فهرست‌ کنترل دسترسی چه نقشی در مدیریت شبکه‌ها و ایمن‌سازی آن‌ها دارد

فهرست کنترل دسترسی یکی از مهم‌ترین مباحث پیرامون شبکه‌ها است که به مدیران اجازه می‌دهد به شکل بهتری شبکه ارتباطی را مدیریت کنند. در این مقاله با بخشی از قابلیت‌های ACL آشنا می‌شوید.

پیدا کردن اطلاعات ویژه

نرم‌افزاری که از آن استفاده می‌کنید ممکن است تمامی ویژگی‌های مندرج در این مقاله را پشتیبانی نکند. برای بررسی جدیدترین نکات فنی و اطلاعات خاص به لینک Bug Search Tools مراجعه کرده و نکات درج شده در این صفحه که هماهنگ با زیرساخت و نرم‌افزاری هستند که از آن استفاده می‌کنید را مطالعه کنید. برای مشاهده ویژگی‌های ثبت شده در این ماژول و مشاهده فهرستی از ویژگی‌های قابل پشتیبانی توسط این ماژول به جدول اطلاعات تکنیکی که ویژگی‌های این ماژول را توصیف می‌کند مراجعه کنید.

برای مشاهده اطلاعاتی در ارتباط با پشتیبانی از زیرساخت و ایمیج نرم‌افزاری سیسکو از آدرس Cisco Feature Navigator استفاده کنید. دقت کنید برای دسترسی به Cisco Feature Navigator نیازی به ساخت حساب کاربری در Cisco.com ندارید و تنها باید به آدرس فوق مراجعه کنید.

اطلاعاتی در ارتباط با فهرست‌های کنترل دسترسی مبتنی بر نام آی‌پی

تعریف فهرست کنترل دسترسی

فهرست‌های کنترل دسترسی (ACLs)  سرنام Access control lists با فیلتر کردن بسته‌ها بر فرآیند ارسال و دریافت بسته‌ها در یک شبکه نظارت می‌کنند. مکانیزم فیلتر کردن بسته‌ها برای برقراری امنیت در یک شبکه ارتباطی با محدود کردن دسترسی به ترافیک شبکه، محدودسازی دسترسی کاربران و دستگاه‌ها به یک شبکه و ممانعت از خروج ترافیک شبکه به مدیران شبکه اطمینان می‌دهند داده‌های آن‌ها در امنیت کامل قرار دارند. فهرست‌های دسترسی آی‌پی شانس پیاده‌سازی موفقیت‌آمیز حملات انکار سرویس و شنود از سوی هکرها را کاهش داده و اجازه دسترسی پویا، دسترسی موقت کاربر (میهمان) از طریق یک دیوارآتش را امکان‌پذیر می‌کنند. ویژگی فهرست‌های کنترل دسترسی مبتنی بر نام آی‌پی (IP Named Access Control Lists) به مدیران شبکه اجازه می‌دهند از نام‌ها برای شناسایی فهرست‌های دسترسی استفاده کنند.

کاربرد فهرست‌های دسترسی آی‌پی تنها محدود به مباحث امنیتی نیست و کاربردهای دیگری در زمینه کنترل پهنای باند، محدود کردن محتوای به‌روزرسانی‌های مسیریابی، توزیع مجدد مسیرها، برقراری تماس‌های مبتنی بر تقاضا (DDR)، محدود کردن اشکال‌زدایی خروجی و شناسایی یا طبقه‌بندی ترافیک برای ویژگی‌ کیفیت خدمات (QoS) را شامل می‌شوند.

یک فهرست دسترسی، فهرستی متوالی است که شامل حداقل یک دستور permit و شاید یک یا چند دستور deny است. در مورد فهرست‌های دسترسی آی‌پی، این دستورالعمل‌ها می‌توانند روی آدرس‌های آی‌پی، پروتکل‌های آی‌پی-لایه بالاتر یا سایر فیلد‌های درون بسته‌های آی‌پی اعمال شوند.

فهرست‌های دسترسی با یک نام یا یک شماره، شناسایی و ارجاع داده می‌شوند. فهرست‌های دسترسی عملکردی شبیه به فیلترهای بسته‌های داده‌ای دارند و بسته‌ها را بر مبنای معیارهایی که درون هر فهرست دسترسی تعیین شده‌اند فیلتر می‌کنند.

پس از آن‌که فهرست دسترسی را پیکربندی کردید، در مرحله بعد برای استفاده از فهرست دسترسی باید فهرست ‌را روی یک رابط کاربری (با استفاده از دستور ip access-group)، یک vty (با استفاده از فرمان access-class) اعمال کرده یا از تکنیک ارجاع‌دهی استفاده کنید که در این حالت باید از هر فرمانی که یک فهرست دسترسی از آن پشتیبانی می‌کند استفاده کنید. لازم به توضیح است که فرمان‌های چندگانه می‌توانند به فهرست دسترسی یکسانی اشاره کنند.

در پیکربندی زیر، یک فهرست دسترسی آی‌پی به‌نام Branoffices روی رابط Fast Ethernet 0/1/0 پیکربندی شده و روی بسته‌های ورودی اعمال می‌شود. شبکه‌هایی به غیر از شبکه‌ مشخص شده توسط جفت آدرس منبع و ماسک نمی‌توانند به رابط Fast Ethernet 0/1/0 دسترسی پیدا کنند. مقصد می‌تواند بسته‌های دریافت شده از منابع روی شبکه به نشانی 172.16.7.0 را دریافت کند. مقصد برای بسته‌های واردشونده از منابعی روی شبکه 172.16.2.0 باید به آدرس آی‌پی 172.31.5.4 تنظیم شده‌ باشد.

ip access-list extended branchoffices

 10 permit 172.16.7.0 0.0.0.3 any

 20 permit 172.16.2.0 0.0.0.255 host 172.31.5.4

!

interface fastethernet 0/1/0

 ip access-group branchoffices in

فهرست‌های دسترسی نام‌گذاری یا شماره‌گذاری شده

تمامی فهرست‌های دسترسی باید یک نام یا یک شماره شناسایی داشته باشند. فهرست‌های دسترسی نام‌گذاری شده متداول‌تر از فهرست‌های شماره‌گذاری هستند، زیرا نام آن‌ها معرف عملکرد آن‌ها است و به خاطر سپاری آن‌ها در ارتباط با کاری که انجام می‌دهند ساده‌تر است. شما می‌توانید دستورات را تغییر داده یا دستورات جدیدی به فهرست دسترسی نام‌گذاری‌ شده اضافه کنید. فهرست‌های دسترسی نام‌گذاری شده از ویژگی‌هایی پشتیبانی می‌کنند که فهرست‌های دسترسی شماره‌گذاری شده فاقد این ویژگی‌ها هستند. این ویژگی‌ها به شرح زیر هستند:

• فیلتر گزینه‌های IP

• درگاه‌های غیر هماهنگ

• فیلتر پرچم TCP

• حذف ورودی‌ها با فرمان no permit یا no deny

نکته: دقت کنید همه دستورات مورد قبول یک فهرست دسترسی شماره‌گذاری از سوی یک فهرست دسترسی نام‌گذاری شده مورد پذیرش نیستند و تنها برخی از آن‌ها از سوی فهرست دسترسی نام‌گذاری شده به رسمیت شناخته می‌شوند. به‌طور مثال، vty فقط از فهرست‌های دسترسی شماره‌گذاری شده استفاده می‌کند.

مزایای فهرست‌های دسترسی آی‌پی

فهرست‌های کنترل از راهکار فیلتر کردن بسته‌ها برای نظارت و کنترل روی جریان بسته‌هایی که درون یک شبکه انتقال داده می‌شوند استفاده می‌کنند. فیلتر کردن بسته‌ها می‌تواند دسترسی کاربران و دستگاه‌ها به یک شبکه را محدود و یک خط‌مشی امنیتی ارائه کرده و با کاهش ترافیک منابع شبکه را ذخیره کنند. زمانی‌که از فهرست‌های دسترسی استفاده می‌کنید به مزایای زیر دسترسی خواهید داشت:

تایید اعتبار درخواست‌های ورودی rsh و rcp- فهرست‌های دسترسی می‌توانند فرآیند شناسایی کاربران محلی، میزبان‌های راه دور و کاربران راه دور را ساده کنند. تمامی این کارها از طریق یک پایگاه داده تایید اعتبار که پیکربندی شده تا دسترسی به یک دستگاه را کنترل کند انجام می‌شود. بانک اطلاعاتی تایید اعتبار، نرم‌افزار سیسکو را قادر می‌سازد تا درخواست‌های ورودی پروتکل پوسته از راه دور (rsh) سرنام remote shell و کپی از راه دور (rcp) سرنام remote copy را دریافت کند.

مسدود کردن ترافیک ناخواسته یا کاربران- فهرست‌های دسترسی  می‌توانند بسته‌های ورودی یا خروجی روی یک رابط را فیلتر کنند و از این طریق دسترسی به یک شبکه را بر اساس آدرس منبع، آدرس مقصد یا تأیید اعتبار کاربر کنترل کنند. شما می‌توانید از فهرست‌های دسترسی برای تعیین نوع ترافیکی که توسط رابط‌های یک دستگاه ارسال یا مسدود شده‌اند استفاده کنید. به‌طور مثال‌، شما می‌توانید از فهرست‌های دسترسی استفاده کنید و به ترافیک ایمیل اجازه دهید از طریق یک شبکه مسیریابی شود و تمامی ترافیک ورودی تل‌نت به شبکه را مسدود کنید.

کنترل دسترسی به vty- فهرست‌های دسترسی روی یک ورودی vty (Telnet) می‌توانند کنترل کنند که چه کسی می‌تواند به خطوط یک دستگاه دسترسی پیدا کند. فهرست‌های دسترسی روی یک خروجی می‌توانند مقصدی که خطوط یک دستگاه به آن مقصد می‌رسند را کنترل کنند.

شناسایی یا طبقه‌بندی ترافیک برای ویژگی‌های کیفیت خدمات-  فهرست‌های دسترسی با تعیین اولویت آی‌پی برای تشخیص زودهنگام تصادفی بار زیاد (WRED) سرنام Weighted Random Early Detection و نرخ دسترسی تعهد شده (CAR) سرنام committed access rate مانع بروز مشکل ازدحام و تراکم می‌شوند. فهرست‌های دسترسی همچنین مکانیزم مدیریت تراکم را برای صف‌بندی منصفانه بار زیاد مبتنی بر کلاس (CBWFQ)، صف‌بندی اولویت و صف‌بندی سفارشی فراهم می‌کنند.

محدود کردن خروجی فرمان اشکال‌زدایی- فهرست‌های دسترسی می‌توانند بر مبنای یک آدرس آی‌پی یا یک پروتکل خروجی اشکال‌زدایی را محدود کنند.

ارائه کنترل روی پهنای باند- فهرست‌های دسترسی روی یک پیوند کند می‌توانند از به وجود آمدن ترافیک اضافی در شبکه جلوگیری کنند.

فراهم کردن کنترل روی برگردان نشانی شبکه (NAT)- فهرست‌های دسترسی می‌توانند کنترل کنند که کدامیک از آدرس‌ها توسط برگردان نشانی شبکه (NAT) ترجمه شده‌اند.

کم کردن احتمال بروز حملات انکار سرویس- فهرست‌های دسترسی احتمال بروز حملات انکار سرویس (DoS) را کاهش می‌دهند. در این حالت آدرس‌های منبع آی‌پی برای کنترل ترافیک میزبان‌ها، شبکه‌ها یا کاربران که قصد دسترسی به شبکه شما را دارند مشخص می‌شود. پیکربندی ویژگی TCP Intercept مانع از آن می‌شود تا سرورها در دام حملات سیل‌آسای درخواست‌ها برای برقراری اتصال گرفتار شوند.

محدود کردن به‌روزرسانی‌های مسیریابی- فهرست‌های دسترسی می‌توانند به‌روزرسانی‌های مسیریابی ارسال شده، دریافت شده یا توزیع مجدد در شبکه را کنترل کنند.

برقراری تماس‌های مبتنی بر تقاضا- فهرست‌های دسترسی می‌توانند معیارهایی برای شماره‌گیری و قطع ارتباط را تعیین کنند.

قواعد فهرست دسترسی

قواعد زیر روی فهرست‌های دسترسی اعمال می‌شود.

به ازای هر رابط، پروتکل و مسیر فقط یک فهرست دسترسی مجاز است.

یک فهرست دسترسی باید حداقل شامل یک دستور permit یا تمامی بسته‌هایی باشد که اجازه ورود به شبکه را پیدا نکرده‌اند.

ترتیب این‌که کدامیک از وضعیت‌های فهرست دسترسی یا معیارهای تطبیقی باید استفاده شوند حائز اهمیت است. نرم‌افزار سیسکو هنگام تصمیم‌گیری در مورد ارسال یا مسدود کردن یک بسته داده‌ای، بسته را با دستورالعمل‌ها و معیارها بر مبنای ترتیبی که دستورات ایجاد شده‌اند آزمایش می‌کند و اگر تطابقی پیدا کند، سایر دستورالعمل‌ها و معیارها را بررسی نمی‌کند. یک دستورالعمل permit یا deny یکسان که ترتیب مختلفی دارند باعث می‌شوند در شرایطی یک بسته رد شده یا دریافت شود.

اگر از نام یک فهرست دسترسی برای ارجاع به آن استفاده کنید، اما فهرست دسترسی وجود نداشته باشد، تمامی بسته‌ها به شبکه وارد می‌شوند. یک رابط یا فرمان که از یک فهرست دسترسی خالی استفاده می‌کنند به تمامی بسته‌ها اجازه می‌دهند به شبکه وارد شوند.

فهرست‌های دسترسی استاندارد و گسترشی نمی‌توانند نام یکسانی داشته باشند.

فهرست‌های دسترسی ورودی، پیش از آن‌که فرآیند مسیریابی برای یک رابط خروجی روی آن‌ها اعمال شوند، آن‌ها را پردازش می‌کنند. فهرست‌های دسترسی ورودی که معیارهای فیلترسازی دارند که مانع دسترسی بسته‌ها به شبکه می‌شوند سرباره جست‌وجوی مسیریابی را ذخیره می‌کنند. بسته‌هایی که اجازه دسترسی به شبکه را بر اساس معیارهای فیلتر‌سازی به دست آورده‌اند، برای مسیریابی پردازش می‌شوند. برای فهرست‌های دسترسی ورودی، هنگامی که یک دستور permit را پیکربندی می‌کنید، بسته‌ها پس از دریافت پردازش می‌شوند و هنگامی که یک دستور deny را پیکربندی می‌کنید‌، بسته‌ها دور ریخته می‌شوند.

فهرست‌های دسترسی خروجی بسته‌ها را پیش از آن‌که دستگاه را ترک کنند پردازش می‌کنند. بسته‌های ورودی برای هدایت به یک رابط خروجی مسیردهی می‌شوند و سپس توسط فهرست دسترسی خروجی پردازش می‌شوند. برای فهرست‌های دسترسی خروجی، هنگامی که یک دستور permit را پیکربندی می‌کنید‌، بسته‌ها به بافر خروجی ارسال می‌شوند و هنگامی که یک دستور deny را پیکربندی می‌کنید‌، بسته‌ها دور ریخته می‌شوند.

یک فهرست دسترسی می‌تواند ترافیک در حال ورود یا در حال خروج از یک دستگاه را کنترل کند، اما ترافیکی که درون یک دستگاه ایجاد می‌شود را کنترل نمی‌کند.

نکات مفید‌ی که در زمان ساخت فهرست‌های دسترسی آی‌پی باید به آن‌ها دقت کنید

نکات زیر به شما کمک می‌کنند فهرست‌های دسترسی کارآمدی ایجاد کرده و مانع بروز مشکلات ناخواسته‌ شوید.

فهرست دسترسی را قبل از به‌کارگیری روی یک رابط (یا مکان دیگری) ایجاد کنید‌، زیرا اگر یک فهرست دسترسی که وجود ندارد را روی یک رابط اعمال کنید و پس از آن فهرست دسترسی را پیکربندی کنید، اولین دستور اثرگذار خواهد بود و دستور ضمنی deny پس از آن می‌تواند مشکلات دسترسی فوری را ایجاد کند.

یکی دیگر از دلایل مهم پیکربندی فهرست دسترسی قبل از استفاده، به زمانی باز می‌گردد که شما روی یک رابط از یک فهرست دسترسی خالی استفاده می‌کنید که نتیجه این‌کار ورود تمامی ترافیک به شبکه است.

تمامی فهرست‌های دسترسی حداقل به یک دستور permit احتیاج دارند، در غیر این صورت، تمام بسته‌ها رد می‌شوند و هیچ‌گونه ترافیکی عبور نمی‌کند.

از آن‌جایی که فهرست دسترسی پس از شناسایی اولین تطابق (خواه تایید یا رد) آزمایش سایر شرایط را متوقف می‌کند، اگر دستوراتی که احتمال تطابق آن‌ها با بسته‌ها  بیشتر است را ابتدای فهرست دسترسی قرار دهید، به میزان قابل توجهی در زمان و مصرف منابع صرفه‌جویی کرده‌اید. به همین ترتیب دستوراتی که احتمال تطابق آن‌ها کمتر است را در انتهای فهرست دسترسی قرار دهید.

فهرست دسترسی خود را طوری سازمان‌دهی کنید که ارجاعات خاص‌تر در یک شبکه یا زیرشبکه قبل از موارد کلی‌تر ظاهر شوند.

از دستور permit any any زمانی استفاده کنید که در نظر دارید به تمامی بسته‌های دیگری که قبلا رد نشده‌اند، اجازه عبور دهید. با استفاده از دستور permit any any می‌توانید هرگونه اثرگذاری گذر از (رد بسته) تمامی بسته‌هایی که با یک دستور ضمنی deny در انتهای فهرست دسترسی مشخص شده‌اند را خنثا کنید. در ابتدای فهرست دسترسی از دستور permit any any استفاده نکنید، زیرا همه ترافیک بر مبنای این شرط عبور می‌کنند و هیچ بسته‌ای به آزمایش بعدی نمی‌رسد. در حقیقت، هنگامی که permit any any را مشخص کردید، تمام ترافیکی که قبلا رد نشده عبور می‌کند.

درست است که تمامی فهرست‌های دسترسی با یک دستور ضمنی deny به پایان می‌رسند، اما توصیه می‌کنیم از یک دستور صریح deny استفاده کنید (به‌طور مثال، deny ip any any). در بیشتر زیرساخت‌ها، شما می‌توانید تعداد بسته‌های رد شده را با فرمان show access list نشان دهید، بنابراین اطلاعات بیشتری درباره فعالیت فهرست دسترسی به‌دست می‌آورید. دقت کنید تنها بسته‌هایی که با دستورات صریح deny اجازه عبور پیدا نکرده‌اند، شمارش می‌شوند. به همین دلیل است که دستور صریح deny عملکرد بهتری روی نظارت بر داده‌ها دارد.

زمانی‌که در حال ایجاد یک فهرست دسترسی هستید یا پس از ساخت فهرست، به دنبال حذف یک موجودیت از آن هستید باید به دو نکته دقت کنید.

شما نمی‌توانید یک موجودیت را از درون یک فهرست دسترسی شماره‌گذاری شده حذف کنید. تلاش برای انجام این‌کار به معنای حذف کامل یک فهرست دسترسی است. اگر مجبور هستید موجودیتی درون یک فهرست را حذف کنید، باید فهرست دسترسی را به‌طور کامل حذف کرده و دومرتبه آن‌را ایجاد کنید.

شما می‌توانید موجودیت درون یک فهرست نام‌گذاری شده را حذف کنید. برای انجام این‌کار از فرمان no permit یا no deny استفاده کنید.

برای آن‌که هدف و منظور شما از دستورات با یک نگاه ساده قابل فهم باشند، بهتر است بعد یا قبل از دستورات، یادداشت‌هایی را درج کنید.

اگر در نظر دارید دسترسی به میزبان یا شبکه خاصی را رد کنید و همچنین بررسی کنید که چه کسی از آن شبکه یا میزبان سعی کرده است مجوز دسترسی را به دست آورد، کلیدواژه log را درون درون دستور deny قرار دهید، در این حالت گزارش بسته‌های طرد شده از منبع برای شما ارسال می‌شود.

هنگامی که سعی می‌کنید صرفه‌جویی در منابع داشته باشید، به این نکته دقت کنید که یک فهرست دسترسی ورودی وضعیت‌های فیلتر را پیش از آن‌که جدول مسیریابی جست‌وجو شود اعمال می‌کند. یک فهرست دسترسی خروجی وضعیت‌های فیلتر را بعد از آن‌که جدول مسیریابی جست‌وجو شد، اعمال می‌کند.

در چه مکانی باید یک فهرست دسترسی را استفاده کنیم؟

شما می‌توانید فهرست‌های دسترسی را روی رابط‌های ورودی یا خروجی یک دستگاه به کار ببرید. به‌کارگیری فهرست دسترسی روی یک رابط ورودی ترافیکی که وارد رابط می‌شود را کنترل می‌کند، در نقطه مقابل یک فهرست دسترسی روی رابط خروجی، ترافیک در حال خروج از رابط را کنترل می‌کند.

هنگامی که نرم‌افزار، بسته‌ای از رابط ورودی دریافت می‌کند‌، نرم‌افزار بسته‌های دریافتی را با فرمان‌هایی که از قبل درون فهرست دسترسی قرار گرفته‌اند بررسی می‌کند. اگر فهرست دسترسی بسته‌ها را مجاز توصیف کند، نرم‌افزار بسته را پردازش می‌کند. به‌کارگیری فهرست‌های دسترسی برای فیلتر کردن بسته‌های دریافتی می‌تواند به صرفه‌جویی مصرف منابع دستگاه کمک کند، زیرا بسته‌های فیلتر شده قبل از ورود به دستگاه دور ریخته می‌شوند.

فهرست‌های دسترسی روی رابط‌های خروجی بسته‌هایی که قرار است از رابط انتقال پیدا کنند (ارسال شوند) را  فیلتر می‌کنند. شما می‌توانید از ویژگی تقیسم‌بندی فهرست کنترل دسترسی TCP پروتکل کنترل ماهواره‌ای مبتنی بر نرخ (RBSCP) روی رابط خروجی استفاده کنید تا نوع بسته‌هایی را که مشمول تقسیم‌بندی TCP acknowledgment (ACK) روی رابط خروجی می‌شوند را کنترل کنید.

شما می‌توانید با استفاده از یک فرمان اشکال‌زدایی به یک فهرست دسترسی مراجعه کنید تا حجم گزارش‌های اشکال‌زدایی را محدود کنید. به‌عنوان مثال، بر مبنای معیارهای تطابق یا فیلتر کردن یک فهرست دسترسی، گزارش اشکال‌زدایی را محدود به آدرس‌ها یا پروتکل‌های مقصد کنید. شما می‌توانید از فهرست‌های دسترسی برای کنترل به‌روزرسانی‌های مسیریابی، تماس مبتنی بر تقاضا (DDR) و کیفیت خدمات (QoS) استفاده کنید.