陳金蓮

(黃岡職業(yè)技術(shù)學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系,湖北黃岡438002)

動(dòng)態(tài)訪問控制列表在網(wǎng)絡(luò)遠(yuǎn)程管理中的應(yīng)用*

陳金蓮

(黃岡職業(yè)技術(shù)學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系,湖北黃岡438002)

為了方便網(wǎng)絡(luò)管理,遠(yuǎn)程管理有時(shí)是必須的,但內(nèi)網(wǎng)的關(guān)鍵設(shè)備又不能直接開放于外網(wǎng),如何在不影響內(nèi)網(wǎng)安全的基礎(chǔ)上實(shí)現(xiàn)遠(yuǎn)程管理一直是一個(gè)安全課題,動(dòng)態(tài)訪問控制列表便是其中的解決方案之一。

動(dòng)態(tài)訪問控制列表;內(nèi)網(wǎng);外網(wǎng);遠(yuǎn)程登陸;認(rèn)證

1 前言

訪問控制列表是保障網(wǎng)絡(luò)安全的重要技術(shù)措施,也是每一個(gè)網(wǎng)絡(luò)管理員所必須掌握的一種安全技術(shù)。其中,標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表比較常用,也為廣大網(wǎng)絡(luò)管理員所熟悉,利用它們可以很容易地實(shí)現(xiàn)只允許內(nèi)網(wǎng)訪問外網(wǎng),而不允許外網(wǎng)對(duì)內(nèi)網(wǎng)的主動(dòng)連接,從而可以很好地保護(hù)內(nèi)網(wǎng)免受外網(wǎng)的威脅。這種訪問控制列表的特點(diǎn)是：一旦在其中加入了一個(gè)表項(xiàng),除非手工刪除,該表項(xiàng)將一直產(chǎn)生作用,所以也叫它們?yōu)殪o態(tài)訪問控制列表。

遠(yuǎn)程管理對(duì)于一個(gè)網(wǎng)絡(luò),特別是大型的跨地區(qū)的網(wǎng)絡(luò)而言,往往是必須的。此時(shí),如果利用靜態(tài)訪問控制列表,就必須永久性地在訪問控制列表中開啟一個(gè)突破口,以允許外網(wǎng)站點(diǎn)上的報(bào)文進(jìn)入內(nèi)網(wǎng)。但同時(shí),這些在訪問控制列表中的永久性的突破口也給黑客發(fā)送報(bào)文進(jìn)入安全邊界,并達(dá)到內(nèi)部網(wǎng)絡(luò)提供了機(jī)會(huì),這是一個(gè)極大的安全隱患。能不能讓這個(gè)外網(wǎng)到內(nèi)網(wǎng)的突破口在需要的時(shí)候打開,在不需要的時(shí)候關(guān)閉呢?動(dòng)態(tài)訪問控制列表可以解決這一問題。

動(dòng)態(tài)訪問控制列表首先在訪問控制列表中設(shè)置一個(gè)列表?xiàng)l目占位符,這個(gè)條目允許外網(wǎng)訪問內(nèi)網(wǎng),但一般情況下這個(gè)條目只是一個(gè)占位符,不起作用。如若要激活該條目,則用戶需要向路由器發(fā)起一個(gè)SSH或Telnet會(huì)話以觸發(fā)認(rèn)證,當(dāng)用戶通過路由器或防火墻的認(rèn)證時(shí),路由器或防火墻會(huì)重新配置接口下的ACL,將條目占位符變成臨時(shí)訪問控制列表?xiàng)l目,使用戶獲得臨時(shí)訪問指定內(nèi)部設(shè)備的權(quán)限,但在一定時(shí)間后,又自動(dòng)刪除條目,關(guān)閉外網(wǎng)到內(nèi)網(wǎng)的突破口[1]。

2 實(shí)施

下面,以cisco ios11.2以上版本的路由器為例分析如何通過動(dòng)態(tài)訪問控制列表實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)管理。網(wǎng)絡(luò)拓?fù)淙缦聢D：

其中,PC0要通過遠(yuǎn)程的方法管理內(nèi)網(wǎng)中受保護(hù)的設(shè)備R2,R2的f0/0口的IP地址為192.168.2.254,R1為網(wǎng)絡(luò)的邊界路由器,R1的f0/0口的IP地址為192.168.1.254(真實(shí)環(huán)境中它應(yīng)該是一個(gè)合法的公網(wǎng)IP),動(dòng)態(tài)訪問控制列表在R1的f0/0口上實(shí)施,步驟如下：

(1)配置認(rèn)證所需的用戶名和密碼

R1(config)#username remotetelnet password 321

(2)配置擴(kuò)展訪問控制列表及動(dòng)態(tài)條目(本ACL中只考慮遠(yuǎn)程登陸規(guī)則,在真實(shí)環(huán)境中還應(yīng)該有其它的訪問控制條目)

R1(config)#ip access-list extended opentelnet

R1(config-ext-nacl)#permit tcp any host 192.168.1.254 eq telnet

R1(config-ext-nacl)#dynamic dyacl permit tcp any host 192.168.2.254 eq telnet

R1(config-ext-nacl)#deny ip any any

(3)在接口下應(yīng)用ACL

R1(config)#interface f0/0

R1(config-if)#ip access-group opentelnet in

(4)在線路下配置登陸方法

R1(config)#line vty 0 4

R1(config-line)#login local(認(rèn)證方法為本地?cái)?shù)據(jù)庫)

(5)啟用動(dòng)態(tài)訪問控制列表,設(shè)置空閑時(shí)間為120秒

R1(config-line)#autocommand access-enable host timeout 2

在R1被遠(yuǎn)程登錄之前,訪問控制列表opentelnet中只有兩個(gè)條目permit tcp any host 192.168.1.254 eq telnet和deny ip any any,功能分別為打開R1的遠(yuǎn)程登陸功能和不允許外網(wǎng)對(duì)內(nèi)網(wǎng)的訪問。當(dāng)遠(yuǎn)程某臺(tái)機(jī)器通過telnet登錄到R1上并通過R1的認(rèn)證后,R1便重寫了其f0/0口下的訪問控制列表opentelnet,在其下增加了一個(gè)臨時(shí)條目permit tcp any host192.168.2.254 eq telnet,它允許任何外網(wǎng)機(jī)器對(duì)內(nèi)網(wǎng)中路由器R2的telnet訪問,這在不損害內(nèi)網(wǎng)安全性的基礎(chǔ)上,實(shí)現(xiàn)了利用外網(wǎng)機(jī)器對(duì)內(nèi)網(wǎng)設(shè)備的遠(yuǎn)程管理,方便了網(wǎng)絡(luò)管理[2]。

雖然條目permit tcp any host 192.168.1.254 eq telnet允許任何主機(jī)登陸內(nèi)網(wǎng),看似危險(xiǎn),但autocommand access-enable host timeout 2命令中的host關(guān)鍵字限定了只有通過R2認(rèn)證的主機(jī)才有權(quán)登陸。并且可以在動(dòng)態(tài)條目和autocommand命令中利用timeout關(guān)鍵字設(shè)置絕對(duì)和空閑超時(shí)時(shí)間,這樣黑客找到合適的 IP,并假冒這個(gè) IP去訪問內(nèi)網(wǎng)的時(shí)間只是這個(gè)臨時(shí)的有限的時(shí)間,這種攻擊是難以實(shí)施的[3]。

3 總結(jié)

以上解決方案的安全焦點(diǎn)是認(rèn)證所用的帳號(hào)和口令的安全,如果帳號(hào)和口令丟失,內(nèi)網(wǎng)便暴露無遺。有兩種方法可以提高帳號(hào)口令的安全性：第一,將解發(fā)認(rèn)證的方法由telnet改為ssh。telnet方式的遠(yuǎn)程登陸過程中,帳號(hào)和口令的傳輸是明文方式,這種方式可能會(huì)因?yàn)閿?shù)據(jù)包被非法截獲而導(dǎo)致帳號(hào)和口令丟失。而ssh方式的遠(yuǎn)程登陸過程中,帳號(hào)和口令是經(jīng)過加密方式來傳遞的,即使丟包也不足為懼。第二種方法,上例中用到的認(rèn)證方法是路由器的本地?cái)?shù)據(jù)庫認(rèn)證,這種方法口令單一,且路由器為邊界路由器,所以安全性較差,為了更好地提高安全性,可以用專門的認(rèn)證服務(wù)器來完成用戶的認(rèn)證,那么安全性又會(huì)提高一層[4]。

[1]動(dòng)態(tài)訪問控制列表解釋[EB]http：//cisco.ccxx.net.

[2]David W.Chapman Jr.cisco安全PIX防火墻[M].人民郵電出版社.2002.

[3]羅詩堯.黑客攻防實(shí)戰(zhàn)進(jìn)階[M].電子工業(yè)出版社.2008.

[4]肖松嶺.網(wǎng)絡(luò)安全技術(shù)內(nèi)幕[M].科學(xué)出版社.2008.

The Application of DACL in Network Remote Management

CHENG Jin-lian
(Huanggang Polytechnic College,Huanggang 438002 Hubei)

To facilitate network management,remote management is sometimes necessary,but the key equipments of inside network can not be directly opened to outside networks.How to realize remote management without affecting the security of inside network has been a secure subject,and dynamic access control list will be one of the solutions.

DACL;Inside net word;Outside network;Remote login;Authentication

TP316.8

A

1672-1047(2010)03-0011-02

10.3969/j.issn.1672-1047.2010.03.04

2010-4-20

陳金蓮(1973-)女,碩士,講師。研究方向：網(wǎng)絡(luò)工程、網(wǎng)絡(luò)安全。Cjlzd2008@hgpu.edu.cn

[責(zé)任編校：郭杏芳]