CBAC在Cisco路由器安全中的應用
使用思科路由的用戶非常多,同時也會出現很多問題,于是我研究了一下CBAC對于Cisco路由器安全的作用,在這里拿出來和大家分享一下,希望對大家有用。在Cisco路由器上創建ACL(訪問控制列表)是管理員常用的數據過濾和網絡安全防護措施,但是ACL的局限性是非常明顯的。
因為它只能檢測到網絡層和傳輸層的數據信息,而對于封裝在IP包中的惡意信息它是無能為力的。因此,ACL并不可靠,需要CBAC(基于上下文的訪問控制)的配合,這樣網絡安全性將會極大提升。本文將和大家一起探討Cisco路由器安全CBAC的部署的技術細節及其相關技巧。
一、CBAC簡述
CBAC(context-based access control)即基于上下文的訪問控制,它不用于ACL(訪問控制列表)并不能用來過濾每一種TCP/IP協議,但它對于運行TCP、UDP應用或某些多媒體應用(如Microsoft的NetShow或Real Audio)的網絡來說是一個較好的安全解決方案。除此之外,CBAC在流量過濾、流量檢查、警告和審計蛛絲馬跡、入侵檢測等方面表現卓越。在大多數情況下,我們只需在單個接口的一個方向上配置CBAC,即可實現只允許屬于現有會話的數據流進入內部網絡。可以說,ACL與CBAC是互補的,它們的組合可實現網絡安全的最大化。
二、CBAC的合理配置
1.CBAC配置前的評估
在進行CBAC配置之前需要對網絡的安全標準、應用需求等方面進行評估然后根據需要進行相應的配置。通常情況下,用戶可以在一個或多個接口的2個方向上配置CBAC。如果防火墻兩端的網絡都需要受保護的話,如在Extranet或Intranet的配置中,就可以在2個方向上配置CBAC。若防火墻被放置在2個合作伙伴公司網絡的中間,則可能想要為某些應用在一個方向上限制數據流,并為其它應用在反方向上限制數據流。特別要注意的是,CBAC只能用于IP數據流。只有TCP和UDP數據包能被檢查,其他IP數據流。
(如ICMP)不能被CBAC檢查,只能采用基本的訪問控制列表對其進行過濾。在不作應用層協議審查時,像自反訪問控制列表一樣,CBAc可以過濾所有的TCP和UDP會話。但CBAC也可以被配置來有效地處理多信道(多端口)應用層協議:cu-SeeMe(僅對whitePine版本)、FTP、H.323(如NetMeeting和ProShare)、HTTP(Java攔阻)、Java、MicrosftNetshow、UNIX的r系列命令(如rlogin、rexec和rsh);RealAudio、RPC(SunRPc,非DCERPC)MircosoftRPC、SMTP、SQL.Net、StreamWorks、TFTP、VDOLive。
2.選擇配置接口
為了恰當地配置CBAc,首先必須確定在哪個接口上配置CBAC。下面描述了內部口和外部接口間的不同之處。配置數據流過濾的第一步是決定是否在防火墻的一個內部接口或外部接口上配置CBAC。在該環境下,所謂“內部”是指會話必須主動發起以讓其數據流被允許通過防火墻的一側;“外部”是指會話不能主動發起的一側(從外部發起的會話被禁止)。如果要在2個方向上配置CBAc,應該先在一個方向上使用適當的“Intemal”和“Extemal”接口指示配置CBAC。在另一個方向上配置CBAC時,則將該接口指示換成另一個。
CBAC常被用于2種基本的網絡拓撲結構之一。確定哪種拓撲結構與用戶自己的最吻合,可以幫助用戶決定是否應在一個內部接口或是在一個外部接口上配置CBAC。給出了第1種網絡拓撲結構。在該簡單的拓撲結構中,CBAC被配置在外部接口S0上。這可以防止指定的協議數據流進入該防火墻Cisco路由器安全和內部網絡,除非這些數據是由內部網絡所發起會話的一部分。
根據這2個拓撲結構樣例,可以決定網絡是否應在一個內部接口或是在一個外部接口上配置CBAC。如果防火墻只有2條連接,一條是到內部網絡,另外一條是到外部網絡,那么只能使用入方向的訪問控制列表就可以了,因為數據包在有機會影響Cisco路由器安全之前已經被過濾了。
3.防火墻配置
當用戶用Cisco IOS配置任何IP防火墻時可參照下面給出的一些基本的配置指南。配置一個包含允許來自不受保護網絡的某些ICMP數據流條目的訪問控制列表。盡管一個拒絕所以不屬于受CBAC所審查的連接一部分的IP數據流的訪問控制列表看起來比較安全,但它對Cisco路由器安全的正確運行不太現實。Cisco路由器安全期望能夠看到來自網絡中其他Cisco路由器安全的ICMP數據流。ICMP數據流不能被CBAC所審查,所以應在防護控制列表中設置特定的條目以允許返回的ICMP數據流。如在受保護網絡中的一個用戶要用“Ping”命令來獲取位于不受保護網絡中的一臺主機的狀態,如果在訪問控制列表中沒有允許“echoreply”消息的條目,則在受保護網絡中的這位用戶就得不到其“Ping”命令的相應。下面所示的配置中含有允許關鍵ICMP消息的訪問控制列表條目:
