石河子大学
信息科学与技术学院
<网络工程与技术>课程设计成果
2014—2015学年第二学期
专 业: 计科12 班 级: 计科2班 学 号: 2012508062 学生姓名: 滕 青 青 指导教师: 曹 传 东
完成日期:二○一五 年 七 月 十四 日
题目名称: 基于上下文的访问控制列表CBAC
目 录
1. 课题任务名称 ................................................................................................................................. - 3 -
1.1课题题目: .......................................................................................................................... - 3 - 1.2课题任务: .......................................................................................................................... - 3 - 2.理论背景/基础知识概述 .................................................................................................................. - 3 -
2.1.2 帧中继的四个主要功能 ........................................................................ - 4 -
3. 实践环境/条件及资源说明 ............................................................................................................ - 5 - 4. 实践任务内容 ................................................................................................................................. - 6 - 5. 过程步骤说明 ................................................................................................................................. - 6 - 6. 结论............................................................................................................................................... - 18 - 7.总结与体会 ..................................................................................................................................... - 19 - 附录A 参考文献 ........................................................................................................................ - 20 -
1. 课题任务名称
1.1课题题目:
配置思科路由器实现基于上下文的访问控制列表(CBAC防火墙)
1.2课题任务: 要求使用Dynamips模拟配置软件,在本任务中,要求首先搭建好所需的安全实验机架拓扑,然后演示通过在企业出口路由器上定义基于上下文的协议报文审查规则,实现只能让内网用户发起的流量才能被允许通过路由器并返回,对特定的网络所产生的网络流量产生警告和进行跟踪,本题还要求实现跟踪并分析FTP的主动和被动模式的区别。
2.理论背景/基础知识概述
2.1 CBAC概述
Context-Based Access Control(CBAC)基于上下文的访问控制协议通过检查防火墙的流量来发现&管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量向上配置ip inspect列表,允许为受允许会话放回流量和附加数据连接,打开这些通路。受允许会话是指来源于受保护的内部网络会话。
CBAC不用于ACL(访问控制列表)并不能用来过滤每一种TCP/IP协议,但它对于运行TCP、UDP应用或某些多媒体应用(如Microsoft的NetShow或Real Audio)的网络来说是一个较好的安全解决方案。除此之外,CBAC在流量过滤、流量检查、警告和审计蛛丝马迹、入侵检测等方面表现卓越。在大多数情况下,我们只需在单个接口的一个方向上配置CBAC,即可实现只允许属于现有会话的数据流进入内部网络。可以说,ACL与CBAC是互补的,它们的组合可实现网络安全的最大化。 2.1.1 CBAC原理
CBAC指定了哪些协议及接口、接口方向(流入和流出)需要被检查,同指定了检查的起始。CBAC只对指定的协议进行检查。对于这些协议,只要数据包经过已配置检查策略的接口,那么无论它们从哪个方向通过防火墙都将被检查。进入防火墙的数据包只会在其第一次通过接口的入站ACL时才会被检察。如果数据包被ACL拒
绝,数据包会被简单的丢掉并且不会被CBAC检查。CBAC会追踪它监视的连接,创建包括每个连接信息的状态表。这个表和PIX使用的状态表很相似。CBAC监视TCP,UDP,和ICMP的连接并记录到状态表,并为返回的流量创建动态ACL条目,这点和RACL很相似。但是CBAC能够检测应用层的流量,这点是RACL不能实现的。CBAC使用状态表和动态ACL条目来检测和防止某些DoS攻击,尤其是TCP洪水攻击。 2.1.2 帧中继的四个主要功能
帧中继具有如下四个主要功能: ? 流量过滤
扩展ACL只能过滤3层和4层的流量,RACL能够过滤5层的流量,而CBAC支持应用层的检测,即查看某些数据包的内容,如FTP,他能够分别查看控制连接或者数据连接,由于控制和数据使用的端口是分开的,所以这点对于CBAC来说是做不到的。CBAC甚至能够检测HTTP连接中使用的Java程序,并过滤他们。
? 流量检测
CBAC不仅能像RACL那样检查返回到网络的流量,同时还能够防止TCP SYN
洪水攻击:CBAC能够检测客户端到服务器连接的频率,如果到达一个限度,就会关闭这些连接。也可用来防止DoS分片攻击。
? 入侵检测
CBAC是一个基于状态的防火墙机制,他也能够检测某些DoS攻击。提供对于某些SMTP e-mail攻击的保护,限制某些SMTP命令发送到你内部网络的e-mail服务器。所有这些攻击都使CBAC产生日志信息,并且会选择性的重置TCP连接或者丢弃这些欺骗数据包。
? 一般的告警和审计
CBAC对于检测到的问题或攻击能够产生实时的告警,对于连接请求提供详细的审计信息。例如,记录所有的网络连接请求,包括源和目的的IP地址,连接使用的端口,发送的数据大小,连接开始和结束的时间
2.1.3 CBAC的处理步骤
1.用户发起一个到外部的连接,如Telnet。如果配置了进站ACL,则在CBAC检测之前先处理进站ACL。接着根据CBAC的检测规则,Cisco IOS来检测或忽略这些连接。如果没有要检测的连接,Cisco IOS允许数据包的通过,否则跳入步骤2。
2.Cisco IOS比较当前连接和状态表中的条目:如果条目不存在,则添加一条到状态表中,否则,Cisco IOS重置这个连接的空闲计时器(idle timer)
3.如果这是一个新条目,则Cisco IOS添加一个动态ACL条目到外部接口的进站方向,允许返回到内部网络的流量。这个动态ACL不会保存到NVRAM。在Cisco IOS 12.3(4)T后,出现了一个新的特性叫做:Firewall ACL Bypass (FAB),使用这个特性后,Cisco IOS不会为允许返回的流量创建动态ACL条目,而是直接查看状态表看哪些流量允许返回内部网络,这是通过快速交换进程,如CEF来实现的,从而加
快了处理返回的流量的速度。如果在状态表中没有发现符合的条目,则继续进行进站ACL的检查过程。在12.3(4)T之后,FAB特性会自动的启用并且不能被关闭。
2.1.4 CBAC相比与RACL的改进
? TCP
像RACL一样,CBAC会检测TCP数据包包头的控制位,如果看到FIN位,则Cisco IOS会等待5秒钟来关闭连接,并且删除动态ACL条目(在FAB特性引入之前),并从状态表中删除条目。如果一个TCP的会话空闲超过1个小时,则Cisco IOS会移除这个条目。此外和RACL不同的是CBAC会要求TCP连接在看到第一个SYN字段的30秒钟之内(用户配置)建立。如果在这个时间断里没有建立,Cisco IOS会从状态表中出这个条目和ACL。
此外,CBAC还会检查TCP连接的序列号来保证在一个范围内。如果不在这个范围中,CBAC会丢且这些报文,并且假设发生了DoS欺骗攻击。
? UDP
和RACL一样,CBAC会估计UDP连接的时间,假设30秒之内(用户配置)没有UDP数据包,则说明连接已经结束了。因此Cisco IOS从状态表中移除这个条目(包括动态ACL条目)。此外,与RACL不同的是,CBAC会检测DNS的查询和响应。如果内部设备产生了DNS查询,远端DNS服务器应该会在5秒钟发送DNS响应。如果在5秒钟内没有看到响应,这个DNS连接条目会被立刻移除来防止欺骗攻击。同样的,如果从DNS服务器看到DNS响应后,Cisco IOS也会立刻从状态表中移除相应,来防止DNS欺骗和DoS攻击。
? 另外的连接
某些应用程序,如FTP,会开启额外的连接来传输数据。这种情况RACL就不能起作用了,而CBAC能够监视这些应用的控制连接,并决定他们是否开启了其他的数据连接。当CBAC发现额外开启的连接,他会自动将这些信息加入到状态表中(在启用FAB之前,还会加入到动态ACL种)来允许这些连接通过路由器。
? 对于地址转换的支持
CBAC对于经过地址转换的地址能够在状态表种进行正确的转换,并正确的响应。但是有两个限制:
①启用CBAC的路由器必须同时扮演地址转换的角色,这样才能够获得包头的地址转换的信息。
②并不支持所有的应用程序;只支持某些类型的地址转换,如NAT,而不是PAT。
3. 实践环境/条件及资源说明
本课题任务要求在Dynamips模拟软件中搭建虚拟拓扑结构,选用了两个路由器,一个虚拟机,其中router1充当内部主机,Router2做边界路由器,虚拟机做外部主机,其主要需求配置如下表所示: 操作系统 Redhat Linux