15-laboratoriya mavzu: ip xavfsizligini joriy qilish (Access List)

Download 205,32 Kb.

Sana	31.05.2022
Hajmi	205,32 Kb.
	#621149

Bog'liq
15-laboratoriya(Access List)

Ishni bajarish tartibi

O‘ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA
KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI
MUXAMMAD AL-XORAZMIY NOMIDAGI
TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI

TTBA fani bo‘yicha

15-LABORATORIYA
Mavzu: IP xavfsizligini joriy qilish (Access List)
Bajardi:L1-003 gurux talabasi
Abduhamidov H.
Tekshirdi:Abdullayev U.

TOSHKENT 2022

Nazariy qism

Kirishni boshqarish ro’yxati (ACL (Access Control List)) - paketlarni qoidalar asosida filtrlaydigan mexanizm. Bir yoki bir nechta qoidalar paketlarning yuboruvchi manzili, qabul qiluvchi manzili va port raqami kabi paketlarni moslashtirish shartlarini tavsiflaydi.
ACL (Access Control List) - tarmoq resurslaridan foydalanishni taqiqlovchi yoki ruxsat beruvchi qoidalar ro’yxati: Internetga kirish, telefoniya, video aloqa va boshqalar. ACL IP-paketlar bilan ishlaydi, lekin ma’lum bir paketning turini bilib oladi, TCP (Transmission Control Protocol) va UDP (User Datagram Protocol) portlarini tahlil qiladi. ACL turli xil mahalliy tarmoq protokollari bilan ishlashi mumkin: AppleTalk, shuningdek IP va IPX (Internetwork Packet Exchange). 15.1jadvalda ACL turlari keltirilgan.
1-jadval

Turi	Diapozon qiymatlari	Parametrlar
Basic	2000-2999	Source IP
Advanced	3000-3999	Source & Destination IP, Protocol, Source & Destination Port
Layer 2ACL	4000-4999	MAC Address

AR2200 seriyali marshrutizatorlarda uchta ACL shakli qo’llanilishi mumkin. Paketni filtrlash parametrlari har bir ACL turi uchun farq qiladi. Tarmoqlarda ACL lar host yoki boshqa OSI modelining 3-pog’ona qurilmasida mavjud bo’lgan xizmat portlari yoki domen nomlarini belgilaydigan qoidalar ro’yxati bo’lib, ularning har biri xizmatga kirishga ruxsat berilgan hostlar va/yoki tarmoqlar ro’yxatiga ega. Tarmoq ACL lari oddiy serverda ham, marshrutizatorda ham sozlanishi va kiruvchi/chiquvchi trafikni xavfsizlik devori sifatida boshqarishi mumkin.
ACL imkoniyatlari:

Xavfsizlikni ta’minlash;
Ortiqcha trafiklarni olib tashlash;
Tarmoq samaradorligini oshirish.

Basic ACL – kelayotgan (qabul qilinayotgan) paketning source ID si bo’yicha tekshiradi. Nazoratni unga o’rnatadi.
Advanced ACL – paketning ham source ham destination IP si, ham port bo’yicha tekshiradi.
Asosiy buyruqlari:

Permit – ruhsat berish;
Deny – rad etish;
Any – barchaga;
Eq (equal) – faqat;
Traffic-filter – trafikni filtrlash;
Inbound - Interfeysda kiruvchi ACL asosidagi paketli filtrlashni sozlash;
Outbound - Interfeysda chiquvchi ACL asosidagi paketli filtrlashni sozlash.

Ishni bajarish tartibi

15.1-rasmda ko’rsatilgan topologiya bo’yicha qurilmalarni sozlang.

1. LAN tarmoqdagi 192.168.10.3 hostga serverga kirishiga ruhsat etilgan, ammo qolgan hostlarga serverga kirish ruhsat etilmagan.
Hostdan paketlarga ruxsat berish uchun ACL ga qoida qo’shishimiz kerak. Masalan, 192.168.10.3 hostidan paketlarga ruxsat berish uchun ACL 2000 da quyidagi qoidani yaratamiz.

[Huawei]acl
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.10.3
0.0.0.0

Bir xil tarmoq segmentidagi boshqa hostlardan paketlarni rad etish uchun ACL 2000 da quyidagi qoidani sozlaymiz. Masalan, 192.168.10.0/24 tarmoq segmentidagi boshqa hostlardan paketlarni rad etish uchun ACL 2000 da quyidagi qoidalarni sozlaymiz.

[Huawei-acl-basic-2000]rule deny source any
[Huawei-acl-basic-2000]quit

Trafikni filtrlashni amalga oshirishi uchun uni kiruvchi interfeysga bog’laymiz.

[Huawei]int GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]quit
save

Ping buyrug’i yordamida ACL 2000 qoidasini ishlashini tekshirib ko’ramiz. PC1 dan (192.168.10.3) Server1 (200.200.200.200) ga ping jo’natamiz va natijani tekshirib ko’ramiz.

PC1 (192.168.10.3) dan Server1 (200.200.200.200) ga ping ketganligini ko’rishimiz mumkin. Endi PC2 (192.168.10.2) dan Server1 (200.200.200.200) ga ping jo’natamiz.

PC2 (192.168.10.2) dan Server1 (200.200.200.200) ga ping ketmadi. Demak biz o’rnatgan qoida (ACL 2000) to’g’ri ishlayapti.

Download 205,32 Kb.

Do'stlaringiz bilan baham: