Upload
vothuan
View
216
Download
0
Embed Size (px)
Citation preview
1
บทท 10 การรกษาความปลอดภยในการสอบ CCNA ไดครอบคลมเนอหาถงบททจะกลาวดงตอไปนดวย :
การถกคกคามทางดานความปลอดภยและการปองกน
ในเนอหาบทนไดเพมเรองการคกคามความปลอดภยในระบบเครอขายและอธบายถงความจำาเปนทตองใชนโยบายระบบรกษาความปลอดภยอยางครบวงจรเพอลดปญหาภยคกคาม
อธบายถงวธการทวไปในการลดการคกคามทางเครอขายรวมไปถงอปกรณเครอขาย Host และ โปรแกรมประยกต.
อธบายถงคำาสงและโปรแกรมทวไปในการใชกบระบบรกษาความปลอดภย.
แนะนำาการรกษาความปลอดภยรวมทง ขนตอนเพอรกษาความปลอดภยของอปกรณเครอขาย
กำาหนดคาตรวจสอบ และแกไขปญหาพนฐานในการทำางานของ Router และอปกรณของ Cisco
การรกษาความปลอดภยใน Router ขนพนฐาน
ดำาเนนการตรวจสอบและแกไขปญหาของ NAT และ ACLs ในองคกรขนาดกลางหรอเครอขายสาขายอยสำานกงาน
อธบายวตถประสงคและประเภทของ ACLs
2
ตงคาและประยกตใช ACLs บนพนฐานของเครอขายทมการกรอง (รวมถง CLI / SDM)
กำาหนดคา และใช ACLs เพอจำากดการเขาถง Router ทาง telnet และ SSH (รวมถง SDM/CLI)
ตรวจสอบและตดตาม ACLs ในระบบเครอขาย ปญหาและการแกไขปญหาของ ACL
หากคณเปนผดแลระบบ การปองกนขอมลทสำาคญ ตลอดจนการปองกนทรพยากรเครอขายของคณ เปนสงสำาคญ ซง Cisco มประสทธภาพมากในการรกษาความปลอดภยและมเครองมอทจำาเปนในการใชงานของคณ
คณจะไดเรยนรเกยวกบ การตรวจจบภยคกคามทพบบอยทสดในการรกษาความปลอดภยเครอขายของ Cisco
Router และ IOS firewall ทใชรวมกน จะทำาใหมประสทธภาพสงสดในการตรวจจบการบกรกในรปแบบตางๆ จะทำาใหคณเหนวา Cisco IOS Firewall นนมความสามารถรกษาความปลอดภยไดจรงและเปนการบงคบใหใชนโยบายสำาหรบเครอขายทงภายในและภายนอกไดอยางไร และจะแสดงวธการสรางสวนตดตอทมความปลอดภยซงอยหางออกไป
Access control lists (ACLs) จะเปนสวนหนงของโซลชนรกษาความปลอดภยของ Cisco ในทนจะแสดงแนวทางทงงายและการเขาถงขนสง โดยจะจดความสามารถในการตรวจสอบเพอใหแนใจวา มการรกษาความปลอดภยใหกบระบบเครอขาย ตลอดจนวธการรกษาความปลอดภยใหมากทสดและลดภยคกคามของเครอขาย
การใชงานทเหมาะสมและการกำาหนดคาของ Access lists เปนสวนสำาคญของการตงคา Router เนองจากรายการดงกลาวใชเปนอปกรณเครอขายอเนกประสงค ซงเปนสวนชวยในเรองของประสทธภาพและการทำางานของเครอขาย
3
การเขาถง Access lists ใหผจดการเครอขายควบคมการไหลของขอมลจำานวนมาก ในการเขาถง Access lists นนผจดการสามารถรวบรวมสถตพนฐานในการไหลของแพคเกตและสามารถนำานโยบายรกษาความปลอดภยมาใชปองกนการเขาใชอปกรณทไมไดรบอนญาต.
ในบทนเราจะกลาวถงการเขาใช TCP / IP และ MAC ในชนเลเยอร 2 ตลอดจนครอบคลมบางฟงกชนทมอยเพอทดสอบ และตรวจสอบการทำางานของการเขาถงรายการตางๆ
หลงจากทเราไดพดถง Cisco IOS Firewall และ Access lists โดยใชการกำาหนดคา CLI เราจะแสดงไดโดยการใชวธของ Cisco Security Device Manager (SDM) ในสวนของ Virtual Private Networks (VPNs) ซงเปนสวนสำาคญขององคกรความปลอดภย จะไปกลาวถงในบทท 14 "Wide Area Networks."
Perimeter Firewall และ Router ภายใน
โดยทวไปกลยทธตางๆในการรกษาความปลอดภยในเครอขายองคกรขนาดใหญจะขนอยกบสวนประกอบของอปกรณภายในและ อปกรณ Perimeter, Router รวมทง Firewall ดวย Router ภายในใหความปลอดภยกบเครอขายโดยการกลนกรองการเขาชมสวนตางๆของเครอขายและทำาโดยการเขาถงรายการตางๆ คณสามารถดวาแตละประเภทของอปกรณเหลานไดในรปท 10.1
4
10.1 การปองกนระบบเครอขายโดยทวไป
จากรปในบทนและบทท 11 เราจะใชสวนของ เครอขายภายในและเครอขายภายนอก เชอมตอเขาดวยกน “Network Address Translation (NAT)” มนจงเปนสวนทมความสำาคญทจะทำาใหคณเหนความปลอดภยของเครอขายได เขตปลอดการปองกน (DMZ) จะสามารถทำาใหเปน Internet addresses หรอ private addresses ขนอยกบวาคณจะปรบแตง firewall ของคณอยางไร นอกจากนคณจะพบ HTTP, DNS, E mail และ Internet ประเภทอนๆบน Server ขององคกร
เราสามารถใชเครอขายทองถนเสมอน(VLANs) พรอม Switch ทางดานเครอขายภายในแทน Router ได Switch แบบ Multilayer มคณสมบตการรกษาความปลอดภยของตนเองบางครงสามารถแทนท Router ภายใน เพอใหประสทธภาพสงใน VLAN
ถาจะกลาวถงการปองกนความปลอดภยจากการคกคามภายนอกแลว เราจะมวธการปองกน โดยการใชความสามารถของชด Cisco IOS Firewall
การตระหนกถงการคกคามระบบความปลอดภย
5
จรงอยทการปองกนการคกคามทางดานความปลอดภยเปนเรองทซบซอนมากดวยระดบของการคกคามและเหตการณทเกดขนเพราะผใชทไมมความร
คณรดวาผไมประสงคดวางแผนมากอนหรออาจจะไมใช โดยทวไปแลวเราจะคดไมถงเลยวา Internet จะเปนเครองมอทสำาคญทถกนำามาใชโดยใครกไดทซอมนมาและเรมใชงาน นเปนเหตผลสำาคญทวาทำาไมการรกษาความปลอดภยจงเปนทการดแล IP Address ซงไมปลอดภยตงแตตน แตไมตองกงวลเพราะวา Cisco มเทคนคเพอชวยคณอยแลว แต ขนแรกเรามาดวธการโจมตแบบตางๆกนกอน
การโจมตในระดบ Application-layer โดยปกตการโจมตประเภทนจะพบกบ Software ทมชอเสยงซงทำางานบน Server เชน โปรแกรม FTP, การสง E mail และการบรการใชบรการ HTTP เนองจากสทธของผทจะเขาใชบญชเหลานมกจะอยในระดบตำา โดยผทไมประสงคดสามารถเขาถงและใชงานเครองของเหยอไดอยางงายโดยผานโปรแกรมขางตนทกลาวถง
Autorooters การ Hack ประเภทนคอโปรแกรมแฮกเกอรทำาหนาทเหมอนหนยนตททำางานอตโนมต ผทไมประสงคดใชสงทเรยกวา “Rootkit” เพอตรวจสอบ สแกน และตรวจจบขอมลของเครองคอมพวเตอรเสมอนเครองคอมพวเตอรนนถกจบตามองอยตลอดเวลา
Backdoors ทางนเปนเพยงทางหนงทสามารถเขามาสคอมพวเตอรหรอระบบเครอขายได ผานไดไมยาก หรอเปนเสนทางสำาหรบโคดโปรแกรมโทรจนทจะผาน ผไมประสงคดสามารถใชทางนเพอเขาส Host หรอแมกระทงระบบเครอขายไดตามทเขาตองการเลยนอกเสยจากวาคณจะตรวจพบมนและจดการปดมนซะ
การโจมตแบบ Denial of service (DoS) และ distributed denial of service (DDoS)
วธการโจมตแบบนยากเหลอเกนทจะกำาจดออกไป แตกยงทจะใชวธนในการโจมต โดยการทำางานพนฐานของวธนคอ Service จะถกทำาใหไมสามารถใชงานได หรอไมสามารถใชงานทรพยากรบนเครอขายได และนนตามมาซงความยงยากตางๆนาๆ
6
TCP SYN flood เรมตนจากการทเครอง Client รองขอการใชงาน TCP และสง SYN ไปยงเครอง Server ตามปกต. และ Server จะตอบสนองโดยการสง SYN-ACK กลบมายงทเครอง Client แตทจรงแลวในระหวางขนตอนการสง SYN-ACK นน เครองทเปนเหยอจะถกควบคมไมใหไดรบขอมลตอบกลบจงเกดสภาวะ half-open จงทำาใหมการสง SYN-ACK มากขนและจะทำาใหเครองเปาหมายหยดทำางานเนองจากควของการทำางานทเครองเหยอเตมนนเอง
การโจมตแบบ “Ping of death” ขนาดขอมลสงสดในแพคเกต TCP/IP มคาเทากบ 65,536 Octet การโจมตประเภทนทำาไดดวยวธการ Ping แบบธรรมดาดวยการสงขอมลทมขนาดใหญเกนกวาขนาดของแพคเกต, ซงจะทำาใหอปกรณทำางานหนกขนเรอยๆกระทงเกดอาการ Freeze หรอทเรยกวาถกแชแขง หรออาจจะเกดการเสยหายกบอปกรณได
Tribe Flood Network (TFN) และ Tribe Flood Network 2000 (TFN2K) ตวเลขทมความสลบซบซอนมากจะทำาใหเปนชองโหวในการโจมตเขามาทาง Dos ดวยหลายวธการ และ หลากหลายเปาหมาย นคอความสามารถบางสวนทถกใชโดย “IP spoofing,”
Stacheldraht เปนวธการทรวมความสามารถของ TFN และการเขารหสการสอสารขอมล โดย Stacheldraht เปนภาษาเยอรมนซงแปลวา รวลวดหนาม โดยจะบกรกในระดบ root และเปนไปตามรปแบบของ DoS
IP spoofing วธนนยมมาก โดยมนจะทำางานคลายกบวามผประสงคดจากภายในหรอภายนอกมาหลอกเครอง Server ของคณโดยหนงในสองวธน : คอปลอม IP Address วามาจากภายในเครอขายของคณเอง หรอ ทำาให Server เชอวา IP Address นมาจากภายนอกเครอขายทไวใจได เพออำาพราง IP Address จรงทใชอยและนคอจดเรมตนของความวนวายทกำาลงจะตามมา
การใชคนเปนเครองมอในการโจมต บคลากรททำางานใหกบ ISP ของคณ อาจจะเปนคนทใชเครองมอทเรยกกนวา Sniffer และเปนคนทเปดชองทางของ Routing Protocal และ Transport Protocal
7
การสำารวจเครอขาย กอนทจะทำาลายเครอขายผไมประสงคดมกจะรวบรวมขอมลทงหมดทจำาเปนตองใชเกยวกบเครอขายนน ทเปนเชนนเพราะวายงรรายละเอยดเกยวกบเครอขายนนมากเทาไหรกยงทำาใหสามารถทำาลายเครอขายนนไดมากเทานน ผไมประสงคดจะทำาการสำาเรจไดดวยวธตางๆเชนการสแกนพอรต การควร DNS และการใชคำาสง Ping
Packet sniffers เปนโปรแกรมสำาเรจรป เปนวธการทอปกรณเชอมตอเชน Network Card ตงคาใหสงแพคเกตทงหมดจากชน Physical Layers ไปยงโปรแกรมเพอคดแยกเอาขอมลทตองการออกมา Packet sniffer นสามารถดงขอมลทสำาคญมากๆออกมาไดไมวาจะเปน ชอผใชงานหรอ รหสผาน ซงเปนทนยมมากในหมหวขโมยทตองการขอมล
Password Attack มเขามาหลากหลายรปแบบโดยอาจจะใชวธการทซบซอนอยาง IP Spoofing, การดกจบ แพคเกต และวธใชโทรจนแลว สงทเขาจะไดมากคอ รหสผานผใชงาน ซงทำาใหเขาสามารถเขามาใชทรพยากรบนระบบได
Brute force attack เปนโปรแกรมอกชนดหนงทจะทำางานโดยเมอพนกงานหรอผใชงานตองการเขาส Server สำาหรบแฮกเกอรนนเหมาะอยางยงหากวาชอผใชทเขาถงมสทธในการใชงานเครอง Server ระดบสงเพราะแฮกเกอรสามารถกลบมาอกครงทางประตหลงโดยใชรหสผาน
Port redirection attacks วธนเครองเปาหมายจำาเปนตองมเครอง Host โดยแฮกเกอรจะทำาการเจาะเขาชองทาง (Port) ทไมไดมการใชงาน(ซงปกตไมอนญาตใหใชงาน)โดยผานทาง Firewall
การโจมตดวยไวรสและมาโทรจน เปนสงทนยมมากพอๆกน โดยทไวรสจะถกสรางมาจากโคดโปรแกรมเมอทำางานแลวจะทำาใหเครองคอมพวเตอรมอาการเหมอนตดเชอและอาจจะทำาลายจนระบบนนพงไปเลย ! แตละมไวรสกจะมความแตกตางกน ไวรสทเปนไวรสจรงๆนน จะเปนเพยงโปรแกรมทถกแนบมากบไฟล command.com เพอทำาลายระบบของ Windows ทงหมด
8
เมอไวรสทำางานแลว จะทำาการลบไฟลและแนบตวเองไปกบไฟล command.com แลวสงตอไปยงเครองอนๆทอยในระบบเครอขายเดยวกน ความแตกตางระหวางไวรสและมาโทรจนคอ มาโทรจนนนจะเปนโปรแกรมสำาเรจรปทหอหมโคดโปรแกรมอกทหนงจงทำาใหมองเหนโทรจนทภายในเปนตวเดยวกนแตกตางกนออกไป พดงายๆกคอมาโทรจนนนทำางานไดแสบกวาการทจะมาทำาลายระบบเสยอก
การหาประโยชนจากการโจมตทแทจรง เหตการณนจะเกดขนเมอมใครบางคนตองการหาประโยชนจากเครอขายของคณ ยกตวอยางเชน บรษททตองมการเชอมตอไปยงภายนอกทจำาเปนตองใชสงเหลานเชน SMTP, DNS และ Server HTTP ทำาให Server มความเสยงเพราะวามาอยรวมในททเดยวกน
สงทผมจะสอนคณอาจจะไมไดมอยในหนงสอเลมนแตมนคอการปองกนคณจากการถกโจมตอยางแทจรง คณจะรเทคนคในการพจารณาวาใครคอผไมประสงคดกบคณ ดงนน ขนแรกเราจงควรคดวาทำาอยางไรใหเครอขายของคณเปน เครอขายท“ปลอดภย”
การลดความเสยหายจากการถกโจมต
ในการลดความเสยหายจากจากถกโจมต โดย Cisco มผลงานสดยอดทมชอวา Adaptive Security Appliance หรอ ASA. แตมระดบใหเลอกสองราคาซงขนอยกบวาคณตองการจะใชงานในสวนไหน จงทำาให ASA เปนคำาตอบของหนงสอเลมนนเอง ความเหนสวนตว ผมคดวามนเปนผลงานทดทสดในตลาดขณะนจรงๆ
โปรแกรม Cisco IOS มการทำางานสงมากกวา 80% บนระบบเครอขายทเปน Backbone Router และนเองจงเปนสวนหนงทสำาคญทสดของระบบเครอขาย โปรแกรมพนฐานทใชในการรกษาความปลอดภยของ Cisco IOS ทรจกกนในชอ ชดเครองมอจดการ Cisco IOS Firewall, มนคอทางออกทดสำาหรบการการปองกนเครอขายทางดานการควบคมระยะไกล Internet และ Intranet ของพวกเรา
9
เพราะวา Cisco ACLs เปนเครองมอททำางานไดประสทธภาพดมากสำาหรบการปองกนการบกรกทวๆไปและจะทำาใหคณรสกอยากเรยนร CCNA
Cisco’s IOS Firewall คณสมบต Cisco IOS Firewall:
Stateful IOS Firewall inspection engine นเปนคณสมบตปองกน perimeter เพราะจะชวยใหผใชภายในของการควบ Access lists ทปลอดภย มกจะเรยกวา ContextBased Access Control (CBAC)
การตรวจจบการบกรก เปนแพคเกตตรวจสอบ ทจะชวยใหคณตรวจสอบสกดกนและ ตอบสนองตอการละเมดในเวลาจรง
Firewall voice traversal ระดบคณสมบตใบสมครตามความเขาใจของโปรโตคอล สนบสนนทง H.323v2 และ Session Initiation Protocol (SIP) โปรโตคอลเสยง
การตรวจสอบ ICMP การตรวจสอบโดยทวไปอนญาตใหตอบแพคเกต ICMP เชน ping และ traceroute ทมาจากภายใน Firewall ของคณในขณะทการไมยอมรบการเขาชม ICMP อนๆ.
Authentication proxy คณลกษณะททำาใหผใชตรวจสอบเวลาทพวกเขาตองการเขาถงทรพยากรของเครอขายผานทาง HTTP, HTTPS, FTP และ Telnet. มนทำาให Profile เขาถงเครอขายสวนตวสำาหรบผใชและจะไดรบสงเหลานนจาก RADIUS หรอ TACACS + server และใชไดด
นโยบายการจดการ URL ปลายทาง คณสมบตทเรยกทวไปวา การกรอง URL
Per-user firewalls เหลานเปนบคคลทวไป ผใชเฉพาะ Firewall ดาวนโหลด
10
ไดผานผใหบรการ คณยงสามารถไดรบ ACLs สวนบคคลและการตงคาอนๆผานประเมนการจดเกบขอมล server
การจดเตรยม Cisco IOS router and firewall ชวยใหไมม Router
ตดตอ จดเตรยมการปรบปรงรน และนโยบายรกษาความปลอดภย.
ตรวจสอบและปองกน Denial of service (DoS) ตรวจสอบคณสมบตทสวนหวแพคเกตและหยดแพคเกตทนาสงสย
Dynamic port mapping ประเภทของ Adapter ทโปรแกรมอนญาต และไดรบการสนบสนนจาก Firewall ในพอรตทไมเปนมาตรฐาน
การ Block Java applet ปองกนคณจากสงแปลกปลอม, Java applets ไมรจก
การกรองการจราจรพนฐานและขนสง ACLs ในลกษณะ Lock-and-Key การจราจรเครอขาย ถกกรองดวย Firewall ของ Cisco IOS รวมทงคณสามารถระบชนดทแนนอนของการเขาชมทคณตองการใหผานสวนใด
Policy-based, multi-interface support ชวยใหคณสามารถควบคมการเขาถงของผใชโดยทอย IP และ อนเตอรเฟซ ขนอยกบนโยบายความปลอดภยของคณ
Network Address Translation (NAT) ปกคลมเครอขายภายในจากภายนอก การรกษาความปลอดภยเพมขน
Time-based access lists กำาหนดนโยบายความปลอดภยตามระยะเวลาทแนนอนของวนและวนใดของสปดาห
การเสนอการตรวจสอบ Router รบประกนวา Router รบขอมลจากแหลงทนาเชอถอจรง
ขณะนทานไดทราบถงกบภยคกคามความปลอดภย , คณสมบตทเกยวของของ Cisco IOS Firewall และวธการใชซอฟตแวรเพอประโยชนของคณใหเขาสโลกของการเขาถง และเรยนรวธการใช ACLs เพอลดภยคกคามความปลอดภย
แนวทางการเขาถง(Access Lists)
11
Access lists เปนทเกบรายการ list ทกำาหนดเงอนไขในการเขาถงแตละแบบมนสามารถชวยเหลอไดจรง เมอคณตองการทจะใชการควบคมการจราจรในเครอขาย โดยจะตดสนใจเลอกเครองมอสำาหรบการเขาถงรายการในสถานการณตางๆ แนวทางทวไปและเขาใจงายทสดทจะใชในการเขาถงรายการตางๆเปนการกรองแพคเกตทไมตองการ เมอมการใชนโยบายการรกษาความปลอดภย ตวอยางเชน คณสามารถตงคาใหมการตดสนใจบางอยางเกยวกบรปแบบเพอให อนญาตใหเฉพาะบางผใชทจะเขาถงเวบใน Internet ขณะทการจำากดผอนๆ ผจดการเครอขายมอำานาจ บงคบใชนโยบายรกษาความปลอดภยทเขาสามารถคดเองได
Access lists สามารถใชไดแมในสถานการณทไมจำาเปนตอง Block แพคเกต ตวอยางเชนคณสามารถใช Access lists เพอควบคมเครอขายซงจะมหรอไมมโฆษณาโดยการคนหาเสนทางโปรโตคอลแบบไดนามก วธการกำาหนดคา Access lists เหมอนกบทคณใชอยเดม แตกตางกนตรงทคณจะใชมนหาเสนทางโปรโตคอลแทนทอนเตอรเฟซ เมอคณใช Access lists ดวยวธนกเรยกวาเปนการกระจายรายการ และจะไมหยดคนหาเสนทางการโฆษณา มนจะควบคมเฉพาะในสวนนนเทานน คณสามารถใช Access lists กลมแพคเกตสำาหรบ การบรการประเภท QoS และการควบคมประเภทของการจราจรทสามารถเขาเชอมตอ ISDN ได
ในการสราง Access lists จะใชชดคำาสงในการเขยนโปรแกรม ประเภท if-then เปนอยางมาก ถาเปนไปตามเงอนไขทกำาหนดแลวจะสงใหมการทำางาน หากไมเปนไปตามเงอนไขจะไมมอะไรเกดขนและจะทำาการประเมนผลเปนลำาดบตอไปคำาสง Access lists โดยทวไปจะทำาการกรองแพกเกตและนำาไปเปรยบเทยบอกครงโดยแยกตามประเภท และตามการดำาเนนการใดๆ เมอ Access lists ถกสรางขนจะสามารถนำาไปใชไดในการจราจรทงขาเขาหรอขาออกบนอนเตอรเฟซใดๆ การนำา Access lists มาใชจะทำาให Router ทำาการวเคราะหทกๆแพกเกตโดยขามอนเตอรเฟซทระบไว และจะกระทำาในกรณทเหมาะสม
Access lists มสองประเภทหลกๆคอ
standard access lists ใชกบท IP Address ใน IP แพคเกต เปนตวทดสอบเงอนไขเทานน การตดสนใจทงหมดจะทำาตามแหลงทอย IP ซงหมายความ
12
วาการเขาถงมาตรฐานทวไป การอนญาตหรอปฏเสธทงชดของโปรโตคอล พวกเขาไมแยกระหวางหลายประเภทของ IP การจราจรเครอขาย เชนเวบ Telnet, UDP, เปนตน
Extended access lists สามารถประเมนหลายแขนงในเลเยอร 3 และเลเยอร 4 สวนหวของแพคเกต IP พวกเขาสามารถประเมนแหลงและ IP ปลายทาง ทอยดานโปรโตคอลในเครอขายเฮดเดอรและหมายเลขพอรตทเฮดเดอรขนสง มนมความสามารถในการตดสนใจละเอยดมากขนเมอมการควบคมการจราจรในเครอขาย
เมอคณสรางบญชรายชอ Access lists ขนมา มนจะยงไมทำางานอะไรเลยจนกวาคณจะเรมใชมน ถกตองทวามนทำางานบน Router แตวามนจะไมตอบสนองอะไรเลยจนกระทงคณบอกให Router ทราบวาตองการใหมนทำางานอยางไรในการจะใช Access lists เพอเปนตวกรองแพคเกต และคณตองกำาหนดทศทางของการสญจรขอมลทคณตองการไห Access lists เขาไปทำางานดวย มนเปนเหตผลทดสำาหรบการท คณอาจจะตองการการควบคมในททแตกตางกนสำาหรบการเขาชมองคกรของคณจาก Internet มากกวา การเขา intranet ดงนนคณสามารถทจะกำาหนดทศทางของการสญจรขอมลได และบอยครงทคณจำาเปนตองใช Access lists ทแตกตางกนเพอควบคมการสญจรของขอมลเขา และขอมลออกทมาจากชองทางเดยวกน
access lists ขาเขา : เมอ access lists ถกกำาหนดใหทำางานในสวนขอมลขาเขา แพคเกตเหลานนจะตองผาน access lists กอนทจะนำาไปสชวงขาออก แพคเกตใดๆทถกปฏเสธจะถกทำาการยกเลกกอนจะเขาสชวงขาออก
access lists ขาออก : เมอ access lists ถกกำาหนดใหมาทำางานในสวนชวงขอมลขาออก, แพคเกตเหลานนจะถกกำาหนดเสนทางใหไปยงชองทางขาออกและผาน access lists กอนจะไปเขาควการทำางาน.
คณสามารถกำาหนดให 1 Access lists ใชงานตอ 1 ชองทาง ตอ 1 โปรโตคอล ตอ 1 ทศทางได ในทนหมายถงวาเมอคณสราง IP Access lists แลว, คณสามารถม Access lists ขาเขา และ ขาออกได 1 ชองทาง
13
ม Access lists ไมนอยทจบการทำางานดวยคำาสงอนญาต ทกๆแพคเกตจะถกยกเลกหากวาไมมขอมลทเหมอนกนจากการทดสอบ ทกๆรายการควรทจะมคำาสงอนญาตอยางนอย 1 คำาสงหรอไมกปดการสญจรทงหมด
สราง Access lists และนำามนมาใชเปน อนเตอรเฟซ Access lists ใดๆทถกนำามาใชเปนอนเตอรเฟซ โดยไมไดเปน Access lists มากอนจะทำาใหไมสามารถกรองการสญจรทางดานเครอขายได
Access lists ทถกออกแบบมาเพอใชในการกรองการสญจรเครอขาย จะตองทำางานผาน Router โดยพวกมนจะไมกรองการสญญาจรทแตเดมเรมมาจาก Router
การวาง Access lists แบบมาตรฐาน จะขนอยกบความเปนไปไดของเครอขายปลายทาง นจงเปนเหตผลทวาทำาไมเราจงไมใช Access lists มาตรฐานในเครอขายของเรา คณไมสามารถใส Access lists ทขนกบเครอขายหรอเครอง Host ได เพราะคณสามารถกรองมนไดเฉพาะเครองตนทางเทานน และไมควรทจะสงมนตอออกไป
การวาง Extended Access lists จะขนอยกบความเปนไปไดของเครองตนทาง ตงแต Extended Access lists สามารถกรองขอมลทสำาคญไดมากๆ แนนอนคณไมตองการใหใครมาขดขวางชองทางเดนในเครอขายคณจนทำาใหมนหยดการทำางาน เพยงแคการวาง Access lists บนเครองตนทาง คณกจะสามารถจดการกบชองทางสญจรเครอขายของคณได
กอนทผมจะเขาถงเรอง การปรบแตง “ Access lists ขนพนฐานจนถงระดบสง เรามาดกนกอนวา ACLs สามารถปองกนการบกรกระบบเครอขายไดอยางไร
การแกปญหาดานความปลอดภยดวย ACLs
นเปนเพยงบางรายชอทเปนปญหาดานความปลอดภย ซงสามารถแกไขไดดวย ACLs:
การปดบง IP ในทางขาเขา
14
การปดบง IP ในทางขาออก
การหยดการทำางานของ Service (DoS) การโจมตโดยรองขอ TCP, การโจมตโดย Block จากภายนอก
การกรองขอมล ICMP ดานขาเขา
การกรองขอมล ICMP ดานขาออก
นคอรายการของกฎทจะใชในการควบคม ACLs จาก Internet ไปสเครอขายของคณและนำามาสการแกปญหา
หยดการทำางานของทกๆ Address จากเครอขายภายใน
หยดการทำางานของ Local host จาก 127.0.0.0/8)
หยดการทำางานของการจองแอดเดรสสวนตว
หยดการทำางานของแอดเดรสใน IP ชวง (224.0.0.0.4)
Standard Access Lists การเขาถงมาตรฐาน IP แสดงการจราจรในเครอขายโดยตรวจสอบทมาทอยใน
แพคเกต คณสรางการเขาถง มาตรฐาน IP โดยใชการเขาถงหมายเลข 1-99 หรอ 1300-1999 ประเภทการเขาถงโดยทวไปตางกนโดยใชตวเลข ขนอยกบตวเลขทใชเมอมการสรางการเขาถง Router ทราบชนดของการเขาถงทเราตองการโดยใชหมายเลข 1-99 หรอ 1300-1999 ดงนน Router จะสนใจเฉพาะแหลงทระบเทานน
ตอไปเปนตวอยางของการเขาใชชวงจำานวนรายการจำานวนมาก ซงคณสามารถกรองการจราจรในเครอขายของคณได (โปรโตคอลทคณสามารถระบการเขาถงขนอยกบเวอรชน IOS ของคณ ):
15
Corp(config)#access-list ?
<1-99> IP ของบญชการเขาถงแบบมาตรฐาน<100-199> IP ของบญชการเขาถงแบบขยาย<1100-1199> MAC แบบ 48-bit ของบญชการเขาถงแบบขยาย<1300-1999> IP ของบญชการเขาถงแบบมาตรฐาน (ขยายขอบเขต)<200-299> บญชการเขาถงแบบรหสตวอยาง<2000-2699> IP ของบญชการเขาถงแบบขยาย (ขยายขอบเขต)<700-799> MAC แบบ 48-bit ของบญชการเขาถงcompiled แปลงให IP ของ Access lists สามารถใชไดdynamic-extended ขยายคาเวลา dynamic ACL
ตรวจสอบ Syntax ทใชเมอสรางการเขาถงมาตรฐาน:
Corp(config)#access-list 10 ? denySpecify packets to rejectpermit Specify packets to forward remark Access list entry comment
เมอฉนบอก Router ทตองการสราง IP Standard Access list ดวยหมายเลข 1-99 หรอ 1300-1999 หลงจากทคณเลอกใชหมายเลขรายการคณตองตดสนใจวาคณจะสรางใบอนญาตหรอปฏเสธคำา
โดยคณจะตองชแจงการปฏเสธ:
Corp(config)#access-list 10 deny ? Hostname or A.B.C.D Address to match any Any source hosthost A single host address
16
ขนตอนตอไปตองมคำาอธบายรายละเอยดเพมเตม มสามตวเลอกท คณ สามารถใชพารามเตอรทจะอนญาตหรอปฏเสธ Host หรอเครอขาย คณสามารถใชทอยระบทง Host เดยวหรอชวง หรอคณสามารถใชคำาสง Host ทระบเฉพาะเจาของเทานน
ชดคำาสงใดๆเปนคำาสงทมการระบทอยของตนทางทตรงกนไวอยางชดเจน ดงนนทกแพกเกตทถกเปรยบเทยบอกครงในบรรทดนจะตรงกน คำาสงของ Host สามารถเขาใจไดงาย และนคอตวอยางการใชคำาสงดงกลาว :
Corp(config)#access-list 10 deny host ? Hostname or A.B.C.D Host address
Corp(config)#access-list 10 deny host 172.16.30.2
รายการนบอกปฏเสธแพคเกตจาก Host 172.16.30.2. โดยพารามเตอรเรมตนเปน Host ในคำาอนๆหากคณพมพวา Access-list 10 deny 172.16.30.2 Router จะถอวาคณหมายถง Host 172.16.30.2. แตมวธการระบทง Host โดยเฉพาะหรอชวงของ Host อน ในความเปนจรงในการระบชวงของ Host ใดๆคณจะตองใชสญลกษณแทนใน Access lists What’s wildcard masking? คณจะไดเรยนรเกยวกบการเขาถงโดยใชเชน Standard Access list รวมทงวธการควบคมการเขาถงจนสนสดกระบวนการในสวนตอไปน
Wildcard Masking Wildcard จะใชกบ Access list เพอ ระบตวตนของแตละเครอขายหรอบาง
ชวงของเครอขาย เพอใหเขาใจ Wildcard คณตองเขาใจวา Block size คออะไร? มนจะใชในการระบชวงของ Address โดยมขนาดแตกตางกน คอ 64, 32, 16, 8, 4.
เมอคณตองการระบชวงของ Address คณตองเลอก Block size ทมขนาดใหญทสดสำาหรบความตองการของคณ ตวอยางเชน ถาคณตองการระบ 34 เครอขาย คณจะตองเลอก Block size ขนาด 64 และถาคณตองการระบ 18
17
Host คณตองเลอก Block size ขนาด 32 ถาคณตองการระบ 2 เครอขาย คณตองเลอก Block size ขนาด 4
Wildcards ใชกบ Host หรอทเครอขาย address เพอบอกชวงทอยให Router เพอกรอง การระบทอย Host จะมลกษณะเชนน 172.16.30.5 0.0.0.0 ศนยสตวแสดงถงแตละ Octet ใน Address นนๆ
เพอระบวา Octet มคา 255 ตามตวอยางตอไปนเปนวธการ a / 24 subnet จะระบแทนดวยสญลกษณ 172.16.30.0 0.0.0.255 มนเปนการบอก Router ใหตรงกนกอน 3 Octet แต Octet ทสสามารถเปนคาใดๆได ตอนนเปนสวนทงาย ถาคณตองการระบ subnet เพยงชวงเลกเทานนจะระบไดอยางไร? มนขนอยกบวาขนาดของ Block ทเขามาเปนเทาไหร คณตองระบชวงขนาดของ Block ในทางอนคณไมสามารถเลอกทจะระบ 20 เครอขายได คณสามารถ ระบเปน 16 หรอ 32 กได แตไมใช 20
สมมตวาคณตองการปองกนการเขาถงสวนหนงของเครอขายทอยในชวงจาก 172.16.8.0 ถง 172.16.15.0 ซงมขนาดของ Block เปน 8 หมายเลขเครอขายของคณจะเปน 172.16.8.0 และสญลกษณแทนคอ 0.0.7.255.
อะไรคอ 7.255 ? มนคอสงท Router ใชเพอกำาหนดขนาดทจะปองกน เครอขายและสญลกษณบอก Router ใหเรมตนท 172.16.8.0 และขนาด Block เปน 8 ทอยในเครอขายจะเปน 172.16.15.0
ในตวอยางนเราจะบอก Router ใหสาม Octet แรกเหมอนกน แต Octet ทสเปนคาใดๆ
Corp(config)#access-list 10 deny 172.16.10.0 0.0.0.255
ตวอยางถดไปบอก Router ใหเหมอนกนในสอง Octet แรก และสอง Octet สดทายเปนคาใดๆ
Corp(config)#access-list 10 deny 172.16.0.0 0.0.255.255
18
พยายามคดตามบรรทดตอไปน:
Corp(config)#access-list 10 deny 172.16.16.0 0.0.3.255
ตวอยางนกำาหนดคาให Router เรมตนทเครอขาย 172.16.16.0 และใชขนาด Block ของเปน 4 จะไดเปนชวง 172.16.16.0 ถง 172.16.19.0 ในตวอยางตอไปนแสดงการเขาถงซงเรมตนท 172.16.16.0 และขนาดของ Block 8 ชวงสดทายจะเปน 172.16.23.0:
Corp(config)#access-list 10 deny 172.16.16.0 0.0.7.255
ตวอยางตอไปนแสดงการเขาถงซงเรมตนท 172.16.32.0 และขนาดของ Block
16 ชวงสดทายจะเปน 172.16.47.0:
Corp(config)#access-list 10 deny 172.16.32.0 0.0.15.255
ตวอยางตอไปเรมตนท 172.16.64.0 และขนาดของ Block เปน 64 ชวงสดทายจะเปน 172.16.127.0:
Corp(config)#access-list 10 deny 172.16.64.0 0.0.63.255
ตวอยางสดทายเครอขายเรมตนท 192.168.160.0 และขนาดของ Block เปน 32 ชวงสดทายจะเปน 192.168.191.255:
Corp(config)#access-list 10 deny 192.168.160.0 0.0.31.255
นคอสงทคณจะตองจำาไวเมอใชงานขนาดของ Block และสญลกษณแทน คอ ขนาดของ Block จะเรมตนท 0 หรอขนาดทมากกวานน ตวอยางเชน คณไมสามารถบอก Block ทมขนาด 8 ใหเรมตนท 12 ได คณตองใช 0-7, 8-15, 16-23 เปนตน ถา Block มขนาด 32 ชวงของมนจะเปน 0-31, 32-63, 64-95 เปนตน
ชดคำาสงใดๆสามารถเขยนสญลกษณแทนดวย 0.0.0.0 255.255.255.255
19
สญลกษณทใชแทนนนเปนสงทจำาเปนมากในการสราง IP Access lists โดยจะใชเชนเดยวกนเมอมการสราง IP Standard Access list และ IP Extended Access list
ตวอยางสทธการเขาถงมาตรฐาน
ในรปท 10.2 Router มการเชอมตอสาม LAN และ หนง WAN เชอมตอกบ Internet.LAN Sales ควรทจะสามารถเขาถงเครอขายของ LAN Finance ได แต ทงหมดนนควรทจะเขาถง Internet และ LAN Marketing ได LAN Marketing จำาเปนตองเขาถงขอมลใน LAN Sales ได
รปท 10.2 ตวอยางการเขาถง IP ดวย การเชอมตอ สาม LAN และ หนง WAN
Router ในภาพ มการกำาหนดการเขาถงมาตรฐาน IP ดงน:
Lab_A#config t Lab_A(config)#access-list 10 deny 172.16.40.0 0.0.0.255 Lab_A(config)#access-list 10 permit any
มนสำาคญมากทตองรวาคำาสงใดๆมการใชสญลกษณแทน:
Lab_A(config)#access-list 10 permit 0.0.0.0 255.255.255.255
20
ดงนน นคอการทำางานทเหมอนกนกบการใชคยเวรด
ณ จดนการเขาสการกำาหนดคาใหปฏเสธทอยทมาจากการเขาถงของ LAN Sales ไปยง LAN Finance และอนญาตใหคนอนๆนอกจากนเขาได แตโปรดจำาไววาจะไมมการกระทำาดงกลาวจนกวา Access lists จะถกใชในอนเตอรเฟซในทศทางเฉพาะ.แตพนทไหนละทมการเขาถงนอย? ถาคณวางไวเปนการเขาถงบนพนท E0 คณอาจจะเปนการปด Ethernet อนเตอรเฟซ ลง เพราะอปกรณ LAN Sales ทงหมดจะถกปฏเสธการเขาใชเครอขายทงหมดทแนบมากบ Router E1 เปนททดทสดในการเขาใชรายการนใน อนเตอรเฟซ:
Lab_A(config)#int e1 Lab_A(config-if)#ip access-group 10 out
ทงหมดนหยดการจราจรจาก 172.16.40.0 จากการออก Ethernet 1. ไมมผลตอ Host จาก Sales LAN การเขาถง Marketing LAN และ Internet เพอจดหมายปลายทางทไมผาน E1 อนเตอรเฟซแพคเกตทพยายามออกจาก E1 จะ ตองผานการเขาถงแรก หากมรายการขาเขาไวใน E0 นนๆ แพคเกตทพยายามปอน E0 ตดตอจะตองผานการเขาถงกอนทจะมการกำาหนดเสนทาง เพอตดตอออก
ขอตรวจสอบตวอยางของมาตรฐานการเขาถงอนๆ
รปท 10.3 แสดง internetwork สอง Router ทมสาม LAN และหนงในการเชอมตอ WAN.
21
คณตองการหยดการใช Access lists กบ Server ทรพยากรบคคล แนบมากบ Router Lab B แตอนญาตใหผใชอนๆ เขาถงเครอขายนนๆได มาตรฐานการเขาถงอะไรททานสรางและคณจะวางไวทไหน?
คำาตอบทจรงคอคณควรใชการขยายการเขาถงแหลงนนๆและวางไวใกลกบแหลง แตคำาถามระบวาคณควรใชมาตรฐาน Access lists โดยกฎของหวแมมออยใกลกบปลายทางในตวอยางน Ethernet 0 ใน Router Lab_B. นคอ Access lists ทควรอยใน Router Lab_B:
Lab_B#config t Lab_B(config)#access-list 10 deny 192.168.10.128 0.0.0.31
Lab_B(config)#access-list 10 permit any Lab_B(config)#interface Ethernet 0 Lab_B(config-if)#ip access-group 10 out
กอนทเราจะไปยงจำากดการเขาถง Telnet ใน Router นนตองใช Access lists เพยงอนเดยวแตจะตองคดบางกรณ. ในรป 10.4 คณม Router ทมการเชอมตอส LAN และหนง WAN เชอมตอกบ Internet
คณตองเขยน Access lists ทจะหยดการเขาถงจาก LAN ทงส แตละ LAN แสดงทอยของ Host เดยวและจากการทคณตองกำาหนด subnet และ wildcards ใชการกำาหนดคาการเขาถง.
22
รปท 10. 4 มาตรฐาน เขาถง IP ตวอยางท 3
นเปนตวอยางของสงทคำาตอบของคณควรมลกษณะดงน (เรมกบเครอขายใน E0 และทำางานไปยง E3):
Router(config)#access-list 1 deny 172.16.128.0 0.0.31.255 Router(config)#access-list 1 deny 172.16.48.0 0.0.15.255 Router(config)#access-list 1 deny 172.16.192.0 0.0.63.255
Router(config)#access-list 1 deny 172.16.88.0 0.0.7.255 Router(config)#access-list 1 permit any Router(config)#interface serial 0 Router(config-if)#ip access-group 1 out
การควบคมการเขาถงจากระยะไกล
เปนการยากสำาหรบการพยายามทจะหยดการเขาใชระบบจากระยะไกลของผใช กบ Router ขนาดใหญ เนองจากอนเตอรเฟซทใชงานบน Router นนเปนเรองทถกตองสำาหรบการเขาถง VTY คณสามารถพยายามทจะสราง IP Access list ทจำากดการเขาถงไปทก Telnet ทอยใน Router แตหากคณทำาเชนนน คณจะตองนำาไปใชกบทกๆอนเตอรเฟซ ซง Router ขนาดใหญอาจมเปนสบถงรอยอนเตอรเฟซ คณจะทำาเชนนนหรอ?
การแกไข: ใช IP Standard Access list ในการควบคมการเขาถง VTY lines เอง.
เพราะเมอคณใชการเขาถง VTY lines คณไมจำาเปนตองระบโปรโตคอล Telnet ตงแตเรมเขาถง VTY จนสนสด เนองจากอนเตอรเฟซ Address ทผใชกำาลงใชอยนนเปนเปาหมายของการเขาใชระบบจากระยะไกล คณตองควบคมผใชทจะมาใชจากทอย IP เพอดำาเนนการตามชดคำาสงดงกลาว ทำาตามขนตอนเหลาน
23
1. สราง IP Standard Access list ทอนญาตใหเฉพาะ Host หรอ Host ทคณตองการสามารถ เขาใชระบบจากระยะไกล เขาใน Router
2. ใชการเขาถงไปยง VTY lines ดวยชดคำาสง access-class
นเปนตวอยางของการอนญาตให Host เฉพาะ 172.16.10.3 สามารถเขาใชระบบจากระยะไกลได:
Lab_A(config)#access-list 50 permit 172.16.10.3Lab_A(config)#line vty 0 4Lab_A(config-line)#access-class 50 in
สถานการณจรง คณควรมการรกษาความปลอดภยใหกบ Telnet Lines ของคณใน Router หรอไม? คณตรวจสอบและสงเกตเครอขายของคณทม telnetted เปน Router หลกของคณ โดยแสดงคำาสงของผใช คณใชคำาสง disconnect มนจะตดการเชอมตอจาก Router แตคณจะสงเกตเหนมนกลบเขาส Router ไมกนาทภายหลง คณมความคดเกยวกบการใช Access lists ลงใน Router อนเตอรเฟซแตคณไมตองการเพมเปนจำานวนมากในแตละอนเตอรเฟซ เนองจาก Router ของคณมแพคเกตมาผลกดนมากอยแลว กอนทคณจะไมแนใจวานเปนทางเลอกทปลอดภยสำาหรบการเพมการเขาถงเขาในแตละอนเตอรเฟซคณคดวาการเพมการเขาถงไปใน VTY lines เปนความคดทดสำาหรบเครอขายนแลวหรอ? ใชแนนอน คำาสง access command ถกสรางขนในสวนน และนเปนทางเลอกทดทสดทจะทำา เพราะวามนไมสามารถใชการเขาถงเพอดทกๆแพคเกตทเขามาและออกไปได มนอาจจะทำาใหเกดการ overhead ในแพคเกตขณะพยายามคนหา Router
24
เมอคณวางคำาสง access-class ลงใน VTY lines, แพคเกจเพยงพยายามเขาถง telnet เทานน แต Router จะดและเปรยบเทยบเพอใหงายตอการกำาหนดคาความปลอดภยสำาหรบ Router ของคณ
Extended Access Listsในมาตรฐาน IP Access lists จากตวอยางทผานมา บอกวาคณจะตอง
Block Access ทงหมดจาก Lan ดานการขาย ของแผนกการเงน ถาคณตองการเกยวกบดานการการขายบนเครอง Server Lan ดานการเงนแตไมกระทบกบการบรการเครอขายอนๆ เพราะเหตผลดานความปลอดภย ดวยมาตรฐาน IP Access lists คณไมอนญาตใหผใชใชบรการเครอขายเพยงดานเดยว(one network service)และอนๆ กลาวคอ คณตองมการตดสนใจจากทอยตนทางและปลายทาง ตามมาตรฐาน Access lists ไมอนญาตใหคณตดสนใจทำาจากทอยตนทางเทานน
แต Extended Access lists จะชวยคณได เพราะ Extended Access lists จะอนญาตใหคณใชเพยงทอยตนทางหรอทอยปลายทางเทานน เหมอนกบโปรโตคอลและหมายเลขพอรตซงเปนของโปรโตคอลชนบนหรอชน Application layer โดยการใช Extended Access lists คณสามารถอนญาตใหผใชเขาถง Physical LAN และสามารถกำาหนด Host ทจะเขาใชบรการเปนรายๆไป หรอกำาหนดให Host หนงๆใชบรการไดแคไหน
นคอตวอยางของ Extended Access lists
Lab_A(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list <1000-1099> IPX SAP access list <1100-1199> Extended 48-bit MAC address access list <1200-1299> IPX summary address access list <1300-1999> IP standard access list (expanded range) <200-299> Protocol type-code access list <2000-2699> IP extended access list (expanded range) <300-399> DECnet access list
25
<600-699> Appletalk access list <700-799> 48-bit MAC address access list <800-899> IPX standard access list <900-999> IPX extended access list
คำาสงแรกแสดงถงหมายเลขของ Access lists ทใช คณจะใชหมายเลขของ Extended Access lists คอชวง 100 ถง 199 และเพอความแนใจชวง 2000 ถง 2699 กไวสำาหรบ Extended Access lists ดวย ทจดนคณตองตดสนใจวา list ทเขามาเปนชนดไหน แลวคณจะทำามนอยางไร สำาหรบตวอยางนคณเลอกปฏเสธ list ทเขามา
Lab_A(config)#access-list 110 ? deny Specify packetdynamic Specify a DYNAMIC list of PERMITs or DENYs permit Specify packets to forward
การเลอก Access lists ชนดอนๆ คณตองการเลอกจากสวนทเปนโปรโตคอล
Lab_A(config)#access-list 110 deny ? <0-255> An IP protocol number eigrp Cisco's EIGRP routing protocol gre Cisco's GRE tunneling icmp Internet Control Message Protocol igmp Internet Gateway Message Protocol igrp Cisco's IGRP routing protocol ip Any Internet Protocol ipinip IP in IP tunneling nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol tcp Transmission Control Protocol udp User Datagram Protocol
ทนคณจะเลอกกรองโดยใชโปรโตคอลชน Application Layer โดยใช TCP คณจะเลอกใช TCP โปรโตคอล เพราะในภายหลงคณกจะถกกำาหนดใหใชโปรโตคอลชนดน ตอมาคณจะถกกำาหนด IP Address ตนทางของ Host หรอของ Server ให (คณสามารถเลอกคำาสงใดๆทอนญาตใหกบทอยตนทาง)
26
Lab_A(config)#access-list 110 deny tcp ? A.B.C.D Source address any Any source host host A single source host
หลงจากทอยตนทางถกเลอก ทอยปลายทางกจะถกเลอกดวย
Lab_A(config)#access-list 110 deny tcp any ? ack Match on the ACK bitdscp Match packets with given dscp valueeq Match only packets on a given port numberestablished Match established connectionsfin Match on the FIN bitfragments Check non-initial fragmentsgt Match only packets with a greater port numberlog Log matches against this entrylog-input Log matches against this entry, including input interfacelt Match only packets with a lower port numberneq Match only packets not on a given port numberprecedence Match packets with given precedence valuepsh Match on the PSH bitrange Match only packets in the range of port numbersrst Match on the RST bitsyn Match on the SYN bittime-range Specify a time-rangetos Match packets with given TOS valueurg Match on the URG bit
คณสามารถกดปม Enter จากทนและออกจาก Access lists ในทนท แตถาคณทำาอยางนน การตดตอดาน TCP ทงหมดของ Host 172.16.30.2 จะถกปฏเสธโดยไมคำานงถงพอรตปลายทาง คณมวธทเหมาะสมมากกวานน คอคณมทอยของ Host ซงมนจะเจาะจงชนดของบรการทคณกำาลงปฏเสธ การปฏบตตามความชวยเหลอบนจอภาพทมมาให คณสามารถเลอกจากหมายเลขพอรต หรอใชโปรแกรม หรอชอโปรโตคอล
27
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.2 eq ? <0-65535> Port number bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514) daytime Daytime (13) discard Discard (9) domain Domain Name Service (53) echo Echo (7) exec Exec (rsh, 512) finger Finger (79) ftp File Transfer Protocol (21) ftp-data FTP data connections (20, 21) gopher Gopher (70) hostname NIC hostname server (101) ident Ident Protocol (113) irc Internet Relay Chat (194) klogin Kerberos login (543) kshell Kerberos shell (544) login Login (rlogin, 513) lpd Printer service (515) nntp Network News Transport Protocol (119) pim-auto-RP PIM Auto-RP pop2 Post Office Protocol v2 (109) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) sunrpc Sun Remote Procedure Call (111) syslog Syslog (514) tacacs TAC Access Control System (49) talk Talk (517) telnet Telnet (23) time Time (37) uucp Unix-to-Unix Copy Program (540) whois Nicname (43) www World Wide Web (HTTP, 80)
28
ทจดน Block Telnet (พอรต 23) ของ Host 172.16.30.2 เทานน ถาผใชตองการใช FTP กสามารถใชได คำาสงบนทกจะถกใชบนทกขอความทกครงท Access lists ถกชน สงนเปนทางทดอยางยง ทจะตดตามการเขาใชทไมเหมาะสม วธทำาคอ
Lab_A(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log
คณตองเกบความคดนนไวเนองจากบรรทดถดไปจะถกปฏเสธโดยปรยายโดยถก default ไว ถาคณประยกตสงนเขากบ Access lists ทตดตออย คณอาจจะปดการตดตอ ซงโดยปกตมนจะถกปฏเสธและทก Access lists จะจบลง คณจะไดรบการทำา Access lists ซำา ดวยคำาสงถดไป
Lab_A(config)#access-list 110 permit ip any any
จำาไววา 0.0.0.0 255.255.255.255 เปนคำาสงทเหมอนคำาสงอนๆ ดงนนคำาสงจะเหมอนดานลางน
Lab_A(config)#access-list 110 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Access lists ถกสรางขน คณตองประยกตมนเขากบการตดตอ ( คำาสงมนเหมอนกบมาตรฐาน IP address)
Lab_A(config-if)#ip access-group 110 in or Lab_A(config-if)#ip access-group 110 out
สวนตอไปเราจะดถงตวอยางในการใช Extended Access lists
Extended Access lists Example1
29
รป 10.1 ตวอยาง เครอขายทมระบบความปลอดภย
จากตวอยางจาก IP Standard Access list ดานบน จะใชเครอขายเดยวกน และปฏเสธการเขาถงของ Host 172.16.30.5 ของ Lan แผนกการเงนสำาหรบการบรการดาน FTP และ Telnet บรการอนๆทงหมดบนนและ Host อนๆรบทราบสำาหรบ Access ดานการตลาดและการขาย
เราสามารถสราง Extended Access lists ไดดงน
Lab_A#config t Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21 Lab_A(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23 Lab_A(config)#access-list 110 permit ip any any
ท Access lists 110 บอก Router วาคณกำาลงสราง Extended Access lists ซงม Tcp เปนโปรโตคอลในสวนหวของชน Network layer ถา list ไมไดบอกวาเปน Tcp คณไมสามารถกรองโดยพอรตหมายเลข 21 และ 23 ตามทแสดงในตวอยาง (เหลานเปน Telnet และ FTP ทงสองกใช TCP แบบ object-
30
oriented service) คำาสงอนๆดานตนทางเหมอนกบ IP Address และ Host เปน IP Address ปลายทาง
หลงจากท list ถกสรางขน มนตองประยกตเขากบ Ethernet1 ตดตอดานขาออก ใชนโยบายทเราสรางใหกบ Host ทงหมด และ Block FTP และ Telnet ทงหมดทใช 172.16.30.5 จากการใช local LAN ดานนอก แลวเราจะปกปด list ดานตนทาง หรอการตดตอบน Ethernet 0 ดงนนจากเหตการณนเราควรประยกตมนกบการตดตอดานขาเขา เรมจากเราประยกตใชlist ตดตอกบ E1 และบลอก FTP และ Telnet ดานนอกทงหมดทตดตอ Host
Lab_A(config-if)#ip access-group 110 out Extended Access list example2
ในตวอยางนเราใชรปท 10.3 ซงม Lan 4 ตวตอแบบอนกรม เราตองการหยด Telnet ในการเขาสเครอขายทแนบมากบการตดตอ Ethernet1 และ Ethernet2 ถาเราใชเพยง One Access lists มนจะไมไดประสทธภาพมากมากเพราะวาจะเปนภาระของการตดตอกบ Ethernet1 และ Ethrnet2 (เพราะวาทกแพคเกตทสงออกไปตองถกตรวจสอบ) แตถาเราใชแบบ Two lists ภาระจะลดลงบนแตละการตดตอถาแกไขไดถกตอง อยางไรกตามเรากำาลงศกษาถงวตถประสงคของ CCNA เราจะมองมนแค One Access list เทานน
คาทตงไวบน Router จะบอกเราเกยวกบบางสง ถงแมวาคำาตอบของมนสามารถมไดมากมาย
Router(config)#access-list 110 deny tcp any 172.16.48.0 0.0.15.255 eq 23 Router(config)#access-list 110 deny tcp any 172.16.192.0 0.0.63.255 eq 23 Router(config)#access-list 110 permit ip any anyRouter(config)#interface Ethernet 1 Router(config-if)#ip access-group 110 out Router(config-if)#interface Ethernet 2 Router(config-if)#ip access-group 110 out
31
ขอมลสำาคญทคณตองเขาใจจาก list เหลานคอ อยางแรกคณตองยนยนวาชวงของตวเลขนนถกตองสำาหรบการสราง Access lists แตละชนด ในตวอยางนเปน Extended ดงนนชวงทตองใชคอ 100-199 อยางทสอง คณตองพสจนวาโปรโตคอลทใชมนจบคกบเลเยอรชน Process หรอชน Application layer หรอไม ดงตวอยางน พอรต 23(telnet) โปรโตคอลทใชตองเปน TCP เพราะ Telnet ใช TCP ถาคำาถามกำาหนดใหใช TFTP ดงนนโปรโตคอลทใชตองเปน UDP เพราะ TFCP ใช UDP อยางทสาม พสจนวาพอรตปลายทางจบคกบ Application layer ทใชหรอไม สำาหรบในกรณน พอรต 23 คกบ Telnet ซงถกตอง ทายสดทดสอบ IP ตอนจบของ list ของแพคเกตอนๆทงหมดกบแพคเกตของ Telnet ตรงตามทกำาหนด สำาหรบ Lan ทตดตอกบ Ethernet1 และ Ethernet2
Named Access Lists ทจะกลาวตอไป Named Access lists เปนอกทางหนงทจะสรางมาตรฐาน
Extended Access lists ในองคกรขนาดกลางหรอใหญ การจดการ Access lists ตองสามารถทำาไดด บนความรบเรงตลอดเวลา จากตวอยางเมอคณตองทำาการเปลยน Access lists บอยครงคณทำาการ copy Access lists ไปท Text Editor เพอเปลยนตวเลข, แกไข list แลวจงแทน list ใหมกลบเขาไปใน Router จากสงททำาน คณสามารถเปลยนตวเลขของ Access lists อยางงายๆบนการตดตอจาก Access lists เกาส Access lists ใหมและไมเคยสกครงบนเครอขายทซง Access lists ไมไดอยในนน
วธนจะทำางานไดดถามนไมมการเรยก แพคเกต คำาถามตามมาวา เราจะทำา“ ”อยางไรกบ Access lists แบบเกา?
ลบมนทง? หรอเกบมนไวเมอเกดปญหากบ list ใหมและตองการกลบมาใชแบบเดม เมอเราไมรวามนจะเกดอะไรขนกบสงเหลานและจากเรองอนๆอกมากมาย คณสามารถสนสดทงหมดโดยไมตองสราง Access lists ขนบน Router มนมเพอ
32
อะไร? มนสำาคญแคไหน? เราตองการมนไหม? ทงหมดคำาถามทดและ Named Access lists กจะเปนคำาตอบทดของคณ
สงนสามารถประยกตเขาใชกบ Access lists และรนมน พดถงการทคณเขาไปในเครอขายทมอยและมองหา Access lists บน Router หวงวาคณคงรวาเปน Access lists 177 (สวนของ Extended Access lists)ยาว 33 บรรทด เกดคำาถามตามมาอกมากมายเชน มนมไวสำาหรบอะไร? ทำาไมมนถงอยทน? ไมมการเรยก Access lists สำาหรบแลนดานการเงนซงละเอยดกวาแบบ named177
Named Access lists อนญาตใหคณใชทงชอทสรางขนหรอประยกตมาจากมาตรฐานใดมาตรฐานหนงหรอจาก Extended Access lists ไมมสงทใหมหรอแตกตางสำาหรบ Access lists เหลาน นอกจากจะอางถงพวกเขาจากวธใดวธหนงซงสงเหลานเกดจากไหวพรบของมนษย แตกม Syntax บางอยางทเปลยนแปลงยาก เราจงสรางมาตรฐาน Access lists อกครง สรางสำาหรบทดสอบเครอขายของเราตามรป 10.1 การใช Named Access lists
Lab_A#config t Enter configuration commands, one per line. End with CNTL/Z. Lab_A(config)#ip access-list ? extended Extended Acc logging Control access list logging standard Standard Access List
ดานบนใช ip access-list ไมใช access list สงนอนญาตใหเราใช named access list ตอไปจะใหใชตามมาตรฐาน access list
Lab_A(config)#ip access-list standard ? <1-99> Standard IP access-list number WORD Access-list name Lab_A(config)#ip access-list standard BlockSales Lab_A(config-std-nacl)#
33
เราจะเจาะจงเฉพาะมาตรฐาน Access lists ดงนนจงเพมชอวา BlockSales บอกเราวาใชหมายเลขเปนมาตรฐาน Access lists แตตอนนเราเลอกทจะใชชอทตงขน หลงจากใชชอน แลวกด enter จากนน Router กจะเปลยนทนท บดน Named Access lists เปนของ Configuration และเปนการเขาใช Named Access lists
Lab_A(config-std-nacl)#? Standard Access List configuration commands: default Set a command to its defaults deny Specify packets to reject exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward Lab_A(config-std-nacl)#deny 172.16.40.0 0.0.0.255 Lab_A(config-std-nacl)#permit any Lab_A(config-std-nacl)#exit Lab_A(config)#^Z Lab_A#
เราเขาไปใน access list และออกจาก Configulation mode จากนนเราจะดผลขอลการรนของ Configuration ใน Access lists บน Router
! ip access-list standard BlockSales deny 172.16.40.0 0.0.0.255 permit any !
BlockSales Access lists ถกสรางขนจรงและอยใน running-config ของ Router ตอไปเราจะประยกตเขากบการตดตอกบ Access lists
Lab_A#config t Enter configuration commands, one per line. End with CNTL/Z. Lab_A(config)#int e1 Lab_A(config-if)#ip access-group BlockSales out
34
Lab_A(config-if)#^Z Lab_A#
ตกลงทจดนเราจะสรางการทำางานแบบ Named Access lists ขนอกครง
Context-Base Access Control(Cisco IOS Firewall)
ระบบเตอนภย IOS Cisco ทำาการใชงานของ Control ทเขาถง พนฐานตายตว (CBAC) งานของ CBAC ตอง ใดๆและการจราจรทงหมดซงผานระบบเตอนภยดงนน มนสามารถคนหา ควบคมขอมล สำาหรบโปโตรคอล TCP และ UDP รวบรวมเพอกำาหนดไมวาเพอสรางทางเดนชวคราวเขาไปใน Access lists ของระบบเตอนภย เพอทำาสงนเกดขนตองแกไข IP ตรวจรายการในทศทางเดยวกนการจราจรการไหลน
รปภาพ10.5 แสดงวธ Cisco IOS Firewall
จากรป Router ทแกไขกบ Cisco IOS Firewall จะประมวลผลการจราจรในลกษณะดงตอไปน:1 ครงแรก ACL ยนยน Router 2 ถดไป การจราจรทการยนยนดวยถกหวขอให IP ของไฟรวอลตรวจสอบอยางละเอยด สงทเพมของการเชอมตอคอ การยนยน 3 ในตอนทาย การจราจรผาน IP ตรวจสอบอยางละเอยด สงทตอมาคอสรางไดนามค ACL และใสมนเขาไปใน ACL ภายนอกเพอวาการจราจรทคนจะถกยอมใหถงผานหลงผาน Router
35
Monitoring Access Lists
เราพรอมทจะใชคำาสงแสดง running-config เฉพาะ Named Access lists ทอยบน Router ดงนนเราจงมองไปท output จากคำาสงอนๆ
แสดงคำาสง Aaccess-list จะแสดงรายการ Access lists ทงหมดบน Router หรอไมกประยกตเขากบการตดตอ
Lab_A#show access-list Standard IP access list 10 deny 172.16.40.0, wildcard bits 0.0.0.255 permit any Standard IP access list BlockSales deny 172.16.40.0, wildcard bits 0.0.0.255 permit any Extended IP access list 110 deny tcp any host 172.16.30.5 eq ftp deny tcp any host 172.16.30.5 eq telnet permit ip any any Lab_A#
36
อยางแรกทง access lists 10 และ Names Access lists จะปรากฏบนรายการน ขอสองแมวาเราจะใช Actual number สำาหรบพอรต TCP ใน access list110 ใชคำาสงแสดงชอโปรโตคอลทางพอรต TCP เพอใหอานไดงาย
สวนนแสดงถง output ของ ip interface command
Lab_A#show ip interface e1 Ethernet1 is up, line protocol is up Internet address is 172.16.30.1/24 Broadcast address is 255.255.255.255 Address determined by non-volatile memory MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is BlockSales Inbound access list is not set Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is disabled IP fast switching on the same interface is disabled IP Null turbo vector IP multicast fast switching is disabled IP multicast distributed fast switching is disabled Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy name replies are disabled Policy routing is disabled Network address translation is disabled Web Cache Redirect is disabled
37
BGP Policy Mapping is disabled Lab_A#
บรรทดทเปนตวหนาบอกใหรวาเปน outgoing list ของการตดตอกบ BlockSales แต inbound access lisit ไมถก set
การปรบแตงแกไข Access Lists โดยใช SDMในสวนนจะแสดงการสราง Access Lists โดยใช SDM แลวจะใช Firewall ว
ซารด เพอทจะเพม Cisco IOS Firewall ซงทงสองสงทไดกลาวมาน มนทำาไดงาย
38
มาก เพยงแคคลกปลมถดไป (Next) ไมกปม เพอประโยชนในการให Router ปลอดภย
การสราง ACLs กบ SDM
เรมจากการสราง ACL แบบงาย โดยใช SDM ขนแรกเปด SDM ตอจากนนคลกปม Configure ในแถบเมนหวขอใหญดานบนเหนอสดของโปรแกรม
จากนนในแถบเมนยอย ใหคลกเลอกหวขอ Edit Firewall Policy/ACL ตามรป 10.6.1
ดทหวขอ Select a direction ตรงสวนตดตออนเตอรเฟส From ในตอนเรมคาจะอยท s0/0/0 และสวนตดตออนเตอรเฟส To คาจะอยท s0/2/0 จากนนในกลางของหนาโปรแกรมให คลก + Add ท pull-down เมน เลอกเพมใหม และตอจากนนจะปรากฏหนาจอดงรป 10.6.2
รป 10.6.1 แสดงหนาตาง
โปรแกรม SDM
39
ในสวนนจะม สวนดในการแกไข ACLs ตรงท ถาคณตองการสรางรายการใหมและยายทการทดสอบกอนหรอหลง คณสามารถทำามนไดงาย แกไขไดอยางรวดเรวและมประสทธภาพ ดงรป 10.6.3
ยายกลบมาสวนการสราง ACL แบบงาย ตรง หวขอ Action เลอก permit หมายถง อนญาต และตรง Type ของ Source-Destination HostNetwork ใหเลอก เปน Any IP Address ดงรป 10.6.4
รป 10.6.2 สวน
รป 10.6.3 สวนแกไขกอน-
40
ตามรป 10.6.5 หลงจากคลกท OK คาทไดจะสงไป หนาจอหลก อกครงซงจะแสดงรายการทไดตงคาไว โดยสามารถเพม ลบและจดการ ACL ไดจากฟอรมน
มาดทคาขณะทสงคำาสง ให Router ทำางาน :
! ip access-list extended sdm_serial0/0/0_in remark SDM_ACL Category=1 remark Deny Telnet to WHC deny tcp any host 10.1.12.2 eq telnet log permit ip any any
รป 10.6.4 สวน Add
รป 10.6.5 หนาจอทไดจากการตงคา ACLs
41
log ! ! interface Serial0/0/0 description 1st Connection to R1$FW_INSIDE$ ip address 10.1.2.1 255.255.255.0 ip access-group sdm_serial0/0/0_in in
ลอง Telnet ไปยง Host 10.1.12.2 และดวาอะไรจะแสดงบน Corp. คอนโซล:
Corp# *May 14 17:34:36.503: %SEC-6-IPACCESSLOGP: list sdm_serial0/0/0_in denied tcp 10.1.2.2(30491) -> 10.1.12.2(23), 1 packet
Host 10.1.12.2 ถกปฎเสธ ตอจากนน ลอง Telnet ไปท Host 10.1.12.1:
*May 14 17:34:53.023: %SEC-6-IPACCESSLOGP: list sdm_serial0/0/0_in permitted tcp 10.1.2.2(16774) -> 10.1.12.1(23), 1 packet Corp#
จากคาดานบน มความหมายวา แพคเกตปอน s0/0/0 ทมปลายทางทอย IP ของ Host 10.1.12.2 และดวย ปลายทางของพอรต 23 ถกปฏเสธ แตสงเกตวาเมอ telnet เพอ Host 10.1.12.1 มนอนญาต เพราะเราตงคามนไว สำาหรบ Host 10.1.12.2 ไมอนญาต (deny) เพยงแคใช SDM และ Router กมความปลอดภยมากขนในการทำางาน
การสราง Firewalls กบ SDM สวนนจะแสดงวธการใช ทงขนพนฐานและขนสง ในการตงคา Firewall วซารด
ทสรางขนจาก Cisco IOS Firewall ซงเปนการกำาหนดตวเลอกทดทสดในการรกษาความปลอดภย ของ Router
คลก Configure และ เลอกแถบ Create Firewall แลวจะม วซารด ทนำา ไปในการสรางกฎ Firewall โดยจะมสองวซารดทจะใหเลอก ดงน
42
Basic Firewall
หากเปาหมายคอการเชอมตอเครอขายทประกอบดวยเฉพาะของ Host ไมม Server หรอ Server ทคณไมตองการตดตอกบโลกภายนอก (เชน Intranet) ควรใชวซารดน หลงจากทคณไดเลอก Basic Firewall จะมแผนภาพไดอะแกรม แสดงทดานขวา ถาตองการใช วซารดน ใหเลอก และ คลกปม Launch เพอทำางานตอไป
Advanced Firewall
นคอวซารดสำาหรบการเชอมตอเครอขายทสองเครอง Host และ Server เขาถงไดจากภายนอก หลงจากทคณไดเลอก Advanced Firewall จะมแผนภาพไดอะแกรม แสดงทดานขวา ทแสดงถง Advanced Firewall ดงนนถาพนฐานเครอขายใดๆ ทมเครอขายเวบ, E mail, หรอ Server อน ทตองการในการสอสารทาง Internet ควรทจะเลอก Advanced Firewall
ถาตองการใช วซารดน ใหเลอก และ คลกปม Launch เพอทำางานตอไป
รป 10.7.1 หนาตางการ
Create Firewall
43
จากรป 10.7.1 ในทน ไดเลอกทจะเชอมโยงและสรางวซารด Basic Firewall ตอจากนนจะแสดงหนาจอดงรปดานลาง
และจะมสวนอธบายเกยวกบ Basic Firewall ตอจากนนใหทำาการคลก ปม Next
ในสวนนจะมสวนใหตงคา สวนตดตอภายนอกและสวนตดตอภายใน สามารถกำาหนดไดในหนาตางน ดงรปดานลาง เมอกำาหนดเสรจแลวใหคลกปม Next ตอไป ดงรป 10.7.3
เมอคลกปม Next จนมปม Finish ดงรปดานลาง สวนนจะบอกรายละเอยดสวนทไดตงคาไวในตอนตน เพอใชในการตรวจสอบ เมอตรวจสอบเสรจเรยบรอย ใหคลกปม finish ตามรป 10.7.4
รป 10.7.2 สวนอธบาย
รป 10.7.3 สวนตงคา
44
เมอเสรจสนการตงคา Basic Firewall จะมคำาถามวาตองการตงคา โปโตรคอล ในการตดตอภายนอก ใหเลอก Allow OSPF เพออนญาต ตามรป 10.7.5
ในท ใหคลก OK เปนการเสรจขนตอนในการตงคา วซารด Basic Firewall ใน Router ตอจากนนหนาจอจะกลบมาแสดงรปเมนหลกดงรป 10.7.6
รป 10.7.5 สวนคำาถามในการตงคาโปโตรคอลใชตดตอภายนอก
รป 10.7.4 สวนแสดงการตงคา
45
มาดทคาขณะทสงคำาสง ให Router ทำางาน :
Corp#sh run Building configuration... [output cut] ! ip inspect name SDM_LOW cuseemeip inspect name SDM_LOW dnsip inspect name SDM_LOW ftpip inspect name SDM_LOW h323ip inspect name SDM_LOW httpsip inspect name SDM_LOW icmpip inspect name SDM_LOW imap ip inspect name SDM_LOW pop3 ip inspect name SDM_LOW netshow ip inspect name SDM_LOW rcmd ip inspect name SDM_LOW realaudio ip inspect name SDM_LOW rtsp ip inspect name SDM_LOW esmtp ip inspect name SDM_LOW sqlnet ip inspect name SDM_LOW streamworks ip inspect name SDM_LOW tftp ip inspect name SDM_LOW tcpip inspect name SDM_LOW udp
รป 10.7.6 เสรจขนตอนการ
46
ip inspect name SDM_LOW vdolive![output cut]
การตงคา Basic Firewall น เปนวซารดทเพมใน IOS firewall นเรยกวา Context-Based Access Control (CBAC) โดยคำาสง ip inspect เปนคำาสงพนฐานทใชตรวจสอบแอปพลเคชนของแตละบคคล
ตรวจสอบการตดตออนเตอรเฟซทประยกตใช :
! interface Serial0/2/0 description Connection to R3$FW_OUTSIDE$ ip address 64.1.1.5 255.255.255.252 ip access-group 103 in ip verify unicast reverse-path ip nat outside ip inspect SDM_LOW out ip virtual-reassembly clock rate 2000000 ! ip inspect SDM_LOW out นนเปนกระบวนการออกการตรวจสอบ! access-list 100 remark auto generated by SDM firewall configurationaccess-list 100 remark SDM_ACL Category=1access-list 100 deny ip 10.1.3.0 0.0.0.255 anyaccess-list 100 deny ip 64.1.1.4 0.0.0.3 anyaccess-list 100 deny ip 10.1.4.0 0.0.0.255 anyaccess-list 100 deny ip host 255.255.255.255 anyaccess-list 100 deny ip 127.0.0.0 0.255.255.255 anyaccess-list 100 permit ip any anyaccess-list 101 remark auto generated by SDM firewall configuration
47
access-list 101 remark SDM_ACL Category=1access-list 101 deny ip 10.1.2.0 0.0.0.255 anyaccess-list 101 deny ip 64.1.1.4 0.0.0.3 anyaccess-list 101 deny ip 10.1.4.0 0.0.0.255 anyaccess-list 101 deny ip host 255.255.255.255 anyaccess-list 101 deny ip 127.0.0.0 0.255.255.255 anyaccess-list 101 permit ip any anyaccess-list 102 remark auto generated by SDM firewall configurationaccess-list 102 remark SDM_ACL Category=1access-list 102 deny ip 10.1.3.0 0.0.0.255 anyaccess-list 102 deny ip 10.1.2.0 0.0.0.255 anyaccess-list 102 deny ip 64.1.1.4 0.0.0.3 anyaccess-list 102 deny ip host 255.255.255.255 anyaccess-list 102 deny ip 127.0.0.0 0.255.255.255 anyaccess-list 102 permit ip any any
สงเกตวา ACLs 100-102 มขาเขาทการตดตอภายในอนเตอรเฟส คา ACLs นนเปนคา การจราจรเครอขาย ทอนญาตใหออก และ อนญาตใหผาน Firewall ตรวจสอบ แตละ ACL denies หรอ ACL ปฎเสธ ในเครอขายท Router รจก จะกรอง IP ของเครองทเราไดทำาการปฎเสธในตอนตนเรอง และจะทำาปฎเสธ Loopback ในตอนทาย สวน ACL permit จะอนญาตทกๆ IP แตยกเวน IP ทถกปฎเสธ(deny)
ตอมาเปนการใชงานวซารดแบบ Advanced Firewall คลกปมถดไป (next) เพอไปสวนตอไป ตามรป 10.8.1
48
ความแตกตางระหวางวซารด แบบ Advanced Firewall และ Basic Firewall คอ Advanced Firewall จะมสวนกำาหนดทประยกตตามกฎการเขาถง(Access Rule) ทสวนดานในและดานนอก เครอขาย และยงมการกำาหนดคาสวนตดตอ DMZ แต Basic Firewall จะมสวนกำาหนดทประยกตตามกฎการเขาถง(Access Rule) ทสวนดานในและดานนอก เครอขาย เทานน
DMZ อนเตอรเฟซ ไมใชการตงคา โดยใชวซารดทวไป แต DMZ คออนเตอรเฟสหนงใชการตรวจสอบกฎเฉพาะดานนอกอนเตอรเฟส
รป 10.8.2 น แสดงตวเลอกของอนเตอรเฟซ ภายในและภายนอก และอนเตอรเฟส DMZ
รป 10.8.1 สวนอธบาย
49
ในสวนของ Advanced Firewall นนจะเปนการใชงานระดบสงตอไป ซงตองศกษาในระดบสงตอไป
ดงทไดกลาว SDM มประโยชนในการตงคาขนสงเชน ACLs, NAT และ VPNs การใชงานของ SDM ในการแสดงคา Output นนจะตองเขาใจสวนตดตอภายในและภายนอกเครอขายกอน นอกจากนนทสำาคญในบทน SDM มประโยชนมาก ในการกำาหนดคา ACLs และในดานความปลอดภย Firewall
รป 10.8.2 สวนแสดงอนเตอรเฟซ
50
สงจำาเปนในการสอบ
จำาในสวนมาตรฐานและคาขอบเขต Extended IP access lists คาขอบเขตทคณสามารถตงคา มาตรฐาน IP Access lists คอ 1-99 และ 1300-1999 คาขอบเขตของ Extended IP access lists คอ 100-199 และ 2000-2699
ทำาความเขาใจ เทอม implicit deny เมอสนสด Access lists คอ implicit deny หมายความวาเปนกรณทไมตรงกบแพคเกตใดๆในบรรทดใน Access lists มนจะยกเลก นอกจากจะมประโยคปฎเสธ ใน list จะไมสามารถอนญาตในทกแพคเกต
เขาใจในคำาสง IP access-list ทใชในการกำาหนดคามาตรฐาน IP Access lists ใชคา Access lists 1-99 หรอ 1300-1999 ในโหมด ทวไป เลอก permit หรอ deny สำาหรบการกรอง IP โดยใช หนงในสามเทคนคในบทน
เขาใจในคำาสง Extended IP access-list ทใชในการกำาหนดคามาตรฐาน Extended IP access-list ใชคา Access lists 100-199 หรอ 2000-2699 ในโหมด ทวไป เลอก permit หรอ deny ในฟลโปโตรคอลในแหลงทมาและปลายทาง IP ทตองการกรอง และสดทายเลข Port ในชน Transport layer
จำาคำาสงในการตรวจสอบ Access lists ในสวนตดตอ Router เพอดวาการ Access lists ทกำาหนดไวในอนเตอรเฟสและในทศทางทกรอง ใชคำาสง show ip interface คำาสงนจะไมปรากฏเนอหา Access lists แตจะเขาถงรายการทจะใชในอนเตอรเฟส
จำาคำาสงในการตรวจสอบ Access lists เพอดการกำาหนดคา Access lists ใน Router ใชคำาสง show access-list โดยคำาสงจะไมแสดงถาไมไดสรางอนเตอรเฟซใน access-list
51
การทดลอง 10.1ในสวนน จงเขยนคำาตอบจากคำาถาม
1. สงทคณจะใชคำาสงเพอกำาหนดคามาตรฐาน IP Access lists เพอปองกนทก เครองในเครอขาย 172.16.0.0 อเทอรเนต จากการเขาถงเครอขายไดอยางไร
2. คำาสงอะไรทใชใน Access lists โดยใช อนเตอรเฟซ อเทอรเนต และสรางจากคำาถาม ขอท 1
3. คำาสงอะไรทใชสราง Access lists โดยปฎเสธ Host 192.168.15.5 ในเครอขาย อเทอรเนต
4. จงสรางคำาสงการตรวจสอบการเขาใช Access lists ทถกตอง
5. จงสรางสองคำาสงการตรวจสอบการเขาใช Access lists โดยใชเครอขายอเทอรเนต
6. คำาสงอะไร ทใชสราง Extended access lists โดยหยด Host 172.16.10.1 จากการ Telnet ท Host 172.16.30.5
7. คำาสงอะไร ทใชกำาหนด Access lists ใน VTY line
8. จากคำาถามขอท 1 จงเขยนชอมาตรฐาน Access lists
52
9. จากคำาถามขอท 2 จงเขยนชอคำาสงในการใช Access lists ในการสรางสวนตดตอ
10. คำาสงใด ยนยนตำาแหนงและทศทางของการใช Access lists
การทดลอง
ในสวนนคณจะตองทำาเสรจสมบรณสอง Labs ในการทำา Labs เหลานคณจะตองอยางนอย Router สามตว หากคณใช โปรแกรมซอฟตแวร RouterSim หรอ Sybex โปรดใช Labs ทพบในโปรแกรม
Lab 10.1: Standard IP Access Lists Lab 10.2: Extended IP Access Lists
ทงหมดของ Labs จะใชแผนภาพนสำาหรบการกำาหนดคา Router
53
Lab 10.1: Standard IP Access Lists
ในการทดลอง คณจะอนญาตใหใชเฉพาะแพคเกตจาก Host _B จากเครอขาย 172.16.30.0 เพอปอน เครอขาย 172.16.10.0
1. ไปท Lab_A และปอนการตงคาโหมด global โดยพมพ Config t
2. จากโหมด Global การตงคาโหมด พมพ access-list ? เพอดรายการทงหมดทแตกตางกน เขาถงรายการทม
3. เลอก access-list หมายเลขทจะชวยใหคณสามารถสรางมาตรฐาน IP คอคาตวเลข 1 และ 99 หรอ 1300 และ 1399
4. เลอกทจะอนญาต Host 172.16.30.2 ซงเปน ทอย Host _B
Lab_A(config)#access-list 10 permit172.16.30.2 ? A.B.C.D Wildcard bits <cr>
เมอตองการระบเฉพาะ Host 172.16.30.2 wildcards 0.0.0.0
5. ขณะนท access-list จะถกสรางขนคณตองใชการอนเตอรเฟสเพอใหการทำางาน:
Lab_A(config)#int f0/0Lab_A(config-if)#ip access-group 10 out
54
6. ตรวจสอบการเขาใชรายการของคณกบคำาสงตอไปน:
Standard IP access list 10 permit 172.16.30.2 Lab_A#sh run [output cut] interface FastEthernet0/0 ip address 172.16.10.1 255.255.255.0ip access-group 10 out
7. ทดสอบรายการของคณโดยสง Ping ไปยงการเขาถงจาก Host _B (172.16.30.2)ท Host _A (172.16.10.2)
8. Ping จาก Lab_B และ Lab_C ท Host _A (172.16.10.2)และมนจะตอง ลมเหลวหาก access list ของคณ ถกตอง
10.2: Extended IP Access Lists
ในการทดลอง นคณจะใชการขยาย IP ทเขาถงรายการเพอหยด Host 172.16.10.2 จากสราง Telnet เซสชน ท Router Lab_B (172.16.20.2) อยางไรกตาม Host ยงคงควรจะสามารถ Ping ไปท Router Lab_B IP Extended lists ควรอยใกลกบแหลง ดงนน เพอเพม Extended lists ใน Router Lab_A
1. ลบรายการใดๆ ใน access list ใน Lab_A และเพมการ extended list Lab_A
2. เลอกสรางหมายเลข IP extended lists ใชคา 100-199 หรอ 2000-2699
3. เลอก deny (คณจะอนญาตใหเพมขอความในขนตอนท 7 เพอให การจราจรเครอขาย อนๆทยงคงทำางาน.)
55
Lab_A(config)#access-list 110 deny ?<0-255> An IP protocol numberahp Authentication Header Protocoleigrp Cisco's EIGRP routing protocolesp Encapsulation Security Payloadgre Cisco's GRE tunnelingicmp Internet Control Message Protocoligmp Internet Gateway Message Protocoligrp Cisco's IGRP routing protocolip Any Internet Protocolipinip IP in IP tunnelingnos KA9Q NOS compatible IP over IP tunnelingospf OSPF routing protocolpcp Payload Compression Protocoltcp Transmission Control Protocoludp User Datagram Protocol
เนองจากคณจะตองปฏเสธ Telnet คณตองเลอก TCP เปน Transport layer โปรโตคอล:
Lab_A(config)#access-list 110 deny tcp ?A.B.C.D Source addressany Any source hosthost A single source host
เพมแหลงทอย IP ทคณตองการกรอง ในสวน IP Host ปลายทาง ใชคำาสง Host แทน wildcard บต
Lab_A(config)#access-list 110 deny tcp host172.16.10.2 host 172.16.20.2 ?ack Match on the ACK biteq Match only packets on a given port numberestablished Match established connectionsfin Match on the FIN bit fragments Check fragmentsgt Match only packets with a greater port numberlog Log matches against this entry
56
log-input Log matches against this entry,including input interface lt Match only packets with a lower port numberneq Match only packets not on a given port numberprecedence Match packets with given precedence valuepsh Match on the PSH bitrange Match only packets in the range of port numbersrst Match on the RST bitsyn Match on the SYN bittos Match packets with given TOS valueurg Match on the URG bit<cr>
6. ในขนตอนนคณสามารถเพมคำาสง eq telnet เพอกรอง Host 172.16.10.2 จาก telnet ท172.16.20.2 คำาสง log สามารถใชททายคำาสง เพอให access list ต และลอก จะสรางขนในคอนโซล
Lab_A(config)#access-list 110 deny tcp host 172.16.10.2 host 172.16.20.2 eq telnet log
7. สงทสำาคญในการเพมบรรทดตอไปนเพอ สรางการอนญาต (โปรดทราบวา 0.0.0.0 255.255.255.255 เหมอนกบ คำาสง any)Lab_A(config)#access-list 110 permit ip any 0.0.0.0 255.255.255.255
คณตองสรางการอนญาต ถาคณเพงเพมปฏเสธขอความใดๆทจะไดรบอนญาตทงหมด โปรดดสวนกอนหนาในบทนสำาหรบรายละเอยดเพมเตมขอมลในคำาสงอนญาต
8. ใชเขาถงรายการท FastEthernet0 / 0 ใน Lab_A เพอหยดการ Telnet ทนทท มนฮต Router อนเตอรเฟสแรก
57
Lab_A(config)#int f0/0 Lab_A(config-if)#ip access-group 110 in Lab_A(config-if)#^Z
9. ลอง Telnetting จาก Host 172.16.10.2 ท Lab_A ใชปลายทางทอย IP ของ 172.16.20.2 จะเปนการสรางคอลโซล ใน Lab_A โดยใชคำาสง ping ในการทำางาน
From host 172.16.10.2: C:\>telnet 172.16.20.2
ในคอนโซลของ Lab_A นควรปรากฏดงน:
01:11:48: %SEC-6-IPACCESSLOGP: list 110 denied tcp 172.16.10.2(1030) -> 172.16.20.2(23), 1 packet 01:13:04: %SEC-6-IPACCESSLOGP: list 110 denied tcp 172.16.10.2(1030) -> 172.16.20.2(23), 3 packets
58
คำาถาม-คำาวจารณ
1. ขอใดตอไปน เปนตวอยางของมาตรฐาน IP Access lists A. access-list 110 permit host 1.1.1.1 B. access-list 1 deny 172.16.10.1 0.0.0.0 C. access-list 1 permit 172.16.10.1 255.255.0.0 D. access-list standard 1.1.1.1
2. ทานจะตองสราง Access lists ทจะปองกนไมให Host ในชวงของเครอขาย 192.168.160.0 ถง 192.168.191.0 ขอใดตอไปนจะแสดง Access lists คณใช?A. access-list 10 deny 192.168.160.0 255.255.224.0 B. access-list 10 deny 192.168.160.0 0.0.191.255 C. access-list 10 deny 192.168.160.0 0.0.31.255 D. access-list 10 deny 192.168.0.0 0.0.31.255
3. คณไดสรางชอ Access lists เรยกใช Blocksales ขอใดตอไปนทถกตอง คำาสงสำาหรบการสมครแพคเกตนเพอพยายามปอนอนเตอรเฟส s0 ให Router ของคณA. (config)#ip access-group 110 inB. (config-if)#ip access-group 110 inC. (config-if)#ip access-group Blocksales inD. (config-if)#blocksales ip access-list in
คำาถามเหลานเปนการทดสอบความเขาใจในบทเรยน สำาหรบขอมลเพมเตมเกยวกบคำาถามเพมเตมโปรดดหนงสอเลมนในบทนำา (Introduction)
59
4. ขอใดตอไปนเปนวธการทถกตองเฉพาะ Host 172.16.30.55 ใน IP ทเขาถงรายการ(เลอกไดสองคำาตอบ)A. 172.16.30.55 0.0.0.255B. 172.16.30.55 0.0.0.0C. any 172.16.30.55 D. host 172.16.30.55 E. 0.0.0.0 172.16.30.55 F. ip any 172.16.30.55
5. ขอใดตอไปนจะชวยให Access lists อนญาตโพรโตรคอล HTTP เทานน ในการจราจรเขาสเครอขาย 196.15.7.0
A. access-list 100 permit tcp any 196.15.7.0 0.0.0.255 eq www B. access-list 10 deny tcp any 196.15.7.0 eq www C. access-list 100 permit 196.15.7.0 0.0.0.255 eq www D. access-list 110 permit ip any 196.15.7.0 0.0.0.255 E. access-list 110 permit www 196.15.7.0 0.0.0.255
6. อะไร คอคำาสง Router ในการชวยใหคณสามารถตรวจสอบวาม IP Access lists มการเปดใชงานในหนงอนเตอรเฟสA. show ip port B. show access-lists C. show ip interface D. show access-lists interface
7. Router ใชคำาสงจะใด ชวยใหคณสามารถดเนอหาทงหมดของทก Access listsA. Router#show interfaceB. Router>show ip interfaceC. Router#show access-listsD. Router>show all access-lists
8. หากคณตองการปฏเสธ Telnet ทงหมดในการเชอมตอไปยงเครอขายเฉพาะ 192.168.10.0 จงเลอกคำาสงทถกตอง
60
A. access-list 100 deny tcp 192.168.10.0 255.255.255.0 eq telnet B. access-list 100 deny tcp 192.168.10.0 0.255.255.255 eq telnet C. access-list 100 deny tcp any 192.168.10.0 0.0.0.255 eq 23 D. access-list 100 deny 192.168.10.0 0.0.0.255 any eq 23
9. หากคณตองการปฏเสธ FTP ทเขาถงจากเครอขาย 200.200.10.0 ถง 200.199.11.0 แต อนญาตทกเครอขาย คำาสงตอไปนเปนสตรงทถกตองA. access-list 110 deny 200.200.10.0 to network 200.199.11.0 eq ftp access-list 111 permit ip any 0.0.0.0 255.255.255.255 B. access-list 1 deny ftp 200.200.10.0 200.199.11.0 any any C. access-list 100 deny tcp 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp D. access-list 198 deny tcp 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftp access-list 198 permit ip any 0.0.0.0 255.255.255.255
10. คณตองการสรางมาตรฐาน access list ท ปฎเสธ subnet Host 172.16.50.172/20 ขอใดตอไปน ทคณใชเรมตน list ของคณA. access-list 10 deny 172.16.48.0 255.255.240.0 B. access-list 10 deny 172.16.0.0 0.0.255.255 C. access-list 10 deny 172.16.64.0 0.0.31.255 D. access-list 10 deny 172.16.48.0 0.0.15.255
11. ขอใดเปนคำาสงทคณจะใชให Access lists เขาใช Router อนเตอรเฟสA. ip access-list 101 outB. access-list ip 101 in C. ip access-group 101 in D. access-group ip 101 in
61
12. ถาตองการสรางมาตรฐานให access list ทปฎเสธ ท subnet Host 172.16.198.94/19 ขอใดตอไปนทคณใชเรมตน list ของคณ A. access-list 10 deny 172.16.192.0 0.0.31.255 B. access-list 10 deny 172.16.0.0 0.0.255.255 C. access-list 10 deny 172.16.172.0 0.0.31.255 D. access-list 10 deny 172.16.188.0 0.0.15.255
13. ถาตองการสรางมาตรฐานให access list ทปฎเสธ ท subnet Host 172.16.144.17/21 ขอใดตอไปนทคณใชเรมตน list ของคณ A. access-list 10 deny 172.16.48.0 255.255.240.0 B. access-list 10 deny 172.16.144.0 0.0.7.255 C. access-list 10 deny 172.16.64.0 0.0.31.255 D. access-list 10 deny 172.16.136.0 0.0.15.255
14. คำาสงใด ตอไปนเชอมตอ access list 110 โดยมขาเขาเพออนเตอรเฟส อเทอรเนต 0A. Router(config)#ip access-group 110 in B. Router(config)#ip access-list 110 in C. Router(config-if)#ip access-group 110 in D. Router(config-if)#ip access-list 110 in
15. คำาสงในขอใด อนญาต SMTP mail เฉพาะ Host 1.1.1.1A. access-list 10 permit smtp host 1.1.1.1 B. access-list 110 permit ip smtp host 1.1.1.1 C. access-list 10 permit tcp any host 1.1.1.1 eq smtp D. access-list 110 permit tcp any host 1.1.1.1 eq smtp
16. คณไดกำาหนดคาให Access lists ดงน
access-list 110 deny tcp 10.1.1.128 0.0.0.63 any eq smtp access-list 110 deny tcp any eq 23 int ethernet 0 ip access-group 110 out จะเกดอะไร จากการใชการกำาหนด คานA. Email และ Telnet จะอนญาตใหออก E0. B. Email และ Telnet จะอนญาตใหเขา E0.
62
C. ทกๆสง แต email และ Telnet จะอนญาตใหออก E0. D. No IP การจราจรเครอขาย จะอนญาตใหออก E0.
17. ขอใดตอไปนเปนชดของคำาสง Telnet จะจำากดการเขาถง Router
A. Lab_A(config)#access-list 10 permit 172.16.1.1 Lab_A(config)#line con 0 Lab_A(config-line)#ip access-group 10 in B. Lab_A(config)#access-list 10 permit 172.16.1.1 Lab_A(config)#line vty 0 4 Lab_A(config-line)#access-class 10 out
C. Lab_A(config)#access-list 10 permit 172.16.1.1 Lab_A(config)#line vty 0 4 Lab_A(config-line)#access-class 10 in
D. Lab_A(config)#access-list 10 permit 172.16.1.1 Lab_A(config)#line vty 0 4 Lab_A(config-line)#ip access-group 10 in
18. ขอใดตอไปน เปนผล ในการท Access lists ไปเขาใชอนเตอรเฟสA. คณสามารถมตำาแหนง Access lists มาก ในทกๆ อนเตอรเฟซ จนกระทงหนวยความจำาหมดB. คณสามารถเขาใชหนง Access lists ในทกอนเตอรเฟซ C. หนง Access lists จะกำาหนดคา ตอเสนทาง ในแตละ โปรโครคอลใน layer 3 ตอสวนอนเตอรเฟซ D. คณสามารถเขาใชสอง Access lists ตอทกอนเตอรเฟซ
19. คณกำาลงทำางานอยใน Router ทไดจดตงระดบสทธทจำากดการเขาใชบางฟงกชน คณพบวาคณไมสามารถรนคำาสงแสดงทำางาน การตงคา วธใดท–คณสามารถดและยนยน Access lists มการเขาใชกบอเทอรเนต 0 บนอนเตอรเฟสของ Router
63
A. show access-lists B. show interface Ethernet 0 C. show ip access-lists D. show ip interface Ethernet 0
20. คณตองการบญชผใชจากระบบ LAN เพอไมสามารถเขาถงทรพยากรบคคลเซรฟเวอรAccess lists ตอไปนถกสรางAccess-list 10 deny 192.168.10.128 0.0.0.31 Access-list 10 permit any
ตามแผนภาพ จงเลอกอนเตอรเฟสท Router และในทศทางทควรการเขาถงรายการถกวางเพอปองกนบญชผใชจากการเขาถงระบบเครอขาย ทแนบกบ E0 อนเตอรเฟสของ Lab_B
A. Lab_A, S0 out |B. Lab_A, E1 in C. Lab_A, E1 out D. Lab_B, S1 in E. Lab_B, E0 out F. Lab_B, E0 in
64
เฉลยคำาตอบ
1. ขอ B มาตรฐาน IP Access lists ใชคา 1-99 และ 1300-1999 ในการกรองตามแหลงทมาของ IP โดย ขอ c ผดเพราะวาสวนหลงใช Subnet mask กำาหนด ควรใช wildcast ในการกำาหนดแทน
2. ขอ C คาขอบเขตอยท 192.168.160.0 ถง 192.168.191.0 เปน Block size ขนาด 32 โดยทอยเครอขายคอ 192.168.160.0 และ subnet mask คอ 255.255.224.0 Access lists จะตองกำาหนด wildcard เปน 0.0.31.255 เนองจาก 31 คอคาทใช Block size ขนาด 32 (wildcard จะตอง -1 จาก block size )
65
3. ขอ C ใชชอ Access lists แทนท ตวเลขทใชในสวนตดตออนเตอรเฟซ Router คำาสง IP access-group Blocksales in เปนคำาสงทถกตอง
4. ขอ B,D โดย wildcard 0.0.0.0 เปนสวนทบอกวา Router เหมาะสมกบ ทกๆ 4 octets รปแบบ wildcard นเพยงอยางเดยวสามารถถกแทนทดวย Host
5. ขอ A สงแรกในการตรวจสอบในคำาถามเชนน คอหมายเลข Access lists ทนทคณสามารถ เหนวาตวเลอกทสอง ผด เพราะใชมาตรฐาน หมายเลข IP access lists สงทสองเพอตรวจสอบ คอ โปรโตคอล หากคณกำาลงกรองบนเลเยอรโปรโตคอล คณจะตองใชทง UDP หรอ TCP เทานน
6. ขอ C คำาสง show ip interface จะเปนคำาสงทบอกอนเตอรเฟซทมการเขาใช ใน Access lists แต คำาสง show access-lists จะไมแสดงอนเตอรเฟซทม ใน Access lists
7. ขอ C show access-lists เปนคำาสงแสดงสวนทอนญาตการตดตอ ของ Access lists แตมนจะไมแสดง สวนตดตอทไดเขาใช Access lists
8. ขอ C Extended access lists มชวง 100-199 และ 2000-2699 ดงนน Access lists จงมจำานวน 100 Telnet ทใชคอ TCP ดงนนโปรโตคอล TCP จงถกตอง ขณะนเพยงแคหาแหลงทมาและปลายทางทอย เฉพาะทสามตวเลอกทถกตองมลำาดบของพารามเตอรคำาตอบ ขอ B อาจทำางาน แตคำาถามเจาะจง เพอ 192.168.10.0 เทานน เครอขายและ wildcard จงกวางเกนไป
9. ขอ B Extended IP access lists ใช หมายเลข 100-199 และ 2000-2699 โดยกรองตามแหลงทมาและ ปลายทางทอย IP ,โปรโตคอลหมายเลขและหมายเลขพอรต ทขอ B ถก เพราะสองบรรทดทระบ IP ทอนญาตใดใดๆ ใช 0.0.0.0 255.255.255.255
66
10. ขอ D เรมแรกคณตองทราบวา / 20 เปน 255.255.240.0 ซงเปนบลอคขนาด 16 ในสาม Octet นบโดย 16s นทำาใหเรา Subnet 48 ในสาม octet และ wildcard สำาหรบสาม octet จะตงแต 15 โดย wildcard จะ -1 ของ Block size
11. ขอ C ทการใช Access lists คำาสงทเหมาะสมสด คอ ip access-group 101 i
12. ขอ A ขนแรก คณตองทราบวา / 19 เปน 255.255.224.0 ซงเปนบลอคขนาด 32 ในสาม Octet นบจาก 32 ทำาใหเรา Subnet 192 ในสาม octet และ wildcard สำาหรบสาม octet จะตงแต 31 โดย wildcard จะ -1 ของ Block size
13. ขอ B เรมแรกคณตองทราบวา / 21 เปน 255.255.248.0 ซงเปนบลอคขนาด 8 ในสาม Octet นบโดยแปดนทำาใหเรา subnet 144 ในสาม Octet และ wildcard สำาหรบ สาม Octet จะตงแต 7 โดย wildcard จะ -1 ของ Block size
14. ขอ C ทตำาแหนง Access lists ในสวนตดตอ ใชคำาสง ip access-group ในการตดตอโหมด การกำาหนดคา
15. ขอ D เมอพยายามหาคำาตอบทดทสด ในการให Access lists ตรวจสอบการหมายเลข Access lists และโปรโตคอล เมอกรองไปยงบนเลเยอรโปรโตคอลทคณตองใช Extended lists มคาตวเลข 100-199 และ 2000-2699 นอกจากนเมอคณกรองบนเลเยอรโปโตรคอลทตองใช คอ TCP หรอ UDP ในฟลดโปรโตคอล หาก IP ทกลาวในโปรโตคอลฟลด คณไมสามารถกรองบนเลเยอรโปรโตคอล SMTP ใช TCP
16. ขอ D ถาตองการเพม Access lists ทจะตดตอ และ ไมสามารถม หนงคำาสง permit แลวคณจะมประสทธภาพปดอนเตอรเฟสเนองจากการปฏเสธใดๆ ททายทกรายการ
67
17. ขอ C การเขาใช Telnet ใน Router จะถกยบยง โดยใชมาตรฐาน หรอ Extended IP access list ในขาเขาบรรทด VTY ของ Router คำาสง access-class จะใชในการใชเขาถงรายการท VTY
18. ขอ C Router Cisco จะมกฎเกยวกบ การจดวางเขาถงรายการท Router อนเตอรเฟส คณสามารถ เขาถงหนงรายการตอทศทาง สำาหรบชน 3 โปรโตคอลการกำาหนดคาในอนเตอรเฟซ
19. ขอ D คำาสงทแสดง Access lists ทมการใชไปยงเปนอนเตอรเฟสแสดง IP ทอนเตอรเฟสอเทอรเนต 0 คำาสงจะแสดง Access lists แสดงทงหมดทกำาหนดคา Access lists และแสดง IP ท access lists ทงหมดกำาหนดคา IP แตไมแสดงวาการเขาใชรายการมการใชไปยงอนเตอรเฟส
20. ขอ E ในมาตรฐาน Access lists ตำาแหนง Access lists ทใกลกบปลายทางเปนจะเปนไปได ในตวอยางน ท "ขาออก ,อเทอรเนต 0" ของ Router Lab_B.
เฉลยคำาตอบ ของ Lab 10.1 1. access-list 10 deny 172.16.0.0 0.0.255.255 2. access-list 10 permit any 3. ip access-group 10 out 4. access-list 10 deny host 192.168.15.5 5. access-list 10 permit any 6. show access-lists 7. show running-config8. sh ip interface
68
9. access-list 110 deny tcp host 10. 172.16.10.1 host 172.16.30.5 eq 23 11. access-list 110 permit ip any any 12. line vty 0 4 13. access-class 110 in 14. ip access-list standard No172Net 15. deny 172.16.0.0 0.0.255.255 16. permit any 17. ip access-group No172Net out 18. show ip interfaces