تعريف ب Infrastructure
ACL
من الشائع أن (ACL) بنوعيها (standard) أو (extended) تستخدم لغايتين رئيسيتين: إما لتصفية (فلترة) البيانات المارة عبر جهاز
الشبكة، أو لتحديد البيانات المارة عبر جهاز الشبكة وربطها بعملية معينة مثل (NAT/PAT). كلا الغايتين هدفهما البيانات التي تعبر من خلال جهاز
الشبكة (through the box). ولكن
يمكن استخدام هذه الأداة لحماية أجهزة الشبكة من خلال إحكام البيانات الموجه’ إلى
الجهاز نفسه (to the box).
من المعلوم أن الوظيفة
الرئيسية لأجهزة الشبكة هي تمرير وتوجيه البيانات التي تمر من خلالها، وهذا الدور
الذي تؤديه الأجهزة يسمى (data plane)، ويتم
تطبيق أساليب وسياسات مختلفة على البيانات المارة عبر أجهزة الشبكة باستخدام (ACL) وتصنف بأنها (transit ACL “tACL”).
لكنه يلزم أيضا تطبيق الحماية
وسياسات الأمن للبيانات الموجهة إلى أجهزة الشبكات نفسها، مثل البيانات الخاصة
ببروتوكولات الادارة (Telnet/SSH)، أو
بروتوكول مراقبة أجهزة الشبكة وإدارتها (SNMP)، أو
بروتوكولات التوجيه (OSPF, EIGRP, BGP). حيث من
الضروري أن يتم ضبط الوصول لهذه البروتوكولات لرفع مستوى الحماية للشبكة باستخدام (ACL) حيث تصنف على أنها (Infrastructure
ACL “iACL”).
تتيح (iACL) حماية أجهزة الشبكة من الهجمات التي تتعرض لها الشبكة استغلال
البروتوكولات الشائعة والعاملة عليها لاغراض تهدف إلى تعطيل عمل الشبكة أو الحصول
على عناوين الشبكات العاملة (network addresses) أو منح صلاحيات للوصول لشبكات غير ممكنة الوصول إليها بالغاء أو
تعديل اعدادات هذه الأجهزة. عند تطبيق (iACL) يتم السماح فقط للبيانات الصادرة من أجهزة معينة
من الوصول إلى أجهزة الشبكة، وبالتالي فإن
الهدف من (iACL) هو حماية
(control plane) و (management plane).
ويجب الأشارة هنا بأن (iACL) لا يمكنها حماية أجهزة الشبكة من البيانات الضارة التي تصدر من الأجهزة
الطرفية المصرح لها الوصول لأجهزة الشبكة. إذ أنه يجب تحصين الأجهزة الطرفية نفسها
حسب طبيعة الجهاز. على سبيل المثال يمكن استخدام (iACL) لاحكام
عمل بروتوكول (SNMP) على جهاز الشبكة وذلك
بالسماح لجهاز أو أجهزة (SNMP manager) معينة من
الوصول لجهاز الشبكة لأخذ قراءات (SNMP) المخزنة، هذا يؤدي إلى رفع
مستوى الحماية لأجهزة الشبكة. لكن (iACL) لا تمنع اصابة
أجهزة (SNMP manager) من البرمجيات الخبيثة التي
قد تُستغل للحصول على معلومات عن عناوين الشبكات العاملة في المنظومة.
مثال استخدام
(iACL)
في المثال التالي استخدمت (iACL) للسماح لجهاز (172.18.18.10) والمستخدم لادارة (management
workstation) وجهاز (172.18.10.10) وهو عبارة
عن خادم (server) من امكانية استخدام (ping) للتأكد من الوصول لأجهزة الشبكة :
ip access-list extended
ACL-INFRASTRUCTURE-IN
!--- Permit ICMP Echo (ping) from
trusted management stations and servers
permit icmp host 172.18.18.10 any echo
permit icmp host 172.18.10.10 any echo
!--- Deny all other IP traffic to any network device
deny ip any 172.18.0.0 0.0.255.255
!--- Permit transit traffic
permit ip any any
permit icmp host 172.18.18.10 any echo
permit icmp host 172.18.10.10 any echo
!--- Deny all other IP traffic to any network device
deny ip any 172.18.0.0 0.0.255.255
!--- Permit transit traffic
permit ip any any