訪問控制策略失效案例

引言：近幾年網(wǎng)絡(luò)安全工作受到越來越多的重視，公司內(nèi)部也加大了對安全防護(hù)工作的考核。不過筆者有兩次遇到過因某種特定原因，致使訪問控制策略失效的案例，由于它們具有一定的參考意義，特記錄于此，以免大家遭遇類似麻煩。

近幾年網(wǎng)絡(luò)安全工作受到越來越多的重視，由于一些公司內(nèi)網(wǎng)的建設(shè)的不完備導(dǎo)致公司在網(wǎng)絡(luò)層面上遭受著巨大安全風(fēng)險(xiǎn)。因此公司內(nèi)部也加大了對安全防護(hù)工作的考核。從事安全工作的朋友都知道，要想構(gòu)建一個(gè)穩(wěn)定且強(qiáng)健的內(nèi)部網(wǎng)絡(luò)，除了及時(shí)給終端服務(wù)器打補(bǔ)丁、開防火墻之外，對網(wǎng)絡(luò)設(shè)備實(shí)施恰當(dāng)?shù)陌踩L問控制策略實(shí)在是非常重要，因?yàn)樗粌H是一種有效的技術(shù)手段，亦是一種管理手段。

不過筆者有兩次遇到過因某種特定原因，致使訪問控制策略失效的案例，由于它們具有一定的參考意義，特記錄于此，以免大家遭遇類似麻煩。

案例一 VLAN1透傳引起的ACL策略失效

分公司總部工作人員密集，有兩臺核心路由器與五臺三層交換機(jī)，每臺三層交換機(jī)的上聯(lián)端口都配置有安全訪問策略，一直運(yùn)行很穩(wěn)定。由于特殊的原因，我們將其中的兩臺三層交換機(jī)直連，將一臺三層交換機(jī)下的一個(gè)VLAN透傳到另一個(gè)三層交換機(jī)（互連線是access端口）。本以為沒有改動三層交換機(jī)的上聯(lián)線路，這個(gè)變更不會影響到兩臺三層交換機(jī)的安全策略，結(jié)果很快在省公司的例行掃描中，發(fā)現(xiàn)了其中一臺三層交換機(jī)下許多本已屏蔽的漏洞，而且交換機(jī)中不停的有拓?fù)渥兏妗?/p>

原來一般支持802.1Q的華為交換機(jī)在端口沒有配置的時(shí)候默認(rèn)都是屬于VLAN1，也就是默認(rèn)不打標(biāo)簽的VLAN，它一般不承載用戶數(shù)據(jù)也不承載管理流量，只承載控制信息。即使配置了端口為其他VLAN號，這種不打標(biāo)簽的數(shù)據(jù)包也是默認(rèn)允許通過的。所以這就不難解釋為什么我們在比較新一點(diǎn)的華為交換機(jī)上配置trunk端口時(shí)，往往會看 到“port trunk allowpass vlan 2 to 4094”的配置，因?yàn)閂LAN1默認(rèn)就是開放的。那么這對我們這個(gè)案例場景的影響就是，這根增加的網(wǎng)線，使得路由器至兩個(gè)三層交換機(jī)無形多了一條通路（經(jīng)過另一個(gè)交換機(jī)的VLAN1透傳），而在這根網(wǎng)線互聯(lián)的端口上是沒有安全策略的，這也就是有一臺三層交換機(jī)ACL策略失效的原因。解決的方法很簡單，只需要將互聯(lián)端口改成trunk口，并且顯式的定義禁止的VLAN號與允許的VLAN號：

interface Ethernet0/2

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 1013

案例二 DHCP改造引起的ACL策略失效

分公司各個(gè)端局使用的是城域網(wǎng)退役下來的老設(shè)備華為MA5200F，在全局視圖配置之下，都有對上聯(lián)端口的安全策略。由于近年來公司內(nèi)部改革變動力度較大，人員機(jī)構(gòu)調(diào)整頻繁，為了減少網(wǎng)絡(luò)維護(hù)的壓力，我們進(jìn)行了DHCP改造?？墒窃谛略隽擞?、新增了地址池，并且將此域加到上聯(lián)子端口實(shí)現(xiàn)DHCP功能以后，我們才忽然發(fā)現(xiàn)，原來的ACL策略對這個(gè)新增的地址池失效了。

查詢了許多資料后我們才找到問題的原因，原來MA5200F與三層交換設(shè)備DHCP配置方法不同，ACL策略生效方式也有差異。MA5200F需要先對域指定ucl-group，然后針對這個(gè)ucl-group配置ACL策略，最后再在全局啟用此策略，這樣才能對域內(nèi)地址池的訪問流量進(jìn)行過濾。

下面給出了相關(guān)的參考例子（DHCP安全策略部分）：

#

ip pool hbl local

gateway xxx.xxx.xxx.xxx. 255.255.255.0

section 0 xxx.xxx.xxx.2 xxx.xxx.xxx.254

dns-server xxx.xxx.xxx.xxx

dns-server xxx.xxx.xxx.xxx secondary

#

aaa

authentication-scheme none

authentication-mode none

accounting-scheme none

accounting-mode none

domain hbl

authentication-scheme none

accounting-scheme none

ucl-group 1

ip-pool hbl

#

portvlan ethernet 22 vlan 101 1

access-type layer2-subscriber

default-domain authentication hbl

authenticationmethod bind

#

access-group 3000

#

acl number 3000

rule 0 net-user permit ip source xxx.xxx.0.0 0.0.255.255

rule 1 net-user deny tcp destination 1 destination-port eq 445

rule 2 net-user deny tcp destination 1 destination-port eq 139

……

由上述兩個(gè)案例我們不難總結(jié)，在實(shí)際安全工作中，我們既要尊重客觀規(guī)律不斷豐富自己的經(jīng)驗(yàn)，又要防止想當(dāng)然的犯經(jīng)驗(yàn)主義的錯誤。同時(shí)我們還可以將平時(shí)所遇到的問題以及相應(yīng)的解決方案及時(shí)與人們分享，這樣可以豐富自己的經(jīng)驗(yàn)的同時(shí)也能及時(shí)警戒其他人避免類似的錯誤，從而達(dá)到共同進(jìn)步。只有采取審慎仔細(xì)的態(tài)度，多一點(diǎn)反思多一點(diǎn)檢查，才能真正打造出一個(gè)安全的網(wǎng)絡(luò)。