שלב 5 – הגדרות אבטחה – רשימות גישה – ACL – אתר מגמת תקשוב – Tikshuv-CCNA

שלב 5 – הגדרות אבטחה – רשימות גישה – ACL

בשלב זה אנו נגדיר אבטחה ברמת הנתבים (Routers), נגדיר מעין חומת אש (Firewall), זאת נעשה באמצעות רשימות גישה – Access Lists שנגדיר.
שלב זה הוא יחסית קשה וטריקי, לפני שמתחילים בשלב זה אני ממליץ לבצע גיבוי מיוחד לפרויקט שלכם, תקראו לו: "פרויקט – לפני רשימות גישה".

ניתן לממש הגדרות אבטחה מכל מיני סוגים, חלקן מסובכות ומורכבות וחלקן פשוטות.
בדוגמא זו מימשתי 3 סוגי רשימות גישה שונות. עם זאת, אתם יכולים לבחור מה לממש.

הסבר מצולם

הסבר כתוב

לפני שמתחילים להגדיר את רשימות הגישה:

  1. יש לבדוק שכל התקשורת הרצויה עובדת.
  2. יש לבצע גיבוי לקובץ: "פרויקט – לפני רשימות גישה".
  3. יש לרשום בצורה מסודרת מה אנו רוצים להשיג (לא יותר מדי דרישות – דרישה אחת עד שלוש לא יותר מדי!).
  4. יש לחשוב איפה אנו נרצה להגדיר את רשימות הגישה: על אילו ראוטרים ובאילו יציאות.
  5. לאחר כל הצבה של רשימת גישה יש לבדוק שהיא פועלת כשורה ולא להגדיר את כולן יחד.

לאחר שלבים אלו ניתן להגדיר את רשימות הגישה.

בדוגמא זו, אלו הדרישות שבחרתי ליישם:

  1. בסניף הרצליה: מחלקה משפטית – לא יוכלו לתקשר עם סניפים אחרים ולא יוכלו לצאת לאינטרנט. [העובדים שם יותר מדי מתבטלים באינטרנט וגם מפטפטים עם עובדים בסניפים אחרים – יש למנוע זאת!]
  2. בסניף הרצליה: מחלקת ניקיון – לא יוכלו לתקשר עם מחלקות אחרות ולא יוכלו לצאת לאינטרנט, עם זאת סניפים אחרים יוכלו לתקשר איתם, כמו כן יוכלו לתקשר עם השרתים שלהם בלבד.
  3. בסניף חיפה: מחלקות מחקר ומנוע חיפוש – מבודדים לחלוטין מהעולם – לא יוכלו לקבל תקשורת ולא להוציא תקשורת לשום מקום, רק יוכלו לדבר במחלקות שלהם בלבד.

דוגמאות אלו הן בסיסיות יחסיות, הן לא מתייחסות לסוג המידע שעובר אלא למקור וליעד של החבילות. כמובן שניתן ליישם רשימות מורכבות יותר.

הסבר כתוב:

1. הגדרות על הראוטר של סניף הרצליה – מחלקה משפטית

הרכבת רשימת גישה סטנדרטית ששמה NO-WAN שתחסום גישה מרשת 192.168.22.0, תתיר גישה לכל השאר:

הצבת רשימת הגישה על הפורט שמחובר ל- WAN הפורט s0/0/1. הפעלת ה- ACL לתקשורת יוצאת – out:

כעת המחלקה המשפטית (רשת: 192.168.22.0) לא תוכל לצאת לסניפים אחרים ולא תוכל לגשת לאינטרנט.

2. הגדרות על הראוטר של סניף הרצליה – מחלקת ניקיון

הרכבת רשימת גישה סטנדרטית ששמה SERVERS-ACCESS שתאפשר גישה מרשת 192.168.24.0 רק לרשת 192.168.25.0:

הצבת רשימת הגישה על הפורט שמשוייך לרשת 192.168.24.0 – הפורט gi0/0.40. הפעלת ה- ACL לתקשורת נכנסת – in:

כעת מחלקת ניקיון יכולה לגשת רק לשרתים שלה, ולא לשום מחלקה או סניף אחר. – וגם לא לאינטרנט.

3. הגדרות על הראוטר של סניף חיפה – מחלקת מחקר ומחלקת מנוע חיפוש

הרכבת רשימת גישה סטנדרטית ששמה NO-OUT שתחסום גישה מרשת 192.168.13.0, ומרשת 192.168.14.0 לצאת החוצה לרשתות אחרות (למעשה חסימה מוחלטת):

הרכבת רשימת גישה מורחבת ששמה NO-IN שתחסום גישה מכל מקום לרשת 192.168.13.0 ולרשת 192.168.14.0:

הצבת רשימת הגישה ששמה NO-OUT על הפורט שמשויך לרשת 192.168.13.0 ולרשת 192.168.14.0 בפורטים gi0/0.30 ו- gi0/0.40. הפעלת ה- ACL לתקשורת נכנסת – in:

הצבת רשימת הגישה ששמה NO-IN על הפורט שמשויך לרשת 192.168.13.0 ולרשת 192.168.14.0 בפורטים gi0/0.30 ו- gi0/0.40. הפעלת ה- ACL לתקשורת יוצאת – out:

כעת מחלקות מחקר ומנוע חיפוש מנותקות לחלוטין משאר הרשתות.

הערות:

שלב זה הוא קשה ליישום, יש לעבוד לאט ומסודר.
כמו כן שימו לב שעל הראוטר שיוצא לאינטרנט הגדרנו גם NAT, ה- NAT פועל לפני רשימות הגישה כך שאם הגדרתם למשל Deny 192.168.1.0 והצבתם את הכלל על הראוטר שיוצא לאינטרנט (ביציאה שמוגדר עליה NAT), הכלל לא יפעל, זאת מכיון שראשית הראוטר יתרגם את הכתובת הפרטית לציבורית, ורק לאחר מכן יבדוק את רשימת הגישה. יוצא שהכתובת 192.168.1.11 תהפוך לציבורית למשל: 8.25.58.2 והרי על כתובת זו אין איסור. –  לכן אני ממליץ לא להגדיר על הראוטר שיוצא לאינטרנט ACL בכלל, כדי לא להיכנס לבלאגן. [למתעקשים: ניתן עם זאת להוסיף ראוטר נוסף בין ה- ISP לראוטר של הסניף הראשי ועליו להציב את הנאט].

אולי תאהבו גם...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *