שלב 5 – הגדרות אבטחה – רשימות גישה – ACL

בשלב זה אנו נגדיר אבטחה ברמת הנתבים (Routers), נגדיר מעין חומת אש (Firewall), זאת נעשה באמצעות רשימות גישה - Access Lists שנגדיר.
שלב זה הוא יחסית קשה וטריקי, לפני שמתחילים בשלב זה אני ממליץ לבצע גיבוי מיוחד לפרויקט שלכם, תקראו לו: "פרויקט - לפני רשימות גישה".


ניתן לממש הגדרות אבטחה מכל מיני סוגים, חלקן מסובכות ומורכבות וחלקן פשוטות.
בדוגמא זו מימשתי 3 סוגי רשימות גישה שונות. עם זאת, אתם יכולים לבחור מה לממש.

הסבר מצולם

הסבר כתוב

לפני שמתחילים להגדיר את רשימות הגישה:

  1. יש לבדוק שכל התקשורת הרצויה עובדת.
  2. יש לבצע גיבוי לקובץ: "פרויקט - לפני רשימות גישה".
  3. יש לרשום בצורה מסודרת מה אנו רוצים להשיג (לא יותר מדי דרישות - דרישה אחת עד שלוש לא יותר מדי!).
  4. יש לחשוב איפה אנו נרצה להגדיר את רשימות הגישה: על אילו ראוטרים ובאילו יציאות.
  5. לאחר כל הצבה של רשימת גישה יש לבדוק שהיא פועלת כשורה ולא להגדיר את כולן יחד.

לאחר שלבים אלו ניתן להגדיר את רשימות הגישה.

בדוגמא זו, אלו הדרישות שבחרתי ליישם:

  1. בסניף הרצליה: מחלקה משפטית - לא יוכלו לתקשר עם סניפים אחרים ולא יוכלו לצאת לאינטרנט. [העובדים שם יותר מדי מתבטלים באינטרנט וגם מפטפטים עם עובדים בסניפים אחרים - יש למנוע זאת!]
  2. בסניף הרצליה: מחלקת ניקיון - לא יוכלו לתקשר עם מחלקות אחרות ולא יוכלו לצאת לאינטרנט, עם זאת סניפים אחרים יוכלו לתקשר איתם, כמו כן יוכלו לתקשר עם השרתים שלהם בלבד.
  3. בסניף חיפה: מחלקות מחקר ומנוע חיפוש - מבודדים לחלוטין מהעולם - לא יוכלו לקבל תקשורת ולא להוציא תקשורת לשום מקום, רק יוכלו לדבר במחלקות שלהם בלבד.

דוגמאות אלו הן בסיסיות יחסיות, הן לא מתייחסות לסוג המידע שעובר אלא למקור וליעד של החבילות. כמובן שניתן ליישם רשימות מורכבות יותר.

הסבר כתוב:

1. הגדרות על הראוטר של סניף הרצליה - מחלקה משפטית

הרכבת רשימת גישה סטנדרטית ששמה NO-WAN שתחסום גישה מרשת 192.168.22.0, תתיר גישה לכל השאר:

R-HERTZ>enable
R-HERTZ#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R-HERTZ(config)#ip access-list standard NO-WAN
R-HERTZ(config-std-nacl)#deny 192.168.22.0 0.0.0.255
R-HERTZ(config-std-nacl)#permit any

הצבת רשימת הגישה על הפורט שמחובר ל- WAN הפורט s0/0/1. הפעלת ה- ACL לתקשורת יוצאת - out:

R-HERTZ(config)#interface s0/0/0
R-HERTZ(config-if)#ip access-group NO-WAN out

כעת המחלקה המשפטית (רשת: 192.168.22.0) לא תוכל לצאת לסניפים אחרים ולא תוכל לגשת לאינטרנט.

2. הגדרות על הראוטר של סניף הרצליה - מחלקת ניקיון

הרכבת רשימת גישה סטנדרטית ששמה SERVERS-ACCESS שתאפשר גישה מרשת 192.168.24.0 רק לרשת 192.168.25.0:

R-HERTZ>enable
R-HERTZ#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R-HERTZ(config)#ip access-list extended SERVERS-ACCESS 
R-HERTZ(config-ext-nacl)#permit ip 192.168.24.0 0.0.0.255 192.168.25.0 0.0.0.255
R-HERTZ(config-ext-nacl)#deny ip any any

הצבת רשימת הגישה על הפורט שמשוייך לרשת 192.168.24.0 - הפורט gi0/0.40. הפעלת ה- ACL לתקשורת נכנסת - in:

R-HERTZ(config)#interface gi0/0.40
R-HERTZ(config-subif)#ip access-group SERVERS-ACCESS in

כעת מחלקת ניקיון יכולה לגשת רק לשרתים שלה, ולא לשום מחלקה או סניף אחר. - וגם לא לאינטרנט.

3. הגדרות על הראוטר של סניף חיפה - מחלקת מחקר ומחלקת מנוע חיפוש

הרכבת רשימת גישה סטנדרטית ששמה NO-OUT שתחסום גישה מרשת 192.168.13.0, ומרשת 192.168.14.0 לצאת החוצה לרשתות אחרות (למעשה חסימה מוחלטת):

R-HERTZ>enable
R-HERTZ#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R-HERTZ(config)#ip access-list standard NO-OUT
R-HERTZ(config-std-nacl)#deny any

הרכבת רשימת גישה מורחבת ששמה NO-IN שתחסום גישה מכל מקום לרשת 192.168.13.0 ולרשת 192.168.14.0:

R-HAIFA(config)#ip access-list extended NO-IN 
R-HAIFA(config-ext-nacl)#deny ip any 192.168.13.0 0.0.0.255 
R-HAIFA(config-ext-nacl)#deny ip any 192.168.14.0 0.0.0.255
R-HAIFA(config-ext-nacl)#permit ip any any

הצבת רשימת הגישה ששמה NO-OUT על הפורט שמשויך לרשת 192.168.13.0 ולרשת 192.168.14.0 בפורטים gi0/0.30 ו- gi0/0.40. הפעלת ה- ACL לתקשורת נכנסת - in:

R-HAIFA(config)#interface gi0/0.30
R-HAIFA(config-subif)#ip access-group NO-OUT in
R-HAIFA(config-subif)#interface gi0/0.40
R-HAIFA(config-subif)#ip access-group NO-OUT in

הצבת רשימת הגישה ששמה NO-IN על הפורט שמשויך לרשת 192.168.13.0 ולרשת 192.168.14.0 בפורטים gi0/0.30 ו- gi0/0.40. הפעלת ה- ACL לתקשורת יוצאת - out:

R-HAIFA(config-subif)#interface gi0/0.30
R-HAIFA(config-subif)#ip access-group NO-IN out
R-HAIFA(config-subif)#interface gi0/0.40
R-HAIFA(config-subif)#ip access-group NO-IN out

כעת מחלקות מחקר ומנוע חיפוש מנותקות לחלוטין משאר הרשתות.

הערות:

שלב זה הוא קשה ליישום, יש לעבוד לאט ומסודר.
כמו כן שימו לב שעל הראוטר שיוצא לאינטרנט הגדרנו גם NAT, ה- NAT פועל לפני רשימות הגישה כך שאם הגדרתם למשל Deny 192.168.1.0 והצבתם את הכלל על הראוטר שיוצא לאינטרנט (ביציאה שמוגדר עליה NAT), הכלל לא יפעל, זאת מכיון שראשית הראוטר יתרגם את הכתובת הפרטית לציבורית, ורק לאחר מכן יבדוק את רשימת הגישה. יוצא שהכתובת 192.168.1.11 תהפוך לציבורית למשל: 8.25.58.2 והרי על כתובת זו אין איסור. -  לכן אני ממליץ לא להגדיר על הראוטר שיוצא לאינטרנט ACL בכלל, כדי לא להיכנס לבלאגן. [למתעקשים: ניתן עם זאת להוסיף ראוטר נוסף בין ה- ISP לראוטר של הסניף הראשי ועליו להציב את הנאט].

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.