陈金莲
(黄冈职业技术学院计算机科学与技术系,湖北黄冈438002)
动态访问控制列表在网络远程管理中的应用*
陈金莲
(黄冈职业技术学院计算机科学与技术系,湖北黄冈438002)
为了方便网络管理,远程管理有时是必须的,但内网的关键设备又不能直接开放于外网,如何在不影响内网安全的基础上实现远程管理一直是一个安全课题,动态访问控制列表便是其中的解决方案之一。
动态访问控制列表;内网;外网;远程登陆;认证
访问控制列表是保障网络安全的重要技术措施,也是每一个网络管理员所必须掌握的一种安全技术。其中,标准访问控制列表和扩展访问控制列表比较常用,也为广大网络管理员所熟悉,利用它们可以很容易地实现只允许内网访问外网,而不允许外网对内网的主动连接,从而可以很好地保护内网免受外网的威胁。这种访问控制列表的特点是:一旦在其中加入了一个表项,除非手工删除,该表项将一直产生作用,所以也叫它们为静态访问控制列表。
远程管理对于一个网络,特别是大型的跨地区的网络而言,往往是必须的。此时,如果利用静态访问控制列表,就必须永久性地在访问控制列表中开启一个突破口,以允许外网站点上的报文进入内网。但同时,这些在访问控制列表中的永久性的突破口也给黑客发送报文进入安全边界,并达到内部网络提供了机会,这是一个极大的安全隐患。能不能让这个外网到内网的突破口在需要的时候打开,在不需要的时候关闭呢?动态访问控制列表可以解决这一问题。
动态访问控制列表首先在访问控制列表中设置一个列表条目占位符,这个条目允许外网访问内网,但一般情况下这个条目只是一个占位符,不起作用。如若要激活该条目,则用户需要向路由器发起一个SSH或Telnet会话以触发认证,当用户通过路由器或防火墙的认证时,路由器或防火墙会重新配置接口下的ACL,将条目占位符变成临时访问控制列表条目,使用户获得临时访问指定内部设备的权限,但在一定时间后,又自动删除条目,关闭外网到内网的突破口[1]。
下面,以cisco ios11.2以上版本的路由器为例分析如何通过动态访问控制列表实现远程网络管理。网络拓扑如下图:
其中,PC0要通过远程的方法管理内网中受保护的设备R2,R2的f0/0口的IP地址为192.168.2.254,R1为网络的边界路由器,R1的f0/0口的IP地址为192.168.1.254(真实环境中它应该是一个合法的公网IP),动态访问控制列表在R1的f0/0口上实施,步骤如下:
(1)配置认证所需的用户名和密码
R1(config)#username remotetelnet password 321
(2)配置扩展访问控制列表及动态条目(本ACL中只考虑远程登陆规则,在真实环境中还应该有其它的访问控制条目)
R1(config)#ip access-list extended opentelnet
R1(config-ext-nacl)#permit tcp any host 192.168.1.254 eq telnet
R1(config-ext-nacl)#dynamic dyacl permit tcp any host 192.168.2.254 eq telnet
R1(config-ext-nacl)#deny ip any any
(3)在接口下应用ACL
R1(config)#interface f0/0
R1(config-if)#ip access-group opentelnet in
(4)在线路下配置登陆方法
R1(config)#line vty 0 4
R1(config-line)#login local(认证方法为本地数据库)
(5)启用动态访问控制列表,设置空闲时间为120秒
R1(config-line)#autocommand access-enable host timeout 2
在R1被远程登录之前,访问控制列表opentelnet中只有两个条目permit tcp any host 192.168.1.254 eq telnet和deny ip any any,功能分别为打开R1的远程登陆功能和不允许外网对内网的访问。当远程某台机器通过telnet登录到R1上并通过R1的认证后,R1便重写了其f0/0口下的访问控制列表opentelnet,在其下增加了一个临时条目permit tcp any host192.168.2.254 eq telnet,它允许任何外网机器对内网中路由器R2的telnet访问,这在不损害内网安全性的基础上,实现了利用外网机器对内网设备的远程管理,方便了网络管理[2]。
虽然条目permit tcp any host 192.168.1.254 eq telnet允许任何主机登陆内网,看似危险,但autocommand access-enable host timeout 2命令中的host关键字限定了只有通过R2认证的主机才有权登陆。并且可以在动态条目和autocommand命令中利用timeout关键字设置绝对和空闲超时时间,这样黑客找到合适的 IP,并假冒这个 IP去访问内网的时间只是这个临时的有限的时间,这种攻击是难以实施的[3]。
以上解决方案的安全焦点是认证所用的帐号和口令的安全,如果帐号和口令丢失,内网便暴露无遗。有两种方法可以提高帐号口令的安全性:第一,将解发认证的方法由telnet改为ssh。telnet方式的远程登陆过程中,帐号和口令的传输是明文方式,这种方式可能会因为数据包被非法截获而导致帐号和口令丢失。而ssh方式的远程登陆过程中,帐号和口令是经过加密方式来传递的,即使丢包也不足为惧。第二种方法,上例中用到的认证方法是路由器的本地数据库认证,这种方法口令单一,且路由器为边界路由器,所以安全性较差,为了更好地提高安全性,可以用专门的认证服务器来完成用户的认证,那么安全性又会提高一层[4]。
[1]动态访问控制列表解释[EB]http://cisco.ccxx.net.
[2]David W.Chapman Jr.cisco安全PIX防火墙[M].人民邮电出版社.2002.
[3]罗诗尧.黑客攻防实战进阶[M].电子工业出版社.2008.
[4]肖松岭.网络安全技术内幕[M].科学出版社.2008.
The Application of DACL in Network Remote Management
CHENG Jin-lian
(Huanggang Polytechnic College,Huanggang 438002 Hubei)
To facilitate network management,remote management is sometimes necessary,but the key equipments of inside network can not be directly opened to outside networks.How to realize remote management without affecting the security of inside network has been a secure subject,and dynamic access control list will be one of the solutions.
DACL;Inside net word;Outside network;Remote login;Authentication
TP316.8
A
1672-1047(2010)03-0011-02
10.3969/j.issn.1672-1047.2010.03.04
2010-4-20
陈金莲(1973-)女,硕士,讲师。研究方向:网络工程、网络安全。Cjlzd2008@hgpu.edu.cn
[责任编校:郭杏芳]