تدوينتي لهذا اليوم سوف تكون حول الأكسس ليست Access-List على أجهزة سيسكو وطبعا أنا لن أتحدث عن طرق أعدادها لاني أحاول أن أخذ منحى أحترافي أكثر على المدونة لذا اجزم أن الجميع يعلم كيفية أعدادها وبأختصار موضوعنا سوف يدور حول كيفية تحديد الوقت الذي نرغب به لتطبيق الـ Access-List
وللموضوع أهمية كبيرة فهو يرفع من حجم الحماية على الشبكة ويقدم لنا أمكانيات أكبر للتحكم بالشبكة وبالمستخدمين الموجودين ولندرك أهمية الوقت في الكسس ليست لنعطي بعض الامثلة :
المثال الاول نحن نعلم ان لكل شركة هناك خط أنترنت يسمح للموظفين الموجودين بالعمل وأستخدام الأنترنت وعادة ما يكون الدوام الوظيفي من الساعة الثامنة إلى الخامسة وهو الوقت الذي نحتاجه لكي نقوم بفتح الانترنت وبعد هذا الوقت لن يفيدنا وجود الانترنت بل سوف يضرنا لو في حال أستخدمه أحد المخربين أو أحد الموظفين الذين يريدون تنفيذ شيء غير قانوني على الشبكة أو لنفرض أن هناك برنامج أو فايروس تم أعداده لكي يتصل في وقت يكون الموظفين غير موجودين ويقوم بأرسال معلومات معينة إلى جهات معينة .
المثال الثاني لن يكون من الداخل بل من الخارج وهو مثلا الـ VPN نحن لانريد لأحد الاتصال خارج وقت الدوام مع الشبكة والعبث فيها وطبعا نحن لانقصد الموظفين أنفسهم بل ممكن أحد يكون موجود على جهاز الموظف ويقوم بحذف أو تغيير شيء معين .
ومما لاشك فيه أن الامثلة كثيرة وبل كثيرة جدا وخصوصا عندما نعلم ان كل هذه الأمور مرتبطة بوجود أكسس ليست تسمح فيه للأشخاص الموجودين في الداخل بالخروج وفي نفس الوقت تسمح للأشخاص الموجودين في الخارج بالدخول لذا سوف نلجأ اليوم إلى تحديد أيام وساعات معينة نسمح فيه لهذه الاكسس ليست بفرض قيوده على الشبكة وعلى حركة المرور وسوف يقوم تطبيقنا على المثال الأول وهو السماح للموظفين بأستخدام الأنترنت في ايام وساعات معينة .
والتى سوف نبداها بأول خطوة وهي تحديد الوقت وفق الاعدادات التالية :
Cisco's
Router# conf t
Router(config)# time-range Internet-Access
Router(config-time-range)#?
Time range configuration commands:
absolute absolute time and date
default Set a command to its defaults
exit Exit from time-range configuration mode
no Negate a command or set its defaults
periodic periodic time and date
Router(config)# time-range Internet-Access
Router(config-time-range)#?
Time range configuration commands:
absolute absolute time and date
default Set a command to its defaults
exit Exit from time-range configuration mode
no Negate a command or set its defaults
periodic periodic time and date
نقوم أولا بأختيار أسم معين لهذا الوقت وهنا أخترت Internet-Access وبعدها وضعت أشارة الاستفهام لكي اجد الخيارات المتاحة لدينا والذي يهمنا من كل هذه الأوامر هو أول أمر absolute وهو من أجل تحديد وقت معين وتاريخ معين وساعة معينة يبدأ تطبيق الأكسس ليست مع التنويه أننا أيضا سوف نختار متى يجب أن تنتهي هذه البوليسي أو نتركه فارغا للأشارة إلى أننا نريد تفعيل هذه الأكسس ليست ولانريد ايقافها أبدا أما الأمر الثاني periodic فهو من أجل تحديد وقت متكرر يومي أو أسبوعي أو شهري يتم تطبيق هذه الاكسس ليست والتى سوف نعتمد عليها في أعداد الشبكة وسوف تكون الأعدادات على الشكل الآتي :
Cisco's
Router(config-time-range)# periodic Sunday Thursday 8:00 to 17:00
Router(config-time-range)# periodic Saturday 8:00 to 13:00
Router(config-time-range)# periodic Saturday 8:00 to 13:00
ماذا نستنتج من هذه الأعدادت ؟ الفكرة بسيطة في الأمر الأول وضعت الرانج الخاص بالعمل وهو من الأحد إلى الخميس وهي أيام العمل المعروفة في وطننا العربي وهو يبدأ في الثامنة صباحا وينتهي في الخامسة مساءا والأمر الثاني أخبر الروتر او الاكسس ليست بان هناك يوم أضافي قصير يأتي الموظفين فيه إلى الشركة للعمل وهو يوم السبت ويبدا الدوام من الساعة الثامنة وينتهي في الواحدة ظهرا .
أما الخطوة الثانية فهي أعداد الاكسس ليست التى تسمح للمستخدمين باستخدام الانترنت من خلال فتح المنفذ الخاص بالتصفح والمعروف بي المنفذ ثمانين
Cisco's
Router(config)#access-list 101 permit tcp any any eq 80 time-range Internet-Access log
أعتقد أن الامر مفهوم قمت بالسماح لبروتوكول الـ HTTP بالعبور وفق التوقيت الموضح في البوليسي التى قمت بأعدادها منذ قليل Internet-Access وقمت بعدها بأضافة كلمة log لمراقبة محاولات تجاوز هذه الأكسس ليست على سيرفر الـ SysLog وآخيرا نقوم بتطبيق الاكسس ليست على المنفذ المتصل مع الشبكة الداخلية ولنفرض أنه FE0/0 وأنتهى الأمر
Cisco's
Router(config)# interface fa0/0
Router(config-if)# ip access-group 101 in
Router(config-if)# ip access-group 101 in
أنتهيت تدوينتي لهذا اليوم أتمنى ان أكون قد أضفت شيء للمحتوى العربي ولو كان هذا الشيء يخدم مصالح تجارية لشركة مثل سيسكو وأكيد أنا لا أدعم هذه الشركة وأفضل التعامل مع شركات آخرى والموضوع ببساطة اننا نسير مع التيار فقط أتمنى ان لاتنسونا من دعواتكم لي باليسر والهداية فأنا بحاجة دائما لها وهي كل ما أتمناه منكم ودمتم بود
ليست هناك تعليقات:
إرسال تعليق