Защита сети путем использования CBAC

-
CBAC - Context Based Access List технология инспектирующая сеансы связи и создающая временные разрешения во входном списке доступа. Суть в следующем:
На внешний интерфейс вешается список доступа запрещающий все на вход
При инициализации содинения изнутри наружу, во входном списке доступа, временно создается правило, разрешающее входящие пакеты, предназначенные для этого соединения.

Теперь собственно к делу.
Создаем список протоколов, которые подвергнутся инспекции, можно например сделать только www и т.д. или полностью tcp. Для примера приведен список с tcp, udp и icmp

ip inspect name FIREWALL tcp
ip inspect name FIREWALL udp
ip inspect name FIREWALL icmp

Теперь нам нужен запрещающий список доступа, но не забываем разрешить например ssh, иначе снаружи не попадем на маршрутизатор.

ip access-list extended FIREWALL_ACL
 permit object-group IPSEC_VPN_OGS any any
 permit tcp any any eq 22
 permit icmp any any
 deny   ip any any

В данном примере есть еще разрешение для группы сервисов IPSEC_VPN_OGS 

object-group service IPSEC_VPN_OGS
 udp eq isakmp
 udp eq non500-isakmp
 esp
 ahp

Эта группа нужна, чтобы работал IPSec VPN.

Ну и остается, на внешнем интерфейсе включить инспекцию на выход, и список доступа на вход

interface GigabitEthernet0/0
 description "Internet"
 ip access-group FIREWALL_ACL in
 ip inspect FIREWALL out

Теперь должно все работать

Комментарии

  1. Os17 августа 2012 г. в 00:33

    А какая версия IOS эти функции поддерживает? У меня Cisco 3945 c IOS 15.2.3TED, и она не в курсе команд ip inspect.

    ОтветитьУдалить
  2. Олег Волков20 августа 2012 г. в 10:16

    А какие у вас лицензии на ней?
    покажите sh license

    ОтветитьУдалить
  3. peering29 октября 2018 г. в 21:27

    ага и как активировали )))

    ОтветитьУдалить

Отправить комментарий

Популярные сообщения из этого блога

DHCP опция 121 - статические маршруты по DHCP

-
Однажды мне понадобилось отправить трафик на некоторые сети  на другой маршрутизатор. Пришлось на Windows добавлять route add и маршрут на нужную сеть, через нужный маршрутизатор. Но тут оказалось, что есть отличная опция 121 (и 249). Можно на Cisco добавить (на ASA например): dhcpd option 121 hex 18c0a8c1c0a8000718c0a8c2c0a80008 Эта строка добавляет статический маршрут на сеть 192.168.193.0/24 через шлюз 192.168.0.7 и маршрут 192.168.194.0/24 через шлюз 192.168.0.8 Формат такой: Сначала пишем длину префикса, потом сеть без лишних нулей, то есть если маска /24 то сеть 192.168.0 например ну или 10.7.1 то есть не значащие октеты не пишем. Далее адрес шлюза. Далее можно писать в том же формате еще один маршрут. У нас в примере их два: 18 c0a8c1 c0a80007 18 c0a8c2 c0a80008
Далее...

Сброс на заводские настройки, коммутатора Moxa EDS-518A

-
Изображение
В связи с тем что на этом коммутаторе нет кнопки сброса, нам понадобится снять с него крышку. На верхней плате есть вырез, через который видна средняя плата, а там есть два коннектора, нам нужен шести контактный. Нам нужно замкнуть контакты, отмеченные на картинке красным цветом (те что ближе к задней стенке, замкнуть можно например перемычкой от жесткого диска или привода).  Затем надо подключить консольный кабель, его распиновка есть в документе - EDS-518A Series, Hardware Installation Guide Теперь можно подать питание и дождаться появления в терминале вот такого меню: ================================================<<Main Menu>>> ----------------------------------------------------------------------              MOXA EDS-518A-T MM-Test Ver 1.9   built time=  09042815       Firmware Mac Address:00-90-e8-20-9c-76   SerNo:2399 -------------------...
Далее...