访问权限控制
訪問權限控制—定時訪問列表、動態訪問列表、自反訪問列表及訪問列表的高級應用
定時訪問列表:先舉一個例子,有一個這樣的需求:要求在上班時間內(9:00-17:30)禁止內部員工瀏覽internet,禁止使用QQ、MSN。而且在2005 年12 月31 日(周六,但是正常上班)的所有時間內都不允許進行上述操作。但在任何時間都可以允許以其它方式訪問Internet。天首先,讓我們來分析一下這個需求,瀏覽internet 現在基本上都是使用http 或https 進行訪問,標準端口是TCP/80 端口和TCP/443,MSN 使用TCP/1863 端口,QQ 登錄會使用到TCP/UDP8000 這兩個端口,還有可能使用到udp/4000 進行通訊。而且這些軟件都能支持代理服務器,目前的代理服務器主要布署在TCP 8080、TCP 3128(HTTP 代理)和TCP1080(socks)這三個端口上。time-range TESTabsolute start 00:00 31 Dec 2005 end 23:59 31 Dec 2005periodic weekdays start 9:00 17:30exitip access-list extend INTERNET_LIMITdeny tcp 10.1.0.0 0.0.255.255 any eq 80 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TESTdeny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range TESTdeny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TESTpermit ip any anyint fa0/0ip access-group INTERNET_LIMIT in定時訪問列表配置步驟:1:time-range TEST:定義一個新的時間范圍,其中的TEST 是為該時間范圍取的一個名字。absolute:為絕對時間。只使用一次。可以定義為1993-2035 年內的任意一個時點。Periodic:為周期性重復使用的時間范圍的定義。完整格式為periodic 日期關鍵字開始時間結束時間。2:access-list 101 deny ip 10.1.0.0 0.0.255.255 any time-range TEST:注意這一句最后的time-range TEST,使這條ACL 語句與time-range TR1 相關聯,表明這條語句在time-rangeTEST 所定義的時間范圍內才起作用。3:應用訪問列表動態訪問列表(Lock-and-Key)動態訪問列表,Cisco 把它稱為Lock-and-key,它使用IP 動態擴展訪問列表,用戶的流量平時是被禁止通過路由器的,當用戶通過路由器的身份驗證的時候(通過telnet 到路由器上,輸入用戶名和密碼的方式),路由器生成一個臨時的訪問列表,臨時準許用戶的流量通過路由器。何時應該使用 Lock-and-key 動態訪問列表:1:當你準許一個遠程internet 用戶允許訪問你內網中的主機時,你可以使用Lock-and-key驗證用戶身份,通過驗證后,用戶可以訪問你授權的內網資源。2:如果你想準許內網的部分用戶可以訪問遠程網絡,你可以使用Lock-and-key 驗證用戶身份,身份驗證的方式可以通過Tacacs+或本地認證等方式。動態訪問列表工作過程1:用戶通過telnet 方式登錄到一臺配置了Lock-and-key 的邊緣路由器(防火墻)上,用戶通過VTY 方式登錄路由器。2:當Cisco IOS 收到telnet 的數據包后,打開一個telnet 會話,提示輸入用戶名口令。可以使用本地認證、TACACS+ 或者 RADIUS 認證。3:當用戶通過認證后,telnet 會話自動斷開,IOS 建立了一個臨時的動態訪問列表。4:用戶可以訪問授權的資源。5:當動態訪問列表配置的超時時間(可以使空閑時間或者絕對時間)到達后,IOS 刪除臨時建立的訪問列表。配置 Lock-and-Key 動態訪問列表命令 目的Step 1 Router(config)# access-list access-list-number [dynamicdynamic-name [timeout minutes]] {deny | permit} telnetsource source-wildcard destination destination-wildcard[precedence precedence] [tos tos] [established] [log]配置一個動態的訪問列表。Step 2 Router(config)# access-list dynamic-extend (可選) 延長動態ACL 的絕對時間6 分鐘Step 3 Router(config)# interface type number 進入接口配置模式,應用動態訪問列表Step 4 Router(config-if)# ip access-group access-list-numberStep 5 Router(config-if)# exitStep 6 Router(config)# line vty line-number [ending-line-number] 進入VTY配置模式Step 7 Tacacs 認證:Router(config-line)# login tacacs密碼認證:Router(config-line)# password password本地用戶名和密碼認證:Router(config-line)# login localRouter(config)# username name password secret配置用戶認證方式。Step 8 Router(config-line)# autocommand access-enable [host][timeout minutes]或者Router(config)# autocommand access-enable [host][timeout minutes]在 line 或者全局配置模式激活臨時訪問列表建立。如果指定了host 則只準許發起telnet 驗證會話的主機訪問,如果沒有指定關鍵字host,則整個網絡上的主機都被準許建立動態訪問列表。顯示動態訪問列表:Router# show access-lists [access-list-number]手工清除動態訪問列表:Router# clear access-template [access-list-number | name] [dynamic-name] [source] [destination]動態訪問列表舉例:username test password 0 test 配置用戶和密碼ip telnet source-interface Ethernet0 將所有的TELNET 數據包的源設置為E0 IPinterface ethernet0ip address 172.18.23.9 255.255.255.0ip access-group 101 inaccess-list 101 permit tcp any host 172.18.23.9 eq telnetaccess-list 101 dynamic mytestlist timeout 120 permit ip any anyline vty 0login localautocommand access-enable timeout 5自反訪問表自反訪問表是 CISCO 提供給企業網絡的一種較強的安全手段,利用自反訪問表可以很好的保護企業內部網絡,免受外部非法用戶的***。自反訪問表的基本的工作原理是:只能由內部網絡始發的,外部網絡的響應流量可以進入,由外部網絡始發的流量如果沒有明確的允許,是禁止進入的。也就是說做網絡的單向訪問其實實現的是防火墻的基本功能:內網可以訪問外網,但外網可以訪問內網。拓撲圖(所有子網掩碼均為255.255.255.0):如下:PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]現在假設 RouterA 的E0 口所連網段為內網段,RouterA S0 所連的網段為外網段,還假設我想做的是內網的PC機能ping 通外網RouterB 的S1 口,但RouterB 卻ping 不進內網。如果只是使用擴展訪問列表準許PC 的ICMP 的數據包出去,不允許RouterB 的ICMP 數據包進來,并不能達到要求,用ACL 來實現類似的單向訪問控制需要用到一種特殊的ACL,叫Reflexive ACL。Reflexive ACL 的配置分為兩個部分,一部分是outbound 的配置,一部分是inbound 的配置。1)Reflexive-ACL 的工作流程:a.由內網始發的流量到達配置了自反訪問表的路由器,路由器根據此流量的第三層和第四層信息自動生成一個臨時性的訪問表,臨時性訪問表的創建依據下列原則:protocol 不變,source-IP 地址 , destination-IP 地址嚴格對調,source-port,destination-port 嚴格對調,對于ICMP 這樣的協議,會根據類型號進行匹配。b.路由器將此流量傳出,流量到達目標,然后響應流量從目標返回到配置了自反訪問表的路由器。c.路由器對入站的響應流量進行評估,只有當返回流量的第三、四層信息與先前基于出站流量創建的臨時性訪問表的第三、四層信息嚴格匹配時,路由器才會允許此流量進入內部網絡。2)自反訪問表的超時:對于 TCP 流量,當下列三種情況中任何一種出現時,才會刪除臨時性的訪問表:a)兩個連續的FIN 標志被檢測到,之后5 秒鐘刪除。b)RST 標志被檢測到,立即刪除。c)配置的空閑超時值到期(缺省是300 秒)。對于UDP,由于沒有各種標志,所以只有當配置的空閑超時值(300 秒)到期才會刪除臨時性的訪問表。允許由內部 192.168.10.0/24 始發的HTTP,SMTP,流量可以出去, 其余的流量全部拒絕。RA:!ip access-list extended OUTBOUNDpermit tcp 192.168.10.0 0.0.0.255 any eq www reflect CISCOpermit tcp 192.168.10.0 0.0.0.255 any eq smtp reflect CISCO!ip access-list extended INBOUNDevaluate CISCO!int serial 0ip access-group OUBOUND outip access-group INBOUND in擴展訪問列表的高級應用下面討論擴展訪問控制列表的fragment 選項和established 選項。1. fragment 選項:(1) 當一個ACL 只含有三層信息時,對所有的包都進行控制。(2) 當不使用frament 選項時,一個包含三層和四層信息的acl 條目將對所有的數據包進行以下控制:如果是未分片數據包(nonfragmented)或者分片數據包的第一個分片(initial fragment) ,都將按正常的ACL 進行控制(permit 或deny)。如果是分片數據包的后續分片(noninitial fragment),則只檢查ACL 條目中的三層部分(協議號、源、目的)。如果三層匹配而且是permit 控制,則允許該分片通過;如果三層匹配而且是deny 控制,則繼續檢查下一個ACL條目(和正常的ACL 控制順序不同)。(3)當使用fragment 選項時,一個acl 條目將只對分片數據包的后續分片(noninitial fragment)進行控制;并且ACL 條目中不能包含四層信息。access-list 101 permit <協議> <源> <目的> fragment2.established 選項:access-list 101 permit tcp <源> <目的> established該選項只能用于 tcp 協議,目的是為了實現基于tcp 數據段(四層pdu)中的代碼控制位的標志進行會話的控制,例如只允許那些已經建立的tcp 會話的流量(特征是ACK 或者RST 標志已置位)。簡易拓撲圖:NetA----e1-R1-e0----NetB例如:假定上圖中要實現以下控制,只允許Net A 的所有主機初始化到Net B 的TCP 通信,但是不允許NetB 的主機初始化到Net A 的TCP 通信,可以使用以下ACL 實現。hostname R1interface ethernet0ip access-group 102 inaccess-list 102 permit tcp any any gt 1023 established注意到 access-list 102 最末尾使用了關鍵字"established",它被CISCO 路由器訪問列表用來允許TCP 返回的報文。它檢測TCP 報文中ACK 或RST 標志位的存在,如果報文中的ACK 或RST 位被設置了,則通常表示報文是一個正在進行的會話的一部分,所以,使用關鍵字"established"是一種判斷報文是否為一個已知會話的一部分的簡單方法。但是,作為網絡***可以非常容易地寫出一段程序,用來生成這兩個標志,并將帶有ACK 或RST 標志位的報文發送出去,而這些報文卻并非正在進行的合法會話的一部分。在實踐中我們發現TCP返回的報文隨機選擇的端口號范圍為1024~65536(因為Well-Know port 的端口范圍是1~1023),所以我們可以將含有關鍵字"established"的訪問控制語句改為:access-list 100 permit tcp any any gt 1023 established這就確保了進入企業內部網絡的報文,其目的端口號必須大于1023。那么,***的攻擊報文即使欺騙地使用了ACK 和RST 位,企圖逃脫訪問列表項的控制,但是它的端口號必須大于1023,這能使得欺騙性的報文不會對端口號低于1024 的網絡設備如FTP、DNS、HTTP等服務器造成影響,在一定程度上提高了網絡的安全性。
定時訪問列表:先舉一個例子,有一個這樣的需求:要求在上班時間內(9:00-17:30)禁止內部員工瀏覽internet,禁止使用QQ、MSN。而且在2005 年12 月31 日(周六,但是正常上班)的所有時間內都不允許進行上述操作。但在任何時間都可以允許以其它方式訪問Internet。天首先,讓我們來分析一下這個需求,瀏覽internet 現在基本上都是使用http 或https 進行訪問,標準端口是TCP/80 端口和TCP/443,MSN 使用TCP/1863 端口,QQ 登錄會使用到TCP/UDP8000 這兩個端口,還有可能使用到udp/4000 進行通訊。而且這些軟件都能支持代理服務器,目前的代理服務器主要布署在TCP 8080、TCP 3128(HTTP 代理)和TCP1080(socks)這三個端口上。time-range TESTabsolute start 00:00 31 Dec 2005 end 23:59 31 Dec 2005periodic weekdays start 9:00 17:30exitip access-list extend INTERNET_LIMITdeny tcp 10.1.0.0 0.0.255.255 any eq 80 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 443 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 1863 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 8000 time-range TESTdeny udp 10.1.0.0 0.0.255.255 any eq 8000 time-range TESTdeny udp 10.1.0.0 0.0.255.255 any eq 4000 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 3128 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 8080 time-range TESTdeny tcp 10.1.0.0 0.0.255.255 any eq 1080 time-range TESTpermit ip any anyint fa0/0ip access-group INTERNET_LIMIT in定時訪問列表配置步驟:1:time-range TEST:定義一個新的時間范圍,其中的TEST 是為該時間范圍取的一個名字。absolute:為絕對時間。只使用一次。可以定義為1993-2035 年內的任意一個時點。Periodic:為周期性重復使用的時間范圍的定義。完整格式為periodic 日期關鍵字開始時間結束時間。2:access-list 101 deny ip 10.1.0.0 0.0.255.255 any time-range TEST:注意這一句最后的time-range TEST,使這條ACL 語句與time-range TR1 相關聯,表明這條語句在time-rangeTEST 所定義的時間范圍內才起作用。3:應用訪問列表動態訪問列表(Lock-and-Key)動態訪問列表,Cisco 把它稱為Lock-and-key,它使用IP 動態擴展訪問列表,用戶的流量平時是被禁止通過路由器的,當用戶通過路由器的身份驗證的時候(通過telnet 到路由器上,輸入用戶名和密碼的方式),路由器生成一個臨時的訪問列表,臨時準許用戶的流量通過路由器。何時應該使用 Lock-and-key 動態訪問列表:1:當你準許一個遠程internet 用戶允許訪問你內網中的主機時,你可以使用Lock-and-key驗證用戶身份,通過驗證后,用戶可以訪問你授權的內網資源。2:如果你想準許內網的部分用戶可以訪問遠程網絡,你可以使用Lock-and-key 驗證用戶身份,身份驗證的方式可以通過Tacacs+或本地認證等方式。動態訪問列表工作過程1:用戶通過telnet 方式登錄到一臺配置了Lock-and-key 的邊緣路由器(防火墻)上,用戶通過VTY 方式登錄路由器。2:當Cisco IOS 收到telnet 的數據包后,打開一個telnet 會話,提示輸入用戶名口令。可以使用本地認證、TACACS+ 或者 RADIUS 認證。3:當用戶通過認證后,telnet 會話自動斷開,IOS 建立了一個臨時的動態訪問列表。4:用戶可以訪問授權的資源。5:當動態訪問列表配置的超時時間(可以使空閑時間或者絕對時間)到達后,IOS 刪除臨時建立的訪問列表。配置 Lock-and-Key 動態訪問列表命令 目的Step 1 Router(config)# access-list access-list-number [dynamicdynamic-name [timeout minutes]] {deny | permit} telnetsource source-wildcard destination destination-wildcard[precedence precedence] [tos tos] [established] [log]配置一個動態的訪問列表。Step 2 Router(config)# access-list dynamic-extend (可選) 延長動態ACL 的絕對時間6 分鐘Step 3 Router(config)# interface type number 進入接口配置模式,應用動態訪問列表Step 4 Router(config-if)# ip access-group access-list-numberStep 5 Router(config-if)# exitStep 6 Router(config)# line vty line-number [ending-line-number] 進入VTY配置模式Step 7 Tacacs 認證:Router(config-line)# login tacacs密碼認證:Router(config-line)# password password本地用戶名和密碼認證:Router(config-line)# login localRouter(config)# username name password secret配置用戶認證方式。Step 8 Router(config-line)# autocommand access-enable [host][timeout minutes]或者Router(config)# autocommand access-enable [host][timeout minutes]在 line 或者全局配置模式激活臨時訪問列表建立。如果指定了host 則只準許發起telnet 驗證會話的主機訪問,如果沒有指定關鍵字host,則整個網絡上的主機都被準許建立動態訪問列表。顯示動態訪問列表:Router# show access-lists [access-list-number]手工清除動態訪問列表:Router# clear access-template [access-list-number | name] [dynamic-name] [source] [destination]動態訪問列表舉例:username test password 0 test 配置用戶和密碼ip telnet source-interface Ethernet0 將所有的TELNET 數據包的源設置為E0 IPinterface ethernet0ip address 172.18.23.9 255.255.255.0ip access-group 101 inaccess-list 101 permit tcp any host 172.18.23.9 eq telnetaccess-list 101 dynamic mytestlist timeout 120 permit ip any anyline vty 0login localautocommand access-enable timeout 5自反訪問表自反訪問表是 CISCO 提供給企業網絡的一種較強的安全手段,利用自反訪問表可以很好的保護企業內部網絡,免受外部非法用戶的***。自反訪問表的基本的工作原理是:只能由內部網絡始發的,外部網絡的響應流量可以進入,由外部網絡始發的流量如果沒有明確的允許,是禁止進入的。也就是說做網絡的單向訪問其實實現的是防火墻的基本功能:內網可以訪問外網,但外網可以訪問內網。拓撲圖(所有子網掩碼均為255.255.255.0):如下:PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[RouterB]現在假設 RouterA 的E0 口所連網段為內網段,RouterA S0 所連的網段為外網段,還假設我想做的是內網的PC機能ping 通外網RouterB 的S1 口,但RouterB 卻ping 不進內網。如果只是使用擴展訪問列表準許PC 的ICMP 的數據包出去,不允許RouterB 的ICMP 數據包進來,并不能達到要求,用ACL 來實現類似的單向訪問控制需要用到一種特殊的ACL,叫Reflexive ACL。Reflexive ACL 的配置分為兩個部分,一部分是outbound 的配置,一部分是inbound 的配置。1)Reflexive-ACL 的工作流程:a.由內網始發的流量到達配置了自反訪問表的路由器,路由器根據此流量的第三層和第四層信息自動生成一個臨時性的訪問表,臨時性訪問表的創建依據下列原則:protocol 不變,source-IP 地址 , destination-IP 地址嚴格對調,source-port,destination-port 嚴格對調,對于ICMP 這樣的協議,會根據類型號進行匹配。b.路由器將此流量傳出,流量到達目標,然后響應流量從目標返回到配置了自反訪問表的路由器。c.路由器對入站的響應流量進行評估,只有當返回流量的第三、四層信息與先前基于出站流量創建的臨時性訪問表的第三、四層信息嚴格匹配時,路由器才會允許此流量進入內部網絡。2)自反訪問表的超時:對于 TCP 流量,當下列三種情況中任何一種出現時,才會刪除臨時性的訪問表:a)兩個連續的FIN 標志被檢測到,之后5 秒鐘刪除。b)RST 標志被檢測到,立即刪除。c)配置的空閑超時值到期(缺省是300 秒)。對于UDP,由于沒有各種標志,所以只有當配置的空閑超時值(300 秒)到期才會刪除臨時性的訪問表。允許由內部 192.168.10.0/24 始發的HTTP,SMTP,流量可以出去, 其余的流量全部拒絕。RA:!ip access-list extended OUTBOUNDpermit tcp 192.168.10.0 0.0.0.255 any eq www reflect CISCOpermit tcp 192.168.10.0 0.0.0.255 any eq smtp reflect CISCO!ip access-list extended INBOUNDevaluate CISCO!int serial 0ip access-group OUBOUND outip access-group INBOUND in擴展訪問列表的高級應用下面討論擴展訪問控制列表的fragment 選項和established 選項。1. fragment 選項:(1) 當一個ACL 只含有三層信息時,對所有的包都進行控制。(2) 當不使用frament 選項時,一個包含三層和四層信息的acl 條目將對所有的數據包進行以下控制:如果是未分片數據包(nonfragmented)或者分片數據包的第一個分片(initial fragment) ,都將按正常的ACL 進行控制(permit 或deny)。如果是分片數據包的后續分片(noninitial fragment),則只檢查ACL 條目中的三層部分(協議號、源、目的)。如果三層匹配而且是permit 控制,則允許該分片通過;如果三層匹配而且是deny 控制,則繼續檢查下一個ACL條目(和正常的ACL 控制順序不同)。(3)當使用fragment 選項時,一個acl 條目將只對分片數據包的后續分片(noninitial fragment)進行控制;并且ACL 條目中不能包含四層信息。access-list 101 permit <協議> <源> <目的> fragment2.established 選項:access-list 101 permit tcp <源> <目的> established該選項只能用于 tcp 協議,目的是為了實現基于tcp 數據段(四層pdu)中的代碼控制位的標志進行會話的控制,例如只允許那些已經建立的tcp 會話的流量(特征是ACK 或者RST 標志已置位)。簡易拓撲圖:NetA----e1-R1-e0----NetB例如:假定上圖中要實現以下控制,只允許Net A 的所有主機初始化到Net B 的TCP 通信,但是不允許NetB 的主機初始化到Net A 的TCP 通信,可以使用以下ACL 實現。hostname R1interface ethernet0ip access-group 102 inaccess-list 102 permit tcp any any gt 1023 established注意到 access-list 102 最末尾使用了關鍵字"established",它被CISCO 路由器訪問列表用來允許TCP 返回的報文。它檢測TCP 報文中ACK 或RST 標志位的存在,如果報文中的ACK 或RST 位被設置了,則通常表示報文是一個正在進行的會話的一部分,所以,使用關鍵字"established"是一種判斷報文是否為一個已知會話的一部分的簡單方法。但是,作為網絡***可以非常容易地寫出一段程序,用來生成這兩個標志,并將帶有ACK 或RST 標志位的報文發送出去,而這些報文卻并非正在進行的合法會話的一部分。在實踐中我們發現TCP返回的報文隨機選擇的端口號范圍為1024~65536(因為Well-Know port 的端口范圍是1~1023),所以我們可以將含有關鍵字"established"的訪問控制語句改為:access-list 100 permit tcp any any gt 1023 established這就確保了進入企業內部網絡的報文,其目的端口號必須大于1023。那么,***的攻擊報文即使欺騙地使用了ACK 和RST 位,企圖逃脫訪問列表項的控制,但是它的端口號必須大于1023,這能使得欺騙性的報文不會對端口號低于1024 的網絡設備如FTP、DNS、HTTP等服務器造成影響,在一定程度上提高了網絡的安全性。
轉載于:https://blog.51cto.com/chinagg/172026
總結
- 上一篇: 活动目录实战系列三(建立子域)
- 下一篇: order by居然不能直接在union