動態(tài)訪問控制列表在網(wǎng)絡(luò)遠程管理中的應(yīng)用*

陳金蓮

(黃岡職業(yè)技術(shù)學(xué)院計算機科學(xué)與技術(shù)系,湖北黃岡438002)

動態(tài)訪問控制列表在網(wǎng)絡(luò)遠程管理中的應(yīng)用*

陳金蓮

(黃岡職業(yè)技術(shù)學(xué)院計算機科學(xué)與技術(shù)系,湖北黃岡438002)

為了方便網(wǎng)絡(luò)管理,遠程管理有時是必須的,但內(nèi)網(wǎng)的關(guān)鍵設(shè)備又不能直接開放于外網(wǎng),如何在不影響內(nèi)網(wǎng)安全的基礎(chǔ)上實現(xiàn)遠程管理一直是一個安全課題,動態(tài)訪問控制列表便是其中的解決方案之一。

動態(tài)訪問控制列表;內(nèi)網(wǎng);外網(wǎng);遠程登陸;認證

1 前言

訪問控制列表是保障網(wǎng)絡(luò)安全的重要技術(shù)措施,也是每一個網(wǎng)絡(luò)管理員所必須掌握的一種安全技術(shù)。其中,標(biāo)準(zhǔn)訪問控制列表和擴展訪問控制列表比較常用,也為廣大網(wǎng)絡(luò)管理員所熟悉,利用它們可以很容易地實現(xiàn)只允許內(nèi)網(wǎng)訪問外網(wǎng),而不允許外網(wǎng)對內(nèi)網(wǎng)的主動連接,從而可以很好地保護內(nèi)網(wǎng)免受外網(wǎng)的威脅。這種訪問控制列表的特點是：一旦在其中加入了一個表項,除非手工刪除,該表項將一直產(chǎn)生作用,所以也叫它們?yōu)殪o態(tài)訪問控制列表。

遠程管理對于一個網(wǎng)絡(luò),特別是大型的跨地區(qū)的網(wǎng)絡(luò)而言,往往是必須的。此時,如果利用靜態(tài)訪問控制列表,就必須永久性地在訪問控制列表中開啟一個突破口,以允許外網(wǎng)站點上的報文進入內(nèi)網(wǎng)。但同時,這些在訪問控制列表中的永久性的突破口也給黑客發(fā)送報文進入安全邊界,并達到內(nèi)部網(wǎng)絡(luò)提供了機會,這是一個極大的安全隱患。能不能讓這個外網(wǎng)到內(nèi)網(wǎng)的突破口在需要的時候打開,在不需要的時候關(guān)閉呢?動態(tài)訪問控制列表可以解決這一問題。

動態(tài)訪問控制列表首先在訪問控制列表中設(shè)置一個列表條目占位符,這個條目允許外網(wǎng)訪問內(nèi)網(wǎng),但一般情況下這個條目只是一個占位符,不起作用。如若要激活該條目,則用戶需要向路由器發(fā)起一個SSH或Telnet會話以觸發(fā)認證,當(dāng)用戶通過路由器或防火墻的認證時,路由器或防火墻會重新配置接口下的ACL,將條目占位符變成臨時訪問控制列表條目,使用戶獲得臨時訪問指定內(nèi)部設(shè)備的權(quán)限,但在一定時間后,又自動刪除條目,關(guān)閉外網(wǎng)到內(nèi)網(wǎng)的突破口[1]。

2 實施

下面,以cisco ios11.2以上版本的路由器為例分析如何通過動態(tài)訪問控制列表實現(xiàn)遠程網(wǎng)絡(luò)管理。網(wǎng)絡(luò)拓撲如下圖：

其中,PC0要通過遠程的方法管理內(nèi)網(wǎng)中受保護的設(shè)備R2,R2的f0/0口的IP地址為192.168.2.254,R1為網(wǎng)絡(luò)的邊界路由器,R1的f0/0口的IP地址為192.168.1.254(真實環(huán)境中它應(yīng)該是一個合法的公網(wǎng)IP),動態(tài)訪問控制列表在R1的f0/0口上實施,步驟如下：

(1)配置認證所需的用戶名和密碼

R1(config)#username remotetelnet password 321

(2)配置擴展訪問控制列表及動態(tài)條目(本ACL中只考慮遠程登陸規(guī)則,在真實環(huán)境中還應(yīng)該有其它的訪問控制條目)

R1(config)#ip access-list extended opentelnet

R1(config-ext-nacl)#permit tcp any host 192.168.1.254 eq telnet

R1(config-ext-nacl)#dynamic dyacl permit tcp any host 192.168.2.254 eq telnet

R1(config-ext-nacl)#deny ip any any

(3)在接口下應(yīng)用ACL

R1(config)#interface f0/0

R1(config-if)#ip access-group opentelnet in

(4)在線路下配置登陸方法

R1(config)#line vty 0 4

R1(config-line)#login local(認證方法為本地數(shù)據(jù)庫)

(5)啟用動態(tài)訪問控制列表,設(shè)置空閑時間為120秒

R1(config-line)#autocommand access-enable host timeout 2

在R1被遠程登錄之前,訪問控制列表opentelnet中只有兩個條目permit tcp any host 192.168.1.254 eq telnet和deny ip any any,功能分別為打開R1的遠程登陸功能和不允許外網(wǎng)對內(nèi)網(wǎng)的訪問。當(dāng)遠程某臺機器通過telnet登錄到R1上并通過R1的認證后,R1便重寫了其f0/0口下的訪問控制列表opentelnet,在其下增加了一個臨時條目permit tcp any host192.168.2.254 eq telnet,它允許任何外網(wǎng)機器對內(nèi)網(wǎng)中路由器R2的telnet訪問,這在不損害內(nèi)網(wǎng)安全性的基礎(chǔ)上,實現(xiàn)了利用外網(wǎng)機器對內(nèi)網(wǎng)設(shè)備的遠程管理,方便了網(wǎng)絡(luò)管理[2]。

雖然條目permit tcp any host 192.168.1.254 eq telnet允許任何主機登陸內(nèi)網(wǎng),看似危險,但autocommand access-enable host timeout 2命令中的host關(guān)鍵字限定了只有通過R2認證的主機才有權(quán)登陸。并且可以在動態(tài)條目和autocommand命令中利用timeout關(guān)鍵字設(shè)置絕對和空閑超時時間,這樣黑客找到合適的 IP,并假冒這個 IP去訪問內(nèi)網(wǎng)的時間只是這個臨時的有限的時間,這種攻擊是難以實施的[3]。

3 總結(jié)

以上解決方案的安全焦點是認證所用的帳號和口令的安全,如果帳號和口令丟失,內(nèi)網(wǎng)便暴露無遺。有兩種方法可以提高帳號口令的安全性：第一,將解發(fā)認證的方法由telnet改為ssh。telnet方式的遠程登陸過程中,帳號和口令的傳輸是明文方式,這種方式可能會因為數(shù)據(jù)包被非法截獲而導(dǎo)致帳號和口令丟失。而ssh方式的遠程登陸過程中,帳號和口令是經(jīng)過加密方式來傳遞的,即使丟包也不足為懼。第二種方法,上例中用到的認證方法是路由器的本地數(shù)據(jù)庫認證,這種方法口令單一,且路由器為邊界路由器,所以安全性較差,為了更好地提高安全性,可以用專門的認證服務(wù)器來完成用戶的認證,那么安全性又會提高一層[4]。

[1]動態(tài)訪問控制列表解釋[EB]http：//cisco.ccxx.net.

[2]David W.Chapman Jr.cisco安全PIX防火墻[M].人民郵電出版社.2002.

[3]羅詩堯.黑客攻防實戰(zhàn)進階[M].電子工業(yè)出版社.2008.

[4]肖松嶺.網(wǎng)絡(luò)安全技術(shù)內(nèi)幕[M].科學(xué)出版社.2008.

The Application of DACL in Network Remote Management

CHENG Jin-lian
(Huanggang Polytechnic College,Huanggang 438002 Hubei)

To facilitate network management,remote management is sometimes necessary,but the key equipments of inside network can not be directly opened to outside networks.How to realize remote management without affecting the security of inside network has been a secure subject,and dynamic access control list will be one of the solutions.

DACL;Inside net word;Outside network;Remote login;Authentication

TP316.8

A

1672-1047(2010)03-0011-02

10.3969/j.issn.1672-1047.2010.03.04

2010-4-20

陳金蓮(1973-)女,碩士,講師。研究方向：網(wǎng)絡(luò)工程、網(wǎng)絡(luò)安全。Cjlzd2008@hgpu.edu.cn

[責(zé)任編校：郭杏芳]