陳金蓮

(黃岡職業(yè)技術(shù)學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系,湖北黃岡438002)

動(dòng)態(tài)訪問(wèn)控制列表在網(wǎng)絡(luò)遠(yuǎn)程管理中的應(yīng)用*

陳金蓮

(黃岡職業(yè)技術(shù)學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系,湖北黃岡438002)

為了方便網(wǎng)絡(luò)管理,遠(yuǎn)程管理有時(shí)是必須的,但內(nèi)網(wǎng)的關(guān)鍵設(shè)備又不能直接開(kāi)放于外網(wǎng),如何在不影響內(nèi)網(wǎng)安全的基礎(chǔ)上實(shí)現(xiàn)遠(yuǎn)程管理一直是一個(gè)安全課題,動(dòng)態(tài)訪問(wèn)控制列表便是其中的解決方案之一。

動(dòng)態(tài)訪問(wèn)控制列表;內(nèi)網(wǎng);外網(wǎng);遠(yuǎn)程登陸;認(rèn)證

1 前言

訪問(wèn)控制列表是保障網(wǎng)絡(luò)安全的重要技術(shù)措施,也是每一個(gè)網(wǎng)絡(luò)管理員所必須掌握的一種安全技術(shù)。其中,標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表比較常用,也為廣大網(wǎng)絡(luò)管理員所熟悉,利用它們可以很容易地實(shí)現(xiàn)只允許內(nèi)網(wǎng)訪問(wèn)外網(wǎng),而不允許外網(wǎng)對(duì)內(nèi)網(wǎng)的主動(dòng)連接,從而可以很好地保護(hù)內(nèi)網(wǎng)免受外網(wǎng)的威脅。這種訪問(wèn)控制列表的特點(diǎn)是：一旦在其中加入了一個(gè)表項(xiàng),除非手工刪除,該表項(xiàng)將一直產(chǎn)生作用,所以也叫它們?yōu)殪o態(tài)訪問(wèn)控制列表。

遠(yuǎn)程管理對(duì)于一個(gè)網(wǎng)絡(luò),特別是大型的跨地區(qū)的網(wǎng)絡(luò)而言,往往是必須的。此時(shí),如果利用靜態(tài)訪問(wèn)控制列表,就必須永久性地在訪問(wèn)控制列表中開(kāi)啟一個(gè)突破口,以允許外網(wǎng)站點(diǎn)上的報(bào)文進(jìn)入內(nèi)網(wǎng)。但同時(shí),這些在訪問(wèn)控制列表中的永久性的突破口也給黑客發(fā)送報(bào)文進(jìn)入安全邊界,并達(dá)到內(nèi)部網(wǎng)絡(luò)提供了機(jī)會(huì),這是一個(gè)極大的安全隱患。能不能讓這個(gè)外網(wǎng)到內(nèi)網(wǎng)的突破口在需要的時(shí)候打開(kāi),在不需要的時(shí)候關(guān)閉呢?動(dòng)態(tài)訪問(wèn)控制列表可以解決這一問(wèn)題。

動(dòng)態(tài)訪問(wèn)控制列表首先在訪問(wèn)控制列表中設(shè)置一個(gè)列表?xiàng)l目占位符,這個(gè)條目允許外網(wǎng)訪問(wèn)內(nèi)網(wǎng),但一般情況下這個(gè)條目只是一個(gè)占位符,不起作用。如若要激活該條目,則用戶(hù)需要向路由器發(fā)起一個(gè)SSH或Telnet會(huì)話(huà)以觸發(fā)認(rèn)證,當(dāng)用戶(hù)通過(guò)路由器或防火墻的認(rèn)證時(shí),路由器或防火墻會(huì)重新配置接口下的ACL,將條目占位符變成臨時(shí)訪問(wèn)控制列表?xiàng)l目,使用戶(hù)獲得臨時(shí)訪問(wèn)指定內(nèi)部設(shè)備的權(quán)限,但在一定時(shí)間后,又自動(dòng)刪除條目,關(guān)閉外網(wǎng)到內(nèi)網(wǎng)的突破口[1]。

2 實(shí)施

下面,以cisco ios11.2以上版本的路由器為例分析如何通過(guò)動(dòng)態(tài)訪問(wèn)控制列表實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)管理。網(wǎng)絡(luò)拓?fù)淙缦聢D：

其中,PC0要通過(guò)遠(yuǎn)程的方法管理內(nèi)網(wǎng)中受保護(hù)的設(shè)備R2,R2的f0/0口的IP地址為192.168.2.254,R1為網(wǎng)絡(luò)的邊界路由器,R1的f0/0口的IP地址為192.168.1.254(真實(shí)環(huán)境中它應(yīng)該是一個(gè)合法的公網(wǎng)IP),動(dòng)態(tài)訪問(wèn)控制列表在R1的f0/0口上實(shí)施,步驟如下：

(1)配置認(rèn)證所需的用戶(hù)名和密碼

R1(config)#username remotetelnet password 321

(2)配置擴(kuò)展訪問(wèn)控制列表及動(dòng)態(tài)條目(本ACL中只考慮遠(yuǎn)程登陸規(guī)則,在真實(shí)環(huán)境中還應(yīng)該有其它的訪問(wèn)控制條目)

R1(config)#ip access-list extended opentelnet

R1(config-ext-nacl)#permit tcp any host 192.168.1.254 eq telnet

R1(config-ext-nacl)#dynamic dyacl permit tcp any host 192.168.2.254 eq telnet

R1(config-ext-nacl)#deny ip any any

(3)在接口下應(yīng)用ACL

R1(config)#interface f0/0

R1(config-if)#ip access-group opentelnet in

(4)在線路下配置登陸方法

R1(config)#line vty 0 4

R1(config-line)#login local(認(rèn)證方法為本地?cái)?shù)據(jù)庫(kù))

(5)啟用動(dòng)態(tài)訪問(wèn)控制列表,設(shè)置空閑時(shí)間為120秒

R1(config-line)#autocommand access-enable host timeout 2

在R1被遠(yuǎn)程登錄之前,訪問(wèn)控制列表opentelnet中只有兩個(gè)條目permit tcp any host 192.168.1.254 eq telnet和deny ip any any,功能分別為打開(kāi)R1的遠(yuǎn)程登陸功能和不允許外網(wǎng)對(duì)內(nèi)網(wǎng)的訪問(wèn)。當(dāng)遠(yuǎn)程某臺(tái)機(jī)器通過(guò)telnet登錄到R1上并通過(guò)R1的認(rèn)證后,R1便重寫(xiě)了其f0/0口下的訪問(wèn)控制列表opentelnet,在其下增加了一個(gè)臨時(shí)條目permit tcp any host192.168.2.254 eq telnet,它允許任何外網(wǎng)機(jī)器對(duì)內(nèi)網(wǎng)中路由器R2的telnet訪問(wèn),這在不損害內(nèi)網(wǎng)安全性的基礎(chǔ)上,實(shí)現(xiàn)了利用外網(wǎng)機(jī)器對(duì)內(nèi)網(wǎng)設(shè)備的遠(yuǎn)程管理,方便了網(wǎng)絡(luò)管理[2]。

雖然條目permit tcp any host 192.168.1.254 eq telnet允許任何主機(jī)登陸內(nèi)網(wǎng),看似危險(xiǎn),但autocommand access-enable host timeout 2命令中的host關(guān)鍵字限定了只有通過(guò)R2認(rèn)證的主機(jī)才有權(quán)登陸。并且可以在動(dòng)態(tài)條目和autocommand命令中利用timeout關(guān)鍵字設(shè)置絕對(duì)和空閑超時(shí)時(shí)間,這樣黑客找到合適的 IP,并假冒這個(gè) IP去訪問(wèn)內(nèi)網(wǎng)的時(shí)間只是這個(gè)臨時(shí)的有限的時(shí)間,這種攻擊是難以實(shí)施的[3]。

3 總結(jié)

以上解決方案的安全焦點(diǎn)是認(rèn)證所用的帳號(hào)和口令的安全,如果帳號(hào)和口令丟失,內(nèi)網(wǎng)便暴露無(wú)遺。有兩種方法可以提高帳號(hào)口令的安全性：第一,將解發(fā)認(rèn)證的方法由telnet改為ssh。telnet方式的遠(yuǎn)程登陸過(guò)程中,帳號(hào)和口令的傳輸是明文方式,這種方式可能會(huì)因?yàn)閿?shù)據(jù)包被非法截獲而導(dǎo)致帳號(hào)和口令丟失。而ssh方式的遠(yuǎn)程登陸過(guò)程中,帳號(hào)和口令是經(jīng)過(guò)加密方式來(lái)傳遞的,即使丟包也不足為懼。第二種方法,上例中用到的認(rèn)證方法是路由器的本地?cái)?shù)據(jù)庫(kù)認(rèn)證,這種方法口令單一,且路由器為邊界路由器,所以安全性較差,為了更好地提高安全性,可以用專(zhuān)門(mén)的認(rèn)證服務(wù)器來(lái)完成用戶(hù)的認(rèn)證,那么安全性又會(huì)提高一層[4]。

[1]動(dòng)態(tài)訪問(wèn)控制列表解釋[EB]http：//cisco.ccxx.net.

[2]David W.Chapman Jr.cisco安全PIX防火墻[M].人民郵電出版社.2002.

[3]羅詩(shī)堯.黑客攻防實(shí)戰(zhàn)進(jìn)階[M].電子工業(yè)出版社.2008.

[4]肖松嶺.網(wǎng)絡(luò)安全技術(shù)內(nèi)幕[M].科學(xué)出版社.2008.

The Application of DACL in Network Remote Management

CHENG Jin-lian
(Huanggang Polytechnic College,Huanggang 438002 Hubei)

To facilitate network management,remote management is sometimes necessary,but the key equipments of inside network can not be directly opened to outside networks.How to realize remote management without affecting the security of inside network has been a secure subject,and dynamic access control list will be one of the solutions.

DACL;Inside net word;Outside network;Remote login;Authentication

TP316.8

A

1672-1047(2010)03-0011-02

10.3969/j.issn.1672-1047.2010.03.04

2010-4-20

陳金蓮(1973-)女,碩士,講師。研究方向：網(wǎng)絡(luò)工程、網(wǎng)絡(luò)安全。Cjlzd2008@hgpu.edu.cn

[責(zé)任編校：郭杏芳]