DYNAMIC ACCESS LISTS

Xét ngữ cảnh sau: admin tạo một Access List (ACL) để cấm không cho các PC trên mạng 10.0.0.0 truy xuất ra bên ngoài.Tuy nhiên, vì một số lý do nào đó, admin muốn tạm thời cho phép một vài PC trên mạng 10.0.0.0 được phép truy xuất ra bênngoài trong một khoảng thời gian định trước. Để thực hiện điều này, admin có 2 giải pháp:Chỉnh sửa lại ACL trên routerSử dụng dynamic ACLTrước hết, chúng ta tìm hiểu một số khái niệm liên quan đến dynamic ACL....
Nội dung trích xuất từ tài liệu:
DYNAMIC ACCESS LISTSDYNAMICACCESSLISTSXétngữcảnhsau:admintạomộtAccessList(ACL)đểcấmkhôngchocácPCtrênmạng10.0.0.0truyxuấtrabênngoài.Tuynhiên,vìmộtsốlýdonàođó,adminmuốntạmthờichophépmộtvàiPCtrênmạng10.0.0.0đượcphéptruyxuấtrabênngoàitrongmộtkhoảngthờigianđịnhtrước.Đểthựchiệnđiềunày,admincó2giảipháp:ChỉnhsửalạiACLtrênrouterSửdụngdynamicACLTrướchết,chúngtatìmhiểumộtsốkháiniệmliênquanđếndynamicACL.1.LockandKeyLàmộtđặctínhbảomậtchophéplọccácIPtrafficđộng.ĐượccấuhìnhvớiIPdynamicextendedACL.KhiLockandKeyđượccấuhình,nhữngngườidùngmàtrafficcủahọđangbịcấmbởiACLcóthểtạmthờiđượcphépđiquaroutertrongmộtkhoảngthờigianđịnhtrước.Khiđượckíchhoạt,lockandkeysẽcấuhìnhlạiACLđangđượcápdụngtrêninterfaceđểchophépnhữngngườidùngxácđịnhtrướcđượcphépđiquainterface.Saumộtkhoảngthờigianđịnhnghĩatrước,lockandkeysẽcấuhìnhinterfacetrởlạitrạngtháibanđầu.Vớilockandkey,admincóthểchophépngườidùngđượcphéptạmthờivượtquafirewalltrongkhivẫngiảmthiểunguycơtấncôngvàohệthốngmạng.2.KhinàosửdụngLockandKeyKhibạnmuốnmộtngườidùngởxa(haymộtnhómngườidùngởxa)cóthểtruyxuấtvàomộthostbêntronghệthốngmạngcủabạnthôngquaInternet.Lockandkeysẽchứngthựcngườidùng,sauđósẽchophéptruyxuấtcógiớihạn(thôngquafirewallrouter)vàomộthosthaymộtsubnettrongmộtkhoảngthờigianđịnhtrước.KhibạnmuốnmộtsốhosttrongmạngLANtruyxuấtđếnmộtremotehostđượcbảovệbởimộtfirewall.CáchostnàyđòihỏiphảiđượcchứngthựcthôngquaTACACS+serverhaymộtserverchứngthựckháctrướckhiđượcphéptruyxuấtđếnremotehost3.LockandKeylàmviệcnhưthếnàoUsertelnetđếnrouterfirewallbiên(borderfirewallrouter)đượccấuhìnhlockandkey.HệđiềuhànhmạngCiscoIOSnhậngóitintelnet,mởmộtphiênlàmviệctelnet,yêucầungườidùngnhậpmậtkhẩuvàthựcthiquátrìnhchứngthựcngườidùng.Ngườidùngphảiđượcchứngthựcthànhcôngtrướckhicóthểvượtquafirewallđểrangoài.QuátrìnhchứngthựcđượcthựcthibởichínhrouterhayTACACS+,RADIUSserver.Khiquátrìnhchứngthựcthànhcông,ngườidùngsẽtựđộngthoátrakhỏiphiênlàmviệctelnetvàphầnmềmsẽtạoramộtentry(mục)tạmthờitrongdynamicACL.Lúcnày,ngườidùngđãcóthểtraođổidữliệuquafirewall.Phầnmềmsẽtựđộngxóaentrytạmthờikhihếtthờigiantimeoutđượccấuhìnhhoặckhiadminxóabằngtay.(còntiếp)4.NguycơspoofingvớilockandkeyKhilockandkeyđượckíchhoạt,nósẽtựmởmộtcánhcửatrênfirewall,bằngcáchtạmthờicấuhìnhlạiinterface,đểchophépngườidùngtruyxuấtqua.Khicánhcửanàyđangmở,mộthostkháccóthểspoofđịachỉcủangườidùngđãđượcchứngthựcđểđoạtquyềntruyxuấtquafirewall5.CácđiềukiệntiênquyếtchoviệccấuhìnhLockandKeySửdụngIPextendedACL.TriểnkhaiquátrìnhchứngthựcvàphânquyềnngườidùngtheomôhìnhAAAcủaCisco.Sửdụnglệnhautocommand.CácthídụcấuhìnhThídụ1usernamenamepasswordpasswordinterfaceethernet0ipaddress172.18.23.9255.255.255.0ipaccessgroup101inaccesslist101permittcpanyhost172.18.23.2eqtelnetaccesslist101dynamicmytestlisttimeout120permitipanyanylinevty0loginlocalautocommandaccessenabletimeout5Thídụ2aaaauthenticationlogindefaulttacacs+enableaaaaccountingexecstoponlytacacs+aaaaccountingnetworkstoponlytacacs+enablepasswordciscotacisdnswitchtypebasicdms100interfaceethernet0ipaddress172.18.23.9255.255.255.0!interfaceBRI0ipaddress172.18.21.1255.255.255.0encapsulationpppdialeridletimeout3600dialerwaitforcarriertime100dialermapip172.18.21.2namedianadialergroup1isdnspid12036333715291isdnspid22036339371566pppauthenticationchapipaccessgroup102in!accesslist102permittcpanyhost172.18.21.2eqtelnetaccesslist102dynamictestlisttimeout5permitipanyany!!iproute172.18.250.0255.255.255.0172.18.21.2prioritylist1interfaceBRI0high!tacacsserverhost172.18.23.21tacacsserverhost172.18.23.14tacacsserverkeytest1tftpserverromaliasall!dialerlist1protocolippermit!linecon0passwordciscolineaux0lineVTY04autocommandaccessenabletimeout5passwordcisco!II.4.DynamicACLsĐặcđiểm:chỉsửdụnglọccácIPtraffic,DynamicACLsbịphụthuộcvàosựkếtnốiTelnet,sựxácthực(localorremote),vàextendedACLs.+Mộtusersẽmởkếtnốiđếnrouterbiênđượccấuhìnhlockandkey.Nhữngkếtnốicủauserthôngquavirtualterminalporttrênrouter.+Khinhậntelnetpacketroutersẽmỡmộttelnetsessionvàyêucầuxácthựcmộtpasswordhoặcmộttàikhoảnusername.Userphảivượtquasátthựcmớiđượcchophépđiquarouter.QuátrìnhxácthựcsẽthựchiệnbởirouterhoặcmộtserverxácthựcsửdụnggiaothứcRADIUShoặcTACACSserver.+Khiuserquađượcsátthực,chúngsẽthoátrakhỏitelnetsessionvàmộtentrysẽxuấthiệntrọngDynamicACLs+Lúcđó,cácngườidùngsẽtraođổidữliệuthôngquaFirewall.+Khidúngkhoảngthờigiantimeoutđượccấuhình,routersẽxóaentryvừatạotrongdynamicACLshoặcngườiquảntrịcóthểxóabằngtay.Timeoutcóhailoạilàidletimeouthoặcabsolutetimeout.IdletimeoutlànếuuserkhôngsửdụngsessionnàytrongmộtkhoảngthờigianthìentrytrongDynamipsẽbịxóa.AbsolutetimeoutlàkhoảngthờigiancốđịnhchophépusersửdụngsessionnàykhihếtthờigianthìentrytrongDynamicACLssẽbịxóa.Ứngdụng:+Khibạnmuốnchỉđịnhmộtuserhaymộtgroupusertruycậpđếnmộthostnàođótrongmạngcủabạn,haykếtnốitớinhữnghosttừxathôngquaInternet.LockandkeyACLssẽxácthựcngườidùngvàsauđóchophépgiớihạntruycậpthôngquarouterfirewallchomộthosthaymộ ...