前言
其中一個(gè)關(guān)鍵要素到建立一個(gè)成功的網(wǎng)絡(luò)安全設(shè)計(jì)是識(shí)別和強(qiáng)制執(zhí)行 一個(gè)適當(dāng)信任模式。適當(dāng)信任模式定義了誰(shuí)需要談與誰(shuí)并且 什么樣的數(shù)據(jù)流需要被交換; 應(yīng)該否決其他數(shù)據(jù)流。一旦適當(dāng)信任模式被識(shí)別,然后安全設(shè)計(jì)員應(yīng)該決定如何強(qiáng)制執(zhí)行 型號(hào)。 因?yàn)橹匾Y源是全局可用的并且網(wǎng)絡(luò)攻擊的新的表演 變,網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施傾向于變得更加復(fù)雜,并且更多產(chǎn)品是可用 的。 防火墻、路由器、LAN交換機(jī)、入侵檢測(cè)系統(tǒng)、AAA服務(wù) 器和VPN是可幫助強(qiáng)制執(zhí)行型號(hào)的某些技術(shù)和產(chǎn)品。當(dāng)然,每 一個(gè)這些產(chǎn)品和技術(shù)在整體安全實(shí)施之內(nèi)扮演一個(gè)特定的角色,并 且了解設(shè)計(jì)員是重要的這些元素如何可以配置。
使用的組件
本文不限于特定軟件和硬件版本。
背景信息
識(shí)別和強(qiáng)制執(zhí)行一個(gè)適當(dāng)信任模式似乎是一項(xiàng)非常基 本任務(wù),但在幾年支持的安全實(shí)施之后,我們的經(jīng)驗(yàn)表明安全事件 經(jīng)常與惡劣的安全設(shè)計(jì)有關(guān)。通常這些設(shè)計(jì)差是不強(qiáng)制執(zhí)行 一個(gè)適當(dāng)信任模式的一個(gè)直接后果,有時(shí)因?yàn)槭裁词枪匾臎] 有了解,其他次正因?yàn)槌浞值貨]有了解也沒有誤用介入的技術(shù)。
本文詳細(xì)解釋如何二個(gè)功能可用在我 們的Catalyst交換機(jī),專用VLAN (PVLANs)并且VLAN 訪問(wèn)控制表 (VACLs),在兩可幫助保證適當(dāng)信任模型企業(yè)并且服務(wù)提供商環(huán)境。
強(qiáng)制執(zhí)行適 當(dāng)信任模式的重要性
不強(qiáng)制執(zhí)行適當(dāng)信任模型的一個(gè)立即后果是整體安全實(shí)施變得較不 對(duì)免疫有惡意的活動(dòng)。非敏感區(qū)域(DMZs)普通是被實(shí)施沒有 強(qiáng)制執(zhí)行正確的制度因而實(shí)現(xiàn)一個(gè)潛在入侵者的活動(dòng)。此部 分分析DMZs經(jīng)常如何是被實(shí)施和設(shè)計(jì)差的后果。我們以后將 解釋如何緩和,或者在最佳的案件避免,這些后果。
通常,DMZ服務(wù)器只應(yīng)該處理流入請(qǐng) 求從互聯(lián)網(wǎng)和最終首次與一些后端服務(wù)器的連接位于里面或其他DMZ 分段,例如數(shù)據(jù)庫(kù)服務(wù)器。 同時(shí),DMZ服務(wù)器不應(yīng)該彼此談 或首次與外界的任何連接。這在一個(gè)簡(jiǎn)單信任型號(hào)清楚地定 義了必要的數(shù)據(jù)流; 然而,我們經(jīng)常看型號(hào)不足夠被強(qiáng)制執(zhí) 行的這種。
設(shè)計(jì)員通常傾向于使用 一個(gè)共用段實(shí)現(xiàn)DMZs為所有服務(wù)器沒有對(duì)數(shù)據(jù)流的任何控制他們之 間。例如,所有服務(wù)器位于普通的VLAN。因?yàn)槭裁炊?在同樣VLAN之內(nèi)不控制數(shù)據(jù)流,如果其中一個(gè)服務(wù)器被攻陷然后在 同一個(gè)分段可以使用同一個(gè)服務(wù)器來(lái)源攻擊對(duì)任何服務(wù)器和主機(jī)。 這清楚地實(shí)現(xiàn)展開端口重定向或應(yīng)用層攻擊的一個(gè)潛在入侵 者的活動(dòng)。
一般,只用于防火墻和信 息包過(guò)濾器控制流入的連接,但是什么都通常沒有完成從DMZ限制被 發(fā)起的連接。一些時(shí)間前有允許入侵者通過(guò)發(fā)送HTTP流開始X 終端仿真程序會(huì)話的cgi-bi腳本的一個(gè)著名的弱點(diǎn); 這是應(yīng) 該由防火墻允許的數(shù)據(jù)流。如果入侵者足夠幸運(yùn),他或她可 能使用另一種款待得到根提示,典型地緩沖溢出攻擊。這類 問(wèn)題可以通過(guò)強(qiáng)制執(zhí)行一個(gè)適當(dāng)信任模式避免的大多時(shí)代。首先,服務(wù)器不應(yīng)該彼此談,并且不應(yīng)該于這些服務(wù)器其次發(fā)起連 接與外界。
同樣備注適用于許多其他 方案,去從所有正常不信任的分段至小型服務(wù)器站在應(yīng)用程序服務(wù) 提供商。
PVLANs和VACLs在Catalyst 交換機(jī)可幫助保證一個(gè)適當(dāng)信任模式。PVLANs將通過(guò)限制主 機(jī)的之間數(shù)據(jù)流幫助在一個(gè)共用段,而VACLs將通過(guò)提供對(duì)產(chǎn)生或被 注定的所有數(shù)據(jù)流的進(jìn)一步控制貢獻(xiàn)給一個(gè)特定段。這些功 能在以下部分討論。
專用VLAN
PVLANs是可用的在運(yùn)行CatcOs 5.4或以上,在 Catalyst 4000的Catalyst 6000,2980G、2980G-A、運(yùn)行 CatcOs 6.2或以上的2948G和4912G。
從我們的透視圖,PVLANs是準(zhǔn)許分離數(shù)據(jù)流在把廣播分段的變成第 二層的一個(gè)工具(L2)一個(gè)非廣播multi-access-like分段。 交易在所有端口來(lái)自到交換機(jī)一個(gè)混亂端口(即是能轉(zhuǎn)發(fā)主要和輔助 VLAN)能出去屬于同樣主VLAN的端口。交易(它可以是查出, 屬性或者走向交換機(jī)自端口被映射對(duì)輔助VLAN 的雙向?qū)傩訴LAN)可 以轉(zhuǎn)發(fā)到屬于同一屬性VLAN 的一個(gè)混亂端口或端口。多個(gè) 端口映射對(duì)同樣隔離VLAN不能交換任何數(shù)據(jù)流。
以下鏡象顯示概念。
圖1:專用VLAN
![]("http://images.51cto.com/files/uploadimg/20050926/1405051.gif")
498)this.style.width=498;" align=center vspace=1 border=1>
主VLAN在藍(lán)色 表示; 輔助VLAN在紅色和黃色表示。Host-1連接到屬 于輔助VLAN紅色交換機(jī)的端口。Host-2連接到屬于輔助 VLAN 黃色交換機(jī)的端口。
當(dāng)主機(jī)傳 輸時(shí),數(shù)據(jù)流運(yùn)載輔助VLAN。 例如,當(dāng)時(shí)Host-2傳輸,其數(shù) 據(jù)流在VLAN 黃色去。當(dāng)那些主機(jī)接受時(shí),數(shù)據(jù)流來(lái)自VLAN 藍(lán)色,是主VLAN。
路由器和防火墻其 中連接的端口是混亂端口因?yàn)樵谟成淠苻D(zhuǎn)發(fā)數(shù)據(jù)流來(lái)自每個(gè)輔助 VLAN定義的那些端口并且主VLAN。端口連接到每主機(jī)能只轉(zhuǎn) 發(fā)來(lái)自主VLAN和輔助VLAN 的數(shù)據(jù)流配置在該端口。
圖畫表示專用VLAN作為連接路由器和 主機(jī)的不同的管道:包所有其他的管道是主VLAN (藍(lán)色)和數(shù) 據(jù)流在VLAN藍(lán)色從路由器流到主機(jī)。管道內(nèi)部對(duì)主VLAN是輔 助VLAN,并且移動(dòng)在那些管道的數(shù)據(jù)流是從主機(jī)往路由器。
當(dāng)鏡象顯示,主VLAN能包一個(gè)或更多 輔助VLAN。
及早在本文我們說(shuō)PVLANs 幫助在一個(gè)共用段之內(nèi)通過(guò)簡(jiǎn)單保證主機(jī)的離析強(qiáng)制執(zhí)行適當(dāng)信任 模式。即然我們知道更多專用VLAN ,讓我們看見這在我們最 初的DMZ方案如何可以實(shí)現(xiàn)。服務(wù)器不應(yīng)該彼此談,但是他們 還是需要與他們被聯(lián)系的防火墻或路由器談。在這種情況下 ,當(dāng)應(yīng)該附有路由器和防火墻混亂端口時(shí),應(yīng)該連接服務(wù)器到隔離 的端口。通過(guò)執(zhí)行此,如果其中一個(gè)服務(wù)器被攻陷,入侵者 不會(huì)能使用同一個(gè)服務(wù)器來(lái)源攻擊到另一個(gè)服務(wù)器在同一個(gè)分段之 內(nèi)。交換機(jī)將投下所有信息包以線速,沒有任何影響性能。
另一個(gè)注意事項(xiàng)是這種控制可以只是 被實(shí)施在L2設(shè)備因?yàn)樗星袛鄬儆谙嗤泳W(wǎng)。 沒什么每防火 墻或路由器能執(zhí)行因?yàn)榍袛鄬⒃O(shè)法直接地溝通。另一個(gè)選項(xiàng) 是投入一個(gè)防火墻端口每個(gè)服務(wù)器,但這是可能太消耗大,難實(shí)現(xiàn) 和不擴(kuò)展。
在后面,我們?cè)敿?xì)描述您能使用此功能的一些其他典型的方案。
VLAN訪問(wèn)控制表
VACLs是可用的在運(yùn)行 CatcOs 5.3或以后的Catalyst 6000系列。
VACLs在一臺(tái)Catalyst 6500可以配置在L2 沒有需要 對(duì)于路由器(您只需要Policy Feature Card (PFC))。他們?cè)谂渲肰ACLs被強(qiáng)制執(zhí)行以線速那么那里是沒有影響性能在 Catalyst 6500。 因?yàn)閂ACLs查找在硬件執(zhí)行不管訪問(wèn)控制列 表的大小,轉(zhuǎn)發(fā)速率保持不變。
VACLs可以分開被映射對(duì)主要或備用VLAN 。有在輔助VLAN配置的VACL準(zhǔn)許過(guò)濾主機(jī)產(chǎn)生的數(shù)據(jù)流沒有涉及路由 器或防火墻生成的數(shù)據(jù)流。
通過(guò)結(jié)合 VACLs和專用VLAN它是可能的對(duì)根據(jù)流量方向的過(guò)濾流量。例 如,如果二個(gè)路由器連接到分段和一些主機(jī)(例如服務(wù)器一樣), VACLs在輔助VLAN可以配置以便主機(jī)生成的僅數(shù)據(jù)流被過(guò)濾當(dāng)數(shù)據(jù)流 被交換在路由器之間是未觸動(dòng)過(guò)的時(shí)。
VACLs可以容易地配置強(qiáng)制執(zhí)行適當(dāng)信任模式。 請(qǐng)分析我們的DMZ案件。服務(wù)器在DMZ應(yīng)該服務(wù)僅流入 的連接,并且他們沒有預(yù)計(jì)首次與外界的連接。VACL可以適 用于他們的輔助VLAN為了控制離開這些服務(wù)器的數(shù)據(jù)流。注 意到是關(guān)鍵的,當(dāng)時(shí)使用VACLs ,數(shù)據(jù)流在硬件降低那么那里是對(duì) 路由器的CPU的沒有影響亦不交換機(jī)。在案件一個(gè)服務(wù)器在分 布拒絕服務(wù)(DDos)攻擊涉及作為來(lái)源,交換機(jī)將降低所有非法數(shù) 據(jù)流以線速,沒有任何影響性能。相似的過(guò)濾器在服務(wù)器在 哪里連接到的路由器或防火墻可以被應(yīng)用,但這通常有嚴(yán)重性能指 示。
VACLs 和PVLANs的已知限制
當(dāng)配置過(guò)濾用VACLs時(shí),您在PFC應(yīng)該小心關(guān)于片段處理,根據(jù)硬件 的規(guī)格,并且那配置被調(diào)整。
假使 Catalyst 6500的Supervisor 1的PFC的硬件設(shè)計(jì),明確地拒絕icmp 片段最好的。原因是互聯(lián)網(wǎng)控制信息協(xié)議(ICMP)片段和ECHO 回復(fù)由硬件認(rèn)為同樣,默認(rèn)情況下并且硬件被編程明確地允許片段 。如此如果想要從離開服務(wù)器終止回應(yīng)數(shù)據(jù)包,您必須用線 路deny icmp any any fragment 明確配置 此。配置在本文考 慮到此。
有一個(gè)著名的安全限制對(duì) PVLANs,是可能性路由器轉(zhuǎn)發(fā)數(shù)據(jù)流來(lái)自的取消相同子網(wǎng)。路由器能發(fā)送數(shù)據(jù)流橫跨阻撓目的對(duì)于PVLANs的隔離的端口。 此限制歸結(jié)于事實(shí)PVLANs是提供隔離在L2的工具,不在第三 層(L3) 。
有修正到此問(wèn)題,通過(guò)在 主VLAN配置的VACLs達(dá)到。案例分析提供在主VLAN需要配置到 下落數(shù)據(jù)流產(chǎn)生由相同子網(wǎng)和路由回到相同子網(wǎng)的VACLs。
在一些線路卡,PVLAN映射/映射/中 繼端口的配置是受多個(gè)PVLAN映射其中必須屬于不同的端口專用集成 電路的一些限制支配(ASIC)為了獲得配置。那些限制在新的 端口ASIC Coil3 被去除。參見軟件配置的最新的 Catalyst 交換機(jī)文檔的這些詳細(xì)資料。
示例分析
以下部分描述三個(gè)案例 分析,我們相信是多數(shù)實(shí)施代表并且給予詳細(xì)資料與PVLANs 和 VACLs的安全部署有關(guān)。
這些方案是 :
轉(zhuǎn)接DMZ
外部DMZ
與防火墻并聯(lián) 的VPN集中器
轉(zhuǎn)接DMZ
這是其中一個(gè)最普通配置的方案。 在本例中 ,DMZ實(shí)現(xiàn)一個(gè)轉(zhuǎn)換區(qū)域在二個(gè)防火墻路由器之間如下圖所示的。
圖2:轉(zhuǎn)接 DMZ
![]("http://images.51cto.com/files/uploadimg/20050926/1405053.jpg")
498)this.style.width=498;" align=center vspace=1 border=1>
在本例中,DMZ服務(wù)器應(yīng)該由外部獲取并且內(nèi)部用戶,但他 們不需要與彼此聯(lián)絡(luò)。 在某些情況下,DMZ服務(wù)器需要打開 與一臺(tái)內(nèi)部主機(jī)的連接。同時(shí),內(nèi)部客戶端應(yīng)該訪問(wèn)互聯(lián)網(wǎng) 沒有限制。一個(gè)好例子將是那個(gè)帶有網(wǎng)絡(luò)服務(wù)器在DMZ,需要 與位于內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)服務(wù)器聯(lián)絡(luò)和有內(nèi)部的客戶端訪問(wèn)互聯(lián)網(wǎng) 。
配置外部防火墻允許與服務(wù)器的 流入的連接位于DMZ,但通常過(guò)濾器或限制沒有被運(yùn)用于流出的數(shù)據(jù) 流,于DMZ發(fā)起的特殊數(shù)據(jù)流。因?yàn)槲覀兗霸缭诒疚挠懻摚@ 能潛在實(shí)現(xiàn)一名攻擊者的活動(dòng)為二個(gè)原因: 第一個(gè),當(dāng)其中 一臺(tái)DMZ主機(jī)被攻陷,其他DMZ主機(jī)顯示; 第二個(gè),攻擊者能 容易地利用向外的連接。
因?yàn)镈MZ服 務(wù)器不需要彼此談,推薦是確定他們查出在L2。而連接到二 個(gè)防火墻的端口將被定義如混亂,服務(wù)器端口將被定義作為PVLANs 隔離的端口。定義主VLAN為防火墻和輔助VLAN為DMZ服務(wù)器將 達(dá)到此。
將用于VACLs控制于DMZ發(fā) 起的數(shù)據(jù)流。 這將防止一名攻擊者能打開非法向外的連接。 記住DMZ服務(wù)器不僅將需要回復(fù)帶有對(duì)應(yīng)于客戶端會(huì)話的數(shù)據(jù) 流是重要的,但他們也將需要一些其它服務(wù),例如域名系統(tǒng)(DNS)和 最大傳輸單元(MTU)(MTU)路徑發(fā)現(xiàn)。 如此,ACL應(yīng)該允許 DMZ服務(wù)器需要的所有服務(wù)。
