收藏
下载资源

动态访问表

上传人:极*** 文档编号:205869 上传时间:2016-12-06 格式:PDF 页数:10 大小:353.17KB
返回 下载 相关 举报
动态访问表_第1页
第1页 / 共10页
动态访问表_第2页
第2页 / 共10页
动态访问表_第3页
第3页 / 共10页
动态访问表_第4页
第4页 / 共10页
动态访问表_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《动态访问表》由会员分享,可在线阅读,更多相关《动态访问表(10页珍藏版)》请在金锄头文库上搜索。

1、下载第 4章 动态访问表本章集中阐述动态访问表,动态访问表是对传统访问表的一种重要功能增强。我们从动态访问表的名称就可以看出,动态访问表是能够创建动态访问表项的访问表。传统的标准访问表和扩展的访问表不能创建动态访问表项。一旦在传统访问表中加入了一个表项,除非手工删除,该表项将一直产生作用。而在动态访问表中,读者可以根据用户认证过程来创建特定的、临时的访问表。用户一般通过提供用户名和口令,就能够开启一个到路由器的 t e l n e 可以配置路由器,让其只需要口令,而不需要用户名;但我们并不推荐这样做。在用户被认证之后,路由器关闭 t e l n e 将一个动态访问表项置于某个访问表中,以允许源

2、地址为认证用户工作站地址的报文通过。这样,读者可以在安全边界上配置访问表,只允许那些能够通过用户认证的工作站才能发送向内的报文。这种方式所带来的好处是很明显的。在传统的访问表中,如果处于路由器不可信任端的用户需要访问内部的资源,就必须永久性地在访问表中开启一个突破口,以允许这些用户的工作站上的报文进入可信任网络。这些在访问表中的永久性的突破口给黑客发送报文进入安全边界,并达到内部网络提供了机会。这种情况可以通过只允许特定的可信 I 决部分问题。但是,假设用户不是使用静态的 I 上述的方法就不起作用了。例如,用户可以通过 I n t e r n e I S P)拨号进入I n t e r n e

3、 t。一般情况下,家庭用户每次拨入 I S I 以,如果不在安全边界上开启一个很大的突破口的话,就不能够允许来自这些用户的报文通过,而如果这样做,又给黑客们提供了可乘之机。在这种情况下使用动态访问表,能够比使用传统 I 意: 即使可以在传统的扩展访问表中将报文限制成可信任的源 I 种方法也可能被黑客使用 I I 指黑客改变其报文的源地址,并将报文发送到要进行攻击的网络的一种过程。 I 们几乎没有什么办法能够判断到达安全边界的报文是否真正来自其所申明的主机。通过临时的开启通道,动态访问表项也只是减少了发生 I 客找到可信任源 I 后面的章节中将会发现,可以使用 I P S e 概述前面讲过,动态

4、访问表是一种新型的访问表。事实上确实如此,但是动态访问表的语法与传统访问表项的格式非常相似,这些知识在前面的章节中也介绍过。动态访问表项的语法如下所示:第 4章 动态访问表 39下载其中第一项 与传统的扩展访问表的格式相同,其号码介于 1 0 0 1 9 9之间。第二个参数 是动态访问表项的字符串名称。 t i m e o u t 参数是可选的。如果使用了t i m e o u 指定了动态表项的超时绝对时间。 参数可以是任何传统的 T C P / I I P、 T C P、 U D P、 I C M 源 I 以我们在动态表项中定义的源地址总是应该使用关键字 a n y。目的 I P( P)和目

5、的屏蔽码( 传统的扩展访问表格式相同。对于目的 I 安全的方式是指定单个子网,或者甚至为单个主机。因为我们在每个访问表中不能指定多个动态访问表项,所以在 p r o t o c o C P。注意: 实际上,我们还是可以指定多个表项的,但是附加的访问表项不能进行附加的动态开启,所以指定多个动态访问表项是没有什么意义的。感兴趣的读者可以进行实验,看一看将多个动态访问表项放置在一个访问表中会发生什么情况。路由器会接受这些命令,但如果读者使用 会发现结果很有意思,其示例如下所示:请特别注意表项中的黑体字。动态访问表项是传统访问表项的一部分。动态访问表项被添加到访问表的适当位置上,我们还指定了其余的传统

6、访问表项。然后将访问表应用到某个接口上。动态访问表项出现在靠近访问表的开始处,一般是位于反欺骗表项的后面。我们至少应该允许到达路由器的 t e l n e 样才能进行用户认证过程。如果不允许 t e l n e 户就不能在访问表中创建动态的访问表项。并不一定要将 t e l n e 要准确地允许了去往路由器的向内的 t e l n e 态的访问表项就会根据需要被创建。除了创建一个动态访问表项之外,要允许创建动态表项,还需要一个附加的步骤。我们必须将 a u t o c o m m a n v t 下所示:注意,在使用 a u t o c o m m a n h o s 果不使用 h o s 态

7、表项就不会替换动态表项中认证主机的源 I 样,就会允许任何主机都能通过动态表项,我们也就不能达到使用动态访问表的目的。读者在配置 a u t o c o m m a n o s 一点十分重要。t i m e - o u 指定空闲的超时时间。我们建议配置绝对记时器值或者空闲计时器值,否则,动态表项就不会被删除,除非重新启动路由器。如果同时使用了绝对计时器和空闲计时器,则空闲时间应该比绝对时间小。40 C i s c 载还有一点需要指出,如果不增加下面的附加步骤的话,则所有达到的 t e l n e 为 t e l n e 快就会被关闭,这将导致管理员不能通过 t e l n e 决这个问题可以通

8、过在某些 v t r o t a r 命令使得通常的 t e l n e 0 0 1端口上访问路由器。通过在目的 I 理员在经过 t e l n e 要指定端口 3 0 0 1的使用开启该功能的命令如下:注意,我们只指定了 v t 和线 4,并且没有使用 a u t o c o m m a n 者应该确保在对配置进行存储之前 v t 果 v t 可能关闭远程登录( t e l n e t)到路由器上进行管理的功能。如果路由不在近处,而我们又没有通过辅助端口进行远程访问的能力,那么要访问路由器就步履艰难了。另外,我们认为在将新的配置存储之前,测试一下访问表是一种比较好的方法。如果访问表不能达到所

9、需要的效果,并且自己被锁在了路由器的外面,则只需要简单地重启路由器就可以了。下面是一个完整的示例配置,读者可以作参考;我们只展示了配置的相关内容。本章其他小节还将展示动态访问表的另外一些示例。注意,在路由器配置中,我们创建了用户名 t e s t,并且在第二个 a c c e s s - l i s 者可以在 v t 这样的方式使得很容易运行一个口令猜测程序,根据字典或者口令列表中的连续口令攻击路由器。除非选择非常好的口令,否则入侵者最终获得正确口令的可能性很大。只使用口令还使得我们不可能跟踪各个用户的行为,所以不能知道某个攻击者已经到达了自己的安全边界,因为不能跟着各个用户的行为。我们不建议

10、只使用口令进行认证,所以本书中也没有给出这样的示例。 使用指南尽管动态访问表在传统 I 是其增强特性也带来了附加的安全问题。尽管根据外部用户所提供的 u s e r i 态访问表允许进来的第 4章 动态访问表 41下载合法访问用户,但这一信息是以明文的格式从用户的工作站传送到路由器的。这意味着,通过使用报文嗅探( p a c k e t - s n i ff i n g)程序,任何人都能够拦截从用户工作站到路由器的报文,他或她就能够读取用户名和口令,并且使用该信息来访问我们的内部资源。显然,这隐藏着巨大的安全隐患。根本无法知道用户的认证信息已经被攻击者截获,而攻击者可以长期使用捕捉的用户信息,

11、甚至无限期地使用。尽管这种情形看上去似乎不大可能,但事实上却经常出现 I S 外,攻击者还会在这台被攻击的机器上放置一个报文嗅探程序。而后攻击者会收集到大量的报文并能够搜索到诸如 u s e r i d和 p a s s w o r 个臭名昭著的黑客,就曾经使用过这种技术。底线是,尽管我们可以提供一个认证处理过程用于控制外部用户的访问,但读者在使用动态访问表时也应该特别谨慎。下面是在配置动态访问表时,给出的一些建议: 不要给一个动态访问表分配与另一个访问表(例如命名的访问表)相同的名字。 至少要定义空闲超时时间或者绝对超时时间。如果二者都定义,则空闲超时时间应该小于绝对超时时间。 如果可能,就

12、要限制特殊协议和特殊目标 I 经常改变用户口令。建议最大的生存期为 3 0天;如果读者的系统允许,则越小越好。 当用户被允许创建动态表项并且通知管理员有人捕获到 u s e r i 态访问表应该与基于时间的访问表结合起来使用,以限制生存周期(例如,在非认证访问时间内对一个特定用户名的重复登录试探。只有授权的用户才知道什么时间能够访问) 。 尽可能地将日志信息记录到路由器的缓冲区中,或者记录到一立的系统日志服务器中。至少每周查看一下这些日志,检查是否有可疑的活动。因为可疑的活动会变化,所以应该为自己的站点建立一个称为“正常网络活动”的评判基准。现在我们理解了动态访问表及其功能,下面提供一些实例。

13、 动态访问表应用:示例 概述假设读者所在的单位有一台路由器将两个以太网段连到了 I n t e r n e 图 4 - 1所示。路由图 4 动态访问表:示例 1和 2通往142 C i s c 载器是通过串行端口 0连到 I n t e r n e 以太网分别通过端口 E 0和 E 1连到路由器上。假设我们希望允许任何用户都能通过 I 9 8 . 7 8 . 4 6 . 1 2服务器,并允许 2 0 5 . 1 3 1 . 1 7 5 . 0网络上的用户通过 We h t t p)和 F T n t e r n e t。 分析首先,我们注意到访问表被应用到了串行端口上。将扩展访问表应用到离过滤源最近的地方,这是一种很好的方法。在本例中,我们的目的是要过滤 I n t e r n e 以串行端口是路由器上离被过滤主机最近的端口。访问表应用的方向是向内的,因为从路由器的角度看来, I n t e r n e 果我们将访问表应用成向外的访问,则过滤的报文将是离开串行接口而通往 I n t e r n e 这并非我们所希望的。另外,我们还建立了一个用户名“ t e s t” ,它可以用来访问路由器。在实际应用中,我们应该为每个用户建立一对用户名和口令。现在,让我们再分析访问表的每一个表项。第一个表项允许从任

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 资格认证/考试 > 网络工程师认证

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号