近几年来,计算机网络,特别是互联网的发展非常迅速,ATM以及IP OVER DWDM技术的发展使网络传输的带宽快速增加。而网络安全和管理技术的发展却相对滞后,网络安全的呼声虽高,但真正落到实际的确少之又少。人们往往认为增加企业网络的安全机制需要增加防火墙、认证服务器等设备,但是价格不菲的安全设备,却增加了许多小型企业的生产成本,而事实上,我国广泛使用的CISCO路由器中内嵌IOS中的安全机制以足以满足一般企业互联的需求。
从传统的观点看,路由器的主要功能是将数据报文从一个网络传输到另一个网络。路由器在网络层操作,对应于OSI参考模型的第三层,通过检测报文的网络地址,路由器做出转发报文的决定和相应的动作,与报文一起存在的另一个功能是创建和维护路由表。在安全方面,路由器是保证网络安全的第一关,其保护是以访问控制列表(access-list)的形式进行的,被创建的访问列表可以用来允许或拒绝报文通过路由器。
CISCO路由器的报文过滤可以让用户根据报文的源地址、目的地址以及应用类型控制流入网络的数据流。访问列表是基于将规则和报文进行匹配来允许或拒绝报文的排序表。路由器对报文的控制是按照访问列表中语句创建的顺序进行的,在列表的结尾处,有一句隐含的"deny all",表明没有被此句前访问列表通过的报文将被此句拒绝。
用来允许或拒绝报文的标准是基于报文自身所包含的信息。通常,这些信息只限于报文头所包含的OSI参考模型的第三层的网络地址(访问列表)和第四层的端口(扩展访问列表)信息。因此,访问列表基本上不能使用第四层以上的信息过滤报文,比如,扩展访问列表能够控制ftp报文的访问,但却不能过滤特定的ftp命令如ls 或get等。
访问列表建立在许多有关CISCO IOS的资料中均有十分详尽的介绍,在下面我仅介绍一下本人在设置访问列表所积累得部分心得。
一、建立合理的访问列表,必须了解企业的应用情况
访问列表的建立是为了保护企业网络的安全,因此,建立安全合理的访问列表,首先需要对这个企业的应用进行深入细致的了解,有哪些应用、使用哪些端口,访问哪些地址等等,使得访问列表的建立,不会影响到企业正常的网络运转。
可以通过下列命令建立访问列表日志文件来确立企业网络所使用的端口号:
interface serial 0
ip access-group 101 in
ip access-group 102 out
access-list 101 permit tcp any any log
access-list 101 permit udp any any log
access-list 101 permit ip any any log
access-list 102 permit tcp any any log
access-list 102 permit udp any any log
access-list 102 permit ip any any log logging buffered
一段时间后,使用"show log"命令显示匹配访问列表的每个报文的细节信息。由于路由器的log buffer有限,为更彻底了解企业使用TCP/IP端口的详细情况,可以使用"logging A.B.C.E"命令将路由器所搜集的log信息传送到IP 地址为A.B.C.E的syslog server上,windows平台上的免费syslog server 软件可到http://support.3com.com/software/utilities_for_windows_32_bit.htm处下载。
二、根据具体应用,确立访问列表的内容
1. 过滤TCP(Transmission Control Protocol)协议
例如:某个企业(如图)总部在网络上为其分支机构提供的应用主要有:⑴远程登录访问(telnet: TCP port 23)⑵发送接收电子邮件(smtp:TCP port 25,pop3:TCP port 110)⑶WWW(http:TCP port 80),而总部可以任意访问他的分支机构,
那么他的路由器的访问列表定义如下:
access-list 100 permit tcp any 192.168.18.0 0.0.0.255 eq 23
access-list 100 permit tcp any 192.168.18.0 0.0.0.255 eq 25
access-list 100 permit tcp any 192.168.18.0 0.0.0.255 eq 110
access-list 100 permit tcp any 192.168.18.0 0.0.0.255 eq 80
access-list 100 permit tcp any any established ……
interface serial 0
ip access-group 100 in
由于路由器对流经Serial 0 的TCP报文均按照access-list 访问列表的内容顺序进行检测,这无疑将大大加重路由器CPU的负担,因此,建立访问列表一段时间后,可使用命令"show access-list 100"检查每项access-list 后面括号中TCP报文的matched数,根据matched数由大到小的顺序重新排列访问列表每个access-list的顺序,这样可以减少报文在访问列表中不必要的检测,减少特定报文查找访问列表的时间,降低路由器CPU的负担。
一定注意到access-list 100 的最末尾使用了关键字"established",它被CISCO路由器访问列表用来允许TCP返回的报文。它检测TCP报文中ACK或RST标志位的存在,如果报文中的ACK或RST位被设置了,则通常表示报文是一个正在进行的会话的一部分,所以,使用关键字"established"是一种判断报文是否为一个已知会话的一部分的简单方法。但是,作为网络黑客可以非常容易地写出一段程序,用来生成这两个标志,并将带有ACK或RST标志位的报文发送出去,而这些报文却并非正在进行的合法会话的一部分。在实践中我们发现TCP返回的报文随机选择的端口号范围为1024~65536(因为Well-Know port的端口范围是1~1023),所以我们可以将含有关键字"established"的访问控制语句改为:
access-list 100 permit tcp any 192.168.18.0 0.0.0.255 gt 1023 established
这就确保了进入企业内部网络的报文,其目的端口号必须大于1023。那么,黑客的攻击报文即使欺骗地使用了ACK和RST位,企图逃脱访问列表项的控制,但是它的端口号必须大于1023,这能使得欺骗性的报文不会对端口号低于1024的网络设备如FTP、DNS、HTTP等服务器造成影响,在一定程度上提高了网络的安全性。