وقتی ACL معمولی تو سیسکو جواب کارت رو نمیده!

وقتی ACL معمولی تو سیسکو جواب کارت رو نمیده!

همانطور که میدانیم یکی از ابتدایی ترین و شاید مهمترین روش های تامین امنیت روی تجهیزات میانی شبکه مثل روتر و سوییچ استفاده از Access
25 خرداد 1401
نویسنده:حمید نصرتی
وقتی ACL معمولی تو سیسکو جواب کارت رو نمیده!

وقتی ACL معمولی تو سیسکو جواب کارت رو نمیده!

ACL چست؟

 

همانطور که میدانیم یکی از ابتدایی ترین و شاید مهمترین روش های تامین امنیت روی تجهیزات میانی شبکه مثل روتر و سوییچ استفاده از Access Control List(ACL) هستش. در واقع ما با کمک ACL ترافیک­های ورودی یا خروجی بر روی اینترفیس رو محدود می­کنیم ولی بزرگترین مشکل ACL اینه که درکی از Session نداره و اصطلاحا Stateless عمل میکنه. یعنی برای مثال ما با ACL نمی­تونیم رفتاری شبیه رفتار فایروال­ ها رو با Packet های ورودی و خروجی داشته باشیم.

بذارید با یک مثال این قضیه رو براتون توضیح بدیم:

 

تو سناریوی بالا ما دو ترافیک به رنگ های قرمز و آبی میبینیم,که از بیرون به سمت اینترفیس Fa0/0 روتر وارد میشه.این دو دسته ترافیک کاملا با هم متفاوت هستند و مطابق شکل، ترافیک آبی ترافیک بازگشتی در پاسخ به درخواست کلاینت داخلی هست و ترافکی قرمز ترافیک جدید بیرونی محسوب میشه و مشکل اینجاست که ACL ای که ما روی دست Fa0/0 در جهت ورود میزنیم این دو دسته ترافیک رو از هم متمایز نمیکنه و این دقیقا محدودیتی هست که ACL ها دارند.
در واقع روترها و ACL ها بصورت معمول اطلاعات Session ها رو ذخیره نمیکنند,که تشخیص بدن این ترافیک در پاسخ به Session داخلی بوده یا یک Session جدید هستش!

فکر میکنید راه حل چی میتونه باشه؟!

در واقع شاید چندین راهکار بشه ارائه داد ولی ما تو این مقاله میخوایم یه راهکار ساده به نام Established ACL معرفی کنیم.

این نوع از ACL ها اصطلاحا تو دسته Complex ACL ها قرار میگرده و ما تو این مقاله نحوه پیکربندی اون رو به صورت خیلی ساده توضیح میدیم. قبل از اینکه بریم سراغ پیکربندی لازمه بدونید که بعد از پیکربندی این مدل Access List مطابق شکل زیر این اتفاق میوفته که ترافیک بازگشتی که در جواب ترافیک ارسالی از داخل شبکه به بیرون بوده رو به داخل شبکه اجازه میده وارد بشه و ترافیکی که از بیرون Initiate شده رو اجازه ورود نمیده!

دوره پیشنهادی

Access List از کجا تشخیص میده که ترافیک دریافتی از بیرون در جواب ترافیک ارسالی قبلی بوده یا ترافیک جدید؟!

 

در واقع خیلی سادست.کافیه Access List موقع بررسی ترافیک Flag های کنترلی مثل Ack یا RST رو ببینه!اینجوری میفهمه که SYN قبلا ارسال شده و این ترافیک پاسخ برگشتی هست.در صورتی هم که تو ترافیک دریافتی از بیرون SYN ببینه متوجه میشه که این یک Session  جدید هست و جلوی ورود اون رو به داخل شبکه میگیره.البته این نکته رو هم در نظر بگیرید که این متد کار راه انداز هست ولی خیلی امنیت بالایی نداره! و دلیلش هم مشخصه چون این Flag های کنترلی رو خیلی راحت میشه دستکاری کرد!

پیشنهاد می­کنیم برای درک بهتر و همچنین روش پیکربندی این نوع ACL ،ویدیوی زیر رو تماشا کنید.

اشتراک گذاری در:

نویسنده:حمید نصرتی
تاریخ انتشار:1401/03/25
مدت مطالعه:
دسته بندی:امنیت شبکه

بلاگ‌های مرتبط

آموزش طراحی شبکه و پیاده سازی + مراحل و تجهیزات آن

آموزش طراحی شبکه و پیاده سازی + مراحل و تجهیزات آن

13 آذر 1403

نویسنده: نگین متفق

تجهیزات شبکه

تجهیزات شبکه: تجهیزات اکتیو و پسیو شبکه چیست؟

29 آبان 1403

نویسنده: نگین متفق

شبکه چیست؟

شبکه چیست؟ آشنایی کامل با شبکه های کامپیوتری به زبان ساده

29 آبان 1403

نویسنده: نگین متفق

OSPF چیست؟

OSPF چیست؟

16 دی 1402

نویسنده: ستایش زمانی

معرفی نرم افزار UCCX Scripting

21 آذر 1402

نویسنده: زهرا ژاکی

مجازی‌ سازی به زبان ساده و مزایای آن

12 تیر 1402

نویسنده: ستایش زمانی

نظرات کاربران

0 0 امتیازها
امتیاز دهی به محتوا
مشترک شوید
اطلاع از
guest
0 دیدگاه
جدید ترین
قدیمی ترین دیدگاه با تعداد رای زیاد
بازخورد (Feedback) های اینلاین
نمایش تمام دیدگاه ها