有这样一个要求,就是我们要允许内部的机器可以访问外部,可是不允许外部的主机访问内部,有人说,这个简单,用一个访问控制列表,在Seial1上做如下配置
router(config)#access-list 100 deny ip any any
router(config-if)#ip access-group 100 in
这样做的结果是外面肯定不能访问内部了,可是我们从内部出去的数据包也甭想回来了,所以这种做法不行
我们可以继续开动脑筋,我们知道TCP在建立连接之前,有一个三次握手过程,在TCP的包头里面有一个标志位,我们的扩展访问控制列表可以对这个标志位进行控制。我们分析下,内部主机向外发起连接的时候,SYN位为1,而外部的主机回应包里面为 SYN=1 ACK=1
而一个外部主机要想内部发起连接,他的第一个包只是SYN=1,而ACK=0,所以,我们可以通过这种方式来做
Router(config)#access-list 100 permit tcp any any ack
或者
Router(config)#access-list 100 permit tcp any any established
然后应用到接口上
router(config-if)#ip access-group 100 in
这个方法是可以,但是如果不是TCP的应用,是UDP的程序该如何办?很显然,通过这个方式是解决不了的。我们用自反访问列表就可以很好的解决这个问题
2. 自反访问控制列表
自反访问列表的英文名字是Reflexive Access Lists,Reflexive这个词我们翻译成自反,如何自反呢?就是他会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,那么,创建一个什么样的控制列表呢?就是和原来的控制列表—IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表。并且还有一定的时间限制,过了时间,就会超时,这个新创建的列表就会消失,这样大大增加了安全性。
具体案例:
拓扑图如下
需求如下:
R1模仿内网,R3模仿外网,现在要求R1可以远程登录到R3,但是不允许R3发起任何到R1的连接。
三台路由器初始配置如下:
R1#sh run
interface Serial0
ip address 10.1.1.1 255.255.255.0
router ospf 1
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
line vty 0 4
password cisco
login
R2#sh run
interface Serial0
ip address 10.1.1.2 255.255.255.0
clockrate 64000
interface Serial1
ip address 192.168.1.1 255.255.255.0
clockrate 64000
router ospf 1
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
R3#sh run
interface Loopback0
ip address 3.3.3.3 255.255.255.0
interface Ethernet0
no ip address
shutdown
interface Serial0
no ip address
interface Serial1
ip address 192.168.1.2 255.255.255.0
router ospf 1
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
line vty 0 4
password cisco
login
R1上的路由表
R1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/129] via 10.1.1.2, 00:03:42, Serial0
10.0.0.0/24 is subnetted, 1 subnets
C 10.1.1.0 is directly connected, Serial0
O 192.168.1.0/24 [110/128] via 10.1.1.2, 00:03:42, Serial0
测试一下
R1#ping 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/62/68 ms
R1#
R1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>
在R3上测试一下:
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/60/60 ms
R3#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
User Access Verification
Password:
R1>
路由是通畅的,R1可以正常的远程登录到R3,因为没有作任何控制,所以R3照样可以访问R1
解决方案1:
使用扩展访问控制列表,控制TCP标志位
在R2上做如下配置
interface Serial1
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
clockrate 64000
access-list 100 permit tcp any any established //用ACK也行
access-list 100 permit ospf any any //保持ospf路由协议正常工作
R1上做测试:
R1#ping 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>
这个时候,我们发现不能ping 通了,原因是什么呢?
access-list 100 permit tcp any any established
access-list 100 permit ospf any any
我们在访问控制列表中没有允许ICMP协议,所以返回的数据包在R2上面被拒绝掉了,但是telnet成功了,因为我们在进来的访问控制列表里允许了TCP。
在R3上做测试:
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R3#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Destination unreachable; gateway or host down
我们看R3是不能访问R1的任何东西了,为什么呢?ping不通的原因是我们在R2上阻止了ICMP,而telnet为什么不行呢,虽然我们允许了TCP包,但是因为是R3向R1发起初始化连接,TCP里面的标志位SYN=1,ACK=0,而我们的访问控制列表的关键词established定义了只有ACK=1的包才能被允许,所以,这个初始连接包就被拒绝了,那么我们这种做法就满足了试验要求。
解决方案2:
使用自反访问控制列表
在R2 做如下配置
interface Serial0
ip address 10.1.1.2 255.255.255.0
ip access-group tcp-out in
clockrate 64000
!
interface Serial1
ip address 192.168.1.1 255.255.255.0
ip access-group tcp-in in
clockrate 64000
ip access-list extended tcp-in
permit ospf any any
evaluate telnet
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet
需要注意以下几点
1) 自反访问控制列表只能和基于名字的扩展访问控制列表一起工作
2) 他自己不能工作,必须寄生于扩展访问控制列表,并且有两个访问列表才行,也就是
一个列表创建自反列表
例如
ip access-list extended tcp-out
permit tcp any any reflect telnet
注意关键词 refect,当由符合tcp any any 的数据流通过的时候,就会产生一个名字叫做telnet的自反列表,但是它是产生而已,还不能被使用,因为没与应用到接口上
令外一个列表进行调用
ip access-list extended tcp-in
evaluate telnet
在进来的访问列表里面,用关键字evaluate 来调用已经产生的telnet自反列表。
在R1上做测试
R1>en
R1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>
我们看看R2上:
R2#show access-lists
Extended IP access list tcp-in
10 permit ospf any any (72 matches)
20 evaluate telnet
Extended IP access list tcp-out
20 permit ospf any any (72 matches)
30 permit tcp any any reflect telnet
Reflexive IP access list telnet
permit tcp host 3.3.3.3 eq telnet host 10.1.1.1 eq 11003 (26 matches) (time left 258)
注:(这条语句只有在匹配上reflect关联的感兴趣流量时才会产生一个自反的ACL,且效果可以理解为暂时替代evaluate xxx语句)
已经产生了一个自反访问控制列表,他的源端口是23,目的端口是11003,正好是我们刚才从R1上telnet的返回的数据流。
从R3上做下测试:
R3#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Destination unreachable; gateway or host down
我们看不成功,这个连接的源端口号是一个大于10000得一个随机端口号,目的端口号是23 ,但是访问控制列表并不允许这样的数据流,所以访问失败,这个满足我们的试验需求。
我们还可以对这个自反列表存在时间进行控制,我们看看这个自反列表
permit tcp host 3.3.3.3 eq telnet host 10.1.1.1 eq 11003 (26 matches) (time left 258),time left 258是指如果没有数据流的情况下,再过258秒,这个自反列表既要从缓存中被清掉。这无疑增加了安全性,降低了被IP欺骗的可能。
这个时间我们可以用如下的方式修改:
ip access-list extended tcp-out
permit tcp any any reflect telnet timeout 600 //单位是秒
另外在全局模式下,可以使用另外一个命令修改超时时间:
r2(config)#ip reflexive-list timeout 600
这样就把时间改成了10分钟,而默认是5分钟
现在有一个新的需求:
我们要求在R2可以telnet到R3,但是R3不能访问R2
我们在R2 上做如下配置
interface Serial1
ip address 192.168.1.1 255.255.255.0
ip access-group tcp-in in
ip access-group tcp-out out
clockrate 64000
ip access-list extended tcp-in
permit ospf any any
evaluate telnet
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet
我们首先在R3上测试一下:
R3#telnet 192.168.1.1
Trying 192.168.1.1 ...
% Destination unreachable; gateway or host down
结果是满意的
我们再在R2上测试一下:
R2#telnet 3.3.3.3
Trying 3.3.3.3 ...
% Connection timed out; remote host not responding
结果却出乎我们的预料。原因在哪里?
我们看一下R2上的访问列表
R2#show access-lists
Extended IP access list tcp-in
10 permit ospf any any (230 matches)
20 evaluate telnet
Extended IP access list tcp-out
20 permit ospf any any (202 matches)
30 permit tcp any any reflect telnet
Reflexive IP access list telnet
自反列表竟然为空!这是为什么呢?原因在于访问列表的一个特性,就是出去的访问列表不对这个路由器自己产生的数据包进行检查,也就是我们从R2上telnet 到R3的数据流是从R2产生的,所以没有经过这个下面这个访问控制列表的检查
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet
访问控制列表,那么自然就不会产生自反访问列表telnet了。
解决的办法有两个:
一个是通过本地路由策略(local policy route-map)
ip local policy route-map cisco
route-map cisco permit 10
match ip address tcp-out
在R2上再测试一下:
R2#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>
R2上看下访问列表:
//注意,不能在上面的配置中打exit,如果是这样,那么自反列表剩下的时间立刻被降为6秒,不好观察结果,我采用的是在R1上远程登录(telnet)到R2再观察
r2#show access-lists
Extended IP access list tcp-in
10 permit ospf any any (8 matches)
20 evaluate telnet
Extended IP access list tcp-out
10 permit ospf any any
20 permit tcp any any reflect telnet
Reflexive IP access list telnet
permit tcp host 3.3.3.3 eq telnet host 192.168.1.1 eq 11002 (time left 297)
好的,我们看看现在就可以了!
当然,我们还有另外的一个方法:
R2上这样配置:
ip access-list extended tcp-in
permit ospf any any
evaluate telnet
permit tcp any eq telnet any ack---------------------------加上了这条指令
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet
在R2上测试:
r2#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>
成功登陆,符合我们的期望:
在R3上进行测试:
R3#telnet 192.168.1.1
Trying 192.168.1.1 ...
% Destination unreachable; gateway or host down
结果也是我们所需要的
总结:
自反访问控制列表在第四层上分析数据流,是一个按需生成的控制列表,在没有数据流的时候,也就是不需要的时候,会自动消失,是一种较自动化的数据控制方式,在一定程度上防止了IP地址欺骗攻击,非常有效的保护了用户的网络免受黑客破坏,并且对TCP数据包最有效(对于UDP包,扩展访问控制列表毫无办法)。
综合实验
实验需求:禁止外网R3访问内网的所有流量,但是要求内网能主动和外网进行通信,且只容许边界路由器ping内网主机,不容许内网主机主动ping边界路由器
R2:
interface Serial1/0
ip address 10.1.1.2 255.255.255.0
ip access-group test2 in
ip access-group test1 out
!
interface Serial1/1
ip address 192.168.1.1 255.255.255.0
ip access-group test3 in
ip access-group tcp-in out
!
ip access-list extended test1
permit ospf any any
permit icmp any any reflect TEST
permit ip any any
ip access-list extended test2
permit ospf any any
evaluate TEST
deny icmp any any
permit ip any any reflect in-to-out
ip access-list extended test3
evaluate in-to-out
permit ospf any any
468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
