識別和強制執(zhí)行一個適當信任模式似乎是一項非常基 本任務,但在幾年支持的安全實施之后,我們的經(jīng)驗表明安全事件 經(jīng)常與惡劣的安全設計有關。通常這些設計差是不強制執(zhí)行 一個適當信任模式的一個直接后果,有時因為什么是公正必要的沒 有了解,其他次正因為充分地沒有了解也沒有誤用介入的技術。
本文詳細解釋如何二個功能可用在我 們的Catalyst交換機,專用VLAN (PVLANs)并且VLAN 訪問控制表 (VACLs),在兩可幫助保證適當信任模型企業(yè)并且服務提供商環(huán)境。
強制執(zhí)行適 當信任模式的重要性
不強制執(zhí)行適當信任模型的一個立即后果是整體安全實施變得較不 對免疫有惡意的活動。非敏感區(qū)域(DMZs)普通是被實施沒有 強制執(zhí)行正確的制度因而實現(xiàn)一個潛在入侵者的活動。此部 分分析DMZs經(jīng)常如何是被實施和設計差的后果。我們以后將 解釋如何緩和,或者在最佳的案件避免,這些后果。
通常,DMZ服務器只應該處理流入請 求從互聯(lián)網(wǎng)和最終首次與一些后端服務器的連接位于里面或其他DMZ 分段,例如數(shù)據(jù)庫服務器。 同時,DMZ服務器不應該彼此談 或首次與外界的任何連接。這在一個簡單信任型號清楚地定 義了必要的數(shù)據(jù)流; 然而,我們經(jīng)常看型號不足夠被強制執(zhí) 行的這種。
設計員通常傾向于使用 一個共用段實現(xiàn)DMZs為所有服務器沒有對數(shù)據(jù)流的任何控制他們之 間。例如,所有服務器位于普通的VLAN。因為什么都 在同樣VLAN之內(nèi)不控制數(shù)據(jù)流,如果其中一個服務器被攻陷然后在 同一個分段可以使用同一個服務器來源攻擊對任何服務器和主機。 這清楚地實現(xiàn)展開端口重定向或應用層攻擊的一個潛在入侵 者的活動。
一般,只用于防火墻和信 息包過濾器控制流入的連接,但是什么都通常沒有完成從DMZ限制被 發(fā)起的連接。一些時間前有允許入侵者通過發(fā)送HTTP流開始X 終端仿真程序會話的cgi-bi腳本的一個著名的弱點; 這是應 該由防火墻允許的數(shù)據(jù)流。如果入侵者足夠幸運,他或她可 能使用另一種款待得到根提示,典型地緩沖溢出攻擊。這類 問題可以通過強制執(zhí)行一個適當信任模式避免的大多時代。首先,服務器不應該彼此談,并且不應該于這些服務器其次發(fā)起連 接與外界。
同樣備注適用于許多其他 方案,去從所有正常不信任的分段至小型服務器站在應用程序服務 提供商。
PVLANs和VACLs在Catalyst 交換機可幫助保證一個適當信任模式。PVLANs將通過限制主 機的之間數(shù)據(jù)流幫助在一個共用段,而VACLs將通過提供對產(chǎn)生或被 注定的所有數(shù)據(jù)流的進一步控制貢獻給一個特定段。這些功 能在以下部分討論。
專用VLAN
PVLANs是可用的在運行CatcOs 5.4或以上,在 Catalyst 4000的Catalyst 6000,2980G、2980G-A、運行 CatcOs 6.2或以上的2948G和4912G。
從我們的透視圖,PVLANs是準許分離數(shù)據(jù)流在把廣播分段的變成第 二層的一個工具(L2)一個非廣播multi-access-like分段。 交易在所有端口來自到交換機一個混亂端口(即是能轉(zhuǎn)發(fā)主要和輔助 VLAN)能出去屬于同樣主VLAN的端口。交易(它可以是查出, 屬性或者走向交換機自端口被映射對輔助VLAN 的雙向?qū)傩訴LAN)可 以轉(zhuǎn)發(fā)到屬于同一屬性VLAN 的一個混亂端口或端口。多個 端口映射對同樣隔離VLAN不能交換任何數(shù)據(jù)流。
以下鏡象顯示概念。
圖1:專用VLAN
![]("http://www.vlan9.com/ArtImage/20050822/6132_1.gif")
主VLAN在藍色 表示; 輔助VLAN在紅色和黃色表示。Host-1連接到屬 于輔助VLAN紅色交換機的端口。Host-2連接到屬于輔助 VLAN 黃色交換機的端口。
當主機傳 輸時,數(shù)據(jù)流運載輔助VLAN。 例如,當時Host-2傳輸,其數(shù) 據(jù)流在VLAN 黃色去。當那些主機接受時,數(shù)據(jù)流來自VLAN 藍色,是主VLAN。
路由器和防火墻其 中連接的端口是混亂端口因為在映射能轉(zhuǎn)發(fā)數(shù)據(jù)流來自每個輔助 VLAN定義的那些端口并且主VLAN。端口連接到每主機能只轉(zhuǎn) 發(fā)來自主VLAN和輔助VLAN 的數(shù)據(jù)流配置在該端口。
圖畫表示專用VLAN作為連接路由器和 主機的不同的管道:包所有其他的管道是主VLAN (藍色)和數(shù) 據(jù)流在VLAN藍色從路由器流到主機。管道內(nèi)部對主VLAN是輔 助VLAN,并且移動在那些管道的數(shù)據(jù)流是從主機往路由器。
當鏡象顯示,主VLAN能包一個或更多 輔助VLAN。
及早在本文我們說PVLANs 幫助在一個共用段之內(nèi)通過簡單保證主機的離析強制執(zhí)行適當信任 模式。即然我們知道更多專用VLAN ,讓我們看見這在我們最 初的DMZ方案如何可以實現(xiàn)。服務器不應該彼此談,但是他們 還是需要與他們被聯(lián)系的防火墻或路由器談。在這種情況下 ,當應該附有路由器和防火墻混亂端口時,應該連接服務器到隔離 的端口。通過執(zhí)行此,如果其中一個服務器被攻陷,入侵者 不會能使用同一個服務器來源攻擊到另一個服務器在同一個分段之 內(nèi)。交換機將投下所有信息包以線速,沒有任何影響性能。
另一個注意事項是這種控制可以只是 被實施在L2設備因為所有切斷屬于相同子網(wǎng)。 沒什么每防火 墻或路由器能執(zhí)行因為切斷將設法直接地溝通。另一個選項 是投入一個防火墻端口每個服務器,但這是可能太消耗大,難實現(xiàn) 和不擴展。
在一個后面的章節(jié),我們 詳細描述您能使用此功能的一些其他典型的方案。
VLAN訪問控制表
VACLs是可用的在運行 CatcOs 5.3或以后的Catalyst 6000系列。
VACLs在一臺Catalyst 6500可以配置在L2 沒有需要 對于路由器(您只需要Policy Feature Card (PFC))。他們 在配置VACLs被強制執(zhí)行以線速那么那里是沒有影響性能在 Catalyst 6500。 因為VACLs查找在硬件執(zhí)行不管訪問控制列 表的大小,轉(zhuǎn)發(fā)速率保持不變。
VACLs可以分開被映射對主要或備用VLAN 。有在輔助VLAN配置的VACL準許過濾主機產(chǎn)生的數(shù)據(jù)流沒有涉及路由 器或防火墻生成的數(shù)據(jù)流。
通過結(jié)合 VACLs和專用VLAN它是可能的對根據(jù)流量方向的過濾流量。例 如,如果二個路由器連接到分段和一些主機(例如服務器一樣), VACLs在輔助VLAN可以配置以便主機生成的僅數(shù)據(jù)流被過濾當數(shù)據(jù)流 被交換在路由器之間是未觸動過的時。
VACLs可以容易地配置強制執(zhí)行適當信任模式。 請分析我們的DMZ案件。服務器在DMZ應該服務僅流入 的連接,并且他們沒有預計首次與外界的連接。VACL可以適 用于他們的輔助VLAN為了控制離開這些服務器的數(shù)據(jù)流。注 意到是關鍵的,當時使用VACLs ,數(shù)據(jù)流在硬件降低那么那里是對 路由器的CPU的沒有影響亦不交換機。在案件一個服務器在分 布拒絕服務(DDos)攻擊涉及作為來源,交換機將降低所有非法數(shù) 據(jù)流以線速,沒有任何影響性能。相似的過濾器在服務器在 哪里連接到的路由器或防火墻可以被應用,但這通常有嚴重性能指 示。
VACLs 和PVLANs的已知限制
當配置過濾用VACLs時,您在PFC應該小心關于片段處理,根據(jù)硬件 的規(guī)格,并且那配置被調(diào)整。
假使 Catalyst 6500的Supervisor 1的PFC的硬件設計,明確地拒絕icmp 片段最好的。原因是互聯(lián)網(wǎng)控制信息協(xié)議(ICMP)片段和ECHO 回復由硬件認為同樣,默認情況下并且硬件被編程明確地允許片段 。如此如果想要從離開服務器終止回應數(shù)據(jù)包,您必須用線 路deny icmp any any fragment 明確配置 此。配置在本文考 慮到此。
有一個著名的安全限制對 PVLANs,是可能性路由器轉(zhuǎn)發(fā)數(shù)據(jù)流來自的取消相同子網(wǎng)。路由器能發(fā)送數(shù)據(jù)流橫跨阻撓目的對于PVLANs的隔離的端口。 此限制歸結(jié)于事實PVLANs是提供隔離在L2的工具,不在第三 層(L3) 。
有修正到此問題,通過在 主VLAN配置的VACLs達到。案例分析提供在主VLAN需要配置到 下落數(shù)據(jù)流產(chǎn)生由相同子網(wǎng)和路由回到相同子網(wǎng)的VACLs。
在一些線路卡,PVLAN映射/映射/中 繼端口的配置是受多個PVLAN映射其中必須屬于不同的端口專用集成 電路的一些限制支配(ASIC)為了獲得配置。那些限制在新的 端口ASIC Coil3 被去除。參見軟件配置的最新的 Catalyst 交換機文檔的這些詳細資料。
示例分析
以下部分描述三個案例 分析,我們相信是多數(shù)實施代表并且給予詳細資料與PVLANs 和 VACLs的安全部署有關。
這些方案是 :
-
轉(zhuǎn)接DMZ
-
外部DMZ
-
與防火墻并聯(lián) 的VPN集中器
轉(zhuǎn)接DMZ
這是其中一個最普通配置的方案。 在本例中 ,DMZ實現(xiàn)一個轉(zhuǎn)換區(qū)域在二個防火墻路由器之間如下圖所示的。
圖2:轉(zhuǎn)接 DMZ
![]("http://www.vlan9.com/ArtImage/20050822/6132_2.jpg")
在本例中,DMZ服務器應該由外部獲取并且內(nèi)部用戶,但他 們不需要與彼此聯(lián)絡。 在某些情況下,DMZ服務器需要打開 與一臺內(nèi)部主機的連接。同時,內(nèi)部客戶端應該訪問互聯(lián)網(wǎng) 沒有限制。一個好例子將是那個帶有網(wǎng)絡服務器在DMZ,需要 與位于內(nèi)部網(wǎng)絡的數(shù)據(jù)庫服務器聯(lián)絡和有內(nèi)部的客戶端訪問互聯(lián)網(wǎng) 。
配置外部防火墻允許與服務器的 流入的連接位于DMZ,但通常過濾器或限制沒有被運用于流出的數(shù)據(jù) 流,于DMZ發(fā)起的特殊數(shù)據(jù)流。因為我們及早在本文討論,這 能潛在實現(xiàn)一名攻擊者的活動為二個原因: 第一個,當其中 一臺DMZ主機被攻陷,其他DMZ主機顯示; 第二個,攻擊者能 容易地利用向外的連接。
因為DMZ服 務器不需要彼此談,推薦是確定他們查出在L2。而連接到二 個防火墻的端口將被定義如混亂,服務器端口將被定義作為PVLANs 隔離的端口。定義主VLAN為防火墻和輔助VLAN為DMZ服務器將 達到此。
將用于VACLs控制于DMZ發(fā) 起的數(shù)據(jù)流。 這將防止一名攻擊者能打開非法向外的連接。 記住DMZ服務器不僅將需要回復帶有對應于客戶端會話的數(shù)據(jù) 流是重要的,但他們也將需要一些其它服務,例如域名系統(tǒng)(DNS)和 最大傳輸單元(MTU)(MTU)路徑發(fā)現(xiàn)。 如此,ACL應該允許 DMZ服務器需要的所有服務。
測試轉(zhuǎn)接 DMZ
在我們的試驗床我 們實現(xiàn)一個DMZ分段用二個路由器配置作為床服務器,server_dmz1 和server_dmz2。這些服務器應該由超出獲取以及里面客戶端 ,并且所有HTTP連接通過使用一個內(nèi)部RADIUS服務器驗證 (CiscoSecure ACS UNIX版)。內(nèi)部和外部路由器配置作為 信息包過濾器防火墻。以下圖片說明試驗床,包括使用的編 址方案。
圖3:轉(zhuǎn)接DMZ試驗 床
![]("http://www.vlan9.com/ArtImage/20050822/6132_3.gif")
以下列表收集基本配置步驟PVLANs。 Catalyst 6500 在DMZ使用L2交換機。
-
Server_dmz_1 連接到端口3/9
-
Server_dmz_2連接到 端口3/10
-
內(nèi)部路由器連接到端口 3/34
-
外部路由器連接到端口 3/35
我們選擇了以下VLAN:
-
41是主VLAN
-
42是隔離VLAN
