119
15-Laboratoriya ishi.
IP xavfsizligini joriy qilish (Access List)
Ishdan maqsad
: IP xavfsizligini joriy qilish (Access List) va uning
imkoniyatlarini o’rganish va tahlil qilish.
Topshiriq
-
15.1-rasmda ko’rsatilgan topologiya bo’yicha qurilmalarni sozlang;
-
ACL yarating;
-
ACL da qoida yarating;
-
Trafikni filtrlashni interfeysga bog’lang;
-
ACL qoidani ishlashini tekshiring.
Nazariy qism
Kirishni boshqarish ro’yxati (ACL (Access Control List)) - paketlarni
qoidalar asosida filtrlaydigan mexanizm. Bir yoki bir nechta qoidalar paketlarning
yuboruvchi manzili, qabul qiluvchi manzili va port raqami kabi paketlarni
moslashtirish shartlarini tavsiflaydi.
ACL (Access Control List) - tarmoq resurslaridan foydalanishni taqiqlovchi
yoki ruxsat beruvchi qoidalar ro’yxati: Internetga kirish, telefoniya, video aloqa va
boshqalar. ACL IP-paketlar bilan ishlaydi, lekin ma’lum bir paketning turini bilib
oladi, TCP (Transmission Control Protocol) va UDP (User Datagram Protocol)
portlarini tahlil qiladi. ACL turli xil mahalliy tarmoq protokollari bilan ishlashi
mumkin: AppleTalk, shuningdek IP va IPX (Internetwork Packet Exchange).
15.1-jadvalda ACL turlari keltirilgan.
15.1-jadval
Turi
Diapozon qiymatlari
Parametrlar
Basic
2000-2999
Source IP
Advanced
3000-3999
Source & Destination IP,
Protocol, Source &
Destination Port
Layer 2ACL
4000-4999
MAC Address
120
AR2200 seriyali marshrutizatorlarda uchta ACL shakli qo’llanilishi
mumkin.
Paketni filtrlash parametrlari har bir ACL turi uchun farq qiladi. Tarmoqlarda ACL
lar host yoki boshqa OSI modelining 3-pog’ona qurilmasida mavjud bo’lgan
xizmat portlari yoki domen nomlarini belgilaydigan qoidalar ro’yxati bo’lib,
ularning har biri xizmatga kirishga ruxsat berilgan hostlar va/yoki tarmoqlar
ro’yxatiga ega. Tarmoq ACL lari oddiy serverda ham, marshrutizatorda ham
sozlanishi va kiruvchi/chiquvchi trafikni xavfsizlik devori sifatida boshqarishi
mumkin.
ACL imkoniyatlari:
-
Xavfsizlikni ta’minlash;
-
Ortiqcha trafiklarni olib tashlash;
-
Tarmoq samaradorligini oshirish.
Basic ACL – kelayotgan (qabul qilinayotgan) paketning source ID si
bo’yicha tekshiradi. Nazoratni unga o’rnatadi.
Advanced ACL – paketning ham source ham destination IP si, ham port
bo’yicha tekshiradi.
Asosiy buyruqlari:
-
Permit – ruhsat berish;
-
Deny – rad etish;
-
Any – barchaga;
-
Eq (equal) – faqat;
-
Traffic-filter – trafikni filtrlash;
-
Inbound - Interfeysda kiruvchi ACL asosidagi paketli filtrlashni sozlash;
-
Outbound - Interfeysda chiquvchi ACL asosidagi paketli filtrlashni
sozlash.
121
Ishni bajarish tartibi
15.1-rasmda ko’rsatilgan topologiya bo’yicha qurilmalarni sozlang.
1.
LAN tarmoqdagi 192.168.10.3 hostga serverga kirishiga ruhsat etilgan,
ammo qolgan hostlarga serverga kirish ruhsat etilmagan.
Hostdan paketlarga ruxsat berish uchun ACL ga qoida qo’shishimiz kerak.
Masalan, 192.168.10.3 hostidan paketlarga ruxsat berish uchun ACL 2000 da
quyidagi qoidani yaratamiz.
[Huawei]acl
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.10.3
0.0.0.0
Bir xil tarmoq segmentidagi boshqa hostlardan paketlarni rad etish uchun
ACL 2000 da quyidagi qoidani sozlaymiz. Masalan, 192.168.10.0/24 tarmoq
segmentidagi boshqa hostlardan paketlarni rad etish uchun ACL 2000 da quyidagi
qoidalarni sozlaymiz.
[Huawei-acl-basic-2000]rule deny source any
[Huawei-acl-basic-2000]quit
Trafikni filtrlashni amalga oshirishi uchun uni kiruvchi interfeysga
bog’laymiz.
[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
122
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]quit
save
Ping buyrug’i yordamida ACL 2000 qoidasini ishlashini tekshirib ko’ramiz.
PC1 dan (192.168.10.3) Server1 (200.200.200.200) ga ping jo’natamiz va natijani
tekshirib ko’ramiz.
PC1 (192.168.10.3) dan Server1 (200.200.200.200) ga ping ketganligini
ko’rishimiz mumkin. Endi PC2 (192.168.10.2) dan Server1 (200.200.200.200) ga
ping jo’natamiz.
PC2 (192.168.10.2) dan Server1 (200.200.200.200) ga ping ketmadi. Demak
biz o’rnatgan qoida (ACL 2000) to’g’ri ishlayapti.
123
Nazorat savollari
1.
ACL nima?
2.
ACL turlari?
3.
Permit buyrug’i vazifasi.
4.
Deny buyrug’i vazifasi.
5.
Traffic-filter buyrug’i vazifasi.
6.
Inbound buyrug’i vazifasi.
7.
Outbound buyrug’i vazifasi.
8.
Eq (equal) buyrug’i vazifasi.
9.
ACL imkoniyatlari.
10.
Basic ACL imkoniyati.
11.
Advanced ACL imkoniyati.
Do'stlaringiz bilan baham: |