訪問控制策略失效案例

2016-03-13 11:21:14

網絡安全和信息化 2016年10期

引言：近幾年網絡安全工作受到越來越多的重視，公司內部也加大了對安全防護工作的考核。不過筆者有兩次遇到過因某種特定原因，致使訪問控制策略失效的案例，由于它們具有一定的參考意義，特記錄于此，以免大家遭遇類似麻煩。

近幾年網絡安全工作受到越來越多的重視，由于一些公司內網的建設的不完備導致公司在網絡層面上遭受著巨大安全風險。因此公司內部也加大了對安全防護工作的考核。從事安全工作的朋友都知道，要想構建一個穩定且強健的內部網絡，除了及時給終端服務器打補丁、開防火墻之外，對網絡設備實施恰當的安全訪問控制策略實在是非常重要，因為它不僅是一種有效的技術手段，亦是一種管理手段。

不過筆者有兩次遇到過因某種特定原因，致使訪問控制策略失效的案例，由于它們具有一定的參考意義，特記錄于此，以免大家遭遇類似麻煩。

案例一 VLAN1透傳引起的ACL策略失效

分公司總部工作人員密集，有兩臺核心路由器與五臺三層交換機，每臺三層交換機的上聯端口都配置有安全訪問策略，一直運行很穩定。由于特殊的原因，我們將其中的兩臺三層交換機直連，將一臺三層交換機下的一個VLAN透傳到另一個三層交換機（互連線是access端口）。本以為沒有改動三層交換機的上聯線路，這個變更不會影響到兩臺三層交換機的安全策略，結果很快在省公司的例行掃描中，發現了其中一臺三層交換機下許多本已屏蔽的漏洞，而且交換機中不停的有拓撲變更警告。

原來一般支持802.1Q的華為交換機在端口沒有配置的時候默認都是屬于VLAN1，也就是默認不打標簽的VLAN，它一般不承載用戶數據也不承載管理流量，只承載控制信息。即使配置了端口為其他VLAN號，這種不打標簽的數據包也是默認允許通過的。所以這就不難解釋為什么我們在比較新一點的華為交換機上配置trunk端口時，往往會看到“port trunk allowpass vlan 2 to 4094”的配置，因為VLAN1默認就是開放的。那么這對我們這個案例場景的影響就是，這根增加的網線，使得路由器至兩個三層交換機無形多了一條通路（經過另一個交換機的VLAN1透傳），而在這根網線互聯的端口上是沒有安全策略的，這也就是有一臺三層交換機ACL策略失效的原因。解決的方法很簡單，只需要將互聯端口改成trunk口，并且顯式的定義禁止的VLAN號與允許的VLAN號：

interface Ethernet0/2

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 1013

案例二 DHCP改造引起的ACL策略失效

分公司各個端局使用的是城域網退役下來的老設備華為MA5200F，在全局視圖配置之下，都有對上聯端口的安全策略。由于近年來公司內部改革變動力度較大，人員機構調整頻繁，為了減少網絡維護的壓力，我們進行了DHCP改造。可是在新增了域、新增了地址池，并且將此域加到上聯子端口實現DHCP功能以后，我們才忽然發現，原來的ACL策略對這個新增的地址池失效了。

查詢了許多資料后我們才找到問題的原因，原來MA5200F與三層交換設備DHCP配置方法不同，ACL策略生效方式也有差異。MA5200F需要先對域指定ucl-group，然后針對這個ucl-group配置ACL策略，最后再在全局啟用此策略，這樣才能對域內地址池的訪問流量進行過濾。

下面給出了相關的參考例子（DHCP安全策略部分）：

ip pool hbl local

gateway xxx.xxx.xxx.xxx. 255.255.255.0

section 0 xxx.xxx.xxx.2 xxx.xxx.xxx.254

dns-server xxx.xxx.xxx.xxx

dns-server xxx.xxx.xxx.xxx secondary

aaa

authentication-scheme none

authentication-mode none

accounting-scheme none

accounting-mode none

domain hbl

authentication-scheme none

accounting-scheme none

ucl-group 1

ip-pool hbl

portvlan ethernet 22 vlan 101 1

access-type layer2-subscriber

default-domain authentication hbl

authenticationmethod bind

access-group 3000

acl number 3000

rule 0 net-user permit ip source xxx.xxx.0.0 0.0.255.255

rule 1 net-user deny tcp destination 1 destination-port eq 445

rule 2 net-user deny tcp destination 1 destination-port eq 139

……

由上述兩個案例我們不難總結，在實際安全工作中，我們既要尊重客觀規律不斷豐富自己的經驗，又要防止想當然的犯經驗主義的錯誤。同時我們還可以將平時所遇到的問題以及相應的解決方案及時與人們分享，這樣可以豐富自己的經驗的同時也能及時警戒其他人避免類似的錯誤，從而達到共同進步。只有采取審慎仔細的態度，多一點反思多一點檢查，才能真正打造出一個安全的網絡。