BERGEREN - KIG HER

Pas på med at anklage folk for snyd. Jeg har været med på eksperten i over et år. Har \"tjent\" 10840 point, og har rigeligt med point til mit behov......Det værste ved sådan en beskyldning er dog at man skal til at bruge tid på at forsvare sig.....


Min viden kommer fra datanom-udd. og den første tekst kommer fra et bilag til afsluttende projekt. anden del kommer fra et udsnit af selve rapporten


>>>>>>>>udsnit fra rapporten - start<<<<<<<<<<<


Løsningsforslag 2 – den let administrative

Firmaets ønske om 2 netværk løses i dette eksempel ved hjælp af en router med 2 ethernet-porte, hvor der segmenteres, og der sættes ACL-lister op mellem de 2 segmenter.

Ligesom løsningsforslag 1 sættes der faste IP-adresser på Administrationens computere, og de resterende computere sættes op til at hente dynamisk fra DHCP-serveren i routeren.

Da gruppen har valgt en konfiguration for Blåbjerg Produktionsskole hvor der indgår en router med mulighed for ACL-lister, giver dette os mulighed for at lukke af for trafikken i de områder hvor det skønnes der er følsom trafik, eller hvor der er udefra kommende trusler via Internettet.
ACL-lister tilføjes i routerkonfigurationen af administratoren.
ACL-lister giver en fleksibel mulighed for filtrering af datapakker som ”flyder” ind og ud af routerens interface. Ligeledes er der den fordel, ved tilføjelse af ACL-Lister, at man kan begrænse netværkstrafikken, og reducere muligheden for flaskehalsproblemer. Det er også muligt at konfigurere en ACL-Liste således at specifikke datapakker får fortrinsret frem for andre, eller man kan sortere på protokolbasis. Kort fortalt giver ACL-Lister mulighed for en basis sikkerhed, som sammenholdt med installationen af en Firewall og virusscanner, giver optimal sikkerhed for mulige trusler.
Ved hjælp af ACL-lister kan trafik til og fra Internettet og mellem de enkelte segmenter filtreres, så kun forudbestemte computere (IP-adresser) kan komme på /ind fra Internettet,  ligesom at man kan forbyde bestemte trafik typer.
Yderlig information om ACL-lister, se bilag 11

>>>>>>>>udsnit fra rapporten - slut<<<<<<<<<<<

>>>>>>>>udsnit fra bilag 11 - start<<<<<<<<<<<
ACL-Lister

ACL/Active Control Lists

En ACL-liste er en række instruktioner baseret på forskellige specifikationer, kildeadressen, destinationsadressen eller portnumre, som tilføjes i en router-konfiguration for et bestemt interface og ip-adresse med det formål, at:
·    Sikre filtrering af traffik. Kan eksempelvis blokere visse former for Internet trafik
·    Anvende sekventielle lister med enten ”permit” eller ”deny” sammen med ip-adressen eller de højere liggende protokoller, til at sortere datatrafik fra specifikke områder.


Cisco ACL´s virkemåde:
·    De kontrollerer pakken og “upper-layer headers”
·    De sammenholder pakken med hver enkelt betingelse som routeren er konfigureret til, og i den rækkefølge betingelserne er givet.
·    ACL´s arbejder i sekventiel og logisk rækkefølge

Inbound Traffic:     En router med en inbound ACL som kontrollerer hver enkelt pakke i henhold den den betingelse som er konfigureret før den sendes videre til en ”outbound interface”.
Outbound Traffic:    Mere effiktiv end inbound filter, og derfor foretrækkes disse.

De mest benyttede ACL-lister er IP standard fra 1-99, og Extended IP fra 100-199.

Teknikken bag Cisco ACL´s:
Listerne kan skabes ved hjælp af Wildcard Mask Bits som består af fire oktetter, altså 32-bit i alt. Værdien ”0”i binær betyder at tilsvarende/matchende bit skal kontrolleres, og værdien ”1” betyder at tilsvarende/matchende bit skal ignoreres, dvs. denne skal blot passerer routerens interface.
Wildcard Mask Bit´s bliver sammenholdt med en IP-Adresse, “0” og “1” betyder hvordan den tilsvarende IP-Adresse skal behandles og identificeres, skal disse godkendes (permit) eller forbydes (deny).


Eksempel på en standard ACL-liste:
En ACL-liste som kunne holde styr på kommunikation fra de 2 segmenter og Internettet vil evt. kunne se ud på denne måde:

access-list 101 permit tcp any any eq020        #File Transfer [Default Data]
access-list 101 permit udp any any eq020    #File Transfer [Default Data]

access-list 101 permit tcp any any eq021        #File Transfer [Control]
access-list 101 permit udp any any eq021    #File Transfer [Control]

access-list 101 permit tcp any any eq025        #Simple Mail Transfer (SMTP)
access-list 101 permit udp any any eq025    #Simple Mail Transfer (SMTP)

access-list 101 permit tcp any any eq053        #Domain Name Server
access-list 101 permit udp any any eq053    #Domain Name Server

access-list 101 permit tcp any any eq080        #World Wide Web HTTP
access-list 101 permit udp any any eq080    #World Wide Web HTTP

access-list 101 permit tcp any any eq109        #Post Office Protocol - Version 2 (POP2)
access-list 101 permit udp any any eq109    #Post Office Protocol - Version 2 (POP2)

access-list 101 permit tcp any any eq110        #Post Office Protocol - Version 3 (POP3)
access-list 101 permit udp any any eq110    #Post Office Protocol - Version 3 (POP3)

access-list 101 deny any any        #Luk for alt andet trafik!

>>>>>>>>udsnit fra bilag 11 - slut<<<<<<<<<<<