ACL filtr v přepínačích (Planet)
FAQ: ACL filtr v přepínačích (Planet)
Trochu pozapomenutá ale velmi silná funkce v přepínačích je ACL (access common list). Jedná se o provozní filtr rámců nebo paketů, ten paketový se samozřejmě používá lépe, ale i filtr MAC má svoje použití ~ je možné automaticky zablokovat cokoliv připojeného k portu mimo autentizovaný stroj ("uklízečka" s pirátským ntb nebude mít šanci).
Konfigurovat v IP filtru lze cokoliv vás napadne... kombinace parametrů jako jsou zdrojové (source) a cílové (destination) adresy, typ protokolu (ICMP, UDP, TCP, atd), číslo portu a případně TCP příznaky:
Zde uvádíme obecný ale funkční příklad jak zakázat vše a povolit jen dotaz na DNS, port 443 pro WEB a PING jen na výchozí bránu 192.168.1.1 z PC s IP 192.168.1.238.
Komunikace na UDP 67-68 slouží pro udržování DHCP adresy. Ostatní provoz bude nekompromisně vyfiltrován přímo na portech switche.
Nastavení se většinou používá více striktně, tzn. zakázat vše včetně přístupu ven do internetu, povolují se jenom porty používaných aplikací; např. jsme otestovali "zabetonování" PC, které nemohlo nic jiného, než přistupovat do firemní aplikace na portu databáze. Autentizují se tak např. tencí i tlustí (nejde o BMI) klienti vůči RDP serveru případně vůči VPN serveru.
Možná namítnete, že na povoleném komunikačním TCP/UDP portu lze sestavit spojení jiné záškodnické služby, ale vzhledem k tomu, že ACL blokuje blízko zdrojům/cílům útoku, obejít takové filtry je pro útočníky složitější.
ACL filtr v sobě obsahují prakticky všechny spravovatelné switche Planet, napokrytecky však není výsadou této značky, ale na pokročilejších modelech (zpravidla L3 modely) se díky pokročilým ASIC čipsetům filtruje na hardware úrovni.
Mechanismů ochran přímo ve struktuře LAN existuje více, poměrně snadno se aplikují přímo ve switchích; např. IP-binding sváže fyzický port s konkrétní IP i MAC a pouze tou jednou kombinací. Dalším stupněm je autentizace na RADIUS/TACACS.
Související kategorie
