动态ACL配置详解.docx
《动态ACL配置详解.docx》由会员分享,可在线阅读,更多相关《动态ACL配置详解.docx(10页珍藏版)》请在冰豆网上搜索。
动态ACL配置详解
IP访问控制列表算是CiscoIOS一个内在的securityfeature,以下是对常用的动态访问控制列表做了个总结。
Pt.1Lock-and-KeySecurity
Lock-and-KeyOverview
lock-and-key动态ACL使用IP动态扩展ACL过滤IP流量。
当配置了lock-and-key动态ACL之后,临时被拒绝掉的IP流量可以获得暂时性的许可。
lock-and-key动态ACL临时修改路由器接口下已经存在的ACL,来允许IP流量到达目标设备。
之后lock-and-key动态ACL把接口状态还原。
通过lock-and-key动态ACL获得访问目标设备权限的用户,首先要开启到路由器的telnet会话。
接着lock-and-key动态ACL自动对用户进行认证。
如果认证通过,那么用户就获得了临时性的访问权限。
ConfiguringLock-and-Key
配置lock-and-key动态ACL的步骤如下:
1.设置动态ACL:
BitsCN(config)#access-list{access-list-number}[dynamicdynamic-name[timeoutminutes]]{deny|permit}telnet{sourcesource-wildcarddestinationdestination-wildcard}
2.扩展动态ACL的绝对计时器。
可选:
BitsCN(config)#access-listdynamic-extend
3.定义需要应用ACL的接口:
BitsCN(config)#interface{interface}
4.应用ACL:
BitsCN(config-if)#ipaccess-group{ACL}
5.定义VTY线路:
BitsCN(config)#linevty{line-number[ending-line-number]}
6.对用户进行认证:
BitsCN(config)#username{username}password{password}
7.采用TACACS认证或本地认证方式。
可选:
BitsCN(config-line)#login{tacacs|local}
8.创建临时性的访问许可权限,如果没有定义参数host,默认为所有主机:
BitsCN(config-line)#autocommandaccess-enable{host}[timeoutminutes]
Case1
在5分钟内开启到,如果认证成功,对用户给予120秒的访问许可权:
!
interfaceEthernet0
descriptionthisdocumentiswrittenby*****
descriptionpoweredbyBitsCN
ipaddress
ipaccess-group101in
!
access-list101permittcpanyhosteqtelnet
access-list101dynamicBitsCNtimeout120permitipanyany
!
linevty04
logintacacs
autocommandaccess-enabletimeout5
!
MonitoringandMaintainingLock-and-Key
查看ACL信息:
BitsCN#showaccess-lists
Pt.2TCPIntercepting
TCPInterceptingOverview
一般情况下,TCP连接的建立需要经过三次握手的过程:
1.建立发起者向目标计算机发送一个TCPSYN数据包。
2.目标计算机收到这个TCPSYN数据包后,在内存中创建TCP连接控制块(TCB),然后向发送源回复一个TCP确认(ACK)数据包,等待发送源的响应。
3.发送源收到TCPACK数据包后,再以一个TCPACK数据包,TCP连接成功。
TCPSYN洪水攻击的过程:
1.攻击者向目标设备发送一个TCPSYN数据包。
2.目标设备收到这个TCPSYN数据包后,建立TCB,并以一个TCPACK数据包进行响应,等待发送源的响应。
3.而发送源则不向目标设备回复TCPACK数据包,这样导致目标设备一致处于等待状态。
4.如果TCP半连接很多,会把目标设备的资源(TCB)耗尽,而不能响应正常的TCP连接请求。
,从而完成拒绝服务的TCPSYN洪水攻击。
TCP拦截特性可以防止TCP的SYN洪水攻击。
TCP拦截特性的两种模式:
1.拦截(intercept):
软件将主动拦截每个进站的TCP连接请求(TCPSYN),并以服务器的身份,以TCPACK数据包进行回复,然后等待来自客户机的TCPACK数据包。
当再次收到客户机的TCPACK数据包后,最初的TCPSYN数据包被移交给真正的服务器,软件进行TCP三次握手,建立TCP连接。
2.监控(watch):
进站的TCP连接请求(TCPSYN)允许路由器移交给服务器,但是路由器将对连接进行监控,直到TCP连接建立完成。
如果30秒内TCP连接建立不成功,路由器将发送重置(Reset)信号给服务器,服务器将清除TCP半连接。
ConfiguringTCPIntercepting
配置TCP拦截的步骤如下:
1.定义IP扩展ACL:
BitsCN(config)#access-list{access-list-number}[dynamicdynamic-name[timeoutminutes]]{deny|permit}tcp{sourcesource-wildcarddestinationdestination-wildcard}
2.启用TCP拦截:
BitsCN(config)#iptcpinterceptlist{ACL}
3.定义TCP拦截模式,默认为拦截模式。
可选:
BitsCN(config)#iptcpinterceptmode{intercept|watch}
4.定义TCP拦截的切断模式,默认为切断最老的TCP连接。
可选:
BitsCN(config)#iptcpinterceptdrop-mode{oldest|random}
5.定义TCP拦截监控的超时时间,默认为30秒。
可选:
BitsCN(config)#iptcpinterceptwatch-timeout{seconds}
6.定义即使TCP连接不再活动,系统管理TCP连接的时间长度。
默认时间长度为24小时。
可选:
BitsCN(config)#iptcpinterceptconnection-timeout{seconds}
MonitoringandMaintainingTCPIntercepting
一些辅助性的命令:
1.显示TCP连接信息:
BitsCN#showtcpinterceptconnections
2.显示TCP拦截的统计信息:
BitsCN#showtcpinterceptstatistics
自反ACL可以基于上层信息过滤IP流量。
可以使用自反ACL实现流量的单向穿越。
自反ACL只能通过命名扩展ACL来定义。
ConfiguringReflexiveACL
配置自反ACL的步骤如下:
1.定义命名扩展ACL:
BitsCN(config)#ipaccess-listextended{name}
2.定义自反ACL:
BitsCN(config-ext-nacl)#permit{protocol}anyanyreflect{name}[timeoutseconds]
3.嵌套自反ACL:
BitsCN(config-ext-nacl)#evaluate{name}
4.应用自反ACL:
BitsCN(config-if)#ipaccess-group{name}{in|out}
5.全局定义自反ACL的超时时间。
可选:
BitsCN(config)#ipreflexive-listtimeout{seconds}
Case2
路由器B连接的网段,路由器B的串行接口所连的;允许到达外部区域的TCP和UDP信息;而不允许进入内部区域的TCP和UDP信息
路由器B配置如下:
!
ipaccess-listextendedinbound
permiteigrpanyany
permiticmpanyany
evaluateBitsCN
ipaccess-listextendedoutbound
permiteigrpanyany
permiticmpanyany
permittcpanyanyreflectBitsCN
permitudpanyanyreflectBitsCN
!
interfaceEthernet0
descriptionthisdocumentiswrittenby******
descriptionpoweredbyBitsCN
ipaddress
ipaccess-groupinboundin
ipaccess-groupoutboundout
IP访问控制列表算是CiscoIOS一个内在的securityfeature,以下是对常用的动态访问控制列表做了个总结。
Pt.1Lock-and-KeySecurity
Lock-and-KeyOverview
lock-and-key动态ACL使用IP动态扩展ACL过滤IP流量。
当配置了lock-and-key动态ACL之后,临时被拒绝掉的IP流量可以获得暂时性的许可。
lock-and-key动态ACL临时修改路由器接口下已经存在的ACL,来允许IP流量到达目标设备。
之后lock-and-key动态ACL把接口状态还原。
通过lock-and-key动态ACL获得访问目标设备权限的用户,首先要开启到路由器的telnet会话。
接着lock-and-key动态ACL自动对用户进行认证。
如果认证通过,那么用户就获得了临时性的访问权限。
ConfiguringLock-and-Key
配置lock-and-key动态ACL的步骤如下:
1.设置动态ACL:
BitsCN(config)#access-list{access-list-number}[dynamicdynamic-name[timeoutminutes]]{deny|permit}telnet{sourcesource-wildcarddestinationdestination-wildcard}
2.扩展动态ACL的绝对计时器。
可选:
BitsCN(config)#access-listdynamic-extend
3.定义需要应用ACL的接口:
BitsCN(config)#interface{interface}
4.应用ACL:
BitsCN(config-if)#ipaccess-group{ACL}
5.定义VTY线路:
BitsCN(config)#linevty{line-number[ending-line-nu