Packet Filtering در ASA سیسکو چگونه انجام می شود؟
Packet Filtering در ASA سیسکو چگونه انجام می شود؟ در بخش قبلی نحوی جریان ترافیک را به صورت پیش فرض شرح دادیم که در آن ترافیک از security level بالاتر به security level پایین تر اجازه جریان داشت و همینطور عنوان کردیم با استفاده از اطلاعات جدول stateful امکان دریافت ترافیک بازگشتی فراهم می شود. اما کاربرانی که در شبکه خارجی مثل اینترنت قرار دارند چگونه می توانند به سرورهایی که ما در DMZ قرار داده ایم دسترسی پیدا کنند.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
در اینجا ما باید مشخص کنیم که چه ترافیکی از شبکه خارجی اجازه ورود به شبکه DMZ را دارد که با استفاده از packet filtering ACLs در اینترفیس ها می توانیم اینکار را انجام دهیم. که عملکرد این ACL ها مشابه ACL هایی است که در روتر ها استفاده می کنیم و می توانیم ACL های standard و extended داشته باشیم و این ACL ها می توانند در جهت inbound و outbound اینترفیس اعمال شوند.در فایروال منظور از inbound ترافیکی است که قصد دارد از security level پایین تر وارد security level بالاتر شود. به صورت پیش فرض ، این ترافیک توسط فایروال deny می شود. استفاده دیگر از کلمه inbound ترافیکی است که قصد دارد وارد یک اینترفیس شود به طور مثال ترافیک کاربران شبکه داخلی که می خواهد وارد شبکه اینترنت شود.در اینجا خلاصه ای از این مبحث امده است :
- Inbound to an interface : ترافیک ورودی به اینترفیس که به آن ingress traffic هم گفته می شود.
- Inbound from a security level : ترافیکی که از security level پایین تر می خواهد وارد security level بالاتر شود. مثل ترافیک از شبکه اینترنت به شبکه DMZ
- Outbound to an interface : ترافیک خروجی از یک اینترفیس که به آن egress traffic هم گفته می شود.
- Outbound from a security level : ترافیکی که از یک security level بالاتر می خواهد وارد یک security level پایین تر شود. مثل ترافیک کاربران شبکه داخلی به اینترنت
اجرای Packet-Filtering ACL
حال با توجه به توضیحات بالا ، به سناریوی ارتباط کاربران اینترنت به سرورهای شبکه DMZ می پردازیم. برای اینکه این ارتباط برقرار شود از یک ACL استفاده می کنیم و اجازه ورود ترافیک مورد نظر از شبکه اینترنت به شبکه DMZ را می دهیم. اگر سرورها به صورت عمومی در دسترسی باشند ACL مشخص می کند هر دستگاهی از طریق فایروال می تواند به سرورهای شبکه DMZ دسترسی پیدا کند که آدرس مقصد و پورت آن با مشخصات سرورهای شبکه DMZ مطابقت داشته باشد.
اگر ACL به inbound اینترفیس outside اعمال شود هر مقدار permit در ACL به ترافیکی که مبدا آن security level پایین تر است اجازه ورود به اینترفیس با security level بالاتر مثل DMZ را می دهد. چیزی که اکثرا افراد آنرا به سختی یاد می گیرن این است که در انتهای هر ACL یک deny any وجود دارد. این مسئله برای کاربران outside مشکلی به وجود نمی آورد چون قبل از آن این کاربران هیچ دسترسی به شبکه DMZ نداشتند و بعد از اعمال ACL کاربران تنها می تواند به سرورهای مشخص شده در DMZ دسترسی داشته باشند.
چالش زمانی به وجود می آید که از ACL در جهت inbound یک اینترفیس با security level استفاده شود. زمانی که شما اینکار را می کنید کاربران داخلی می تواند ارتباطی را از طریق فایروال برقرار کنند که برای آن ارتباط یک permit وجود داشته باشد. بنابراین اگر در اینترفیس ASA از ACL استفاده کنید دیگر جریان ترافیک براساس security level کنترل نمی شود و کنترل براساس ACL انجام می شود که از بالا به پایین لیست ACL اینکار انجام می شود و همچنان بازرسی stateful انجام می گیرد تا اجازه بازگشت ترافیک را بدهد.به طور خلاصه ، هر چیزی که شما در مورد ACL در آموزش های قبلی یاد گرفتید مشابه ACL در ASA است و تنها تفاوت بزرگ عدم استفاده از wildcard masks است.