《2022年动态访问控制列表 .pdf》由会员分享,可在线阅读,更多相关《2022年动态访问控制列表 .pdf(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Cisco Security 系列文档作者:于康QQ:191197032(群)1677151165(个人)CCIE RS&SEC http:/ ACL,也被称为 lock-and-key ACL,在1996 年作为选项引入思科IOS。动态 ACL仅支持 IP流量。动态ACL依赖于 telnet 连接,用户 telnet 路由器,并验证通过,此时telnet 自动断开,并动态产生一条临时ACL语句。当一段时间内,无该语句相关流量通过,临时的ACL语句消失。动态访问表是对传统访问表的一种重要功能增强。我们从动态访问表的名称就可以看出,动态访问表是能够创建动态访问表项的访问表。传统的标准访问表和扩展
2、的访问表不能创建动态访问表项。一旦在传统访问表中加入了一个表项,除非手工删除,该表项将一直产生作用。而在动态访问表中,读者可以根据用户认证过程来创建特定的、临时的访问表。用户一般通过提供用户名和口令,就能够开启一个到路由器telnet 会话。也可以配臵路由器,让其只需要口令,而不需要用户名;但我们并不推荐这样做。在用户被认证之后,路由器关闭telnet 会话,并将一个动态访问表项臵于某个访问表中,以允许源地址为认证用户工作站地址的报文通过。这样,用户可以在安全边界上配臵访问表,只允许那些能够通过用户认证的工作站才能发送向内的报文。这种方式所带来的好处是很明显的。在传统的访问表中,如果处于路由器
3、不可信任端的用户需要访问内部的资源,就必须永久性地在访问表中开启一个突破口,以允许这些用户的工作站上的报文进入可信任网络。这些在访问表中的永久性的突破口给黑客发送报文进入安全边界,并达到内部网络提供了机会。这种情况可以通过只允许特定的可信I P源地址的报文进入内部,解决部分问题。但是,假设用户不是使用静态的 I P地址呢?则上述的方法就不起作用了。例如,用户可以通过Internet 服务提供者(Internet Service Provider,ISP)拨号进入 Internet。一般情况下,家庭用户每次拨入I S P时,其 I P地址都是不同的,所以,如果不在安全边界上开启一个很大的突破口的
4、话,就不能够允许来自这些用户的报文通过,而如果这样做,又给黑客们提供了可乘之机。在这种情况下使用动态访问表,能够比使用传统I P访问表提供更高的安全级别。前面讲过,动态访问表是一种新型的访问表。事实上确实如此,但是动态访问表的语法与传统访问表项的格式非常相似,这些知识在前面的章节中也介绍过。动态访问表项的语法如下所示:Access-list dynamic timeout permit|deny any 其中第一项 与传统的扩展访问表的格式相同,其号码介于100199 之间。第二个参数 是动态访问表项的字符串名称。timeout 参数是可选的。如果使用了 timeout 参数,则指定了动态表项
5、的超时绝对时间。参数可以是任何传统的TCP/IP协议,如 IP、TCP、UDP、ICMP 等等。其源 IP地址总是使用认证主机的IP地址来替换,所以我们在动态表项中定义的源地址总是应该使用关键字 any。目的 IP(destination IP)和目的屏蔽(destination mask)与传统的扩展访问表格式相同。对于目的I P地址,最安全的方式是指定单个子网,或者甚至为单个主机。因为我们在每个访问表中不能指定多个动态访问表项,所以在protocol 中一般设臵为 IP或者 TCP。例1:定义动态 ACL条目QM_IOSFW(config)#access-list 101 permit t
6、cp any host 12.12.12.2 eq telnet 允许外部任何地址访问该路由的telnet QM_IOSFW(config)#access-list 101 dynamic dyacl permit ip any any 动态产生后的 ACL 在line vty 下应用 autocommand QM_IOSFW(config)#line vty 0 4名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 3 页 -Cisco Security 系列文档作者:于康QQ:191197032(群)1677151165(个人)CCIE RS&SEC http:/ local(这
7、里可以结合AAA 或本地认证)QM_IOSFW(config-line)#autocommand access-enable host timeout 5(红字为隐藏命令,直接敲)在接口下调用 ACL(一定要调用,否则不生效)QM_IOSFW(config)#int F0/0 QM_IOSFW(config-if)#ip access-group 101 in 此时 show ip access-list 查看下 ACL条目:QM_IOSFW#show ip access-lists Extended IP access list 101 10 permit tcp any host 12.1
8、2.12.2 eq telnet 20 Dynamic dyacl permit ip any any 没有任何动态条目产生,我们在外部telnet 触发下看看:QM_R1#telnet 12.12.12.2/source-interface loopback 0 Trying 12.12.12.2.Open User Access Verification Username:cisco Password:Connection to 12.12.12.2 closed by foreign host telnet 成功后会断开 telnet 连接QM_IOSFW#show ip access-
9、lists Extended IP access list 101 10 permit tcp any host 12.12.12.2 eq telnet(72 matches)20 Dynamic dyacl permit ip any any permit ip host 1.1.1.1 any(5 matches)(time left 296)网关路由上就会产生一条动态的ACL。以上是最基本的动态ACL,下面对动态 ACL的一些优化做阐述:优化一:此时如果管理员需要远程管理IOSFW这台路由器,却发现每次telnet 登陆都会被断开,因为telnet 会话在认证之后,很快就会被关闭,这将
10、导致管理员不能通过telnet 管理其路由器。解决这个问题可以通过在某些vty 端口下面使用 rotary 命令。QM_IOSFW(config)#line vty 5QM_IOSFW(config-line)#login local QM_IOSFW(config-line)#rotary 1(telnet 时,使用端口号为3000+1)测试:R1#telnet 12.12.12.2 3001 Trying 12.12.12.2,3001.Open User Access Verification Username:cisco Password:QM_IOSFW 名师资料总结-精品资料欢迎下
11、载-名师精心整理-第 2 页,共 3 页 -Cisco Security 系列文档作者:于康QQ:191197032(群)1677151165(个人)CCIE RS&SEC http:/ 3001 端口不成功,此时可以先telnet 23,创建动态 ACL后在做 3001的telnet 管理。注意二:登陆上以后,调试完毕尽快推出会话,如果没有推出,并且没有流量通过动态ACL,5分钟后,动态ACL消失,那么管理员的telnet 会话窗口就会卡死在line 下,无法退出。优化二:可以结合时间 ACL,更好的控制外网对IOSFW的访问,比如该动态ACL只可以晚上 8点12 点使用,此时可以结合tim
12、e-range.QM_IOSFW(config)#time-range AccessQM_IOSFW(config-time-range)#periodic daily 20:00 to 23:59 QM_IOSFW(config)#access-list 101 permit tcp any host 12.12.12.2 eq telnet time-range Access此时只有在晚上 8:00 和12:00 之间才可以对 IOSFW做telnet 触发,从而间接的保护了内网的访问时间。优化三:结合 AAA 对username 和password 管理,此处略!关于AAA 验证问题,请
13、参考我写的ACS 配臵指南。优化四:全局模式下保护外网用户对IOSFW的telnet 访问,这样可以防止DOS的攻击。QM_IOSFW(config)#login block-for 1 attempts 3 within 10 1秒内只可以 telnet 一次,验证失败三次后必须停留10秒才可以 telnet。QM_IOSFW(config)#login on-failure log 产生登陆失败日志。QM_IOSFW(config)#login on-success log 产生登陆成功日志。以上为个人见解,如有出处,请多指正!名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 3 页 -