一個動態ACL的案例

領測軟件測試網

　　 
　　所在的單位有一臺路由器將兩個以太網段連到了inte.net上，路由器是通過串行端口0連到internet上的，而以太網分別通過端口E 0和E 1連到路由器上。

假設我們希望允許任何用戶都能通過I P訪問1 98.78.46.12服務器，并允許2 0 5.131.175.0網絡上的用戶通過We b瀏覽（h t t p）和F T P訪問I n t e r n e t。
　　useranme test password cisco
　　!
　　int serial 0
　　ip add 175.10.1.1 255.255.255.0
　　ip access-group 100 in
　　!
　　access-list 100 permit tcp any host 175.10.1.1 eq telnet
　　access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023
　　established
　　access-list 100 permit tcp any eq 21 205.131.175.0 0.0.0.255 gt 1023
　　established
　　access-list 100 permit tcp any eq 20 205.131.175.0 0.0.0.255 gt 1023
　　access-list 100 dynamic test timeout 180 permit ip any host 198.76.46.12 log
　　!
　　logging buffered 64000
　　!
　　line vty 0 2
　　login local
　　autocommand access-enable host timeout 10
　　line vty 3 4
　　login local
　　rotary 1
　　
　　首先，我們注意到訪問表被應用到了串行端口上。將擴展訪問表應用到離過濾源最近的
　　地方，這是一種很好的方法。在本例中，我們的目的是要過濾I n t e r n e t上的主機，所以串行端口是路由器上離被過濾主機最近的端口。訪問表應用的方向是向內的，因為從路由器的角度看來， I n t e r n e t來的報文是流向路由器的。如果我們將訪問表應用成向外的訪問，則過濾的報文將是離開串行接口而通往I n t e r n e t的報文，而這并非我們所希望的。另外，我們還建立了一個用戶名“ t e s t”，它可以用來訪
　　問路由器。在實際應用中，我們應該為每個用戶建立一對用戶名和口令�，F在，讓我們再分析訪問表的每一個表項。
　　
　　第一個表項允許從任何源I P地址來的報文到達主機1 7 5 . 1 0 . 1 . 1，如果其目標端口為t e l n e t（2 3）的話。這樣，我們實際上允許了向內的t e l n e t連接到路由器的串行接口。我們可以允許向內的t e l n e t，連接到路由器的其他I P地址，但只允許向內訪問路由器的串行接口是一種最佳的選擇。
　　
　　第二個表項允許從任何源I P地址來的報文，如果其源端口是域名系統（ domain namesystem, DNS）（UDP 53），且目標網絡位于2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4，
　　目的端口大于1 0 2 3的話。這將允許D N S應答到達2 0 5 . 1 3 1 . 1 7 5 . 0 / 24網絡。所有有效D N S請求的源端口應該為1 0 2 4或更大，因此有效D N S的應答就應發送到此1 0 2 4或更高的端口。如果我們不指定目的端口大于1 0 2 3，則攻擊者可以從源端口5 3發送U D P報文到達我們的網絡，從而導致對內部服務器的拒絕服務（denial-of-service, DOS）攻擊。大量的服務器端口都處于小于1 0 2 4的保留區間內，所以我們應阻塞目的端口小于1 0 2 4的報文，以關閉潛在的安全漏洞。
　　
　　第三和第四個表項允許具有如下特征的報文進入：源端口為W W W（TCP 80 ）或F T P（TCP 21），目標位于2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4網絡，目標端口大于1 0 2 3，且T C P頭中設置了A C K和R S T位。這兩個表項允許由內部主機發起的W W W和F T P會
　　話的返回報文。指定源端口和目的端口的原因與第二個表項相同。使用e s t a b l i s h e d意味著只有設置了應答位（ A C K）和復位位（R S T）的報文才能夠匹配并允許通過訪問表項。只有那些已經建立了T C P會話的報文才會設置這些位，這樣增加了訪問表的安全層次。值得注意的是，攻擊者很容易在向內的報文中手工設置這些位，所以這種檢測是十分簡單的。但是，如果內部網絡采用正確的T C P / I P協議棧，它們就會忽略這些帶A C K和R S T位的向內報文，因為它們不是主機上合法的T C P會話的一部分，這就是為什么e s t a b l i s h e d關鍵字仍然十分重要的原因。注意，這
　　種檢驗對U D P報文是無用的，這就是為什么在第二個訪問表項中沒有該關鍵字的原因。
　　
　　第五個表項允許那些從源端口為2 0的任何主機向內報文到達網絡2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4的主機，如果其目的端口大于1 0 2 3的話，允許了那些由內部主機發起的F T P部分數據的報文連接到內部主機。F T P協議實現的標準實現需要F T P服務器發回一個到源F T P客戶機連接。該連接的初始報文沒有設置A C K或R S T位，所以我們在表項中不能使用esta b l i s h e d關鍵字。有一種版本的F T P稱為被動模式（ passive mode）的F T P，或稱為PA S C，它不需要服務器發起一個向源F T P客戶機的連接。在這種模式的FTP中，客戶機需要發起到FTP服務器非2 0端口的另一個連接。該端口是大于1 0 2 3的一種隨機選擇。我們允許所有大于1023 TCP端口的報文通過，是因為我們不能進一步確定F T P服務器會選擇哪一個端口（被動模式F T P服務器的數據端口不為2 0，這與普通模式F T P是不同的）。盡管我們不能讓該表項如我們所希望的那樣確切,established關鍵字仍能使該表項比允許外部發起向內部網絡的會話要安全一些。
　　
　　第六個表項（也是最后一個表項）為動態訪問表項，它允許來自被認證主機的報文到達服務器1 9 8 . 7 8 . 4 6 . 1 2。我們定義的絕對超時時間為3小時（ 1 8 0分鐘）,并對該表項進行了日志記錄（我們還開啟了路由器緩沖區的日志）。通過將匹配動態表項的報文進行記錄，我們可以跟蹤用戶的行為，并建立一個普通的基線。這樣，我們可以發現不正常的行為，并由此判斷這是否是由攻擊者產生的。我們還將動態訪問表項的空閑時間設置成了1 0分鐘，這是在v t y線配置中通過a u t o c o m m a n d設置的。
　　最好是將這兩個值都設上，這樣我們能減少動態表項處于活躍狀態的時間，因此也減少了攻擊者沖破動態表項的可能性。
　　
　　空閑計時器在每有一個報文匹配動態訪問表項時進行復位。而絕對計時器是不復位的.即使一個會話仍然處于活躍狀態，如果絕對超時達到，動態表項就會被刪除，從而用戶需要再經過一個認證過程。如果他們有經過路由器的活躍會話，這些會話將被終止。正因如此，我們建議將絕對超時設置得相對大一些，一般為一個小時或更長一些的時間。但我們應該將空閑時間設置得小一些，一般為1 0分鐘或更短的時間。我們認為，不應將空閑時間的設置大于3 0鐘。

文章來源于領測軟件測試網 http://www.kjueaiud.com/