Siguria Në Rrjetet Kompjuterike. Listat e Kontrollit Të Qasjes - ACL PDF

Rrjetet Kompjuterike
Siguria n rrjetet kompjuterike.

Listat e Kontrollit t Qasjes ACL
Ligjrues: Luan Gashi

M.Sc. in Computer Science and Engineering, ICT
CCNP Security, CCAI
MCSE Server Infrastructure, MCT
Objektivat
Faktort q ndikojn n dizajnimin e siguris s rrjeteve
kompjuterike
DMZ dhe roli i saj
Rndsia dhe funksioni i listave t kontrollit t qasjeve n
rrjet
Listat standarde t kontrollit t qasjes
Listat e zgjeruara t kontrollit t qasjes
Algoritmet e listave standarde dhe t zgjeruara t
kontrollit t qasjeve
Rregullat pr vendosjen e listave t kontrollit t qasjeve
n ndrfaqe t ruterit
Konfigurimi dhe implementimi i listave t kontrollit t
qasjeve n ndrfaqe t ruterit
Ligjrues: Luan Gashi 2
TCP Three-Way Handshake
Klienti zgjedh dhe transmeton nj numr sekuencial
Serveri pranon numrin sekuencial dhe drgon/kthen numrin e vet
sekuencial
Klienti pranon numrin sekuencial t serverit dhe sesioni hapet pr
transmetimin e t dhnave

Faktort q ndikojn n dizajnimin e siguris
s rrjeteve kompjuterike
Nevojat e biznesit
Analizimi i
rrezikshmris
Politikat e siguris
Praktikat m t mira t
industris
Operacionet e siguris

DMZ Vendosja dhe funksioni
DMZ (ang. Demilitarized zone) izolon krkesat nga

Interneti drejt serverve/rrjetave lokale
Ndalon/filtron transmetimet drejt rrjetave t
brendshme/lokale

Operimi i Firewall-it

Shembull - Operimi i Firewall-it
1. Krkesa nga jasht pr t par sajtin

2. Firewall-i ruan krkesn nga jasht dhe t dhnat e
koneksionit pastaj prcjell krkesn pr tek ruteri
3. Ueb serveri i prgjigjet krkess pr t par sajtin
4. Firewall-i kontrollon gjendjen e koneksionit n tabeln e
vet pr t gjet prputhjen n listn e kontrollit t qasjes
Listat e kontrollit t qasjes - ACL
Listat e kontrollit t qasjes - ACL (ang. Access Control List)
jan listat me instruksione kushtzimi apo filtrimi q
aplikohen n ndrfaqen e ruterit
Listat e Kontrollit t Qasjes - ACL-t jan dizajnuar pr t
ofruar sigurin themelore n rrjet
Me ndihmn e ACL-ve mund t aplikojm kushtin pr t
prcaktuar se cilat paketa te t dhnave do t rrugtohet
nga ruteri e cilat jo

Funksionimi i ACL-ve
Ekzistojn disa rregulla t cilave u nnshtrohen paketat gjat

krahasimit me ACL-n e konfiguruar n ndrfaqe:
Paketat gjithmon do t krahasohen n mnyr sekuenciale me kushtin
e prcaktuar n ACL duke shkuar nga rreshti i par kah rreshti i fundit.
N fund t secils ACL ekziston kushti i refuzimit implicit.
Ekzistojn tre kategori t Listave t Kontrollit t Qasjes e ato
jan:
IP Listat e Kontrollit t Qasjes Standarde (1 99)
IP Listat e Kontrollit t Qasjes t Zgjeruara (100 199)
IP Listat e Kontrollit t Qasjes me emrtim (emrtojm sipas dshirs)

ACL pr filtrimin e trafikut t drejtuar
prbrenda rrjets (in)

ACL pr filtrimin e trafikut t drejtuar n
dalje t rrjets (out)

Maska wildcard
Maska wildcard pr nga struktura sht e ngjashme me

maskn e subnets, madje quhet edhe inversi i saj, por
pr nga funksioni dallon plotsisht
Shkruhet n formatin standard 32 bitsh e ndar n
katr oktete
Maska wildcard i tregon ruterit se ciln pjes t
adress duhet ta kontrolloj, gjegjsisht cila sht
hapsira q mund t injorohet
Numri 0 n maskn wildcard i tregon ruterit se bitt
prkats n adres duhet t kontrollohen nga ACL-ja.
Numri 1 i tregon ruterit se bitt prkats t adress
mund t injorohen nga ACL-ja.

Shembuj t Masks wildcard
Maska wildcard
n form Maska wildcard n form binare Prshkrimi i masks wildcard
decimale
T gjith bitt duhet t
0.0.0.0 0000 0000.0000 0000.0000 0000.0000 0000
kontrollohen
Vetm 24 bitt e par duhet t
0.0.0.255 0000 0000.0000 0000.0000 0000.1111 1111
kontrollohen
0.0.255.255 0000 0000.0000 0000.1111 1111.1111 1111
kontrollohen
0.255.255.255 0000 0000.1111 1111. 1111 1111.1111 1111
kontrollohen
T gjith bitt n adres do t

255.255.255.255 1111 1111.1111 1111. 1111 1111.1111 1111
injorohen
Vetm 19 bitt e par do t

0.0.31.255 0000 0000.0000 0000.0001 1111.1111 1111
kontrollohen

IP Listat Standarde t Kontrollit t Qasjes - ACL
ACL-t standarde prdoren pr t parandaluar

qasjet n segmentet e caktuara t rrjets apo
edhe n parandalimin e shfrytzimit t
resurseve t caktuara n rrjet
ACL-t standarde paraqesin nj prmbledhje

sekuenciale t kushteve lejo dhe ndalo t
cilat aplikohen n IP adresn e burimit t
trafikut.

Konfigurimi i IP ACL-s Standarde
Krijo ACL-n n nivelin global t konfigurimit duke saktsuar

numrin e ACL-s dhe kushtin e qasjes q duhet t plotsohet.
Defino IP ACL-n standarde duke prdorur IP adresn e burimit t
trafikut dhe wildcard maskn.
Apliko IP ACL-n n nivelin e konfigurimit t ndrfaqes

Pasi t jet krijuar, ACL-ja mund t aplikohet n nj apo m shum
ndrfaqe brenda ruterit.
Sintaksa e komands pr konfigurim t ACL-s

access-list acl-number {permit | deny | remark} {source address source
wildcard|any}[log]
ip access-group acl-number {in|out}

Shembull i ACL-s standarde
UBT-PR# config terminal

UBT-PR(config)# access-list 27 remark Ndalo trafikun nga LAN i
rrjetit UBT-TR n rrjetin e brendshm t ruterit UBT-PR
UBT-PR(config)# access-list 27 deny 172.16.16.0 0.0.7.255
UBT-PR(config)# access-list 27 permit any
UBT-PR(config)# interface serial 0/0/0
UBT-PR(config-if)# ip access-group 27 in
UBT-PR(config-if)# exit

IP Listat e Zgjeruara t Kontrollit t Qasjes
ACL-t e zgjeruara mundsojn filtrimin e paketave te t dhnave
bazuar n adresn e burimit dhe destinacionit, protokollit t shtress
s transportit si dhe numrit t portit t aplikacionit
Lista e kontrollit t
Paketa e t dhnave
qasjes?
Ekziston
Nuk ekziston
Adresa e
Burimit Prputhet
Nuk Prputhet
Adresa e
Nuk Prputhet
Destinacionit
Prputhet
Nuk Prputhet Protokoli?

Prputhet
Nuk Prputhet
Opcionet e
protokolit?
Reshta shtes?
Jo
Prputhet
Po Kushtin i
plotsuar?
Reshti i ardhshm n list Refuzo Jo Po Lejo
Ligjrues: Luan Gashi Prcille Paketin 17

ICMP Mesazhi
Konfigurimi i ACL-s s zgjeruar
Sintaksa e komands pr konfigurim t ACL-s s

zgjeruar
access-list acl-number {permit | deny | remark} {protocol | protocol
keyword}{source source-wildcard | any}{destination destination-
wildcard | any}[protocol-specific options][log]
Zbatimi n ndrfaqe prkatse

ip access-group acl-number {in|out}

Shembull i ACL-s zgjeruar
UBT-PR>enable
UBT-PR#configure terminal
UBT-PR(config)# access-list 101 remark Ndalo TCP trafikun nga LAN1 n rrjetin e
mbrendshm t RuteritB
UBT-PR(config)# access-list 101 deny tcp 172.16.8.0 0.0.7.255 172.16.16.0 0.0.7.255
UBT-PR(config)# access-list 101 permit ip any any
UBT-PR(config)# interface fastethernet 0/0
UBT-PR(config-if)# ip access-group 101 in
UBT-PR(config-if)# exit
UBT-PR(config)# exit
IP Listat e Kontrollit t Qasjes me emrtim
IP ACL-t me emrtim pr nga logjika q aplikon n

filtrimin e paketave sht e njjt me IP ACL-t
standarde dhe t zgjeruara
Ruteri i identifikon kto lista me emr e jo me numr, gj q i
bn ato m t lehta pr pun pasi q emrat mund t mbahen n
mend m leht se sa numrat
Shembull
UBT-PR(config)#ip access-list extended ACL_ime
UBT-PR(config-ext-nacl)#deny tcp 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255
UBT-PR(config-ext-nacl)#permit ip any any
UBT-PR(config-ext-nacl)#exit
UBT-PR(config)#interface serial 0/0
UBT-PR(config-if)#ip access-group ACL_ime out
UBT-PR(config-if)#exit

Prmbledhje
DMZ-ja ka rolin e zons s demilitarizuar pr t parandaluar

deprtimin e trafikut t padshiruar n rrjetn lokale
Firewall-et dhe funksionimi i tyre efikas mbron rrjetet
kompjuterike
Siguria e rrjeteve kompjuterike behet kryesisht prmes listave t
kontrollit t qasjes
ACL-t na japin mundsi t kufizojm trafikun n rrjet, t rrisim
performancn dhe t menaxhojm sigurin n rrjet.
Ekzistojn tri kategori t Listave t Kontrollit t Qasjes e ato jan:
IP Listat e Kontrollit t Qasjes Standarde
IP Listat e Kontrollit t Qasjes t Zgjeruara
IP Listat e Kontrollit t Qasjes me emrtim

Referenc
Selman Haxhijaha Rrjetat Kompjuterike,

UBT 2012
http://docwiki.cisco.com
http://www.ciscopress.com

Pyetje?

Siguria Në Rrjetet Kompjuterike. Listat e Kontrollit Të Qasjes - ACL PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Siguria Në Rrjetet Kompjuterike. Listat e Kontrollit Të Qasjes - ACL PDF

Uploaded by

Copyright:

Available Formats

Rrjetet Kompjuterike

Siguria n rrjetet kompjuterike.

Ligjrues: Luan Gashi

Ligjrues: Luan Gashi 3

Ligjrues: Luan Gashi 4

DMZ (ang. Demilitarized zone) izolon krkesat nga

Ligjrues: Luan Gashi 5

Ligjrues: Luan Gashi 6

1. Krkesa nga jasht pr t par sajtin

Ligjrues: Luan Gashi 8

Ekzistojn disa rregulla t cilave u nnshtrohen paketat gjat

Ligjrues: Luan Gashi 9

Ligjrues: Luan Gashi 10

Ligjrues: Luan Gashi 11

Maska wildcard pr nga struktura sht e ngjashme me

Ligjrues: Luan Gashi 12

T gjith bitt n adres do t

Vetm 19 bitt e par do t

Ligjrues: Luan Gashi 13

ACL-t standarde prdoren pr t parandaluar

ACL-t standarde paraqesin nj prmbledhje

Ligjrues: Luan Gashi 14

Krijo ACL-n n nivelin global t konfigurimit duke saktsuar

Apliko IP ACL-n n nivelin e konfigurimit t ndrfaqes

Sintaksa e komands pr konfigurim t ACL-s

ip access-group acl-number {in|out}

UBT-PR# config terminal

Ligjrues: Luan Gashi 16

Nuk Prputhet Protokoli?

Ligjrues: Luan Gashi Prcille Paketin 17

Sintaksa e komands pr konfigurim t ACL-s s

Zbatimi n ndrfaqe prkatse

Ligjrues: Luan Gashi 18

UBT-PR(config)# access-list 101 deny tcp 172.16.8.0 0.0.7.255 172.16.16.0 0.0.7.255

UBT-PR(config)# access-list 101 permit ip any any

UBT-PR(config)# interface fastethernet 0/0

UBT-PR(config-if)# ip access-group 101 in

IP ACL-t me emrtim pr nga logjika q aplikon n

Ligjrues: Luan Gashi 20

DMZ-ja ka rolin e zons s demilitarizuar pr t parandaluar

Ligjrues: Luan Gashi 21

Selman Haxhijaha Rrjetat Kompjuterike,

Ligjrues: Luan Gashi 22

Ligjrues: Luan Gashi 23

You might also like