm tra danh sách truy cập gán phép sử dụng giao diện nhóm giao diện phép 7.4 Danh sách truy cập chuẩn mạng TCP/IP 7.4.1 Kiểm tra gói tin với danh sách truy cập Để lọc gói tin TCP/IP, danh sách truy cập hệ điều hành liên mạng Cisco kiểm tra gói tin phần tiêu đề giao thức tầng Tiến trình bao gồm bước kiểm tra sau gói tin: o Kiểm tra địa nguồn danh sách truy cập chuẩn Nhận dạng danh sách truy cập số có giá trị từ đến 99 o Kiểm tra địa đích địa nguồn giao thức danh sách truy cập mở rộng Nhận dạng danh sách số có giá trị từ 100 dến 199 Biên soạn : Th.s Ngô Bá Hùng – 2005 78 Đại Học Cần Thơ – Khoa Công Nghệ Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 o Kiểm tra số hiệu cổng giao thức TCP UDP điều kiện danh sách truy cập mở rộng Các danh sách nhận dạng số có giá trị từ 100 đến 199 Hình 7.5 – Ví dụ danh sách truy cập gói tin TCP/IP Đối với tất danh sách truy cập giao thức TCP/IP này, sau gói tin kiểm tra để khớp lệnh danh sách, bị từ chối cấp phép để sử dụng giao diện nhóm giao diện truy cập Một số lưu ý thiết lập danh sách truy cập: o Nhà quản trị mạng phải thận trọng đặc tả điều khiển truy cập thứ tự lệnh để thực điều khiển truy cập Chỉ rõ giao thức phép giao thức TCP/IP cịn lại bị từ chối o Chỉ rõ giao thức IP cần kiểm tra Các giao thức IP cịn lại không cần kiểm tra o Sử dụng ký tự đại diện (wildcard) để mô tả luật chọn lọc địa IP 7.4.2 Sử dụng bit mặt nạ ký tự đại diện Mặt nạ ký tự đại (Wildcard mask) chuỗi 32 bits dùng để kết hợp với địa IP để xác định xem bit địa IP bỏ qua so sánh với địa IP khác Các mặt nạ ký tự đại diện mô tả xây dựng danh sách truy cập Ý nghĩa bits mặt nạ ký tự đại diện mơ tả sau: o Một bits có giá trị mặt nạ đại diện có nghĩa « kiểm tra bit địa IP có vị trí tương ứng với bit » o Một bits có giá trị mặt nạ đại diện có nghĩa « đừng kiểm tra bit địa IP có vị trí tương ứng với bit » Bằng cách thiết lập mặt nạ ký tự đại diện, nhà quản trị mạng chọn lựa nhiều địa IP để kiểm tra cấp phép từ chối Xem ví dụ hình đây: Biên soạn : Th.s Ngơ Bá Hùng – 2005 79 Đại Học Cần Thơ – Khoa Cơng Nghệ Thơng Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 128 64 32 16 Vị trí bit byte giá trị địa 0 0 0 0 Mặt nạ kiểm tra tất bit địa 0 1 1 1 Mặt nạ không kiểm tra bits cuối địa 0 0 1 1 Mặt nạ không kiểm tra bits cuối địa 1 1 1 0 Mặt nạ kiểm tra bits cuối địa 1 1 1 1 Mặt nạ khơng kiểm tra địa Ví dụ: Cho địa mạng lớp B 172.16.0.0 Mạng chia thành 256 mạng cách sử dụng bit bytes thứ địa để làm số nhận dạng mạng Nhà quản trị muốn định kiểm tra địa IP mạng từ 172.16.16.0 đến 172.16.31 Các bước suy luận để đưa mặt nạ ký tự đại diện trường hợp sau: o Đầu tiên mặt nạ ký tự đại diện phải kiểm tra hai bytes địa (172.16) Như bits hai bytes mặt nạ ký tự đại diện phải Ta có 0000 0000.0000 0000.-.o Do không kiểm tra địa máy tính mạng nên bit bytes cuối bỏ qua Vì bits bytes cuối mặt nạ ký tự đại diện Ta có 0000 0000.0000 0000.-.1111 1111 o Trong byte thứ ba địa nơi mạng định nghĩa, mặt nạ ký tự đại diện kiểm tra bit vị trí có giá trị thứ 16 địa phải bật (giá trị 1) bits phần cao lại phải tắt (giá trị 0) Vì bits tương ứng mặt nạ ký tự đại diện phải o Bốn bits cịn lại bytes thứ khơng cần kiểm tra để tạo nên giá trị từ 16 đến 31 Vì bits tương ứng mặt nạ ký tự đại diện tương ứng o Như mặt nạ ký tự đại diện đầy đủ là: 0000 0000.0000 0000.0000 1111.1111 1111 hay 0.0.15.255 Để đơn giản, số router, chẳng hạn CISCO, sử dụng số từ viết tắt để số mặt nạ thường sử dụng: o any: dùng để mặt nạ cho phép tất địa (255.255.255.255) cấm tất (0.0.0.0.) o host: đặt phía trước địa IP máy tính để kiểm tra tất bit địa Ví dụ: host 172.16.1.1 7.4.3 Cấu hình danh sách truy cập chuẩn cho giao thức IP Phần giới thiệu số lệnh hỗ trợ router Cisco 7.4.3.1 Lệnh access list Lệnh dùng để tạo mục từ danh sách lọc chuẩn Cú pháp sau: access-list access-list-No {permit | deny } source {source-mask} Biên soạn : Th.s Ngô Bá Hùng – 2005 80 Đại Học Cần Thơ – Khoa Cơng Nghệ Thơng Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 Ý nghĩa tham số: o access-list-No: Là số nhận dạng danh sách truy cập, có giá trị từ đến 99 o permit | deny: Tùy chọn cho phép hay không cho phép giao thông khối địa mơ tả phía sau o source: Là địa IP o source-mask: Là mặt nạ ký tự đại diện áp dụng lên khối địa source 7.4.3.2 Lệnh ip access-group Lệnh dùng để liên kết danh sách truy cập tồn vào giao diện Cú pháp sau: ip access-group access-list-No {in/out} o access-list-no: số nhận dạng danh sách truy cập nối kết vào giao diện o in/out: xác định chiều giao thông muốn áp dụng vào hay 7.4.3.3 Một số ví dụ 7.4.3.4 Tạo danh sách truy cập chuẩn 7.4.3.4.1 Ví dụ Danh sách truy cập cho phép giao thông từ mạng nguồn 172.16.0.0 chuyển tiếp qua router Các giao thông mạng khác bị khóa Biên soạn : Th.s Ngô Bá Hùng – 2005 81 Đại Học Cần Thơ – Khoa Cơng Nghệ Thơng Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 7.4.3.4.2 Ví dụ Danh sách truy cập thiết kế để khóa giao thơng từ địa IP 172.16.1.13 cho phép luồng giao thông khác chuyển tiếp qua giao diện Ethernet (E0 E1) 7.4.3.4.3 Ví dụ Danh sách truy cập thiết kế để khóa luồng giao thơng từ mạng 172.16.4.0 cho phép luồng giao thông khác chuyển tiếp 7.4.4 Cấu hình danh sách truy cập mở rộng Để điều khiển việc lọc luồng giao thơng xác ta sử dụng danh sách điều khiển truy cập mở rộng giao thức IP Các lệnh danh sách truy cập cho phép kiểm tra địa nguồn địa nhận Ngoài danh sách truy cập mở rộng cho phép đặc tả cổng giao thức TCP UDP Các danh sách truy cập mở Biên soạn : Th.s Ngô Bá Hùng – 2005 82 Đại Học Cần Thơ – Khoa Cơng Nghệ Thơng Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 rộng thường sử dụng số nhận dạng từ 100 đến 199 Phần mô tả lệnh danh sách truy cập mở rộng thường hỗ trợ router 7.4.4.1 Lệnh access-list Lệnh sử dụng để tạo mục từ để diễn giải điều kiện lọc phức tạp Cú pháp sau: access-list access-list-no {permit|deny} protocol source source-mask destination destination-mask [operator operand] [established] o access-list-no: Số nhận dạng danh sách, có giá trị từ 100 đến 199 o permit|deny: định danh sách dùng để cấp phép hay từ chối khối địa theo sau o protocol: giá trị sau IP, TCP, UDP, ICMP, GRE, IGRP o source destination: Xác định địa IP gởi nhận o source-mask destination-mask: mặt nạ ký tự đại diện cho địa nguồn địa đích o operator operand: phép toán sau lt, gt, eq, neq (nhỏ hơn, lớn hơn, bằng, không bằng), số hiệu cổng o established: Cho phép giao thức TCP trì nối kết 7.4.4.2 Lệnh ip access-group Nối kết danh sách điều khiển nối kết mở rộng với giao diện mạng ngỏ Chỉ cho phép danh sách điều khiển truy cập cổng giao thức Cú pháp sau: ip access-group access-list-no {in|out} o access-list-no: số nhận dạng danh sách điều khiển truy cập mở rộng o in|out: để xác định danh sách điều khiển truy cập áo dụng cho giao diện vào hay 7.4.4.3 Một số ví dụ danh sách điều khiển truy cập mở rộng Ví dụ 1: Biên soạn : Th.s Ngô Bá Hùng – 2005 83 Đại Học Cần Thơ – Khoa Công Nghệ Thông Tin – Giáo Trình Thiết Kế & Cài Đặt Mạng – V1.0 Danh sách điều khiển truy cập thiết kế phép luồng giao thông từ mạng 172.16.4.0 chuyển đến mạng mạng khác thơng qua giao diện E0 Ví dụ 2: Danh sách điều khiển truy cập thiết kế để chi cho phép thư điện tử từ mạng 172.16.4.0 gởi qua giao diện E0 Các luồng giao thông từ mạng khác bị từ chối 7.4.4.4 Nguyên tắc sử dụng danh sách điều khiển truy cập Như ta có hai loại danh sách điều khiển truy cập danh sách điều khiển truy cập chuẩn danh sách điều khiển truy cập mở rộng Danh sách điều khiển truy cập chuẩn gói tin dựa vào địa địa nguồn Chính mạng có nhiều router, cần thiết lập router nằm gần giới bên Ngược lại, danh sách điều khiển truy cập mở rộng cho phép lọc dựa đích đến gói tin, chúng thường đặt router gần máy nguồn để ngăn chặn sớm gói tin đến đích đến khơng phép Biên soạn : Th.s Ngô Bá Hùng – 2005 84 ... sử dụng danh sách điều khiển truy cập Như ta có hai loại danh sách điều khiển truy cập danh sách điều khiển truy cập chuẩn danh sách điều khiển truy cập mở rộng Danh sách điều khiển truy cập chuẩn... ninh mạng diện rộng Danh sách truy cập (Access list) hay gọi Danh sách điều khiển truy cập (Access Control List) cung cấp công cụ mạnh cho việc điều khiển mạng Những danh sách đưa vào chế mềm... số nhận dạng danh sách điều khiển truy cập mở rộng o in|out: để xác định danh sách điều khiển truy cập áo dụng cho giao diện vào hay 7.4.4.3 Một số ví dụ danh sách điều khiển truy cập mở rộng

Ngày đăng: 19/10/2013, 00:20

Từ khóa liên quan

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan