动态IP访问控制列表解析
[align=left][align=left][font=宋体][size=9pt]IP[/size][/font][font=宋体][size=9pt]访问控制列表算是Cisco IOS一个内在的security feature,以下是对常用的动态访问控制列表做了个总结,欢迎飞砖.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Pt.1 Lock-and-Key Security[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Lock-and-Key Overview[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]lock-and-key[/size][/font][font=宋体][size=9pt]动态ACL使用IP动态扩展ACL过滤IP流量.当配置了lock-and-key动态ACL之后,临时被拒绝掉的IP流量可以获得暂时性的许可. lock-and-key动态ACL临时修改路由器接口下已经存在的ACL,来允许IP流量到达目标设备.之后lock-and-key动态ACL把接口状态还原.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]通过lock-and-key动态ACL获得访问目标设备权限的用户,首先要开启到路由器的telnet会话.接着lock-and-key动态ACL自动对用户进行认证.如果认证通过,那么用户就获得了临时性的访问权限.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Configuring Lock-and-Key[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]配置lock-and-key动态ACL的步骤如下:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]1.[/size][/font][font=宋体][size=9pt]设置动态ACL:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} telnet {source source-wildcard destination destination-wildcard}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]2.[/size][/font][font=宋体][size=9pt]扩展动态ACL的绝对计时器.可选:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)# access-list dynamic-extend[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]3.[/size][/font][font=宋体][size=9pt]定义需要应用ACL的接口:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#interface {interface}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]4.[/size][/font][font=宋体][size=9pt]应用ACL:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config-if)#ip access-group {ACL}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]5.[/size][/font][font=宋体][size=9pt]定义VTY线路:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#line vty {line-number [ending-line-number]}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]6.[/size][/font][font=宋体][size=9pt]对用户进行认证:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#username {username} password {password}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]7.[/size][/font][font=宋体][size=9pt]采用TACACS认证或本地认证方式.可选:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config-line)#login {tacacs|local}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]8.[/size][/font][font=宋体][size=9pt]创建临时性的访问许可权限,如果没有定义参数host,默认为所有主机:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config-line)#autocommand access-enable {host} [timeout minutes][/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Case 1[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]在5分钟内开启到172.16.1.2的telnet会话,如果认证成功,对用户给予120秒的访问许可权:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]![/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]interface Ethernet0[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]description this document is written by *****[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]description powered by BitsCN [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]ip address 172.16.1.1 255.255.255.0[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]ip access-group 101 in[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]![/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]access-list 101 permit tcp any host 172.16.1.2 eq telnet[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]access-list 101 dynamic BitsCN timeout 120 permit ip any any[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]! [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]line vty 0 4[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]login tacacs[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]autocommand access-enable timeout 5[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]![/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Monitoring and Maintaining Lock-and-Key[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]查看ACL信息:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN#show access-lists[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Pt.2 TCP Intercepting[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]TCP Intercepting Overview[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]一般情况下,TCP连接的建立需要经过三次握手的过程: [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]1.[/size][/font][font=宋体][size=9pt]建立发起者向目标计算机发送一个TCP SYN数据包.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]2.[/size][/font][font=宋体][size=9pt]目标计算机收到这个TCP SYN数据包后,在内存中创建TCP连接控制块(TCB),然后向发送源回复一个TCP确认(ACK)数据包,等待发送源的响应.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]3.[/size][/font][font=宋体][size=9pt]发送源收到TCP ACK数据包后,再以一个TCP ACK数据包,TCP连接成功.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]TCP SYN[/size][/font][font=宋体][size=9pt]洪水攻击的过程:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]1.[/size][/font][font=宋体][size=9pt]攻击者向目标设备发送一个TCP SYN数据包.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]2.[/size][/font][font=宋体][size=9pt]目标设备收到这个TCP SYN数据包后,建立TCB,并以一个TCP ACK数据包进行响应,等待发送源的响应.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]3.[/size][/font][font=宋体][size=9pt]而发送源则不向目标设备回复TCP ACK数据包,这样导致目标设备一致处于等待状态.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]4.[/size][/font][font=宋体][size=9pt]如果TCP半连接很多,会把目标设备的资源(TCB)耗尽,而不能响应正常的TCP连接请求.,从而完成拒绝服务的TCP SYN洪水攻击.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]TCP[/size][/font][font=宋体][size=9pt]拦截特性可以防止TCP的SYN洪水攻击.TCP拦截特性的两种模式:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]1.[/size][/font][font=宋体][size=9pt]拦截(intercept):软件将主动拦截每个进站的TCP连接请求(TCP SYN),并以服务器的身份,以TCP ACK数据包进行回复,然后等待来自客户机的TCP ACK数据包.当再次收到客户机的TCP ACK数据包后,最初的TCP SYN数据包被移交给真正的服务器,软件进行TCP三次握手,建立TCP连接.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]2.[/size][/font][font=宋体][size=9pt]监控(watch):进站的TCP连接请求(TCP SYN)允许路由器移交给服务器,但是路由器将对连接进行监控,直到TCP连接建立完成.如果30秒内TCP连接建立不成功,路由器将发送重置(Reset)信号给服务器,服务器将清除TCP半连接.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Configuring TCP Intercepting[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]配置TCP拦截的步骤如下:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]1.[/size][/font][font=宋体][size=9pt]定义IP扩展ACL:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#access-list {access-list-number} [dynamic dynamic-name [timeout minutes]] {deny|permit} tcp {source source-wildcard destination destination-wildcard}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]2.[/size][/font][font=宋体][size=9pt]启用TCP拦截:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#ip tcp intercept list {ACL}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]3.[/size][/font][font=宋体][size=9pt]定义TCP拦截模式,默认为拦截模式.可选:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#ip tcp intercept mode {intercept|watch}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]4.[/size][/font][font=宋体][size=9pt]定义TCP拦截的切断模式,默认为切断最老的TCP连接.可选:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#ip tcp intercept drop-mode {oldest|random}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]5.[/size][/font][font=宋体][size=9pt]定义TCP拦截监控的超时时间,默认为30秒.可选:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#ip tcp intercept watch-timeout {seconds}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]6.[/size][/font][font=宋体][size=9pt]定义即使TCP连接不再活动,系统管理TCP连接的时间长度.默认时间长度为24小时.可选:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#ip tcp intercept connection-timeout {seconds}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Monitoring and Maintaining TCP Intercepting[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]一些辅助性的命令:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]1.[/size][/font][font=宋体][size=9pt]显示TCP连接信息:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN#show tcp intercept connections[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]2.[/size][/font][font=宋体][size=9pt]显示TCP拦截的统计信息:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN#show tcp intercept statistics[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Pt.3 IP Session Filtering[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Reflexive ACL Overview[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]自反ACL可以基于上层信息过滤IP流量.可以使用自反ACL实现流量的单向穿越.自反ACL只能通过命名扩展ACL来定义.[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Configuring Reflexive ACL[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]配置自反ACL的步骤如下:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]1.[/size][/font][font=宋体][size=9pt]定义命名扩展ACL:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#ip access-list extended {name}2.[/size][/font][font=宋体][size=9pt]定义自反ACL:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config-ext-nacl)#permit {protocol} any any reflect {name} [timeout seconds][/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]3.[/size][/font][font=宋体][size=9pt]嵌套自反ACL:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config-ext-nacl)#evaluate {name}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]4.[/size][/font][font=宋体][size=9pt]应用自反ACL:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config-if)#ip access-group {name} {in|out}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]5.[/size][/font][font=宋体][size=9pt]全局定义自反ACL的超时时间.可选:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]BitsCN(config)#ip reflexive-list timeout {seconds}[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt] [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]Case 2[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]路由器B连接的网段192.168.0.0/24为内部区域,路由器B的串行接口所连的10.0.0.0/30以及上游网段为外部区域.路由器A和B运行EIGRP.要求允许EIGRP和ICMP信息;允许到达外部区域的TCP和UDP信息;而不允许进入内部区域的TCP和UDP信息:[/size][/font][/align][/align][img]http://www.91lab.com/bbs/attachments/forumid_7/image002_PYv5ybFlTyv8.jpg[/img]
[align=left][align=left][font=宋体][size=9pt]路由器B配置如下:[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]![/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]ip access-list extended inbound[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]permit eigrp any any[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]permit icmp any any[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]evaluate BitsCN[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]ip access-list extended outbound[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]permit eigrp any any[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]permit icmp any any[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]permit tcp any any reflect BitsCN[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]permit udp any any reflect BitsCN[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]![/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]interface Ethernet0[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]description this document is written by ******[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]description powered by BitsCN [/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]ip address 192.168.0.1 255.255.255.0[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]ip access-group inbound in[/size][/font][/align][/align][align=left][align=left][font=宋体][size=9pt]ip access-group outbound out[/size][/font][/align][/align] 嗯,不错,学习学习!:) 不错,有些东西是NA里学不到的!Thanks! 好东西,谢了呀 ! 好啊,做个记号先 不错,Thanks!
页:
[1]