جايگاه ليست های دستيابی در روتر New Page 1



ساير




 

 

 

SAKHA RAVESH CO.

 ا مروز

 شنبه  31  تير  1396  2017  Jul.  22   Saturday ToDay
صفحه اصلی  مقالات نکته هادايره المعارف خودآموزها | تازه ها خود آزمون ها  

  نسخه قابل چاپ

 عنوان

 نويسنده

  مشاهده

 جايگاه ليست های دستيابی در روتر

 مديريت آموزش

8335

با توجه به جایگاه داده در عصر حاضر و  لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر  روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و  خدمات خود  را از طریق  سایت www.fabak.ir  به مخاطبان محترم عرضه می نماید

 

جايگاه ليست های دستيابی در روتر

جايگاه ليست های دستيابی در روتر
امنيت شبكه های كامپيوتری به يكی از داغ ترين مباحث در دنيای فناوری اطلاعات و ارتباطات تبديل شده است . ايجاد و نگهداری يك شبكه ايمن و مطمئن از جمله اهداف مشترك ( حداقل بر روی كاغذ!  ) تمامی سازمان ها و موسسات تجاری در عصر حاضر می باشد .كارشناسان امنيت اطلاعات از امكانات سخت افزاری و نرم افزاری متعددی در اين رابطه استفاده می نمايند.بكارگيری پتانسيل های موجود در برخی دستگاه های شبكه ای( نظير ليست های دستيابی در روتر ) نمونه ای در اين رابطه است .
با استفاده از ليست های دستيابی (Access Lists) می توان دستيابی به يك شبكه را در سطح روتر كنترل و  ترافيك های خاصی را به منظور ورود و يا خروج از شبكه فيلتر نمود.ليست های دستيابی را می توان برای تمامی پروتكل های شبكه ای قابل روت ( نظير IP ,AppleTalk ) پيكربندی نمود  .
در ادامه با جايگاه و ماهيت ليست های دستيابی به منظور پيكربندی روتر در جهت افزايش امنيت يك شبكه كامپيوتری بيشتر آشنا می شويم .

قابليت ليست های دستيابی 
با استفاده از ليست های دستيابی می توان عمليات مختلفی‌ نظير فيلترينگ ترافيك شبكه را از طريق كنترل بسته های اطلاعاتی در هر يك از اينترفيس های روتر انجام داد . روتر هر يك از بسته های اطلاعاتی را بر اساس مجموعه ضوابط تعريف شده در ليست های دستيابی بررسی و در خصوص فوروارد و يا بلاك نمودن آنها تصميم گيری می نمايد .
ضوابط و يا قوانين تعريف شده در ليست های دستيابی می تواند شامل آدرس مبداء ترافيك ، آدرس مقصد ترافيك ، پروتكل لايه بالاتر و ساير اطلاعات باشد . 

ضرورت پيكربندی و استفاده از ليست های دستيابی 
برای پيكربندی و  استفاده از ليست های دستيابی دلايل متعددی وجود دارد :

  • اعمال محدوديت در خصوص بهنگام سازی محتويات روتينگ و يا كنترل بر روی ترافيك ورودی و يا خروجی

  • ارائه يك سطح اوليه امنيت در شبكه. با استفاده از ليست های دستيابی می توان يك سطح اوليه امنيتی را به منظور دستيابی به يك شبكه تعريف نمود .

  • در صورت عدم پيكربندی ليست های دستيابی ، تمامی بسته های اطلاعاتی دريافتی توسط روتر مجاز خواهند بود كه به هر بخش از شبكه وارد شوند . 

  • با استفاده از ليست های دستيابی می توان امكان دستيابی يك هاست به يك بخش خاص از شبكه را فراهم نمود و برای هاست ديگر ، امكان دستيابی به همان بخش را سلب نمود . 

  • از ليست های دستيابی می توان به منظور اتخاذ تصميم در خصوص ترافيك مجاز و يا غيرمجاز در سطح اينترفيس های روتر استفاده نمود . به عنوان نمونه ، می توان تمامی ترافيك e-mail  را روت و يا تمامی ترافيك Telnet را بلاك نمود .

مكان پيكربندی ليست های دستيابی
از ليست های دستيابی می بايست در روترهای فايروال كه اغلب بين شبكه داخلی و يك شبكه خارجی نظير اينترنت مستقر می گردند ،‌ استفاده نمود . همچنين می توان از ليست های دستيابی بر روی روترهای موجود بين دو بخش شبكه  با هدف كنترل ترافيك ورودی و يا خروجی يك بخش خاص از شبكه داخلی ، استفاده نمود .
به منظور استفاده از مزايای امنيتی ليست های دستيابی ، می بايست در حداقل حالت پيكربندی از آنها بر روی روترهای مرزی استفاده گردد ( روترهای موجود در محدوده مرزی شبكه داخلی با شبكه های خارجی ) .  در اينگونه روترها ، می بايست  ليست های دستيابی برای هر پروتكل شبكه ای پيكربندی شده در اينترفيس های روتر ، تعريف گردد .  ليست های دستيابی را می توان بگونه ای پيكربندی نمود كه ترافيك ورودی ، خروجی و يا هر دو آنها را بر روی يك اينترفيس فيلتر نمايد .
ليست های دستيابی را می بايست برای هر پروتكل فعال شده بر روی يك اينترفيس تعريف نمود . ( مشروط به اين كه قصد داشته باشيم ترافيك يك پروتكل خاص را كنترل نمائيم ) .  

ليست های دسيابی اوليه و پيشرفته
در اين مطلب با نحوه استفاده از ليست های دستيابی استاندارد و استاتيك توسعه يافته آشنا خواهيم شد كه از آنها به عنوان ليست های دستيابی اوليه نام برده می شود. برخی از ليست های دستيابی اوليه می بايست با هر پروتكل روت شده كه بر روی اينترفيس های روتر پيكربندی شده است ،‌استفاده گردد .
علاوه بر ليست های دستيابی اوليه كه در اين مطلب به تشريح آنها خواهيم پرداخت ، ليست های دستيابی پيشرفته تری نيز وجود دارد كه با استفاده از آنها می توان ويژگی های امنيتی اضافه تری را به منظور  كنترل بيشتر بر روی مبادله بسته های اطلاعاتی اعمال نمود .

پيكربندی ليست های دستيابی
با اين كه هر پروتكل دارای مجموعه قوانين مورد نياز خود  به منظور فيلترينگ ترافيك است، در اكثر پروتكل ها به منظور پيكربندی ليست های دستيابی حداقل می بايست دو اقدام زير اساسی را انجام داد :

  • مرحله اول : ايجاد يك ليست دستيابی

  • مرحله دوم : نسب دادن ليست دستيابی به يك اينترفيس

در ادامه به تشريح هر يك از مراحل فوق خواهيم پرداخت .

مرحله اول : ايجاد ليست های دستيابی
برای هر پروتكلی كه قصد فيلترينگ آن را بر روی هر اينترفيس روتر داريم ، می بايست ليست های دستيابی را ايجاد نمود . برای برخی پروتكل ها می بايست يك ليست دستيابی را برای فيلترينگ ورودی و يك ليست دستيابی ديگر را برای كنترل ترافيك خروجی تعريف نمود . جداول 1 و 2 ، پروتكل هائی را كه می توان با استفاده از ليست های دستيابی آنها را فيلتر نمود مشخص می نمايد .

پروتكل

Apollo Domain
 IP
IPX
ISO CLNS
NetBIOS IPX
Source-route bridging NetBIOS

   جدول 1 : مراجعه به پروتكل ها در ليست های دستيابی بر اساس نام     

 محدوده

پروتكل

99 - 1

IP

199 - 100

Extended IP

299 - 200

Ethernet type code

799 - 700

Ethernet address

299 - 200

Transparent bridging (protocol type)

799 - 700

Transparent bridging (vendor code)

1199 - 1100

Extended transparent bridging

399 - 300

DECnet and extended DECnet

499 - 400

XNS

599 - 500

Extended XNS

699 - 600

AppelTalk

299 - 200

Source-route bridging (protocol type)

799 - 700

Source-route bridging (vendor code)

899 - 800

IPX

999 - 900

Extended IPX
1099 - 1000 IPX SAP
100 - 1 Standard VINES
200 - 101 Extended VINES
300 - 201 Simple VINES

   جدول 2 : مراجعه به پروتكل ها در ليست های دستيابی بر اساس اعداد     

برای ايجاد يك ليست دستيابی ، پروتكلی را كه قصد فيلترينگ آن را داريم مشخص و يك نام و يا عدد منحصربفرد را به ليست دستيابی نسبت داده و ضوابط مربوط به فيلترينگ بسته های اطلاعاتی را تعريف می كنيم . در يك ليست دستيابی می توان چندين عبارت فيلترينگ را تعريف نمود .
شركت سيسكو توصيه نموده است كه در ابتدا ليست های دستيابی بر روی يك سرويس دهنده TFTP تعريف و در ادامه آنها را بر روی روتر download نمود . با اين كار ، امكان نگهداری و پشتيبانی از ليست های دستيابی ساده تر خواهد شد . در ادامه با ايجاد و ويرايش عبارات  مورد نياز به منظور تعريف ضوابط در ليست های دستيابی بر روی يك سرويس دهنده TFTP آشنا خواهيم شد .

نسبت دهی يك نام و يا عدد منحصر بفرد به هر ليست دستيابی
در زمان پيكربندی ليست های دستيابی بر روی يك روتر ، می بايست هر ليست دستيابی به صورت منحصربفرد توسط يك پروتكل ، يك نام و يا عدد مشخص گردد . توجه داشته باشيد كه ليست های دستيابی برای برخی پروتكل ها می بايست توسط يك نام و در برخی ديگر توسط يك عدد مشخص گردند . برخی پروتكل ها را می توان توسط يك نام و يا يك عدد مشخص نمود . زمانی كه از يك عدد به منظور مشخص كردن يك ليست دستيابی استفاده می گردد ، عدد استفاده شده می بايست در محدوده مجاز پروتكل باشد .  برای پروتكل های نشان داده شده در جدول 1 ، می توان ليست های دستيابی را بر اساس نام ايجاد نمود .
برای پروتكل های نشان داده شده در جدول 2 ، می توان ليست های دستيابی را بر اساس اعداد مشخص نمود . در جدول فوق ، محدود مجاز اعداد برای هر پروتكل نيز نشان داده شده است . 

تعريف ضوابط لازم  برای فوروادينگ و يا بلاك كردن بسته های اطلاعاتی
در زمان ايجاد يك ليست دستيابی ، ضوابط مورد نياز به منظور پردازش بسته های اطلاعاتی توسط روتر مشخص می گردد . با توجه به ضوابط تعريف شده ، روتر در خصوص فوروارد نمودن و يا بلاك كردن هر بسته اطلاعاتی تصميم گيری‌ می نمايد .
برای تعريف مجموعه ضوابط مورد نياز در يك عبارت از آدرس های مبداء بسته اطلاعاتی ، آدرس های مقصد بسته اطلاعاتی و يا پروتكل های لايه بالاتر استفاده می گردد . هر پروتكل دارای مجموعه ضوابط اختصاصی مربوط به خود است كه می توان آنها را تعريف نمود .
در يك ليست دستيابی ، می توان چندين ضابطه را در چندين عبارت جداگانه تعريف نمود . در چنين مواردی هر يك از عبارات ، می بايست دارای يك نام و يا عدد مشابه باشند تا عبارات در ارتباط با يك ليست دستيابی مشابه بكار گرفته شوند . در تعداد عباراتی كه به كمك آنها ضوابط را تعريف می نمائيم ، محدوديتی وجود ندارد و تنها محدوديت به ميزان حافظه موجود بر می گردد . توجه داشته باشيد كه هر اندازه كه تعداد عبارات بيشتر باشد ، مديريت ليست های دستيابی مشكل تر خواهد شد .

مفهوم عبارت  Deny All Traffic
در انتهای هر ليست دستيابی از يك عبارت Deny all traffic استفاده خواهد شد . بنابراين ، اگر يك بسته اطلاعاتی با هيچيك از شرايط مشخص شده مطابقت ننمايد ، بسته اطلاعاتی بلاك خواهد شد .

اولويت عبارات در يك ليست دستيابی 
هر عبارت جديد در يك ليست دستيابی ، به انتهای ليست اضافه خواهد شد . همچنين توجه داشته باشيد كه نمی توان عبارات خاصی را در ليست دستيابی حذف نمود و در صورت نياز می بايست تمام ليست دستيابی حذف و مجددا" با شرايط جديد ايجاد گردد .
اولويت عبارات موجود در يك ليست دستيابی بسيار حائز اهميت است . نرم افزار IOS ، بسته اطلاعاتی را متناسب با هر يك از ضوابط تعريف شده در عبارات با توجه به اولويت تعريف شده، بررسی می نمايد و در صورت مطابقت با يكی از ضوابط تعريف شده ، از ساير عبارات صرفنظر خواهد كرد (نظير عبارت معروف IF Then Else در دنيای برنامه نويسی است ) .
در صورتی كه عبارتی تعريف شده است كه در آن با صراحت مجوز لازم برای تمامی ترافيك صادر شده باشد ، ساير عبارات موجود در ليست بررسی نخواهند شد . همچنين ، در صورتی كه لازم باشد به يك ليست دستيابی عبارات جديدی اضافه گردد ،‌ می بايست ليست دستيابی را حذف و مجددا" آن را به همراه موجوديت های جديد ايجاد نمود .

ايجاد و ويرايش عبارات ليست دستيابی بر روی يك سرويس دهنده TFTP
با توجه به اهميت اولويت عبارات موجود در يك ليست دستيابی و عدم امكان تغيير و يا حذف اولويت ها  ، شركت سيسكو توصيه نموده است كه تمامی عبارات ليست دستيابی بر روی‌ يك سرويس دهنده TFTP تعريف و در ادامه تمامی ليست دستيابی بر روی روتر download گردد .
برای استفاده از يك سرويس دهنده TFTP ،  در ابتدا لازم است كه با بكارگيری يك ويرايشگر متن عبارات مورد نظر در ليست دستيابی را درج و فايل را با فرمت اسكی بر روی يك سرويس دهنده TFTP كه برای روتر در دسترس است ،‌ ذخيره نمود . در ادامه و از طريق روتر ، از دستور copy tftp running-config file_id   به منظور كپی ليست دستيابی بر روی روتر استفاده می گردد . در نهايت از دستور  copy running-config startup-config به منظور ذخيره ليست دستيابی درون حافظه NVRAM روتر استفاده می گردد . در صورتی كه لازم است تغييراتی در ليست دستيابی اعمال گردد ، تغييرات را در فايل متن بر روی سرويس دهنده TFTP اعمال و فايل متن ويرايش شده را بر روی روتر كپی می نمائيم .
توجه داشته باشيد كه اولين دستور در يك فايل حاوی ليست دستيابی ويرايش شده ، حذف ليست دستيابی قبلی است . ( مثلا" استفاده از دستور no access-list در ابتدای فايل ) . در صورت عدم انجام اين كار ، پس از كپی فايل ويرايش شده به روتر عبارات اضافی به انتهای ليست دستيابی موجود اضافه خواهند شد .

مرحله دوم : نسب دادن ليست دستيابی به يك اينترفيس
برای برخی  از پروتكل ها می توان به يك اينترفيس دو ليست دستيابی را نسبت داد . در چنين مواردی يكی از ليست های دستيابی به عنوان ليست دستيابی ورودی و ليست ديگر به عنوان ليست دستيابی خروجی ايفای وظيفه خواهند كرد .
در صورتی كه ليست دستيابی از نوع ورودی باشد ، پس از دريافت يك بسته اطلاعاتی توسط روتر ، نرم افزار IOS عبارات موجود در ليست دستيابی را بررسی می نمايد .  در صورتی كه در ليست ضابطه ای تعريف شده باشد كه امكان ورود اينچنين بسته های اطلاعاتی را مجاز شمرده باشد ، پردازش بسته اطلاعاتی ادامه خواهد يافت .در صورتی كه ماحصل بررسی انجام شده در ليست دستيابی عدم وجود هيچگونه ضابطه و يا شرطی برای ورود اينچنين بسته های اطلاعاتی باشد با آنها برخورد خواهد شد و عملا" نرم افزار IOS آنها را دور خواهد انداخت .
در صورتی كه ليست دستيابی از نوع خروجی باشد ، پس از دريافت و روتينگ يك بسته اطلاعاتی به اينترفيس خروجی ، نرم افزار IOS عبارات موجود در ليست دستيابی را بررسی و در صورت يافتن ضابطه ای كه حاوی مجوز ارسال اينچنين بسته های اطلاعاتی باشد ، آن را ارسال و در غيراينصورت آن را دور خواهد انداخت.
در مطالبی جداگانه به تشريح نحوه تعريف و  استفاده كاربردی از ليست های دستيابی خواهيم پرداخت .



جستجو

مقالات                 
دايره المعارف       
دوره های آموزشی


 

 

مشاهده گروه ها



              

 

 تهيه شده در شرکت سخا روش -  1382