Jesli dobrze zrozumialem to reflexive ACL pozwala nam monitorowac sesje wyzszych warstw (TCP, UDP) i zezwalac na ruch powracajacy zainicjalizowany z jakiegos np. wewnetrznego interfejsu oraz odrzucac nowe polaczenia (SYN) na drugim interfejsie.
podczas gdy
dopisanie established dla permit tcp... bedzie jedynie sprawdzac stan flag w pakietach i nie monitoruje zadnych sesji
Sa jeszcze jakies roznice w tych 2 rozwiazaniach? Da sie jakos sprawdzic stan monitorowanych sesji, timeouty dla reflexive ACL?
różnica między reflexive ACL a ... established
- sebu
- CCIE / Instruktor CNAP
- Posty: 843
- Rejestracja: 03 cze 2005, 02:08
- Lokalizacja: Warsaw, Poland
- Kontakt:
różnica między reflexive ACL a ... established
Jesteś ambitnym inżynierem i szukasz ciekawych projektów? Zapraszamy do współpracy w ramach NetFormers (stałej i projektowej). Info na PRV.
Work: http://netformers.pl
Linked-in: http://www.linkedin.com/in/strzelak
Work: http://netformers.pl
Linked-in: http://www.linkedin.com/in/strzelak
Ogólnie dobrze mówisz.
Zobacz tutaj:
http://ccie.pl/viewtopic.php?t=95
Akapit zaczyna się od:
"You're perhaps wondering, "well, gee, I just use the established keyword in my extended access list, to allow replies through". You already know that established matches ACK and RST bits in the TCP header, in effect specifying packets which are part of an already-established session. Well, that doesn't work with UDP or ICMP, and it doesn't work with programs that dynamically vary the internal (source) port."
No i dokumentacja do Reflexive ACL (dla IOS 12.2):
Configuration Guide:
"Configuring IP Session Filtering (Reflexive Access Lists)"
http://tinyurl.com/4733a
Command Reference:
"Reflexive Access List Commands"
http://tinyurl.com/gsrsp
W praktyce o wiele więcej razy używałem Reflexive ACL niż established.
Jakoś to established jest bardzo rzadko używane.
Częściej właśnie albo Reflexive ACL albo CBAC.
Zobacz tutaj:
http://ccie.pl/viewtopic.php?t=95
Akapit zaczyna się od:
"You're perhaps wondering, "well, gee, I just use the established keyword in my extended access list, to allow replies through". You already know that established matches ACK and RST bits in the TCP header, in effect specifying packets which are part of an already-established session. Well, that doesn't work with UDP or ICMP, and it doesn't work with programs that dynamically vary the internal (source) port."
No i dokumentacja do Reflexive ACL (dla IOS 12.2):
Configuration Guide:
"Configuring IP Session Filtering (Reflexive Access Lists)"
http://tinyurl.com/4733a
Command Reference:
"Reflexive Access List Commands"
http://tinyurl.com/gsrsp
W praktyce o wiele więcej razy używałem Reflexive ACL niż established.
Jakoś to established jest bardzo rzadko używane.
Częściej właśnie albo Reflexive ACL albo CBAC.
Wlaczasz te mechanizmy w zaleznosci jaki masz soft na routerze.
Establish- atakujacy zawsze moze ustawic flage ACK
Reflexive Access Lists- stare, ale jare . Ograniczenia to np takie ze nie obsluguje niektorych sesji (np. ftp)
CBAC- pelny firewall stanowy. Najwieksze security .....i wymagania na CPU i MEM. Uwaga mozesz zabic tym wolny router
CBAC czy nie CBAC oto jest pytanie
Establish- atakujacy zawsze moze ustawic flage ACK
Reflexive Access Lists- stare, ale jare . Ograniczenia to np takie ze nie obsluguje niektorych sesji (np. ftp)
CBAC- pelny firewall stanowy. Najwieksze security .....i wymagania na CPU i MEM. Uwaga mozesz zabic tym wolny router
CBAC czy nie CBAC oto jest pytanie