交換機ACL在WWW服務器安全防護中的應用①

單慶元,閻丕濤,南 峰

(大連工業(yè)大學 網(wǎng)絡信息中心,大連 116034)

統(tǒng)計顯示,黑客入侵主機后,在一段時間內(nèi)能夠在主機上潛伏而不被發(fā)現(xiàn),在這樣的情況下,限制一臺服務器在被入侵之后的行為就變得很重要.而服務器的安全措施通常有兩類：① 服務器系統(tǒng)及軟件本身的安全設置[1].② 位于服務器之外的安全設備(例如：防火墻、應用安全網(wǎng)關(guān)等)的防護[2].由于服務器本身的安全策略在系統(tǒng)被入侵后有被清除的風險,而安全設備由于價格的原因,通常用于對一定網(wǎng)絡區(qū)域(例如：全部服務器或內(nèi)網(wǎng))的防護,所以被入侵服務器會對安全設備保護之下的內(nèi)網(wǎng)設備造成影響.被入侵設備通常被當成網(wǎng)絡入侵中繼點,去掃描其它的設備,而掃描而形成的巨大的并發(fā)連接及網(wǎng)絡流量通常會占用很大的出口帶寬、消耗過多出口安全設備的處理性能,形成拒絕服務攻擊,使網(wǎng)絡處于癱瘓狀態(tài).針對上述兩種服務器防護措施的不足,通過對服務器應用數(shù)據(jù)包的分析,可利用交換機ACL對每臺服務器的網(wǎng)絡訪問進行限制.由于接入交換機ACL具有高效(基于硬件的過濾機制,可達線性的流量處理)、專用(ACL可針對每個服務器設置和應用,防護粒度小)、廉價(接入交換機價格便宜)的特點,而且服務器無法更改交換機配置.因此,通過增加接入交換機ACL對服務器進行防護,可以有效地保護服務器和降低被入侵服務器對網(wǎng)絡造成的影響.

1 WWW服務器常用服務分析

由于交換機ACL非防火墻應用規(guī)則,不監(jiān)控網(wǎng)絡連接所處的狀態(tài),ACL只是根據(jù)每條ACL的內(nèi)容檢查網(wǎng)絡數(shù)據(jù)包,根據(jù)規(guī)則的設置執(zhí)行指定的動作.配置及應用交換機ACL的前提是對網(wǎng)絡應用連接的透徹分析,總結(jié)出每個應用的訪問連接的特點,并據(jù)此編寫ACL的規(guī)則.本次試驗的WWW服務器特點如下：WWW服務器的IP地址為WWW_SERVER_IP,操作系統(tǒng)是WINDOWS；使用微軟的 IIS提供 WWW 服務；使用Filezilla提供FTP服務；為保證服務器日志時間的準確性,使用了NTP客戶端更新系統(tǒng)的時鐘；安裝了殺毒軟件；對管理主機開放了WINDOWS遠程桌面服務.

1.1 WWW服務

在服務器端由軟件服務程序(例如：微軟的IIS服務器)監(jiān)聽WWW服務端口(通常為TCP 80端口,但不限于該端口),被動的接收來自WEB客戶端(通常為互聯(lián)網(wǎng)瀏覽器)的連接請求,網(wǎng)絡連接分析如表1所示.

表1 WWW服務的連接分析

1.2 域名解析(DNS)服務

域名解析服務[3]是一種將便于用戶記憶的網(wǎng)絡域名轉(zhuǎn)換成特定IP地址的服務(例如：將域名WWW.DLPU.EDU.CN轉(zhuǎn)換成IP地址210.30.48.9).域名解析客戶端軟件通常向服務器的UDP 53端口發(fā)送解析請求,DNS服務器將最終的解析結(jié)果通過該端口返回客戶機.網(wǎng)絡連接分析如表2所示.

表2 域名解析的連接分析

1.3 文件傳輸服務(隨機端口固定化原則)

FTP服務[4]是常用的服務器和客戶端之間傳送文件的服務,FTP服務器的操作命令的傳輸(命令通道)和數(shù)據(jù)的傳輸(數(shù)據(jù)通道)是通過不同的TCP端口來進行的.命令通道通常在TCP 21端口接收客戶的命令和返回結(jié)果.數(shù)據(jù)通道有點特殊,分為主動模式和被動模式.主動模式是指服務器主動通過TCP 20端口連接客戶機在命令通道中指定端口進行數(shù)據(jù)傳輸；被動模式是指客戶機主動連接服務器指定的端口進行數(shù)據(jù)傳輸,通常這些端口是有服務器隨機指定的,這使得ACL無法配置.為了解決此問題,FileZilla FTP服務器提供了配置接口,管理員可以指定被動模式下使用的端口范圍[5].這可稱之為：隨機端口固定化原則.為了便于ACL配置,設置服務器將FTP被動模式使用的隨機端口固定下來,使用TCP 20001-20010,網(wǎng)絡連接分析如表3所示.

表3 文件傳輸服務連接分析

1.4 服務器遠程維護(動態(tài)管理IP固定化原則)

服務器的遠程維護對于服務器管理員來說是必須的,通常的遠程管理軟件有微軟自帶的遠程終端(WINDOWS系統(tǒng))、賽門鐵克公司的PC ANYWHERE(WINDOWS系統(tǒng)),這些軟件默認所使用的端口都是固定的,網(wǎng)絡連接分析如表4所示.

表4 遠程維護連接分析

管理IP地址的不固定給ACL的配置帶來了困難,如果在ACL中不限制遠程管理客戶機的IP地址,管理員維護方便,帶來的問題是網(wǎng)絡上任何終端都可以嘗試登錄,這不安全.如果限制了管理客戶機的IP地址,管理員維護便利性就會下降,而且如果管理員換管理主機,就需要修改ACL,這不方便.在這里,可以增加一臺VPN設備來解決這個問題.管理員首先通過賬號登錄VPN設備,VPN設備給管理員分配一個固定的IP地址,在ACL里限制只有該固定IP地址可以遠程管理服務器,這樣管理員在任何地方都可以通過先登錄VPN,然后管理服務器了.這可稱為：動態(tài)管理IP固定化原則.并且只有知道VPN用戶名、密碼、服務器遠程IP地址以及服務器的用戶名、密碼才能登錄服務器,安全性和便利性都可兼顧.

1.5 防病毒類軟件升級服務

在服務器中也經(jīng)常遇到特征庫的升級問題,例如：反病毒庫、應用特征庫、垃圾郵件庫等等,如果這些特征庫不升級,那么應用服務運行的效果會差很多.為了保障應用運行的效果,需要配置ACL,使得特征庫能正常升級.網(wǎng)絡連接分析如表5所示.

表5 反病毒軟件升級服務

這里僅列出了部分常見應用的網(wǎng)絡連接,對于其它的服務,可以自己完成協(xié)議分析.

2 WWW服務器ACL配置及分析

經(jīng)過上面對應用協(xié)議的分析,掌握了應用正常運行所必須開放的端口,可以據(jù)此配置交換機的ACL,下面是WWW服務器的交換機ACL配置實例.

2.1 WWW服務器ACL配置

本次試驗所使用的交換機型號為銳捷網(wǎng)絡的S2928G-24P,軟件版本為：RGOS 10.4(2b12)p6 Release(196987),首先需要根據(jù)第2小節(jié)的網(wǎng)絡連接分析,配置一個名稱為for_http的ACL,該ACL的內(nèi)容如表6所示.

表6 ACL的內(nèi)容

表6中的ACL表項的按序號解釋如下：① 定義一個名為for_http的擴展的訪問控制列表；② 允許源地址為WWW_SERVER_IP,源端口為TCP 80,目標地址為任意的數(shù)據(jù)包轉(zhuǎn)發(fā).作用：開放服務器的WWW服務；③ 允許源地址為 WWW_SERVER_IP,源端口為TCP 21,目標地址為管理主機IP的數(shù)據(jù)包轉(zhuǎn)發(fā).作用：開放服務器FTP服務的命令通道；④ 允許源地址為WWW_SERVER_IP,源端口范圍為TCP 20001-20010,目標地址為管理主機IP的數(shù)據(jù)包轉(zhuǎn)發(fā).作用：開放服務器FTP服務的被動模式數(shù)據(jù)通道；⑤ 允許源地址為WWW_SERVER_IP,源端口為TCP 20,目標地址為管理主機IP的數(shù)據(jù)包轉(zhuǎn)發(fā).作用：開放服務器FTP服務的主動模式數(shù)據(jù)通道；⑥ 允許源地址為WWW_SERVER_IP,源端口為TCP 3389,目標地址為管理主機IP的數(shù)據(jù)包轉(zhuǎn)發(fā).作用：允許管理主機訪問服務器的遠程桌面服務；⑦ 允許源地址為 WWW_SERVER_IP,目標地址為病毒庫升級服務器IP,目標端口為TCP 80的數(shù)據(jù)包轉(zhuǎn)發(fā).作用：允許服務器的病毒軟件進行更新病毒庫；⑧ 允許源地址為WWW_SERVER_IP,目標地址為DNS_SERVER_IP,目標端口為UDP 53的數(shù)據(jù)包轉(zhuǎn)發(fā).作用：允許服務器進行域名解析；⑨ 允許源地址為WWW_SERVER_IP,目標地址為NTP_SERVER_IP,目標端口為UDP 123的數(shù)據(jù)包轉(zhuǎn)發(fā).作用：允許服務器進行時間更新；⑩ 拒絕任何 IP 數(shù)據(jù)包轉(zhuǎn)發(fā).作用：除了上述指定的數(shù)據(jù)包可以轉(zhuǎn)發(fā)外,其它的IP數(shù)據(jù)包全部丟包.注：在配置時,表 6 中的“管理主機 IP”、“病毒庫升級服務器 IP”、“DNS_SERVER_IP”、“NTP_SERVER_IP”需要用真實的IP來替換.

最后將該訪問控制列表應用于WWW服務器連接的交換機的接口的IN方向,對WWW服務器發(fā)送的,進入交換機的數(shù)據(jù)包進行過濾.

3 WWW服務器ACL運行分析

3.1 交換機接口入向的ACL處理邏輯流程[6]

交換機接口入向的ACL處理邏輯流程如圖1所示.

圖1 IN方向的ACL流程圖

從圖1可以看出,當交換機的某個接口收到一個數(shù)據(jù)包之后,交換機首先檢查該接口的IN方向是否應用了ACL,如果沒有應用ACL,那么交換機查找轉(zhuǎn)發(fā)表,將數(shù)據(jù)包轉(zhuǎn)發(fā)至相應接口.如果該接口IN方向應用了ACL,那么進入ACL表項的比對過程.ACL實行首次匹配策略,從第一條規(guī)則開始,進行比對,當數(shù)據(jù)包匹配該條規(guī)則后,如果規(guī)則的動作是permit,數(shù)據(jù)包會被轉(zhuǎn)發(fā),如果規(guī)則的動作是deny,數(shù)據(jù)包會被丟棄,不再檢查后續(xù)的規(guī)則.如果不匹配當前的規(guī)則,那么繼續(xù)比對下一條規(guī)則,直至最后的默認規(guī)則.每個IP數(shù)據(jù)包肯定會匹配一條規(guī)則,因為每個ACL最后會有一條默認規(guī)則,該規(guī)則匹配任何的IP數(shù)據(jù)包,匹配后的動作是丟棄數(shù)據(jù)包.

3.2 交換機ACL對服務器及內(nèi)網(wǎng)設備的保護分析

很多的情況下,由于管理不善,服務器管理員隨意地使用服務器去瀏覽互聯(lián)網(wǎng)的資源、安裝與服務無關(guān)的應用,導致服務器運行緩慢,甚至崩潰.使用表6的交換機ACL可以禁止服務器訪問互聯(lián)網(wǎng)的應用和資源.原理如下：當用戶使用服務器訪問某個網(wǎng)站時(這里以WWW.BAIDU.COM為例),由于ACL第8條規(guī)則的作用,服務器可以成功的把域名轉(zhuǎn)換成IP地址(域名WWW.BAIDU.COM對應的IP地址為：119.75.216.20),然后服務器上應用(例如：瀏覽器)發(fā)送一個TCP連接狀態(tài)請求的數(shù)據(jù)包,數(shù)據(jù)封包的源IP為WWW_SERVER_IP,目標地址為119.75.216.20,源端口隨機生成,現(xiàn)假設為TCP 1850,目標端口為TCP 80,同時TCP連接標志TCP Flags中的SYN位置為1,Sequence Number為x；然后,服務器進入 SYN_SEND 狀態(tài),等待119.75.216.20的確認.當交換機接收到該數(shù)據(jù)包時,進入IN方向的ACL檢查過程,由于ACL的2-9項都不能匹配該數(shù)據(jù)包,則匹配所有IP數(shù)據(jù)包的第10項匹配成功,該數(shù)據(jù)包被丟棄.所以IP為119.75.216.20的服務器不會收到WWW服務器的連接請求,而WWW服務器更不會收到連接響應,最終該連接因超時而失敗.由于服務器無法訪問互聯(lián)網(wǎng)資源,無法使用與服務無關(guān)的聯(lián)網(wǎng)應用,因此服務器的安全性會有很大提升.

成功入侵服務器后潛伏下來黑客,會利用被入侵的服務器作為中介,去掃描內(nèi)網(wǎng)的設備,以獲取內(nèi)網(wǎng)設備信息,或者操控服務器進行DDOS攻擊.在服務器上使用網(wǎng)絡掃描軟件對內(nèi)網(wǎng)進行掃的數(shù)據(jù)包和服務器對外的DDOS攻擊的數(shù)據(jù)包也會因為只能匹配ACL的第10項而被丟棄,所以很好地保護了內(nèi)網(wǎng)的設備安全.

另外,訪問控制列表一般由交換機芯片中的TCAM[7-9]來實現(xiàn),可實現(xiàn)過濾條件下線速轉(zhuǎn)發(fā),交換機ACL能把從服務器發(fā)出的大流量、高并發(fā)的惡意掃描數(shù)據(jù)包過慮掉,且不影響正常的數(shù)據(jù)轉(zhuǎn)發(fā).

4 基于INTEL DPDK和PKTGEN工具的測試

為了測試交換機ACL在大流量、高并發(fā)的數(shù)據(jù)流量下的處理情況,使用基于INTEL DPDK[10,11]的PKTGEN的軟件進行模擬的發(fā)包測試,DPDK使用用戶態(tài)的網(wǎng)卡驅(qū)動、輪詢(polling)模式、內(nèi)存大頁等多種技術(shù)[12,13]極大提升了系統(tǒng)的包處理速率.本次測試使用的軟件為：dpdk-stable-18.02.tar.gz,pktgen-dpdkpktgen-3.5.0.tar.gz 下載地址是：https：//git.dpdk.org/,本次測試使用的設備配置如表7所示.

圖2 測試拓撲

表7 測試設備配置信息

測試拓撲如圖2所示.

軟件的安裝請參考https：//www.dpdk.org/,DPDK和pktgen安裝完成后,通過以下命令配置運行環(huán)境并啟動發(fā)包測試：igb_uio 0000：02：00.0

cd /root/pktgen-dpdk-pktgen-3.5.0

注：進入pktgen安裝目錄

/root/pktgen-dpdk-pktgen-3.5.0/app/x86_64-nativelinuxapp-gcc/pktgen-c f --master-lcore 0 -n 4 -m 1024 --proc-type auto --file-prefix pg -- -m"1.0"

注：運行軟件

set 0 type ipv4

注：設置0號網(wǎng)卡發(fā)送IPV4數(shù)據(jù)包

set 0 proto udp

注：使用 UDP 協(xié)議 默認源端口：1234 目的端口：5678

set 0 count 0 注：不間斷發(fā)包

set 0 size 64 注：包大小為 64 字節(jié)

set 0 pattern none注：不指定包填充模式

set 0 dst mac d8：c4：97：93：5a：6a

注：設置發(fā)包的目的為筆記本電腦mac地址

set 0 src ip 192.168.1.1/24

注：設置發(fā)包的源IP地址

set 0 dst ip 192.168.1.250

注：發(fā)包的目的為筆記本電腦IP地址

set 0 rate 100 注：發(fā)包速率,滿負荷發(fā)包

start 0 注：啟動 0 號網(wǎng)卡發(fā)包

發(fā)包開始之后,通過交換機的命令show cpu；show memory；show interface counters rate分別查看交換機CPU的使用率、內(nèi)存的使用率、G0/14接口和G0/20接口的收發(fā)包的統(tǒng)計數(shù)據(jù)(5分鐘均值).從發(fā)包開始,以上命令總共運行了313次,第254次命令運行后(圖中箭頭所指處),在G0/14接口的IN方向應用如下的訪問控制列表：

ip access-list extended for_http

permit tcp host 192.168.1.1 eq 80 any

permit tcp host 192.168.1.1 eq 21 host 192.168.1.100

permit tcp host 192.168.1.1 range 20001 20010 host 192.168.1.100

permit tcp host 192.168.1.1 eq 20 host 192.168.1.100

permit tcp host 192.168.1.1 eq 3389 host 192.168.1.100

permit udp host 192.168.1.1 host 192.168.1.7 eq 53

permit udp host 192.168.1.1 host 192.168.1.24 eq 123

deny ip any any

交換機的上述3個show命令的輸出數(shù)據(jù)如圖3.

圖3 交換機接口流量及資源利用率

圖3的左邊(中間)分別是G0/14接口收包速率(收包流量)和G0/20接口的發(fā)包速率(流量)的統(tǒng)計,單位為PPS(bps),在PC機啟動發(fā)包測試后,G0/14接口收包速率(收包流量)和G/20接口發(fā)包速率(發(fā)包流量)從0開始,經(jīng)過快速上升后,在150萬PPS(783M bps)和168萬PPS(860M bps)之間波動,且在箭頭所指點之前,G0/14接口的收包速率(收包流量)和G0/20接口的發(fā)包速率(發(fā)包流量)是同步的,PC發(fā)送給筆記本的數(shù)據(jù)都被交換機正常轉(zhuǎn)發(fā)了.在箭頭所指處,由于在G0/14接口的IN方向應用了訪問控制列表,G0/20接口的輸出迅速降為零,盡管此時PC機依舊不停地發(fā)包.由于交換機的查看命令輸出的是5分鐘均值,所以在圖中可以看到一個下降過程,實際上當應用訪問控制列表后,筆記本就不再收到PC機發(fā)送的數(shù)據(jù)包了.圖3的右邊是交換機資源的利用率,在訪問控制列表應用前后,交換機CPU和內(nèi)存的使用無任何變化.

5 結(jié)論

服務器接入交換機在網(wǎng)絡防護中有著重要的作用,在接入服務器交換機上ACL可以單獨針對特定服務器配置.通過對應用及協(xié)議進行透徹的分析,總結(jié)出規(guī)律,使用動態(tài)端口固定化原則和動態(tài)管理主機IP固定化原則,可以將一些服務中不固定的參數(shù)固定下來.另外在管理主機IP地址固定化時需要VPN設備,這需要一定的費用,因為在特定的科技條件下,安全性、便利性和經(jīng)濟性往往不可兼得,只能根據(jù)需求在每個方面進行取舍.另外本次實驗中,只是對服務器發(fā)出的數(shù)據(jù)包進行控制,網(wǎng)絡上其它主機發(fā)送給服務器的數(shù)據(jù)包還是能夠正常轉(zhuǎn)發(fā)至服務器,如果惡意主機給服務器發(fā)送大量的或者是異常的數(shù)據(jù)包,并且服務器主機防火墻設置不合理,可能會造成服務器異常.對于這種情況,可以在交換機上同時對服務器IN和OUT方向的數(shù)據(jù)包進行過濾,這樣只有客戶機正常的服務請求數(shù)據(jù)包才能發(fā)送至服務器,不足之處就是消耗了較多的交換機ACL資源.