您现在的位置:首页 > IT认证 > 思科认证 >

ACL管理网络利器


  笔者所在的单位由一台路由器将两个以太网段连接到Internet上,路由器通过串行端口S0连到Internet上,而以太网分别通过端口E0和 E1连到路由器上。假设我们希望允许任何用户都能通过IP访问198.78.46.12服务器,并允许205.131.175.0网络上的用户通过Web 浏览和FTP访问Internet.
   
    配置如下:
   
    useranme test password cisco
   
    !
   
    int serial 0
   
    IP add 175.10.1.1 255.255.255.0
   
    IP access-group 100 in
   
    !
   
    access-list 100 permit TCP any host 175.10.1.1 eq telnet
   
    access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023
   
    access-list 100 permit TCP any eq 21 205.131.175.0 0.0.0.255 gt 1023 established
   
    access-list 100 permit TCP any eq 80 205.131.175.0 0.0.0.255 gt 1023 established
   
    access-list 100 permit TCP any eq 20 205.131.175.0 0.0.0.255 gt 1023
   
    access-list 100 dynamic test timeout 180 permit IP any host 198.76.46.12 log
   
    !
   
    logging buffered 64000
   
    !
   
    line vty 0 2
   
    login local
   
    autocommand access-enable host timeout 10
   
    line vty 3 4
   
    login local
   
    rotary 1
   
    注意:访问表被应用到了串行端口上,将扩展访问表应用到距离过滤源最近的地方,这是一种很好的方法。
   
    在本例中,我们的目的是要过滤Internet上的主机,所以串行端口是路由器上距离被过滤主机最近的端口,访问表应用的方向是向内的,因为从路由器的角度 看来, 从Internet来的报文是流向路由器的,如果我们将访问列表应用成向外的访问,则过滤的报文将是离开串行接口而通往Internet的报文,而这并非 我们所希望的。另外,我们还建立了一个用户名"test",它可以用来访问路由器。在实际应用中,我们应该为每个用户建立一对用户名和口令。现在,让我们 分析访问列表的每一个表项:
   
    第一个表项允许从任何源I P地址来的报文到达主机175.10.1.1,如果其目标端口为telnet的话,我们实际上允许了向内的telnet连接到路由器的串行接口。我们可以 允许向内的telnet连接到路由器的其他IP地址,但只允许向内访问路由器的串行接口是一种最佳的选择。

    第二个表项允许从任何源I P地址来的报文,如果其源端口是域名系统,且目标网络位于205.131. 175.0/24,目的端口大于1023的话,这将允许DNS应答到达202.131.175.0/24网络。所有有效DNS请求的源端口应该为1024 或更大,因此有效DNS的应答就应发送到此1024或更高的端口。如果我们不指定目的端口大于1023,则攻击者可以从源端口53发送UDP报文到达我们 的网络,从而导致对内部服务器的拒绝服务(denia l-of-service, DOS)攻击。大量的服务器端口都处于小于1024的保留区间内,所以我们应阻塞目的端口小于1024的报文,以关闭潜在的安全漏洞。
   
    第三和第四 个表项允许具有如下特征的报文进入:源端口为www或FTP,目标位于205.131.175.0/24网络,目标端口大于1023,且TCP头中设置了 ACK和RST位。这两个表项允许由内部主机发起的WWW和FTP会话的返回报文。指定源端口和目的端口的原因与第二个表项相同。使用 established意味着只有设置了应答位(ack)和复位位(est)的报文才能够匹配并允许通过访问表项。只有那些已经建立了TCP会话的报文才 会设置这些位,这样增加了访问表的安全层次。值得注意的是,攻击者很容易在向内的报文中手工设置这些位,所以这种检测是十分简单的。但如果内部网络采用正确的TCP/IP协议栈,它们就会忽略这些带ack和est位的向内报文,因为它们不是主机上合法TCP会话的一部 分,这就是为什么established关键字仍然十分重要的原因。
   
    注意:这种检验对UDP报文是无用的,这就是为什么在第二个访问表项中没有该关键字的原因。
   
    第五个表项允许那些源端口为20的任何主机向内报文到达网络205.131.175.0/24的主机,如果其目的端口大于1023的话,允许那些由内部主机 发起的FTP部分数据的报文连接到内部主机。FTP协议实现的标准实现需要FTP服务器发回一个到源FTP客户机连接。该连接的初始报文没有设置ack或 rst位,所以我们在表项中不能使用established关键字。有一种版本的FTP称为被动模式(passive mode)的FTP,它不需要服务器发起一个向源FTP客户机的连接。在这种模式的FTP中,客户机需要发起到FTP服务器非20端口的另一个连接,该端 口是大于1023的一种随机选择。我们允许所有大于1023TCP端口的报文通过,是因为我们不能进一步确定FTP服务器会选择哪一个端口(被动模式 FTP服务器的数据端口不为20,这与普通模式FTP是不同的)。尽管我们不能让该表项如我们所希望的那样确切,established关键字仍能使该表 项比允许外部发起向内部网络的会话要安全一些。
   
    第六个表项(也是最后一个表项)为动态访问表项,它允许来自被认证主机的报文到达服务器 198.78.46.12.我们定义的绝对超时时间为3小时(180分钟),并对该表项进行了日志记录(我们还开启了路由器缓冲区的日志)。通过将匹配动 态表项的报文进行记录,我们可以跟踪用户的行为,并建立一个普通的基线。这样,我们可以发现不正常的行为,并由此判断这是否是由攻击者产生的。我们还将动 态访问表项的空闲时间设置成了10分钟,这是在vty线配置中通过autocommand设置的。最好是将这两个值都设上,这样我们能减少动态表项处于活 跃状态的时间,因此也减少了攻击者冲破动态表项的可能性。
   
    空闲计时器在没有一个报文匹配动态访问表项时进行复位,而绝对计时器是不复位的,即使一个会话仍然处于活跃状态,如果绝对超时达到,动态表项就会被删除, 用户需要再经过一个认证过程。如果他们有经过路由器的活跃会话,这些会话将被终止。因此,建议将绝对超时设置得相对大一些,一般为一个小时或更长一些时 间。但我们应该将空闲时间设置得小一些,一般为10分钟或更短的时间。笔者认为,不应将空闲时间的设置大于30分钟。

相关文章

无相关信息
更新时间2022-03-13 11:05:10【至顶部↑】
联系我们 | 邮件: | 客服热线电话:4008816886(QQ同号) | 

付款方式留言簿投诉中心网站纠错二维码手机版

客服电话: