基于上下文访问控制(CBAC)介绍与分析
一、Cisco IOS安全技术
Cisco IOS防火墙特性集作为Cisco IOS软件的一个选项,提供了一个先进的安全解决方案,这种集成化路由器安全解决方案是Cisco Systems安全解决方案系统中的一个部件。
Cisco IOS安全服务包括一系列特性,能使管理人员将一台Cisco路由器配置成为一个防火墙,而Cisco IOS防火墙特性集则可以为现有的Cisco IOS安全解决方案增加更大的深度和灵活性。表1为Cisco IOS防火墙特性集相关新特性的概述。
二、基于上下文的访问控制
CBAC提供四个方面的主要功能:
- 流量过滤:
扩展ACL只能过滤3层和4层的流量,RACL能够过滤5层的流量,而CBAC支持应用层的检测,即查看某些数据包的内容,如FTP,他能够分别查看控制连接或者数据连接,由于控制和数据使用的端口是分开的,所以这点对于CBAC来说是做不到的。CBAC甚至能够检测HTTP连接中使用的Java程序,并过滤他们。 - 流量检测:
CBAC不仅能像RACL那样检查返回到网络的流量,同时还能够防止TCP SYN 洪水攻击:CBAC能够检测客户端到服务器连接的频率,如果到达一个限度,就会关闭这些连接。也可用来防止DoS分片攻击。 - 入侵检测:
CBAC是一个基于状态的防火墙机制,他也能够检测某些DoS攻击。提供对于某些SMTP e-mail攻击的保护,限制某些SMTP命令发送到你内部网络的e-mail服务器。所有这些攻击都使CBAC产生日志信息,并且会选择性的重置TCP连接或者丢弃这些欺骗数据包。 - 一般的告警和审计:
CBAC对于检测到的问题或攻击能够产生实时的告警,对于连接请求提供详细的审计信息。例如,记录所有的网络连接请求,包括源和目的的IP地址,连接使用的端口,发送的数据大小,连接开始和结束的时间。
CBAC的原理:
CBAC会追踪它监视的连接,创建包括每个连接信息的状态表。这个表和PIX使用的状态表很相似。CBAC监视TCP,UDP,和ICMP的连接并记录到状态表,并为返回的流量创建动态ACL条目,这点和RACL很相似。但是CBAC能够检测应用层的流量,这点是RACL不能实现的。CBAC使用状态表和动态ACL条目来检测和防止某些DoS攻击,尤其是TCP洪水攻击。
CBAC的处理步骤:
1.用户发起一个到外部的连接,如Telnet。如果配置了进站ACL,则在CBAC检测之前先处理进站ACL。接着根据CBAC的检测规则,Cisco IOS来检测或忽略这些连接。如果没有要检测的连接,Cisco IOS允许数据包的通过,否则跳入步骤2。
2.Cisco IOS比较当前连接和状态表中的条目:如果条目不存在,则添加一条到状态表中,否则,Cisco IOS重置这个连接的空闲计时器(idle timer)
3.如果这是一个新条目,则Cisco IOS添加一个动态ACL条目到外部接口的进站方向,允许返回到内部网络的流量。这个动态ACL不会保存到NVRAM。
在Cisco IOS 12.3(4)T后,出现了一个新的特性叫做:Firewall ACL Bypass (FAB),使用这个特性后,Cisco IOS不会为允许返回的流量创建动态ACL条目,而是直接查看状态表看哪些流量允许返回内部网络,这是通过快速交换进程,如CEF来实现的,从而加快了处理返回的流量的速度。如果在状态表中没有发现符合的条目,则继续进行进站ACL的检查过程。在12.3(4)T之后,FAB特性会自动的启用并且不能被关闭。
注意:CBAC能够配置要检测哪个方向的流量,大多数情况下,你可以在边界路由器上配置CBAC来允许返回到内部网络的流量。然而,你也能够配置CBAC来同时检测两个方向的流量,来同时保护两边的网络。
CBAC相比与RACL的改进
TCP:
像RACL一样,CBAC会检测TCP数据包包头的控制位,如果看到FIN位,则Cisco IOS会等待5秒钟来关闭连接,并且删除动态ACL条目(在FAB特性引入之前),并从状态表中删除条目。如果一个TCP的会话空闲超过1个小时,则Cisco IOS会移除这个条目。此外和RACL不同的是CBAC会要求TCP连接在看到第一个SYN字段的30秒钟之内(用户配置)建立。如果在这个时间断里没有建立,Cisco IOS会从状态表中出这个条目和ACL。
此外,CBAC还会检查TCP连接的序列号来保证在一个范围内。如果不在这个范围中,CBAC会丢且这些报文,并且假设发生了DoS欺骗攻击。
UDP:
和RACL一样,CBAC会估计UDP连接的时间,假设30秒之内(用户配置)没有UDP数据包,则说明连接已经结束了。因此Cisco IOS从状态表中移除这个条目(包括动态ACL条目)。此外,与RACL不同的是,CBAC会检测DNS的查询和响应。如果内部设备产生了DNS查询,远端DNS服务器应该会在5秒钟发送DNS响应。如果在5秒钟内没有看到响应,这个DNS连接条目会被立刻移除来防止欺骗攻击。同样的,如果从DNS服务器看到DNS响应后,Cisco IOS也会立刻从状态表中移除相应,来防止DNS欺骗和DoS攻击。
另外的连接:
某些应用程序,如FTP,会开启额外的连接来传输数据。这种情况RACL就不能起作用了,而CBAC能够监视这些应用的控制连接,并决定他们是否开启了其他的数据连接。当CBAC发现额外开启的连接,他会自动将这些信息加入到状态表中(在启用FAB之前,还会加入到动态ACL种)来允许这些连接通过路由器。
对于地址转换的支持:
CBAC对于经过地址转换的地址能够在状态表种进行正确的转换,并正确的响应。但是有两个限制:
- 启用CBAC的路由器必须同时扮演地址转换的角色,这样才能够获得包头的地址转换的信息。
- 并不支持所有的应用程序;只支持某些类型的地址转换,如NAT,而不是PAT。
CBAC的配置:
步骤一:决定路由器上的哪个接口作为内部接口,哪个接口作为外部接口
内部接口(internal)是指连接发起的数据包进入CBAC路由器的接口,外部接口(external)是流量出去后返回CBAC路由器的接口,如果要配置双向CBAC,推荐先配置单向CBAC,测试正常后再配置另外一边。
注意:如果不配置内部端口,则除了外部端口外的所有端口都是内部端口
步骤二:创建普通的IP ACL列表过滤进入和离开内部网络的流量,并保证那些要监视的出站流量允许被通过
推荐在配置CBAC之前,先用ACL(应用到接口上)允许某些必要的流量进入或离开内部网络,这样做简化了以后的CBAC配置和相关排错,inspect会在这些deny的条目上开孔,允许指定的流量进入
步骤三:(可选)改变全局的连接超时时间
Router(config)# ip inspect tcp synwait-time #_of_seconds 等待多长时间来完成TCP连接(三次握手),默认是30秒
Router(config)# ip inspect tcp finwait-time #_of_seconds 等待多长时间来完成TCP连接关闭,默认是5秒
Router(config)# ip inspect tcp idle-time #_of_seconds TCP连接的空闲时间,默认是3600秒
Router(config)# ip inspect udp idle-time #_of_seconds UDP连接的空闲时间,默认是30秒
Router(config)# ip inspect dns-timeout #_of_seconds 配置DNS查询条目在状态表中存在的时间,默认是5秒,优先级高于UDP空闲时间
步骤四:(可选)配置应用程序端口映射(Port Application Mapping(PAM))
CBAC是哦那个PAM来决定要监视的应用连接类型,如果要监视的那些使用非标准端口的应用程序,如HTTP使用8080端口,必须要手动配置。
PAM表中有三类条目:
- System-defined entries-默认的应用程序端口条目
- User-defined entries-用户定义的应用程序端口条目
- Host-specific entries-User-defined entries的一种,如果一个应用程序同时存在默认端口和用户自定义的端口,则用户自定义的条目称为Host-specific entries
配置PAM条目:
Router(config)# ip port-map application_name port port_# [list acl_#] ACL指定哪些设备使用非标准的端口,如果不加代表全部设备。
PAM配置举例:使用PAM和ACL来决定CBAC检测的范围
Router(config)# ip port-map http port 8080 list 1
Router(config)# access-list 1 permit 192.1.1.2
Router(config)# ip port-map http port 8090 list 2
Router(config)# access-list 2 permit 192.1.1.3
检测IP地址为192.1.1.2,端口为8080的HTTP连接
检测IP地址为192.1.1.3,端口为8090的HTTP连接
注意:
PAM表在某些版本的Cisco IOS上必须保存配置,重启后才生效
使用show ip port-map查看
步骤五:定义CBAC监视规则(最为重要的一步)
定义哪些条目要加入到状态表,哪些流量被允许返回。如果出站流量不符合监视规则,路由器不会监视这些流量,只把他们当作普通流量处理。
Router(config)# ip inspect name inspection_name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds]
protocol:支持的协议cuseeme, fragment, ftp, h323, http, icmp, netshow, rcmd (UNIX R commands), realaudio, rpc, rtsp, sip, skinny, smtp, sqlnet, streamworks, tcp, tftp, udp, and vdolive
alert和audit-trail:详细指定对于这条规则,告警和审计是否开启,如果不配置,则启用默认告警审计规则
timeout:指定这条规则的超时,如果不指定,则使用默认超时时间
步骤六:在接口上激活监视规则。这样路由器会使用CBAC来监视这些流量
Router(config)# interface type [slot_#] port_#
Router(config -if)# ip inspect inspection_name {in | out}in:连接发起的数据包进入CBAC路由器的接口
out:流量出去后返回CBAC路由器的接口
步骤七:(可选,强烈推荐)发送流量经过CBAC路由器来测试你的配置
CBAC查看命令:
Router# show ip inspect [parameter]
Router# show ip inspect sessions 查看CBAC状态表
告警和审计
告警
告警会显示CBAC的一些消息,如:路由器资源不够,DoS攻击和其他威胁。告警默认情况会开启,并自动显示在console线程上。
全局关闭CBAC告警:
Router(config)# ip inspect alert-off
审计
审计会追踪CBAC检查的连接,获取他们的统计信息。默认情况下审计是关闭的。
全局开启CBAC审计,默认情况会显示在console线程上:
Router(config)# ip inspect audit trail
本文转自 http://blog.sina.com.cn/s/blog_606e90de0100k21u.html