راه اندازی روتر

[B@RBOD]

قابليت ليست های دستيابی


با استفاده از ليست های دستيابی می توان عمليات مختلفی‌ نظير فيلترينگ ترافيك شبكه را از طريق كنترل بسته های اطلاعاتی در هر يك از اينترفيس های روتر انجام داد . روتر هر يك از بسته های اطلاعاتی را بر اساس مجموعه ضوابط تعريف شده در ليست های دستيابی بررسی و در خصوص فوروارد و يا بلاك نمودن آنها تصميم گيری می نمايد .
ضوابط و يا قوانين تعريف شده در ليست های دستيابی می تواند شامل آدرس مبداء ترافيك ، آدرس مقصد ترافيك ، پروتكل لايه بالاتر و ساير اطلاعات باشد .

[B@RBOD]

ضرورت پيكربندی و استفاده از ليست های دستيابی

برای پيكربندی و استفاده از ليست های دستيابی دلايل متعددی وجود دارد :

• اعمال محدوديت در خصوص بهنگام سازی محتويات روتينگ و يا كنترل بر روی ترافيك ورودی و يا خروجی
  ارائه يك سطح اوليه امنيت در شبكه. با استفاده از ليست های دستيابی می توان يك سطح اوليه امنيتی را به منظور دستيابی به يك شبكه تعريف نمود .
  در صورت عدم پيكربندی ليست های دستيابی ، تمامی بسته های اطلاعاتی دريافتی توسط روتر مجاز خواهند بود كه به هر بخش از شبكه وارد شوند .
  با استفاده از ليست های دستيابی می توان امكان دستيابی يك هاست به يك بخش خاص از شبكه را فراهم نمود و برای هاست ديگر ، امكان دستيابی به همان بخش را سلب نمود .
• از ليست های دستيابی می توان به منظور اتخاذ تصميم در خصوص ترافيك مجاز و يا غيرمجاز در سطح اينترفيس های روتر استفاده نمود . به عنوان نمونه ، می توان تمامی ترافيك e-mail را روت و يا تمامی ترافيك Telnet را بلاك نمود .
• 
  

<!-- / message --> <!-- sig -->

[B@RBOD]

مكان پيكربندی ليست های دستيابی

ازليست های دستيابی می بايست در روترهای فايروال كه اغلب بين شبكه داخلی و يك شبكه خارجی نظير اينترنت مستقر می گردند ،‌ استفاده نمود . همچنين می توان از ليست های دستيابی بر روی روترهای موجود بين دو بخش شبكه با هدف كنترل ترافيك ورودی و يا خروجی يك بخش خاص از شبكه داخلی ، استفاده نمود .

به منظور استفاده از مزايای امنيتی ليست های دستيابی ، می بايست در حداقل حالت پيكربندی از آنها بر روی روترهای مرزی استفاده گردد ( روترهای موجود در محدوده مرزی شبكه داخلی با شبكه های خارجی ) . در اينگونه روترها ، می بايست ليست های دستيابی برای هر پروتكل شبكه ای پيكربندی شده در اينترفيس های روتر ، تعريف گردد . ليست های دستيابی را می توان بگونه ای پيكربندی نمود كه ترافيك ورودی ، خروجی و يا هر دو آنها را بر روی يك اينترفيس فيلتر نمايد .

ليست های دستيابی را می بايست برای هر پروتكل فعال شده بر روی يك اينترفيس تعريف نمود . ( مشروط به اين كه قصد داشته باشيم ترافيك يك پروتكل خاص را كنترل نمائيم ) .

[B@RBOD]

ليست های دسيابی اوليه و پيشرفته


در اين مطلب با نحوه استفاده از ليست های دستيابی استاندارد و استاتيك توسعه يافته آشنا خواهيم شد كه از آنها به عنوان ليست های دستيابی اوليه نام برده می شود. برخی از ليست های دستيابی اوليه می بايست با هر پروتكل روت شده كه بر روی اينترفيس های روتر پيكربندی شده است ،‌استفاده گردد .

علاوه بر ليست های دستيابی اوليه كه در اين مطلب به تشريح آنها خواهيم پرداخت ، ليست های دستيابی پيشرفته تری نيز وجود دارد كه با استفاده از آنها می توان ويژگی های امنيتی اضافه تری را به منظور كنترل بيشتر بر روی مبادله بسته های اطلاعاتی اعمال نمود .
<!-- / message --> <!-- sig -->

[B@RBOD]

پيكربندی ليست های دستيابی



با اين كه هر پروتكل دارای مجموعه قوانين مورد نياز خود به منظور فيلترينگ ترافيك است، در اكثر پروتكل ها به منظور پيكربندی ليست های دستيابی حداقل می بايست دو اقدام زير اساسی را انجام داد :
· مرحله اول : ايجاد يك ليست دستيابی
· مرحله دوم : نسب دادن ليست دستيابی به يك اينترفيس
در ادامه به تشريح هر يك از مراحل فوق خواهيم پرداخت .

[B@RBOD]

مرحله اول : ايجاد ليست های دستيابی

برای هر پروتكلی كه قصد فيلترينگ آن را بر روی هر اينترفيس روتر داريم ، می بايست ليست های دستيابی را ايجاد نمود . برای برخی پروتكل ها می بايست يك ليست دستيابی را برای فيلترينگ ورودی و يك ليست دستيابی ديگر را برای كنترل ترافيك خروجی تعريف نمود . جداول 1 و 2 ، پروتكل هائی را كه می توان با استفاده از ليست های دستيابی آنها را فيلتر نمود مشخص می نمايد .

جدول 1 : مراجعه به پروتكل ها در ليست های دستيابی بر اساس نام



جدول 2 : مراجعه به پروتكل ها در ليست های دستيابی بر اساس اعداد

برای ايجاد يك ليست دستيابی ، پروتكلی را كه قصد فيلترينگ آن را داريم مشخص و يك نام و يا عدد منحصربفرد را به ليست دستيابی نسبت داده و ضوابط مربوط به فيلترينگ بسته های اطلاعاتی را تعريف می كنيم . در يك ليست دستيابی می توان چندين عبارت فيلترينگ را تعريف نمود .

شركت سيسكو توصيه نموده است كه در ابتدا ليست های دستيابی بر روی يك سرويس دهنده TFTP تعريف و در ادامه آنها را بر روی روتر download نمود . با اين كار ، امكان نگهداری و پشتيبانی از ليست های دستيابی ساده تر خواهد شد . در ادامه با ايجاد و ويرايش عبارات مورد نياز به منظور تعريف ضوابط در ليست های دستيابی بر روی يك سرويس دهنده TFTP آشنا خواهيم شد .

<!-- / message --><!-- sig -->

[B@RBOD]

نسبت دهی يك نام و يا عدد منحصر بفرد به هر ليست دستيابی

در زمان پيكربندی ليست های دستيابی بر روی يك روتر ، می بايست هر ليست دستيابی به صورت منحصربفرد توسط يك پروتكل ، يك نام و يا عدد مشخص گردد . توجه داشته باشيد كه ليست های دستيابی برای برخی پروتكل ها می بايست توسط يك نام و در برخی ديگر توسط يك عدد مشخص گردند . برخی پروتكل ها را می توان توسط يك نام و يا يك عدد مشخص نمود . زمانی كه از يك عدد به منظور مشخص كردن يك ليست دستيابی استفاده می گردد ، عدد استفاده شده می بايست در محدوده مجاز پروتكل باشد . برای پروتكل های نشان داده شده در جدول 1 ، می توان ليست های دستيابی را بر اساس نام ايجاد نمود .

برای پروتكل های نشان داده شده در جدول 2 ، می توان ليست های دستيابی را بر اساس اعداد مشخص نمود . در جدول فوق ، محدود مجاز اعداد برای هر پروتكل نيز نشان داده شده است .
<!-- / message --> <!-- sig -->

[B@RBOD]

تعريف ضوابط لازم برای فوروادينگ و يا بلاك كردن بسته های اطلاعاتی

در زمان ايجاد يك ليست دستيابی ، ضوابط مورد نياز به منظور پردازش بسته های اطلاعاتی توسط روتر مشخص می گردد . با توجه به ضوابط تعريف شده ، روتر در خصوص فوروارد نمودن و يا بلاك كردن هر بسته اطلاعاتی تصميم گيری‌ می نمايد .

برای تعريف مجموعه ضوابط مورد نياز در يك عبارت از آدرس های مبداء بسته اطلاعاتی ، آدرس های مقصد بسته اطلاعاتی و يا پروتكل های لايه بالاتر استفاده می گردد . هر پروتكل دارای مجموعه ضوابط اختصاصی مربوط به خود است كه می توان آنها را تعريف نمود .

در يك ليست دستيابی ، می توان چندين ضابطه را در چندين عبارت جداگانه تعريف نمود . در چنين مواردی هر يك از عبارات ، می بايست دارای يك نام و يا عدد مشابه باشند تا عبارات در ارتباط با يك ليست دستيابی مشابه بكار گرفته شوند . در تعداد عباراتی كه به كمك آنها ضوابط را تعريف می نمائيم ، محدوديتی وجود ندارد و تنها محدوديت به ميزان حافظه موجود بر می گردد . توجه داشته باشيد كه هر اندازه كه تعداد عبارات بيشتر باشد ، مديريت ليست های دستيابی مشكل تر خواهد شد .

[B@RBOD]

مفهوم عبارت Deny AllTraffic

در انتهای هر ليست دستيابی از يك عبارت Deny all traffic استفاده خواهد شد . بنابراين ، اگر يك بسته اطلاعاتی با هيچيك از شرايط مشخص شده مطابقت ننمايد ، بسته اطلاعاتی بلاك خواهد شد .

[B@RBOD]

اولويت عبارات در يك ليست دستيابی

هر عبارت جديد در يك ليست دستيابی ، به انتهای ليست اضافه خواهد شد . همچنين توجه داشته باشيد كه نمی توان عبارات خاصی را در ليست دستيابی حذف نمود و در صورت نياز می بايست تمام ليست دستيابی حذف و مجددا" با شرايط جديد ايجاد گردد .

اولويت عبارات موجود در يك ليست دستيابی بسيار حائز اهميت است . نرم افزار

IOS ، بسته اطلاعاتی را متناسب با هر يك از ضوابط تعريف شده در عبارات با توجه به اولويت تعريف شده، بررسی می نمايد و در صورت مطابقت با يكی از ضوابط تعريف شده ، از ساير عبارات صرفنظر خواهد كرد (نظير عبارت معروف IF Then Else در دنيای برنامه نويسی است ) .

در صورتی كه عبارتی تعريف شده است كه در آن با صراحت مجوز لازم برای تمامی ترافيك صادر شده باشد ، ساير عبارات موجود در ليست بررسی نخواهند شد . همچنين ، در صورتی كه لازم باشد به يك ليست دستيابی عبارات جديدی اضافه گردد ،‌ می بايست ليست دستيابی را حذف و مجددا" آن را به همراه موجوديت های جديد ايجاد نمود .