TCP Established

Protokoll och portar      |      Extended ACL Namngiven

TCP kan tillhandahålla grundläggande stateful firewall-funktionalitet genom att använda nyckelordet ”established” i en Extended ACL. Detta nyckelord gör det möjligt att tillåta utgående trafik från det interna nätverket, samtidigt som det endast tillåter returtrafik från anslutningar som redan har etablerats. På så sätt nekas all inkommande oönskad trafik från externa källor, vilket förbättrar nätverkssäkerheten.

Princip förestablished

  • Tillåter intern trafik att initiera en anslutning och skickas ut till externa resurser.
  • Tillåter endast returtrafik från externa servrar tillbaka till de interna klienterna.
  • Blockerar all obehörig inkommande TCP-trafik från externa datorer som försöker skapa nya anslutningar till det interna nätverket.

Exempel på begränsning av inkommande trafik med ”established”

För att begränsa inkommande TCP-trafik från obehöriga externa enheter kan nyckelordet ”established” användas. Följande ACL-konfiguration implementerar denna funktionalitet.

1.- Tillåt interna datorer att initiera HTTP- och HTTPS-trafik

R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq www
R1(config)# access-list 110 permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config)# interface g0/0/0
R1(config-if)# ip access-group 110 in
R1(config-if)# exit

Förklaring:

  • ACL 110 tillåter HTTP (port 80) och HTTPS (port 443) att skickas från interna datorer (192.168.10.0/24) till vilken destination som helst.
  • Tillämpas inkommande på interface G0/0/0, där trafiken går in i routern från det lokala nätverket.

2.- Begränsa inkommande trafik och tillåt endast etablerade anslutningar

R1(config)# access-list 120 permit tcp any 192.168.10.0 0.0.0.255 established
R1(config)# interface g0/0/0
R1(config-if)# ip access-group 120 out
R1(config-if)# end

Förklaring:

  • ACL 120 tillåter endast TCP-returtrafik från internet tillbaka till interna datorer.
  • Nyckelordet ”established” innebär att enbart anslutningar som redan har initierats av interna enheter får returnera trafik.
  • All annan inkommande TCP-trafik nekas implicit.
  • Tillämpas utgåendeinterface G0/0/0, där trafiken lämnar routern och går mot det interna nätverket.

Verifiering av ACL-funktionalitet

Efter att ACL:erna har tillämpats kan deras funktion verifieras med kommandot show access-lists.

R1# show access-lists

Extended IP access list 110
10 permit tcp 192.168.10.0 0.0.0.255 any eq www
20 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (657 matches)
Extended IP access list 120
10 permit tcp any 192.168.10.0 0.0.0.255 established (1166 matches)
R1#

Statistik visar:

  • ACL 110 (ingående) har 657 matchningar, vilket innebär att intern HTTP- och HTTPS-trafik har skickats ut till internet.
  • ACL 120 (utgående) har 1166 matchningar, vilket indikerar att returtrafik från etablerade sessioner har accepterats.

Sammanfattning

Genom att använda nyckelordet ”established” i en Extended ACL kan obehörig extern trafik förhindras från att initiera nya anslutningar till interna enheter, samtidigt som interna datorer tillåts att påbörja anslutningar och ta emot returtrafik. Detta skapar en grundläggande Stateful Packet Filtering-funktionalitet, där endast svarstrafik från redan etablerade sessioner accepteras, vilket förbättrar nätverkssäkerheten genom att minska risken för obehöriga intrång.

Protokoll och portar      |      Extended ACL Namngiven