交換機ACL在WWW服務器安全防護中的應用①

單慶元,閻丕濤,南 峰

(大連工業大學 網絡信息中心,大連 116034)

統計顯示,黑客入侵主機后,在一段時間內能夠在主機上潛伏而不被發現,在這樣的情況下,限制一臺服務器在被入侵之后的行為就變得很重要.而服務器的安全措施通常有兩類：① 服務器系統及軟件本身的安全設置[1].② 位于服務器之外的安全設備(例如：防火墻、應用安全網關等)的防護[2].由于服務器本身的安全策略在系統被入侵后有被清除的風險,而安全設備由于價格的原因,通常用于對一定網絡區域(例如：全部服務器或內網)的防護,所以被入侵服務器會對安全設備保護之下的內網設備造成影響.被入侵設備通常被當成網絡入侵中繼點,去掃描其它的設備,而掃描而形成的巨大的并發連接及網絡流量通常會占用很大的出口帶寬、消耗過多出口安全設備的處理性能,形成拒絕服務攻擊,使網絡處于癱瘓狀態.針對上述兩種服務器防護措施的不足,通過對服務器應用數據包的分析,可利用交換機ACL對每臺服務器的網絡訪問進行限制.由于接入交換機ACL具有高效(基于硬件的過濾機制,可達線性的流量處理)、專用(ACL可針對每個服務器設置和應用,防護粒度小)、廉價(接入交換機價格便宜)的特點,而且服務器無法更改交換機配置.因此,通過增加接入交換機ACL對服務器進行防護,可以有效地保護服務器和降低被入侵服務器對網絡造成的影響.

1 WWW服務器常用服務分析

由于交換機ACL非防火墻應用規則,不監控網絡連接所處的狀態,ACL只是根據每條ACL的內容檢查網絡數據包,根據規則的設置執行指定的動作.配置及應用交換機ACL的前提是對網絡應用連接的透徹分析,總結出每個應用的訪問連接的特點,并據此編寫ACL的規則.本次試驗的WWW服務器特點如下：WWW服務器的IP地址為WWW_SERVER_IP,操作系統是WINDOWS；使用微軟的 IIS提供 WWW 服務；使用Filezilla提供FTP服務；為保證服務器日志時間的準確性,使用了NTP客戶端更新系統的時鐘；安裝了殺毒軟件；對管理主機開放了WINDOWS遠程桌面服務.

1.1 WWW服務

在服務器端由軟件服務程序(例如：微軟的IIS服務器)監聽WWW服務端口(通常為TCP 80端口,但不限于該端口),被動的接收來自WEB客戶端(通常為互聯網瀏覽器)的連接請求,網絡連接分析如表1所示.

表1 WWW服務的連接分析

1.2 域名解析(DNS)服務

域名解析服務[3]是一種將便于用戶記憶的網絡域名轉換成特定IP地址的服務(例如：將域名WWW.DLPU.EDU.CN轉換成IP地址210.30.48.9).域名解析客戶端軟件通常向服務器的UDP 53端口發送解析請求,DNS服務器將最終的解析結果通過該端口返回客戶機.網絡連接分析如表2所示.

表2 域名解析的連接分析

1.3 文件傳輸服務(隨機端口固定化原則)

FTP服務[4]是常用的服務器和客戶端之間傳送文件的服務,FTP服務器的操作命令的傳輸(命令通道)和數據的傳輸(數據通道)是通過不同的TCP端口來進行的.命令通道通常在TCP 21端口接收客戶的命令和返回結果.數據通道有點特殊,分為主動模式和被動模式.主動模式是指服務器主動通過TCP 20端口連接客戶機在命令通道中指定端口進行數據傳輸；被動模式是指客戶機主動連接服務器指定的端口進行數據傳輸,通常這些端口是有服務器隨機指定的,這使得ACL無法配置.為了解決此問題,FileZilla FTP服務器提供了配置接口,管理員可以指定被動模式下使用的端口范圍[5].這可稱之為：隨機端口固定化原則.為了便于ACL配置,設置服務器將FTP被動模式使用的隨機端口固定下來,使用TCP 20001-20010,網絡連接分析如表3所示.

表3 文件傳輸服務連接分析

1.4 服務器遠程維護(動態管理IP固定化原則)

服務器的遠程維護對于服務器管理員來說是必須的,通常的遠程管理軟件有微軟自帶的遠程終端(WINDOWS系統)、賽門鐵克公司的PC ANYWHERE(WINDOWS系統),這些軟件默認所使用的端口都是固定的,網絡連接分析如表4所示.

表4 遠程維護連接分析

管理IP地址的不固定給ACL的配置帶來了困難,如果在ACL中不限制遠程管理客戶機的IP地址,管理員維護方便,帶來的問題是網絡上任何終端都可以嘗試登錄,這不安全.如果限制了管理客戶機的IP地址,管理員維護便利性就會下降,而且如果管理員換管理主機,就需要修改ACL,這不方便.在這里,可以增加一臺VPN設備來解決這個問題.管理員首先通過賬號登錄VPN設備,VPN設備給管理員分配一個固定的IP地址,在ACL里限制只有該固定IP地址可以遠程管理服務器,這樣管理員在任何地方都可以通過先登錄VPN,然后管理服務器了.這可稱為：動態管理IP固定化原則.并且只有知道VPN用戶名、密碼、服務器遠程IP地址以及服務器的用戶名、密碼才能登錄服務器,安全性和便利性都可兼顧.

1.5 防病毒類軟件升級服務

在服務器中也經常遇到特征庫的升級問題,例如：反病毒庫、應用特征庫、垃圾郵件庫等等,如果這些特征庫不升級,那么應用服務運行的效果會差很多.為了保障應用運行的效果,需要配置ACL,使得特征庫能正常升級.網絡連接分析如表5所示.

表5 反病毒軟件升級服務

這里僅列出了部分常見應用的網絡連接,對于其它的服務,可以自己完成協議分析.

2 WWW服務器ACL配置及分析

經過上面對應用協議的分析,掌握了應用正常運行所必須開放的端口,可以據此配置交換機的ACL,下面是WWW服務器的交換機ACL配置實例.

2.1 WWW服務器ACL配置

本次試驗所使用的交換機型號為銳捷網絡的S2928G-24P,軟件版本為：RGOS 10.4(2b12)p6 Release(196987),首先需要根據第2小節的網絡連接分析,配置一個名稱為for_http的ACL,該ACL的內容如表6所示.

表6 ACL的內容

表6中的ACL表項的按序號解釋如下：① 定義一個名為for_http的擴展的訪問控制列表；② 允許源地址為WWW_SERVER_IP,源端口為TCP 80,目標地址為任意的數據包轉發.作用：開放服務器的WWW服務；③ 允許源地址為 WWW_SERVER_IP,源端口為TCP 21,目標地址為管理主機IP的數據包轉發.作用：開放服務器FTP服務的命令通道；④ 允許源地址為WWW_SERVER_IP,源端口范圍為TCP 20001-20010,目標地址為管理主機IP的數據包轉發.作用：開放服務器FTP服務的被動模式數據通道；⑤ 允許源地址為WWW_SERVER_IP,源端口為TCP 20,目標地址為管理主機IP的數據包轉發.作用：開放服務器FTP服務的主動模式數據通道；⑥ 允許源地址為WWW_SERVER_IP,源端口為TCP 3389,目標地址為管理主機IP的數據包轉發.作用：允許管理主機訪問服務器的遠程桌面服務；⑦ 允許源地址為 WWW_SERVER_IP,目標地址為病毒庫升級服務器IP,目標端口為TCP 80的數據包轉發.作用：允許服務器的病毒軟件進行更新病毒庫；⑧ 允許源地址為WWW_SERVER_IP,目標地址為DNS_SERVER_IP,目標端口為UDP 53的數據包轉發.作用：允許服務器進行域名解析；⑨ 允許源地址為WWW_SERVER_IP,目標地址為NTP_SERVER_IP,目標端口為UDP 123的數據包轉發.作用：允許服務器進行時間更新；⑩ 拒絕任何 IP 數據包轉發.作用：除了上述指定的數據包可以轉發外,其它的IP數據包全部丟包.注：在配置時,表 6 中的“管理主機 IP”、“病毒庫升級服務器 IP”、“DNS_SERVER_IP”、“NTP_SERVER_IP”需要用真實的IP來替換.

最后將該訪問控制列表應用于WWW服務器連接的交換機的接口的IN方向,對WWW服務器發送的,進入交換機的數據包進行過濾.

3 WWW服務器ACL運行分析

3.1 交換機接口入向的ACL處理邏輯流程[6]

交換機接口入向的ACL處理邏輯流程如圖1所示.

圖1 IN方向的ACL流程圖

從圖1可以看出,當交換機的某個接口收到一個數據包之后,交換機首先檢查該接口的IN方向是否應用了ACL,如果沒有應用ACL,那么交換機查找轉發表,將數據包轉發至相應接口.如果該接口IN方向應用了ACL,那么進入ACL表項的比對過程.ACL實行首次匹配策略,從第一條規則開始,進行比對,當數據包匹配該條規則后,如果規則的動作是permit,數據包會被轉發,如果規則的動作是deny,數據包會被丟棄,不再檢查后續的規則.如果不匹配當前的規則,那么繼續比對下一條規則,直至最后的默認規則.每個IP數據包肯定會匹配一條規則,因為每個ACL最后會有一條默認規則,該規則匹配任何的IP數據包,匹配后的動作是丟棄數據包.

3.2 交換機ACL對服務器及內網設備的保護分析

很多的情況下,由于管理不善,服務器管理員隨意地使用服務器去瀏覽互聯網的資源、安裝與服務無關的應用,導致服務器運行緩慢,甚至崩潰.使用表6的交換機ACL可以禁止服務器訪問互聯網的應用和資源.原理如下：當用戶使用服務器訪問某個網站時(這里以WWW.BAIDU.COM為例),由于ACL第8條規則的作用,服務器可以成功的把域名轉換成IP地址(域名WWW.BAIDU.COM對應的IP地址為：119.75.216.20),然后服務器上應用(例如：瀏覽器)發送一個TCP連接狀態請求的數據包,數據封包的源IP為WWW_SERVER_IP,目標地址為119.75.216.20,源端口隨機生成,現假設為TCP 1850,目標端口為TCP 80,同時TCP連接標志TCP Flags中的SYN位置為1,Sequence Number為x；然后,服務器進入 SYN_SEND 狀態,等待119.75.216.20的確認.當交換機接收到該數據包時,進入IN方向的ACL檢查過程,由于ACL的2-9項都不能匹配該數據包,則匹配所有IP數據包的第10項匹配成功,該數據包被丟棄.所以IP為119.75.216.20的服務器不會收到WWW服務器的連接請求,而WWW服務器更不會收到連接響應,最終該連接因超時而失敗.由于服務器無法訪問互聯網資源,無法使用與服務無關的聯網應用,因此服務器的安全性會有很大提升.

成功入侵服務器后潛伏下來黑客,會利用被入侵的服務器作為中介,去掃描內網的設備,以獲取內網設備信息,或者操控服務器進行DDOS攻擊.在服務器上使用網絡掃描軟件對內網進行掃的數據包和服務器對外的DDOS攻擊的數據包也會因為只能匹配ACL的第10項而被丟棄,所以很好地保護了內網的設備安全.

另外,訪問控制列表一般由交換機芯片中的TCAM[7-9]來實現,可實現過濾條件下線速轉發,交換機ACL能把從服務器發出的大流量、高并發的惡意掃描數據包過慮掉,且不影響正常的數據轉發.

4 基于INTEL DPDK和PKTGEN工具的測試

為了測試交換機ACL在大流量、高并發的數據流量下的處理情況,使用基于INTEL DPDK[10,11]的PKTGEN的軟件進行模擬的發包測試,DPDK使用用戶態的網卡驅動、輪詢(polling)模式、內存大頁等多種技術[12,13]極大提升了系統的包處理速率.本次測試使用的軟件為：dpdk-stable-18.02.tar.gz,pktgen-dpdkpktgen-3.5.0.tar.gz 下載地址是：https：//git.dpdk.org/,本次測試使用的設備配置如表7所示.

圖2 測試拓撲

表7 測試設備配置信息

測試拓撲如圖2所示.

軟件的安裝請參考https：//www.dpdk.org/,DPDK和pktgen安裝完成后,通過以下命令配置運行環境并啟動發包測試：igb_uio 0000：02：00.0

cd /root/pktgen-dpdk-pktgen-3.5.0

注：進入pktgen安裝目錄

/root/pktgen-dpdk-pktgen-3.5.0/app/x86_64-nativelinuxapp-gcc/pktgen-c f --master-lcore 0 -n 4 -m 1024 --proc-type auto --file-prefix pg -- -m"1.0"

注：運行軟件

set 0 type ipv4

注：設置0號網卡發送IPV4數據包

set 0 proto udp

注：使用 UDP 協議 默認源端口：1234 目的端口：5678

set 0 count 0 注：不間斷發包

set 0 size 64 注：包大小為 64 字節

set 0 pattern none注：不指定包填充模式

set 0 dst mac d8：c4：97：93：5a：6a

注：設置發包的目的為筆記本電腦mac地址

set 0 src ip 192.168.1.1/24

注：設置發包的源IP地址

set 0 dst ip 192.168.1.250

注：發包的目的為筆記本電腦IP地址

set 0 rate 100 注：發包速率,滿負荷發包

start 0 注：啟動 0 號網卡發包

發包開始之后,通過交換機的命令show cpu；show memory；show interface counters rate分別查看交換機CPU的使用率、內存的使用率、G0/14接口和G0/20接口的收發包的統計數據(5分鐘均值).從發包開始,以上命令總共運行了313次,第254次命令運行后(圖中箭頭所指處),在G0/14接口的IN方向應用如下的訪問控制列表：

ip access-list extended for_http

permit tcp host 192.168.1.1 eq 80 any

permit tcp host 192.168.1.1 eq 21 host 192.168.1.100

permit tcp host 192.168.1.1 range 20001 20010 host 192.168.1.100

permit tcp host 192.168.1.1 eq 20 host 192.168.1.100

permit tcp host 192.168.1.1 eq 3389 host 192.168.1.100

permit udp host 192.168.1.1 host 192.168.1.7 eq 53

permit udp host 192.168.1.1 host 192.168.1.24 eq 123

deny ip any any

交換機的上述3個show命令的輸出數據如圖3.

圖3 交換機接口流量及資源利用率

圖3的左邊(中間)分別是G0/14接口收包速率(收包流量)和G0/20接口的發包速率(流量)的統計,單位為PPS(bps),在PC機啟動發包測試后,G0/14接口收包速率(收包流量)和G/20接口發包速率(發包流量)從0開始,經過快速上升后,在150萬PPS(783M bps)和168萬PPS(860M bps)之間波動,且在箭頭所指點之前,G0/14接口的收包速率(收包流量)和G0/20接口的發包速率(發包流量)是同步的,PC發送給筆記本的數據都被交換機正常轉發了.在箭頭所指處,由于在G0/14接口的IN方向應用了訪問控制列表,G0/20接口的輸出迅速降為零,盡管此時PC機依舊不停地發包.由于交換機的查看命令輸出的是5分鐘均值,所以在圖中可以看到一個下降過程,實際上當應用訪問控制列表后,筆記本就不再收到PC機發送的數據包了.圖3的右邊是交換機資源的利用率,在訪問控制列表應用前后,交換機CPU和內存的使用無任何變化.

5 結論

服務器接入交換機在網絡防護中有著重要的作用,在接入服務器交換機上ACL可以單獨針對特定服務器配置.通過對應用及協議進行透徹的分析,總結出規律,使用動態端口固定化原則和動態管理主機IP固定化原則,可以將一些服務中不固定的參數固定下來.另外在管理主機IP地址固定化時需要VPN設備,這需要一定的費用,因為在特定的科技條件下,安全性、便利性和經濟性往往不可兼得,只能根據需求在每個方面進行取舍.另外本次實驗中,只是對服務器發出的數據包進行控制,網絡上其它主機發送給服務器的數據包還是能夠正常轉發至服務器,如果惡意主機給服務器發送大量的或者是異常的數據包,并且服務器主機防火墻設置不合理,可能會造成服務器異常.對于這種情況,可以在交換機上同時對服務器IN和OUT方向的數據包進行過濾,這樣只有客戶機正常的服務請求數據包才能發送至服務器,不足之處就是消耗了較多的交換機ACL資源.