访问控制策略失效案例
2016-03-13
引言:近几年网络安全工作受到越来越多的重视,公司内部也加大了对安全防护工作的考核。不过笔者有两次遇到过因某种特定原因,致使访问控制策略失效的案例,由于它们具有一定的参考意义,特记录于此,以免大家遭遇类似麻烦。
近几年网络安全工作受到越来越多的重视,由于一些公司内网的建设的不完备导致公司在网络层面上遭受着巨大安全风险。因此公司内部也加大了对安全防护工作的考核。从事安全工作的朋友都知道,要想构建一个稳定且强健的内部网络,除了及时给终端服务器打补丁、开防火墙之外,对网络设备实施恰当的安全访问控制策略实在是非常重要,因为它不仅是一种有效的技术手段,亦是一种管理手段。
不过笔者有两次遇到过因某种特定原因,致使访问控制策略失效的案例,由于它们具有一定的参考意义,特记录于此,以免大家遭遇类似麻烦。
案例一 VLAN1透传引起的ACL策略失效
分公司总部工作人员密集,有两台核心路由器与五台三层交换机,每台三层交换机的上联端口都配置有安全访问策略,一直运行很稳定。由于特殊的原因,我们将其中的两台三层交换机直连,将一台三层交换机下的一个VLAN透传到另一个三层交换机(互连线是access端口)。本以为没有改动三层交换机的上联线路,这个变更不会影响到两台三层交换机的安全策略,结果很快在省公司的例行扫描中,发现了其中一台三层交换机下许多本已屏蔽的漏洞,而且交换机中不停的有拓扑变更警告。
原来一般支持802.1Q的华为交换机在端口没有配置的时候默认都是属于VLAN1,也就是默认不打标签的VLAN,它一般不承载用户数据也不承载管理流量,只承载控制信息。即使配置了端口为其他VLAN号,这种不打标签的数据包也是默认允许通过的。所以这就不难解释为什么我们在比较新一点的华为交换机上配置trunk端口时,往往会看 到“port trunk allowpass vlan 2 to 4094”的配置,因为VLAN1默认就是开放的。那么这对我们这个案例场景的影响就是,这根增加的网线,使得路由器至两个三层交换机无形多了一条通路(经过另一个交换机的VLAN1透传),而在这根网线互联的端口上是没有安全策略的,这也就是有一台三层交换机ACL策略失效的原因。解决的方法很简单,只需要将互联端口改成trunk口,并且显式的定义禁止的VLAN号与允许的VLAN号:
interface Ethernet0/2
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 1013
案例二 DHCP改造引起的ACL策略失效
分公司各个端局使用的是城域网退役下来的老设备华为MA5200F,在全局视图配置之下,都有对上联端口的安全策略。由于近年来公司内部改革变动力度较大,人员机构调整频繁,为了减少网络维护的压力,我们进行了DHCP改造。可是在新增了域、新增了地址池,并且将此域加到上联子端口实现DHCP功能以后,我们才忽然发现,原来的ACL策略对这个新增的地址池失效了。
查询了许多资料后我们才找到问题的原因,原来MA5200F与三层交换设备DHCP配置方法不同,ACL策略生效方式也有差异。MA5200F需要先对域指定ucl-group,然后针对这个ucl-group配置ACL策略,最后再在全局启用此策略,这样才能对域内地址池的访问流量进行过滤。
下面给出了相关的参考例子(DHCP安全策略部分):
#
ip pool hbl local
gateway xxx.xxx.xxx.xxx. 255.255.255.0
section 0 xxx.xxx.xxx.2 xxx.xxx.xxx.254
dns-server xxx.xxx.xxx.xxx
dns-server xxx.xxx.xxx.xxx secondary
#
aaa
authentication-scheme none
authentication-mode none
accounting-scheme none
accounting-mode none
domain hbl
authentication-scheme none
accounting-scheme none
ucl-group 1
ip-pool hbl
#
portvlan ethernet 22 vlan 101 1
access-type layer2-subscriber
default-domain authentication hbl
authenticationmethod bind
#
access-group 3000
#
acl number 3000
rule 0 net-user permit ip source xxx.xxx.0.0 0.0.255.255
rule 1 net-user deny tcp destination 1 destination-port eq 445
rule 2 net-user deny tcp destination 1 destination-port eq 139
……
由上述两个案例我们不难总结,在实际安全工作中,我们既要尊重客观规律不断丰富自己的经验,又要防止想当然的犯经验主义的错误。同时我们还可以将平时所遇到的问题以及相应的解决方案及时与人们分享,这样可以丰富自己的经验的同时也能及时警戒其他人避免类似的错误,从而达到共同进步。只有采取审慎仔细的态度,多一点反思多一点检查,才能真正打造出一个安全的网络。
