Маршрутизация и направление ACL

Маршрутизация и направление ACL
Неоднократно встречался по работе с таким вопросом, но недавно опять обнаружил в Интернете вопрос, связанный с тем, как работают ACL на сетевом оборудовании и в каком направлении их применять.

Рассмотрим на примере, когда ПК находится в подсети 10.0.10.0/24, DNS-сервер - в 10.0.20.0/24. См. картинку.

name='more'>
Поймем, какой ACL на каком этапе срабатывает. Исходим из того, что ACL не рефлексивные, то есть, нужно открывать их как для запросов, так и для ответных пакетов.
 Как идет информационный обмен:
  1. UDP-пакет с src port >1024 и dst port 53 инициируется PC.
  2. С точки зрения маршрутизатора для интерфейса VLAN10 этот пакет будет входящим, поэтому будет проходить проверку ACL_VLAN10_in.
  3. По таблице маршрутизации пакет направляется через интерфейс назначения VLAN20.
  4. Для интерфейса VLAN20 пакет считается исходящим, и инспектируется ACL, примененным на out для интерфейса (ACL_VLAN20_out).
  5. Запрос доходит до сервера и обрабатывается им. Генерируется ответный UDP-пакет с src port 53 и dst port >1024(именно тем, с которым пришел пакет).
  6. На входе в маршрутизатор пакет проходит ACL_VLAN20_in.
  7. По таблице маршрутизации пакет направляется через интерфейс назначения VLAN10.
  8. На выходе из маршрутизатора пакет проверяется ACL_VLAN10_out.
  9. Ответ приходит к ПК.

То есть, ACL должны выглядеть таким образом (возможны вариации в зависимости от производителя маршрутизатора и версии ПО):
ACL_VLAN10_in
 10 permit udp <PC> gt 1024 <DNS_server> eq 53
ACL_VLAN10_out
 10 permit udp <DNS_server> eq 53 <PC> gt 1024
ACL_VLAN20_in

 10 permit udp <DNS_server> eq 53 <PC> gt 1024
ACL_VLAN20_out
 10 permit udp <PC> gt 1024 <DNS_server> eq 53

Видно, что в частном этом случае
ACL_VLAN10_in = ACL_VLAN20_out
ACL_VLAN10_out = ACL_VLAN20_in

Естественно, в приближенной к продуктиву среде идентичны будут не полностью ACL, а строки, описывающие взаимодействие между данными подсетями.

Надеюсь, информация будет полезной.


Alt text

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed