Specifikationerna för åtkomstlistan beror på din nätverksutrustning (Cisco, Juniper, etc.) och typen av åtkomstlista (standard eller utökad). Här är exempel för Cisco iOS -enheter, det vanligaste scenariot:
med en utökad åtkomstlista (rekommenderas): Utökade åtkomstlistor låter dig filtrera baserat på källa/destination IP-adress, protokoll och port. Detta är mycket mer exakt och säkert än en standardåtkomstlista.
`` `
Access-List Extended Deny_DNS_53 DENY TCP någon eq 53
Access-List Extended Deny_DNS_53 Deny UDP någon eq 53
`` `
Detta skapar en utökad åtkomstlista med namnet `Deny_dns_53 '. Raderna gör följande:
* `förnekar TCP någon eq 53`:förnekar TCP -trafik till port 53 (används för vissa DNS -frågor). "Alla" betyder alla IP -adresser för källa och destination.
* `förnekar UDP någon eq 53`:förnekar UDP -trafik till port 53 (den primära porten som används för DNS). "Alla" betyder igen alla IP -adresser för källa och destination.
Tillämpa åtkomstlistan: Denna åtkomstlista måste till exempel tillämpas på ett gränssnitt:
`` `
gränssnitt gigabitethernet0/0
IP Access-Group Deny_DNS_53 Out
`` `
Detta tillämpar åtkomstlistan för den utgående trafiken i gränssnittet `gigabitEthernet0/0`. Ändra "ut" till "i" för att filtrera inkommande trafik. Byt ut `GigabitEthernet0/0` med det faktiska gränssnittet du vill kontrollera.
Använda en standardåtkomstlista (mindre exakt, vanligtvis inte rekommenderad): Standardåtkomstlistor endast filter baserat på käll-IP-adresser. Du kan inte ange porten med en standardåtkomstlista, vilket gör den olämplig för denna specifika uppgift om du inte vill förneka trafik från en specifik IP *helt *, oavsett porten. Det skulle vara mycket bredare och mer benägna att störa legitim trafik. Undvik detta tillvägagångssätt för DNS -filtrering.
Viktiga överväganden:
* Placering: Överväg noggrant var du tillämpar åtkomstlistan. Att tillämpa det för i stort sett kan störa din egen DNS -upplösning. Det är ofta bäst att tillämpa det på ett gränssnitt närmare de enheter eller användare du vill begränsa.
* interna DNS: Om du har en intern DNS -server, se till att den inte påverkas av denna åtkomstlista. Du kan behöva ytterligare regler för att tillåta trafik till och från din interna DNS -server.
* andra portar: DNS kan ibland använda andra portar. Medan 53 är standarden kan du behöva överväga ytterligare regler om du misstänker att alternativa portar används.
* brandvägg: Tänk på en brandvägg (som PFSense, OPNSense eller en dedikerad hårdvarubrandvägg) för mer robust och sofistikerad nätverkssäkerhet. Brandväggar erbjuder i allmänhet mer avancerade funktioner för att kontrollera trafik än enkla åtkomstlistor.
Testa alltid dina åtkomstliständringar i en testmiljö innan du tillämpar dem i ditt produktionsnätverk. Felaktigt konfigurerade åtkomstlistor kan starkt störa nätverksanslutning.
