摘要：本文首先介紹了FTP的工作模式以及在不同模式下連接是怎樣建立的，然后分析了訪(fǎng)問(wèn)控制列表在對(duì)FTP服務(wù)器進(jìn)行防護(hù)時(shí)的局限性，最后介紹Cisco IOS安全技術(shù)CBAC并用它來(lái)使FTP服務(wù)器正常安全的運(yùn)行。本文以一個(gè)簡(jiǎn)單的網(wǎng)絡(luò)拓?fù)錇槔?，說(shuō)明了如何使用CBAC來(lái)保護(hù)FTP服務(wù)器。
關(guān)鍵詞：FTP服務(wù)器；訪(fǎng)問(wèn)控制列表；CBAC]
1、引言
FTP服務(wù)器是在互聯(lián)網(wǎng)中提供存儲(chǔ)空間的計(jì)算機(jī)，它能實(shí)現(xiàn)信息資源的共享。對(duì)FTP服務(wù)器的安全防護(hù)非常重要，在使用訪(fǎng)問(wèn)控制列表對(duì)FTP服務(wù)器進(jìn)行防護(hù)時(shí)，由于FTP協(xié)議的特殊性，我們會(huì)看到訪(fǎng)問(wèn)控制列表的局限性。為了在使用訪(fǎng)問(wèn)控制列表進(jìn)行防護(hù)的同時(shí)不影響FTP服務(wù)器的正常運(yùn)行，需要使用Cisco安全技術(shù)CBAC來(lái)對(duì)FTP服務(wù)器進(jìn)行防護(hù)。
2、FTP工作模式
FTP（File Transfer Protocol）是一種專(zhuān)門(mén)用來(lái)傳輸文件的協(xié)議，它對(duì)網(wǎng)絡(luò)中信息的共享有著很重要的作用。它屬于應(yīng)用層協(xié)議，F(xiàn)TP客戶(hù)機(jī)可以給服務(wù)器發(fā)出命令來(lái)下載文件，上傳文件，創(chuàng)建或改變服務(wù)器上的目錄。FPT是現(xiàn)代網(wǎng)絡(luò)中常用的一種協(xié)議。
FTP服務(wù)一般運(yùn)行在20和21兩個(gè)端口。端口20用于在客戶(hù)端和服務(wù)器之間傳輸數(shù)據(jù)流，而21端口用于傳輸控制流。FTP有兩種工作模式：主動(dòng)模式和被動(dòng)模式。具體建立連接的過(guò)程如圖1：
在主動(dòng)模式下，客戶(hù)端首先用一個(gè)隨機(jī)端口2008和服務(wù)器的21端口建立連接，告知服務(wù)器客戶(hù)端要使用2010端口進(jìn)行數(shù)據(jù)的傳輸，服務(wù)器對(duì)此信息進(jìn)行確認(rèn)后，服務(wù)器就使用   20端口主動(dòng)和客戶(hù)端的2010端口進(jìn)行數(shù)據(jù)傳輸。在被動(dòng)模式下，客戶(hù)端首先和服務(wù)器的21端口發(fā)起連接，詢(xún)問(wèn)服務(wù)器要使用哪個(gè)端口進(jìn)行數(shù)據(jù)的傳輸，服務(wù)器對(duì)這次連接確認(rèn)并告知客戶(hù)端要使用1490端口傳輸數(shù)據(jù)，最后客戶(hù)端使用一個(gè)隨機(jī)端口2010和服務(wù)器的1490端口進(jìn)行數(shù)據(jù)的傳輸。在主動(dòng)模式下，可以看出服務(wù)器傳輸數(shù)據(jù)流的20端口和傳輸控制流的21端口是確定的，但是客戶(hù)端的傳輸控制流的2008端口和傳輸數(shù)據(jù)流的2010端口都不確定，可以是其他的端口。在被動(dòng)模式下，只有服務(wù)器傳輸控制流的21端口是確定的，服務(wù)器傳輸數(shù)據(jù)流的端口及客戶(hù)端傳輸控制流和數(shù)據(jù)流的端口都是不確定的，是可變的。
3、ACL對(duì)FTP服務(wù)器防護(hù)的局限性
訪(fǎng)問(wèn)控制列表通過(guò)允許和拒絕數(shù)據(jù)包來(lái)對(duì)網(wǎng)絡(luò)的流量進(jìn)行控制，能有效的阻止不希望通過(guò)的數(shù)據(jù)包，允許正常訪(fǎng)問(wèn)的數(shù)據(jù)包，從而保證網(wǎng)絡(luò)的安全性。但是訪(fǎng)問(wèn)控制列表對(duì)于FTP服務(wù)器的保護(hù)有一定的局限性。
由于FTP服務(wù)器有主動(dòng)模式和被動(dòng)模式，兩種模式下建立連接的方式不同，所以需要分別討論，圖2為模擬的網(wǎng)絡(luò)環(huán)境，要求用戶(hù)只能訪(fǎng)問(wèn)192.168.0.1的FTP服務(wù)。
在主動(dòng)模式下，在路由器上配置訪(fǎng)問(wèn)控制列表，允許任何主機(jī)到192.168.0.1的20和21端口的訪(fǎng)問(wèn)，然后應(yīng)用到F0/1接口上，就可以實(shí)現(xiàn)用戶(hù)只能訪(fǎng)問(wèn)192.168.0.1的FTP服務(wù)，不能訪(fǎng)問(wèn)其他服務(wù)。
在被動(dòng)模式下，使用訪(fǎng)問(wèn)控制列表時(shí)，則遇到了問(wèn)題。由于被動(dòng)模式下，F(xiàn)TP服務(wù)器傳輸數(shù)據(jù)流的端口不再是20端口，而是一個(gè)不確定的數(shù)字，沒(méi)有辦法允許數(shù)據(jù)流的通過(guò)，客戶(hù)端只能和服務(wù)器進(jìn)行控制信息的交互，而不能和服務(wù)器進(jìn)行數(shù)據(jù)的上傳和下載操作。這樣，訪(fǎng)問(wèn)控制列表就不能使FTP服務(wù)器正常的工作。
4 、CBAC簡(jiǎn)介
CBAC是基于上下文的訪(fǎng)問(wèn)控制協(xié)議，它通過(guò)檢查通過(guò)的流量來(lái)發(fā)現(xiàn)TCP和UDP的會(huì)話(huà)狀態(tài)信息，然后使用這些狀態(tài)信息來(lái)創(chuàng)建臨時(shí)通道。CBAC只對(duì)指定的協(xié)議進(jìn)行檢查，對(duì)于這些協(xié)議，只要數(shù)據(jù)包經(jīng)過(guò)已經(jīng)配置的接口，那么無(wú)論它們從哪個(gè)方向通過(guò)，都將被檢查，進(jìn)入的數(shù)據(jù)包只會(huì)在其第一次通過(guò)接口的入站ACL時(shí)才會(huì)被檢查，如果數(shù)據(jù)包被ACL拒絕，數(shù)據(jù)包會(huì)被簡(jiǎn)單的丟掉并且不會(huì)被CBAC檢查。
在Cisco路由器上創(chuàng)建ACL是管理員常用的數(shù)據(jù)過(guò)濾和網(wǎng)絡(luò)安全防護(hù)措施，但是ACL的局限性是非常明顯的，因?yàn)樗荒軝z測(cè)到網(wǎng)絡(luò)層和傳輸層的數(shù)據(jù)信息，而對(duì)于封裝在IP包中的信息它是無(wú)能為力的。因此，ACL并不可靠，需要CBAC的配合，這樣網(wǎng)絡(luò)安全性將會(huì)極大提升。
4.1、CBAC的主要功能
一、流量過(guò)濾。擴(kuò)展ACL只能過(guò)濾3層和4層的流量，RACL能夠過(guò)濾5層的流量，而CBAC支持應(yīng)用層的檢測(cè)，即查看某些數(shù)據(jù)包的內(nèi)容，如FTP，它能夠分別查看控制連接和數(shù)據(jù)連接。CBAC甚至能夠檢測(cè)HTTP連接中使用的java程序，并過(guò)濾它們。
二、流量檢測(cè)。CBAC不僅能像RACL那樣檢查返回到網(wǎng)絡(luò)的流量，同時(shí)還能夠防止TCP SYN洪水攻擊，CBAC能夠檢測(cè)客戶(hù)端到服務(wù)器連接的頻率，如果到達(dá)一個(gè)限度，就會(huì)關(guān)閉這些連接，也可用來(lái)防止DOS攻擊。
三、入侵檢測(cè)。CBAC是一個(gè)基于狀態(tài)的防火墻機(jī)制，它也能夠檢測(cè)某些DOS攻擊。提供對(duì)于某些SMTPe-mail攻擊的保護(hù)，限制某些SMTP命令發(fā)送到你內(nèi)部網(wǎng)絡(luò)的e-mail服務(wù)器，所有這些攻擊都使CBAC產(chǎn)生日志信息，并且會(huì)選擇性的重置TCP連接或者丟棄這些欺騙數(shù)據(jù)包。
四、一般的告警和審計(jì)。CBAC對(duì)于檢測(cè)到的問(wèn)題或攻擊能夠產(chǎn)生實(shí)時(shí)的告警，對(duì)于連接請(qǐng)求提供詳細(xì)的審計(jì)信息。例如，記錄所有的網(wǎng)絡(luò)連接請(qǐng)求，包括源和目的的IP地址，連接使用的端口，發(fā)送的數(shù)據(jù)大小，連接開(kāi)始和結(jié)束的時(shí)間。
4.2、CBAC的原理
CBAC會(huì)追蹤它監(jiān)視的連接，創(chuàng)建包括每個(gè)連接信息的狀態(tài)表。這個(gè)表和PIX使用的狀態(tài)表很相似。CBAC監(jiān)視TCP，UDP和ICMP的連接并記錄到狀態(tài)表，并為返回的流量創(chuàng)建動(dòng)態(tài)ACL條目，這點(diǎn)和RACL很相似，CBAC使用狀態(tài)表和動(dòng)態(tài)ACL條目來(lái)檢測(cè)和防止攻擊。
4.3、CBAC的處理步驟
一、用戶(hù)發(fā)起一個(gè)到外部的連接，如telnet，如果配置了進(jìn)站ACL，則在CBAC檢測(cè)之前先處理進(jìn)站ACL，接著根據(jù)CBAC的檢測(cè)規(guī)則，CiscoIOS來(lái)檢測(cè)或忽略這些連接，如果沒(méi)有要檢測(cè)的連接，則允許數(shù)據(jù)包的通過(guò)。
二、如果有要檢測(cè)的連接，Cisco IOS就會(huì)比較當(dāng)前連接和狀態(tài)表中的條目：如果條目不存在，則添加一條到狀態(tài)表中，否則，重置這個(gè)連接的空閑計(jì)時(shí)器。
三、如果這是一個(gè)新條目，則Cisco IOS添加一個(gè)動(dòng)態(tài)ACL條目到外部接口的進(jìn)站方向，允許返回到內(nèi)部網(wǎng)絡(luò)的流量。這個(gè)動(dòng)態(tài)ACL不會(huì)保存到NVRAM中。在Cisco IOS 12.3（4）T后，出現(xiàn)了一個(gè)新的特性叫做：Firewall ACL Bypass（FAB），使用這個(gè)特性后，CiscoIOS不會(huì)為允許返回的流量創(chuàng)建動(dòng)態(tài)ACL條目，而是直接查看狀態(tài)表，看哪些流量允許返回內(nèi)部網(wǎng)絡(luò)，這是通過(guò)快速交換進(jìn)程，如CEF來(lái)實(shí)現(xiàn)的，從而加快了處理返回的流量的速度。如果在狀態(tài)表中沒(méi)有發(fā)現(xiàn)符合的條目，則繼續(xù)進(jìn)行進(jìn)站ACL的檢查過(guò)程。
4.4、CBAC的配置
步驟一：決定路由器上的哪個(gè)接口作為內(nèi)部接口，哪個(gè)接口作為外部接口。
步驟二：創(chuàng)建普通的IPACL列表過(guò)濾進(jìn)入和離開(kāi)內(nèi)部網(wǎng)絡(luò)的流量，并保證那些要監(jiān)視的出站流量允許被通過(guò)。
步驟三：改變?nèi)值倪B接超時(shí)時(shí)間。
步驟四：配置應(yīng)用程序端口映射PAM。
步驟五：定義CBAC監(jiān)視規(guī)則，定義哪些條目要加入到狀態(tài)表，哪些流量被允許返回，如果出站流量不符合監(jiān)視規(guī)則，路由器不會(huì)監(jiān)視這些流量，只把它們當(dāng)作普通流量處理。
步驟六：在接口上激活監(jiān)視規(guī)則，這樣路由器才會(huì)使用CBAC來(lái)監(jiān)視這些流量。
步驟七：發(fā)送流量經(jīng)過(guò)CBAC路由器來(lái)測(cè)試你的配置。
5、CBAC如何對(duì)FTP服務(wù)器進(jìn)行防護(hù)
在一些網(wǎng)絡(luò)環(huán)境中，F(xiàn)TP服務(wù)器適合使用被動(dòng)模式，為了在使用訪(fǎng)問(wèn)控制列表對(duì)服務(wù)器進(jìn)行保護(hù)的同時(shí)又不影響服務(wù)的正常運(yùn)行，就要用思科的IOS安全技術(shù)CBAC和訪(fǎng)問(wèn)控制列表配合起來(lái)對(duì)服務(wù)器共同進(jìn)行防護(hù)。
在這里，仍然以上面圖2的拓?fù)鋱D為例來(lái)說(shuō)明CBAC的使用。在路由器上首先配置訪(fǎng)問(wèn)控制列表：access-list 101 permit tcp any host 192.168.0.1eq21,然后應(yīng)用到接口F0/1上：ip access-group101in。定義CBAC監(jiān)視規(guī)則：ip inspect name test ftp，定義了一個(gè)名為test的規(guī)則來(lái)對(duì)ftp流量進(jìn)行檢測(cè)。在接口F0/1上激活檢測(cè)規(guī)則：ip inspect test in。此時(shí)，當(dāng)PC1訪(fǎng)問(wèn)FTP服務(wù)器時(shí)，流量首先到達(dá)路由器，被訪(fǎng)問(wèn)控制列表允許后，PC1和FTP服務(wù)器就可以進(jìn)行控制信息的交互，同時(shí)，CBAC會(huì)對(duì)這一流量進(jìn)行檢測(cè)，發(fā)現(xiàn)他們的控制信息中有FTP服務(wù)器將用來(lái)傳輸數(shù)據(jù)的端口號(hào)，路由器又允許了到這個(gè)端口的數(shù)據(jù)的訪(fǎng)問(wèn)，于是，PC1就能和FTP服務(wù)器順利的建立連接并進(jìn)行數(shù)據(jù)的傳輸。
6、結(jié)束語(yǔ)
在實(shí)際的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)結(jié)構(gòu)會(huì)比上面的例子更復(fù)雜，這里只是用了一個(gè)最簡(jiǎn)單的拓?fù)淝闆r來(lái)說(shuō)明CBAC怎樣來(lái)使用，為了保證服務(wù)器的安全，還可以改變?nèi)值倪B接時(shí)間，比如完成TCP連接的時(shí)間，TCP連接關(guān)閉的時(shí)間，TCP連接的空閑時(shí)間，UDP連接的空閑時(shí)間。通過(guò)這些時(shí)間的配置，也能夠避免服務(wù)器被攻擊。