واژه های کلیدی: امنیت، شبکه، روتر، سوئیچ و مدیریت امنیت
لیست های کنترل دسترسی منعطف- reflexive access control lists (acls)- کنترل بیشتری را بر روی ترافیکی که وارد شبکه شما می شوند، اعمال می کنند و قابلیت های لیست های دسترسی توسعه یافته(Extended access lists) را افزایش می دهند.
مدیران شبکه از reflexive acls به منظور عبور ترافیک ip که در شبکه تولید شده و جلوگیری از عبور ترافیک که خارج از شبکه تولید شده، استفاده می کنند . این نوع acl به روترها قابلیت مدیریت پویای ترافیک sessionها را می دهد.
روتر، آدرس مقصد ترافیک خروجی را می خواند ودر صورتی که این ترافیک مربوط به یک ارتباط جدید باشد، یک سطر جدید به acl موقت اضافه می کند، تا امکان برگشت جواب از طرف مقصد جدید باشد.
سطر اول اکثر لیست های دسترسی اجازه عبور به ترافیک تائید شده می باشد . این روش در مورد ترافیک های UDP یا icmp و برنامه هایی که به طور پویا source Port را تغییر می دهند کارا نمی باشد.
این سطر (اجازۂ عبور ترافیک تأیید شده)تنها بیت های مربوط به ACKو rst را چک می کند ولی آدرس منبع و مقصد را چک نمی کند.
reflexive acls در مورد ترافیک های UDP و icmp که بیت های ACK و rst را ندارند، نیز کارا می باشد . آنها ترافیک برگشتی شناخته شده از سمت مقصدی که به تازگی با آن ارتباط برقرار شده را مجبور به برگشت به منبع فرستنده آن می کنند . این امر باعث می شود شما کنترل بیشتری را بر روی ترافیکی که وارد شبکه می شود اعمال کنید و در نتیجه قابلیت های لیست های دسترسی توسعه یافته افزایش می یابد.
نحوه عملکرد reflexive acls
در زیر مثالی از acl آمده است:
ip access-group inbound in
ip access-group outbound out
outbound acl کار ارزیابی و مدیریت وضعیت sessionها را با استفاده از گزاره های زیر انجام می دهد:
ip access-list Extended outbound
permit tcp your.network.address any reflect tcpsession
permit UDP your.network.address any reflect UDPsession
این acl ساده اجازه عبور به تمامی ترافیک های TCP و UDP خروجی را می دهد . و به طور پویا دو لیست منعطف برای ترافیک های TCP و UDP ایجاد می کند . از آنجایی که این aclمربوط به ترافیک TCP و UDP خروجی از شبکه می باشد، acl موقت مربوطه، برای مدیریت Session آن ساخته می شود.
inbound acl ترافیک ورودی را ارزیابی می کند . به عنوان مثال:
ip access-list Extended inbound
permit BGP any any
permit tcp any host your.mailserver.address eq smtp
permit tcp any host your.webserver.address eq http
deny icmp any any
evaluate tcpsession
evaluate UDPsession
وقتی شما این aclها را به interfaceهای خارجی نسبت می دهید، اجازه ورود به شبکه به ترافیک های ورودی که با گزاره های permit همخوانی دارند، داده می شود.( در مثال بالا به ترافیک web و mail اجازه ورود داده می شود.) و سایر ترافیک ها فیلتر می شوند.
به طور پیش فرض هر سطر به مدت 300 ثانیه و یا تا زمان پایان Session مربوطه در reflexive list باقی می ماند . به منظور افزایش این زمان از دستور زیر استفاده کنید:
ip reflexive-list Timeout seconds ! seconds Value can be 0 - 2,147,483
موارد کارا نبودن reflexive acls
reflexive acls با برنامه هایی که Port number ها را در طول tcp Session تغییر می دهند کار نمی کنند . اگر Port number یک بسته برگشتی متفاوت از Port number بسته اصلی فرستاده شده باشد، reflexive acl اجازه ورود به بسته برگشتی نمی دهد حتی اگر این بسته واقعا متعلق به Session مربوطه باشد.
active ftp یکی از برنامه هایی است که Port number را تغییر می دهد . به همین دلیل می بایست از passive ftp هنگام انجام درخواست از داخل شبکه استفاده کرد.
سخن آخر اینکه هدف اصلی reflexive acl افزایش توانایی های acl های توسعه یافته می باشد . آنها وضعیت Session ها را ارزیابی می کنند ولی جایگزینی برای Firewall ها نمی باشند.
