CC BY
98
УДК 004.052
А.Ю. Исхаков, С.Ю. Исхаков, О.А. Кондратова, Н.Т. Югов
Обеспечение безопасности оборудования Cisco Systems с помощью списков контроля доступа
Рассматривается технология списков контроля доступа (СКД) как средство обеспечения безопасности сетевого оборудования Cisco Systems. Предлагается способ определения типа списков контроля доступа в зависимости от требований сети, отмечаются достоинства и недостатки каждого типа, приводятся возможные способы устранения неполадок, возникающих при использовании данной технологии.
Ключевые слова: безопасность, локально-вычислительная сеть (ЛВС), списки контроля доступа.
Общие сведения о списках контроля доступа
Процесс администрирования вычислительной сети неизбежно связан с необходимостью обеспечения контроля доступа к её ресурсам. С увеличением числа подключений маршрутизатора к внешним сетям администраторы должны решить сложную задачу по обеспечению разделения уровней доступа к данным и настройке качества обслуживания (QoS) [4]. В сетях, построенных на оборудовании Cisco Systems, одним из способов решения данной задачи является использование СКД, предлагающих важные функции безопасности и позволяющие фильтровать пакеты на интерфейсах маршрутизатора. Кроме того, часто данный инструментарий используется для классификации и разделения трафика. Классификация позволяет применять особую обработку к трафику, заданному в СКД, в частности: определять тип трафика для шифрования через VPN-подключение [1]; определять маршруты, которые должны быть перераспределены из одного протокола маршрутизации в другой; использовать фильтрацию в обновлениях маршрутизации и т. д.
В операционной системе Cisco IOS [і] СКД могут контролировать транзитные потоки трафика, проходящего через все интерфейсы маршрутизатора. Существует возможность конфигурации для входящего и исходящего трафика Telnet [4] на портах VTY [і] для администрирования маршрутизатора.
Рис. і. Принципиальная схема работы СКД
СКД представляют набор правил, регламентирующих процедуру обработки пакетов. Данные правила не применяются к пакетам, сгенерированным самим маршрутизатором. СКД могут работать применительно к входящему и исходящему типу трафика.
Инструкции СКД выполняются в логической последовательности. Они оценивают пакеты сверху вниз по одной инструкции за раз. Если заголовок пакета соответствует правилу СКД, остальные инструкции пропускаются. В противном случае пакет проверяется на соответствие следующей записи в списке. Данный процесс повторяется до конца списка инструкций.
Типы списков контроля доступа
1) Стандартные СКД. Проверяют адреса источников маршрутизируемых пакетов по протоколу ІР. В результате данные полного пакета протоколов принимаются или отклоняются в зависимости от ІР-адреса сети-источника, подсети или хоста [3].
2) Расширенные СКД. Проверяют адреса источника и назначения, протоколы, номера портов и другие параметры, что обеспечивает администраторам дополнительную гибкость в реализации политики безопасности.
3) Дополнительные типы: динамические (ДСКД), рефлексивные (РСКД) и временные (ВСКД). Основываются на первых двух типах и обеспечивают дополнительные функциональные возможности.
Существуют два типа идентификации стандартных и расширенных СКД: использование нумерации или описательного имени. Для каждого протокола можно создать несколько СКД с разными номерами. Для каждого протокола, направления и интерфейса можно задать только один СКД. Номера списков от 1 до 99 и от 1300 до 1999 настраивает маршрутизатор на принятие инструкций стандартного нумерованного СКД для 1Ру4 [3]. Для расширенного - от 100 до 199 и от 2000 до 2699 соответственно. Последовательная нумерация записей списков доступа по протоколу 1Р предлагает возможность изменения порядка инструкций и удаления отдельных записей.
ДСКД необходимо использовать, чтобы удалённый пользователь или группа пользователей получили доступ к сети с удалённых хостов через Интернет. ДСКД аутентифицирует пользователей и разрешает ограниченный доступ через брандмауэр-маршрутизатор к хосту или подсети в течение конечного периода времени. Данный инструментарий позволяет разрешить доступ к удалённым ресурсам ограниченному набору локальных хостов. ДСКД требует аутентификации через ТАСАСБ+ [5] или другой сеансовый протокол.
РСКД обеспечивают фильтрацию 1Р-пакетов в соответствии с данными сеанса верхнего уровня. Они используются для разрешения исходящего трафика и ограничения входящего трафика в ответ на сеансы, созданные в сетях маршрутизатора. РСКД генерируют временные записи при запуске нового сеанса 1Р. Данные списки вносятся в расширенный именованный СКД, который активируется на интерфейсе.
ВСКД поддерживают контроль доступа в зависимости от временной характеристики [6]. Чтобы внедрить ВСКД, необходимо задать диапазон времени для каждого дня и недели. Временной диапазон идентифицируется именем, на которое ссылается функция. Вследствие этого временные ограничения применяются к самой функции [7].
В таблице представлен список выявленных преимуществ СКД 3 по сравнению со стандартными и статистическими расширенными списками.
Преимущества для системы безопасности в случае использования СКД 3-го типа
Тип СКД Преимущества
ДСКД Использование механизма вызова для аутентификации отдельных пользователей
Упрощённое управление в крупных интерсетях
Снижение объёма вычислений на маршрутизаторе
Динамический доступ пользователя через брандмауэр, не подвергающий риску другие ограничения безопасности
РСКД Защита от подделки пакетов и Dos-атак [5]
Гибкость в контроле пакетов
ВСКД Дополнительный контроль над доступом пользователей к ресурсам
Возможность задания политики безопасности в зависимости от времени: 1) Безопасность на основе периметра с использованием функций Cisco IOS Firewall. 2) Конфиденциальность на основе Cisco Encryption Technology или IP Security
Усовершенствованная функция маршрутизации на основе политик и очередей
Возможность обеспечения экономичной автоматической маршрутизации трафика
После завершения настройки СКД необходимо воспользоваться командами show для того, чтобы проверить конфигурацию. Команда show-access-lists отображает содержимое всех СКД; поддерживается использование дополнительного параметра номера или имени конкретного списка. Для вывода содержимого СКД по протоколу IP необходимо использовать команду show ip-access-list.
Заключение
Правильное использование и настройка СКД несомненно являются одной из важнейших задач во время конфигурации маршрутизаторов. Стандартные и расширенные СКД операционной системы Cisco IOS используются для классификации IP-пакетов. Данный инструментарий предоставляет возможность использования различных средств безопасности, маршрутизации на основе политик, а
также применения приоритета обслуживания. Эти функции активируются на интерфейсах маршрутизаторов и коммутаторов в определённом направлении (входящем и исходящем).
Работа выполнена в рамках проекта У.У0і.20іі (проект і/і2) при поддержке Министерства образования и науки Российской Федерации.
Литература
1. Odom W. CCNA ICND2 Official Exam Certification Guide (CCNA Exams 640-8і6 and 640-802) -20іі. - Part. 2. - P. 62-66.
2. Исхаков А.Ю. Методы и средства контроля и мониторинга трафика на коммутаторах Cisco Systems // Матер. Всерос. науч.-техн. конф. студентов, аспирантов и молодых ученых «Научная сессия ТУСУР-20і2», Томск, і6-і8 мая 20і2 г. - Томск: В-Спектр, 20іі. - Ч. 3. - С. 40-43.
3. Пакетные фильтры и их конфигурирование [Электронный реcурс]. - Режим доступа: http://cisco.far.ru/acl.html, свободный (дата обращения: і0.03.20і2).
4. ACL: списки контроля доступа в Cisco IOS [Электронный ресурс]. - Режим доступа: http://habrahabr.ru/post/і2і806/, свободный (дата обращения: 3.03.20і2).
5. Исхаков А.Ю. Обеспечение безопасности системы управления сетью / А.Ю. Исхаков, С.Ю. Исхаков // Сб. тр. VIII Всерос. науч.-практ. конф. студентов, аспирантов и молодых ученых «Технологиии Microsoft в теории и практике программирования», Томск, 23-24 марта 20 і і г. -Томск: Изд-во Том. политех. ун-та, 20іі. - С. 2і4-2і5.
6. Ходашинский И.А. Методы нечеткого извлечения знаний в задачах обнаружения вторжений / И.А. Ходашинский , И.В. Горбунов, РВ. Мещеряков // Вопросы защиты информации. - 2002. -№ і. - С. 45-50.
У. Криптографические протоколы в системах с ограниченными ресурсами / Р.В. Мещеряков, С.К. Росошек, А.А. Шелупанов, М.А. Сонькин // Вычислительные технологии. - 200У. - Т. і2, Спец. Вып. і. - С. 5і-6і.
Исхаков Андрей Юнусович
Инженер каф. КИБЭВС ТУСУРа Тел.: 8 (382-2) 900-111, доп. 25-16 Эл. почта: iay@security.tomsk.ru
Исхаков Сергей Юнусович:
Аспирант каф. КИБЭВС ТУСУР
Тел. : 8 (382-2) 41-34-26
Эл. почта: iskhakovsy@oez.tomsk.ru
Кондратова Ольга Анатольевна
Канд. техн. наук, проф. каф. ЕНПД Новокузнецкого филиала Национального исследовательского Томского политехнического университета Тел.: 8-923-532-23-70 Эл. почта: okondratova@mail.ru
Югов Николай Тихонович
Д-р физ.-мат. наук, проф. каф. высшей математики ТУСУРа
Тел.: 8 (382-2) 41-34-26
Эл. почта: office@keva.tusur.ru
Iskhakov A.Y., Iskhakov S.Y., Kondratova О.А., Ugov N.T.
Securing Cisco Systems equipment with access control lists
The technology of access control lists (ACL) as a means of ensuring security of network equipment Cisco Systems are described.
Keywords: Cisco Systems, local area network, access control lists.
