Разница между ACL и FPM

В чем разница между ACL и FPM? В деталях, пожалуйста, но простым, понятным способом.

3 голоса | спросил mghaffari 14 42013vEurope/Moscow11bEurope/MoscowThu, 14 Nov 2013 11:47:17 +0400 2013, 11:47:17

2 ответа


3

Я предполагаю, что вы просите сравнить Списки контроля доступа Cisco (ACL) и ACL s может разрешать или отклонять только на основе ограниченного числа полей (некоторые из наиболее часто используемых полей перечислены выше); эти поля хорошо известны во всем Интернете. Тем не менее, традиционный ACL s не может фильтровать внутри полезную нагрузку IP-пакета, например, если кто-то хочет заблокировать определенные типы Tibco RV UDP Multicast, это невозможно сделать с помощью традиционных списков ACL. Традиционный ACL s look как это ...

! Note: this ACL is only granular to a TCP port
access-list 102 permit tcp any any eq 80
access-list 102 permit tcp any any eq 443
access-list 102 permit tcp any any eq 23
access-list 102 permit tcp any any eq 25
access-list 102 permit tcp any any eq 110
access-list 102 deny ip any any log
!
interface FastEthernet0/0
 ip access-group 102 in

FPM

Однако FPM может блокировать /разрешать любой бит внутри заголовка пакета single или полезной нагрузки 1 , если существует допустимый PHDL загружен для поля которые необходимо заблокировать или разрешить. FPM может определять иерархию классов и политик для реализации очень гранулированного контроля над пакетами, которые разрешены или запрещены.

Это пример политики, взятой из FPM , которое соответствует UDP-пакетам, отправленным Slammer Worm . Было бы невозможно заблокировать хосты, зараженные Slammer Worm , используя ACL , если вы не блокируете хороший и плохой трафик SQL по отдельным IP-адресам источника.

load protocol disk2:ip.phdf
load protocol disk2:udp.phdf
!
class-map type stack match-all ip-udp
 description "match UDP over IP packets"
 match field ip protocol eq 0x11 next udp
!
class-map type access-control match-all slammer
 description "match on slammer packets"
 match field udp dest-port eq 0x59A
 match field ip length eq 0x194
 match start l3-start offset 224 size 4 eq 0x4011010
!
policy-map type access-control fpm-udp-policy
 description "policy for UDP based attacks"
 class slammer
  drop
!
policy-map type access-control fpm-policy
 description "drop worms and malicious attacks"
 class ip-udp
  service-policy fpm-udp-policy
!
interface GigabitEthernet0/1
 service-policy type access-control input fpm-policy


Конец Примечания:

1 Ограничение FPM для проверки одного IP-пакета является нетривиальным, поскольку это означает, что можно обойти FPM , если атаке удается разделить сигнатуры атаки на несколько IP-фрагментов или TCP пакетов (поскольку поток TCP повторно собран в приемнике). Тем не менее, это еще очень мощный инструмент, если вы понимаете ограничения технологии.

ответил Mike Pennington 14 42013vEurope/Moscow11bEurope/MoscowThu, 14 Nov 2013 13:07:53 +0400 2013, 13:07:53
2

Списки контроля доступа (ACL) - это сетевые операторы, которые разрешают или запрещают доступ к заданному набору условий на основе первого совпадения.

Стандартные ACL - это самые старые формы ACL и работают невероятно широко. Они соответствуют только одному IP-адресу, и из-за этой ограниченной функциональности в большинстве случаев они работают намного быстрее других типов; это не учитывает аппаратное ускорение.

Предположим, мы хотим ограничить доступ к одному хосту, ниже - это то, что мы будем делать.

rtr(config)# access-list 1 permit 10.1.1.100 0.0.0.0

Эта функциональность ACL еще более усовершенствована с введением расширенных списков ACL. Это позволяет указать IP-адреса источника и получателя, а также номера портов и несколько других параметров (например, tos, приоритет и т. Д.). Добавленная функциональность, предоставляемая этой функцией, также имеет недостаток: увеличение служебных и пакетных проверок.

Предположим, мы хотели еще доработать описанный выше сценарий, чтобы ограничить этот хост одним IP-адресом и разрешить доступ к HTTP.

rtr(config)# access-list 199 permit tcp host 10.1.1.100 host 192.168.1.1 eq 80

Гибкое соответствие пакетов (FPM) - это действительно новейший ACL, доступный. Основное внимание уделяется предупреждению /обнаружению вторжений из-за его обширных сопоставимых характеристик. Вы можете, по-видимому, определить любой параметр внутри пакета для проверки. Как и все, что связано с дополнительными функциями, это связано со значительными потерями производительности. Я взял следующий пример из документация Cisco в FPM и изменил его для соответствия соответствующим полям.

Предположим, что мы хотим еще больше уточнить указанное ограничение. Мы хотим разрешить доступ с этого единственного хоста и запретить любому из этих «доверенных» пользователей передавать вредоносные запросы (в частности «GET \%») на один хост.

rtr(config)# load protocol flash:ip.phdf
rtr(config)# load protocol flash:tcp.phdf  
rtr(config)# class-map type stack match-all ip_tcp
rtr(config-cmap)# description "match TCP over IP packets"
rtr(config-cmap)# match field ip protocol eq 0x6 next tcp
rtr(config-cmap) # description "Match HTTP Exploit Packets"
rtr(config-cmap)# match field tcp dest-port eq 80
rtr(config-cmap)# match field ip source-addr eq 10.1.1.100
rtr(config-cmap)# match start tcp payload-start offset 0 size 32 regex ".*GET \%"
rtr(config)# policy-map type access-control fpm_tcp_policy
rtr(config-pmap)# description "policy for TCP packets"
rtr(config-pmap)# class http_psirt_class
rtr(config-pmap-c)# drop
rtr(config)# policy-map type access-control fpm_policy
rtr(config-pmap)# description "policy HTTP Get exploitation"
rtr(config-pmap)# class ip_tcp
rtr(config-pmap-c)# service-policy fpm_tcp_policy
ответил Ryan Foley 14 42013vEurope/Moscow11bEurope/MoscowThu, 14 Nov 2013 14:06:47 +0400 2013, 14:06:47

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132