11.1 Tính dễ bị tổn thương
Một Switch mà không có cả access control list (ACL) lẫn ko ràng buột về việc áp ACL đến các interface của nó thì cho phép những kết nối TCP truy xuất 1 cách mênh mông(FTP, telnet, DNS, HTTP, SNMP, ICMP) vượt qua Switch tới bất kỳ hệ thống nào(những server quan trọng) trên mạng được bảo vệ. Broad access nghĩa là tất cả hệ thống hay 1 lượng lớn hệ thống không thể kết nối vượt qua Switch. Cả hai trường hợp trên đều cho kết quả là tào ra những thông tin tập trung lớn hơn và tạo ra nhiều cuộc tấn công hơn. Vài sự tyruy xuât này có thể cho phép bởi mặc định và có thể được cấu hình theo cách này mà nó không rõ ràng đối với người quản trị
11.2 Giải Pháp
Trong sự chuẩn bị cho việc thực thi ACLs, phân loại hệ thống gắn Switch vào những nhóm mà sử dụng cùng những dịch vụ mạng. Việc nhóm những hệ thống theo cách này giúp làm tăng kích cỡ và sự phức tạp của sự kết hợp những ACLs. Trong môi trường mạng Voice, sử dụng những VLAN được phân chia cho CallManagers, SCCP IP Phones, SIP IP Phones, Proxies, MGCP gateways and H.323 gateways là 1 ví dụ tốt cho vấn đề này. Việc xem xét những dịch vụ mạng sử dụng những hệ thống tương tự từ những công ty khác nhau(như H.323 gateways) là sự cải tiến sâu hơn của những ACL có thể cảm nhân thông qua những chính sách bảo mật mạng. Một lợi ích khác được tham chiếu từ Cisco cho sự hiểu biết về ACL ở [8]
ACL có thể cho phép hoặc cấm gói tin dựa trên lệnh điều khiển truy cập đầu tiên mà gói tin so sánh phù hợp. Nó cso những lọai khác nhau của Access Control Lists: Port Access Control List (PACL), Router Access Control List (RACL) và VLAN Access Control List (VACL).
11.2.1 Port Access Control List (PACL)
PACLs được sử dụng để hạn chế các gói tin cho phép đưa ra từ port. Nó có 2 loại PACL, IP PACL dựa trên IP access lists và IP access lists dựa trên MAC access lists. IP PACLs chỉ lọc những gói tin với IP ethertype. Việc tạo 1 chuẩn hay mở rộng IP access list và việc áp những access list đến 1 port của Switch ỏ tất cả thì được yêu cầu để thực thi IP PACLs
Trên những Switch mà hỗ trợ việc Unicast MAC, MAC PACLs sẽ lọc tất cả các gói tin mà không cần quan tâm đến Ethertype. Trên những Switch mà không hỗ trợ lọc Unicast MAC, MAC PACLs sẽ chỉ lọc những gói tin với những Ethertype thay vì IP. Bàn bạc việc đăng những ghi chú cho IOS trong việc sử dụng để phân tích để hỗ trợ Unicast MAC Filtering hay biểu diễn việc kiểm tra MAC filtering trước khi sử dụng MAC PACLs. Việc tạo 1 MAC access list mở rộng và việc áp những access list đến những interface của port của switch thì được yêu cầu để thực thi MAC PACLs
Đưa ra 1 IOS mà hỗ trợ Unicast MAC Filtering, ví dụ sau sử dụng PACLs để hạn chế port access đến 1 điạ chỉ MAC cụ thể và IP access đến 1 điạ chỉ IP chi tiết từ địa chỉ MAC
Switch(config)# mac access-list extended host-mac
Switch(config-ext-macl)# permit host 0000.0101.0011 any Switch(config-ext-macl)# exit
Switch(config)# ip access-list extended host-ip
Switch(config-ext-nacl)# permit ip host 10.1.101.11 any Switch(config-ext-nacl)# exit
Switch(config)# interface fa0/2
Switch(config-if)# mac access-group host-mac in Switch(config-if)# ip access-group host-ip in
Nếu IOS không hỗ trợ Unicast MAC Filtering, thì khi đó theo ví dụ trước sẽ hạn chế port access đến 1 địa chỉ MAC cụ thể cho những gói tin non-IP và hạn chế IP access đến địa chỉ IP chi tiết cho những gói tin IP.
Một cách khác để sử dụng PACLs là ở trong địa chỉ MAC tĩnh và port security, cho phép địa chỉ MAC và IP có thể được nhóm và xem từ phía Switch. Xem ví dụ sau đây cho việc nhóm địa chỉ bảo mật:
Switch(config-ext-macl)# permit host 0000.0101.0011 any Switch(config-ext-macl)# permit host 0000.0101.0012 any Switch(config-ext-macl)# permit host 0000.0101.0013 any Switch(config-ext-macl)# permit host 0000.0101.0014 any Switch(config-ext-macl)# permit host 0000.0010.0003 any Switch(config-ext-macl)# permit host 0000.0020.0005 any Switch(config)# ip access-list extended ip-device-list Switch(config-ext-nacl)# permit ip host 10.1.101.11 any Switch(config-ext-nacl)# permit ip host 10.1.101.12 any Switch(config-ext-nacl)# permit ip host 10.1.101.13 any Switch(config-ext-nacl)# permit ip host 10.1.101.14 any Switch(config-ext-nacl)# permit ip host 10.1.10.3 any Switch(config-ext-nacl)# permit ip host 10.1.20.5 any
Switch(config)# interface range fa0/1 - 24
Switch(config-if-range)# ip access-group ip-device-list in Switch(config-if-range)# mac access-group mac-device-list in
This example applies lists of allowed MAC address and IP addresses to all access ports of the switch. The network administrator needs to maintain only the two lists instead of associating specific addresses with specific ports and of maintaining the addresses on each port individually. If established security policy allows, this switch wide implementation trades some additional risk to gain easier and more consistent configuration and administration.
Ví dụ này áp 1 danh sách những điạ chỉ MAC và IP được phép đến tất cả các access ports của Switch. Người quản trị chỉ cần phải duy trì 2 danh sach thay vì kêt hợp 1 điạ chỉ cụ thể tới 1 port cụ thể để duy trì chúng 1 cách rời rạc. Nếu những chính sách bảo mật được thiết lập cho phép, Switch mở rộng việc thực thi trao đổi vài hoạt dộng nguy hiểm để giành lấy 1 cách dễ dàng hơn và chứa đựng những sự cấu hình và sự quản trị.
11.2.2 Router Access Control List (RACL)
A RACL can restrict packets into or out of a given Layer 3 interface. A RACL is configured and applied identically to a router ACL, except a RACL is applied to a VLAN interface.
Một RACL có thể hạn chế những gói tin vào và ra cảu interface lớp 3. Một RACL đwocj cấu hình và được áp để khai báo đến 1 router ACL, ngoại trừ 1 RACL được áp lên 1 VLAN interface.
Switch(config)# access-list 1 remark Simple Example Switch(config)# access-list 1 permit any
Switch(config)# interface vlan 6 Switch(config-if)# ip access-group 1 in
11.2.3 VLAN Access Control List (VACL)
VACLs use VLAN Maps that are configured like route-maps on routers. VLAN Maps can be applied to filter all traffic into, through and out of a specific VLAN. The same VLAN Map filters bridged, inbound and outbound packets for the VLAN. The following example will block all TCP packets from VLAN 6 while allowing all other packets through.
VACLs sử dụng VLAN map mà được cấu hình giống như router-map trên Router. VLAN map có thể được áp để lọc traffic vào, ngang qua và ra của 1 VLAN cụ thể. Cùng 1 VLAN Map filters được bặt cầu, đi về và đi đến của gói tin cho VLAN. Ví dụ sau đây sẽ khóa tất cả gói tin TCP từ VLAN 6 trong khi cho phép các gói tin còn lại đi qua.
Switch(config)# no access-list 101
Switch(config)# access-list 101 remark Simple TCP Example Switch(config)# access-list 101 permit tcp any any
Switch(config)# vlan access-map vlan6-map 10 Switch(config-access-map)# match ip address 101
Switch(config-access-map)# action drop Switch(config-access-map)# exit
Switch(config)# vlan access-map vlan6-map 20 Switch(config-access-map)# action forward Switch(config-access-map)# exit
Switch(config)# vlan filter vlan6-map vlan-list 6
11.2.4 ACLs and Fragments
Nếu việc cấu hình lọc ACL mở rộng trên lớp 4(TCP hay UDP port) được sử dụng, khi đó việc lọc hay phân đoạn gói tin yêu cầu sự xem xét đặt biệt. Việc tách gói tin mà không chứa đựng thông tin lớp 4 sẽ không bao giờ phù hợp với những lễnh cấm mà bao gồm những luật ở lớp 4.Nó sẽ đi ngang qua Switch. Nó thì cùng phân đoạn, chỉ có khác là nó cho phép những lệnh mà bao gồm cả những luật ở lớp 4, sẽ được cho phép. Trường hợp này có thể tạo ra tính nguy hiểm về mặt bảo mật trong những môi trường thích hợp kể từ đoạn đầu tiên chứa đựng thông tin lớp 4 có thể match cho việ cấm hoặc cho đi qua. Sử dụng từ khóa fragments trogn mỗi lệnh ACL thích hợp
11.2.5 ACL Implementation Issues
Nhìn chung, hầu hết việc hạn chế và cài đặt 1 ACL chi tiết thì nên được sử dụng trên Switch. Tuy nhiên, sự mâu thuẫn, sự giới hạn và những khuyến cáo ở trên khi những loại ACL khác nhau được sử dụng trong sự phối hợp. Trước khi thực thi bất kỳ ACL nào, nên kiểm tra thông tin chi tiết về phiên bản IOS và loại Switch. Cũng vậy,việc chạy thử trên ACL để hiểu hoàn toàn tất cả sự tác động thực thi trước khi triển khai chúng như 1 điều khiển bảo mật. Bảng sau cung cấp sự hướng dẫn sự phối hợp có thể cảu những loại ACL khác nhau trên những Switch Cisco 3550 sử dụng phiên bản IOS 12.1 EA1. Phiên bản IOS này hô trợ Unicast MAC filtering.
Table 1 – Options for Single Access Control List
ACL Type Access Port Trunk Port VLAN Interface (SVI)
VLAN
PACL (MAC) Input only Input only No No
PACL (IP) Input only, IP only Input only, IP only, Native VLAN only No No VACL / VLAN Map No No No Yes
RACL No No Input, Output,
or Both
No
Table 2 – Options for Multiple Access Control Lists
PACL (MAC) N/A Yes Caution (PACL
Priority)
Output RACLs only
PACL (IP) Yes N/A Caution (PACL
Priority) Output RACLs only
VACL Caution (PACL
Priority) Caution (PACL Priority) N/A Caution (Merged)
RACL Output RACLs
only Output RACLs only Caution (Merged) N/A
Độ ưu tiên của PACL – Trên 1 port nơi mà PACL được áp và VLAN được đăng ký bất kỳ sự đăng ký cảu VLAN có 1 VACL được áp, khi đó PACL filters sẽ được sử dụng và VACL filters sẽ bị bỏ qua cho port đó.
Merged - khi mà VACL được áp lên 1 VLAN thì cũng có 1 SVI(interface VLAN) với RACL được áp, Switch cố gắng để nối danh sách truy xuất trong bộ nhớ. Điều này cso thể có 1 kết quả không đwocj mong đợi. Chạy thử trước khi thực thi bất kỳ Sự phối hợp ACL nào.