Existe uma maneira de facilitar a interface com a ACL de nossa rede?

1

No trabalho, frequentemente temos que alterar nossa lista de controle de acesso (ACL), para bloquear qualquer computador com violações de segurança, até que possamos consertar o problema. Atualmente, usamos um computador que é consolado em nosso principal switch de rede. Excluímos a lista antiga (comando "no access-list 101) e copiamos e colamos a nova ACL modificada na linha de comando do switch. Fazemos essa parte 40 ou mais permitindo / permitindo comandos ip de cada vez. Existe uma maneira alternativa que poderíamos apenas dizer ao switch para permitir / permitir IPs específicos, em vez de excluir o original e colá-lo no novo? EDIT: O interruptor que usamos é cisco por marca, não tenho certeza do modelo

    
por killamjr 30.05.2009 / 00:02

5 respostas

0

I Finalmente descobri uma semi-solução para isso, que pelo menos faz com que editar nossa ACL seja menos doloroso. Alteramos as configurações ASCII para que ele coloque o endereço da nossa ACL mais devagar e chegue até onde podemos simplesmente copiar e colar a lista e sair por um tempo.

    
por 18.07.2009 / 22:40
3

Estou assumindo pela sua sintaxe que você está falando do Cisco IOS. Se você tem um nível de código moderadamente recente, então, em vez de

access-list 101 deny ip 10.1.1.1 any
access-list 101 permit ip any any

você pode fazer:

ip access-list extended Name-of-ACL
  deny ip 10.1.1.1 any
  permit ip any any

e quando você "mostrar", haverá uma lista de acesso com números de linha:

show ip access-lists
Extended IP access list Name-of-ACL
  10 deny ip 10.1.1.1 any
  20 permit ip any any 

Em seguida, quando você quiser inserir outro IP, volte a editar a ACL, mas desta vez adicione um número de sequência:

ip access-list extended Name-of-ACL
  15 deny ip 192.168.1.1 any

E ele será inserido nesse local na ACL. Você pode até usar a palavra "observação" no lugar de "permitir" ou "negar" para colocar um comentário na lista.

show ip access-lists
Extended IP access list Name-of-ACL
  10 deny ip 10.1.1.1 any
  15 deny ip 192.168.1.1 any
  20 permit ip any any 
    
por 30.05.2009 / 00:17
1

Um modelo alternativo que você pode fazer é usar uma VLAN para máquinas não infectadas e uma para máquinas infectadas. Isso provavelmente exigiria o uso do DHCP, portanto a reconfiguração mínima precisa ser feita na máquina infectada. Nesse ponto, você poderia usar uma ACL da subinterface da VLAN para a rede para bloquear o acesso à Internet, enquanto (idealmente) deixasse brechas suficientes para baixar patches ou atualizações de vírus.

Se tudo o que você tem interesse é garantir que nenhuma sessão TCP possa ser estabelecida externamente, você pode usar apenas uma rota blackhole (uma rota em Null0) e acoplada à verificação de caminho inverso na interface do roteador de entrada. deve ser capaz de interromper TODO o tráfego de saída dos hosts que você deseja isolar. Pode até causar menos carga no roteador, já que ele usa o mecanismo de encaminhamento em vez de ACLs (embora isso dependa das especificações do hardware do roteador, alguns dos maiores kits da Cisco podem filtrar ACL em wirespeed, compilando a ACL e executá-lo em um ASIC).

    
por 30.05.2009 / 15:16
0

Infelizmente, para remover as entradas, acho que você precisa "não" da ACL para limpá-la.

Eu escrevi muito PHP para enviar comandos para equipamentos Cisco usando Telnet e SNMP, seria muito fácil automatizar esta tarefa.

Eu posso descobrir um exemplo se você estiver interessado.

    
por 30.05.2009 / 00:28
0

Uma maneira de fazer isso que eu realmente gosto é em vez de tentar editar a lista para substituí-la por uma nova lista que inclua um registro de data e hora de quando ela foi criada.

ip access-list extended acl_name-date_time

Torna-se fácil automatizar esse processo com alguns scripts simples para enviar o novo acl para o dispositivo e, em seguida, virar a interface para usar a nova lista.

Recursos extras que tal sistema pode incluir usando um DB para armazenar todas as regras de ACL e uma interface da Web para atualizá-las. Você pode fazer coisas como acompanhar quem possui essa regra, talvez vinculá-la ao ticket em seu sistema de acompanhamento de tickets para saber por que ela foi adicionada. Você também pode definir um tempo de expiração para que as regras temporárias sejam removidas quando não forem mais necessárias.

    
por 31.05.2009 / 13:45