- 論壇徽章:
- 0
|
IP訪問控制列表算是Cisco IOS一個內在的security feature,本人對常用的動態(tài)訪問控制列表做了個總結,歡迎飛磚.
作者:紅頭發(fā)(AKA BLAKKBLOOD,CCIE#15101/JNCIS)
出處:http://www.91lab.com
QQ:13030130
Pt.1 Lock-and-Key Security
Lock-and-Key Overview
lock-and-key動態(tài)ACL使用IP動態(tài)擴展ACL過濾IP流量.當配置了lock-and-key動態(tài)ACL之后,臨時被拒絕掉的IP流量可以獲得暫時性的許可. lock-and-key動態(tài)ACL臨時修改路由器接口下已經存在的ACL,來允許IP流量到達目標設備.之后lock-and-key動態(tài)ACL把接口狀態(tài)還原.
通過lock-and-key動態(tài)ACL獲得訪問目標設備權限的用戶,首先要開啟到路由器的telnet會話.接著lock-and-key動態(tài)ACL自動對用戶進行認證.如果認證通過,那么用戶就獲得了臨時性的訪問權限.
Configuring Lock-and-Key
配置lock-and-key動態(tài)ACL的步驟如下:
1.設置動態(tài)ACL:
NUAIKO(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}
2.擴展動態(tài)ACL的絕對計時器.可選:
NUAIKO(config)# access-list dynamic-extend
3.定義需要應用ACL的接口:
NUAIKO(config)#interface {interface}
4.應用ACL:
NUAIKO(config-if)#ip access-group {ACL}
5.定義VTY線路:
NUAIKO(config)#line vty {line-number [ending-line-number]}
6.對用戶進行認證:
NUAIKO(config)#username {username} password {password}
7.采用TACACS認證或本地認證方式.可選:
NUAIKO(config-line)#login {tacacs|local}
8.創(chuàng)建臨時性的訪問許可權限,如果沒有定義參數host,默認為所有主機:
NUAIKO(config-line)#autocommand access-enable {host} [timeout minutes]
Case 1
在5分鐘內開啟到172.16.1.2的telnet會話,如果認證成功,對用戶給予120秒的訪問許可權:
!
interface Ethernet0
description this document is written by CCIE#15101 AKA BLAKKBLOOD(QQ 13030130)
description powered by NUAIKO TAC Ltd.(http://www.91lab.com)
ip address 172.16.1.1 255.255.255.0
ip access-group 101 in
!
access-list 101 permit tcp any host 172.16.1.2 eq telnet
access-list 101 dynamic NUAIKO timeout 120 permit ip any any
!
line vty 0 4
login tacacs
autocommand access-enable timeout 5
!
Monitoring and Maintaining Lock-and-Key
查看ACL信息:
NUAIKO#show access-lists
Pt.2 TCP Intercepting
TCP Intercepting Overview
一般情況下,TCP連接的建立需要經過三次握手的過程:
1.建立發(fā)起者向目標計算機發(fā)送一個TCP SYN數據包.
2.目標計算機收到這個TCP SYN數據包后,在內存中創(chuàng)建TCP連接控制塊(TCB),然后向發(fā)送源回復一個TCP確認(ACK)數據包,等待發(fā)送源的響應.
3.發(fā)送源收到TCP ACK數據包后,再以一個TCP ACK數據包,TCP連接成功.
TCP SYN洪水攻擊的過程:
1.攻擊者向目標設備發(fā)送一個TCP SYN數據包.
2.目標設備收到這個TCP SYN數據包后,建立TCB,并以一個TCP ACK數據包進行響應,等待發(fā)送源的響應.
3.而發(fā)送源則不向目標設備回復TCP ACK數據包,這樣導致目標設備一致處于等待狀態(tài).
4.如果TCP半連接很多,會把目標設備的資源(TCB)耗盡,而不能響應正常的TCP連接請求.,從而完成拒絕服務的TCP SYN洪水攻擊.
TCP攔截特性可以防止TCP的SYN洪水攻擊.TCP攔截特性的兩種模式:
1.攔截(intercept):軟件將主動攔截每個進站的TCP連接請求(TCP SYN),并以服務器的身份,以TCP ACK數據包進行回復,然后等待來自客戶機的TCP ACK數據包.當再次收到客戶機的TCP ACK數據包后,最初的TCP SYN數據包被移交給真正的服務器,軟件進行TCP三次握手,建立TCP連接.
2.監(jiān)控(watch):進站的TCP連接請求(TCP SYN)允許路由器移交給服務器,但是路由器將對連接進行監(jiān)控,直到TCP連接建立完成.如果30秒內TCP連接建立不成功,路由器將發(fā)送重置(Reset)信號給服務器,服務器將清除TCP半連接.
Configuring TCP Intercepting
配置TCP攔截的步驟如下:
1.定義IP擴展ACL:
NUAIKO(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} tcp {source source-wildcard destination destination-wildcard}
2.啟用TCP攔截:
NUAIKO(config)#ip tcp intercept list {ACL}
3.定義TCP攔截模式,默認為攔截模式.可選:
NUAIKO(config)#ip tcp intercept mode {intercept|watch}
4.定義TCP攔截的切斷模式,默認為切斷最老的TCP連接.可選:
NUAIKO(config)#ip tcp intercept drop-mode {oldest|random}
5.定義TCP攔截監(jiān)控的超時時間,默認為30秒.可選:
NUAIKO(config)#ip tcp intercept watch-timeout {seconds}
6.定義即使TCP連接不再活動,系統管理TCP連接的時間長度.默認時間長度為24小時.可選:
NUAIKO(config)#ip tcp intercept connection-timeout {seconds}
Monitoring and Maintaining TCP Intercepting
一些輔助性的命令:
1.顯示TCP連接信息:
NUAIKO#show tcp intercept connections
2.顯示TCP攔截的統計信息:
NUAIKO#show tcp intercept statistics
Pt.3 IP Session Filtering
Reflexive ACL Overview
自反ACL可以基于上層信息過濾IP流量.可以使用自反ACL實現流量的單向穿越.自反ACL只能通過命名擴展ACL來定義.
Configuring Reflexive ACL
配置自反ACL的步驟如下:
1.定義命名擴展ACL:
NUAIKO(config)#ip access-list extended {name}
2.定義自反ACL:
NUAIKO(config-ext-nacl)#permit {protocol} any any reflect {name} [timeout seconds]
3.嵌套自反ACL:
NUAIKO(config-ext-nacl)#evaluate {name}
4.應用自反ACL:
NUAIKO(config-if)#ip access-group {name} {in|out}
5.全局定義自反ACL的超時時間.可選:
NUAIKO(config)#ip reflexive-list timeout {seconds}
Case 2
路由器B連接的網段192.168.0.0/24為內部區(qū)域,路由器B的串行接口所連的10.0.0.0/30以及上游網段為外部區(qū)域.路由器A和B運行EIGRP.要求允許EIGRP和ICMP信息;允許到達外部區(qū)域的TCP和UDP信息;而不允許進入內部區(qū)域的TCP和UDP信息:
![]()
路由器B配置如下:
!
ip access-list extended inbound
permit eigrp any any
permit icmp any any
evaluate NUAIKO
ip access-list extended outbound
permit eigrp any any
permit icmp any any
permit tcp any any reflect NUAIKO
permit udp any any reflect NUAIKO
!
interface Ethernet0
description this document is written by CCIE#15101 AKA BLAKKBLOOD(QQ 13030130)
description powered by NUAIKO TAC Ltd.(http://www.91lab.com)
ip address 192.168.0.1 255.255.255.0
ip access-group inbound in
ip access-group outbound out
作者:紅頭發(fā)(AKA BLAKKBLOOD,CCIE#15101/JNCIS)
出處:http://www.91lab.com
QQ:13030130 |
|
免費注冊
發(fā)表于 2006-04-14 11:07
