虛擬終端是許多網路管理人員每天甚至是隨時會用到的工具與管理方式。虛擬終端提供許多網路管理上的便利性,透過虛擬終端,讓多位網路管理員可以同時做管理動作,並且在不同的網路環境中以遠端的方式進行網路管理。不過,它的便利性可能帶來某些安全上的顧慮,則是必須注意的議題。本文將說明如何透過存取控制來提升虛擬終端的安全性。
虛擬終端(Virtual Terminal)是用來連線到遠端路由器設備,並使用Telnet針對遠端設備做設定。Telnet是一種虛擬終端協定(Virtual Terminal Protocol),屬於TCP/IP的一部分。藉由telnet指令,後面接上主機名稱或IP位址,就可以連線到其他設備:
當然,目的端的Cisco設備也要做相對應的設定才行。一旦下達telnet指令之後,跳出輸入密碼的提示符號,就代表可連線到此設備,此時,對於遠端設備而言,連線的介面也稱為VTY介面。
不過,要注意的是,如果是針對交換器(Switch)透過Telnet來遠端連線管理,必須要先對交換器進行IP設定才行,而為了設定交換器的IP位址和網路遮罩,必須進入交換器的VLAN(Virtual Local Area Network)之中。預設上,交換器只有一個VLAN,其編號為1。
假設要將交換器的IP設定為10.1.2.3,而網路遮罩為255.255.255.0的時候,則必須執行以下的指令:
進入交換器的VLAN方式與進入埠的方式類似,只是Ethernet關鍵字改成vlan,而後面再接上VLAN編號。
接著,指令ip address就是用來設定IP位址和網路遮罩,只要分別把IP位址和網路遮罩接在此指令後面即可。最後的no shutdown,則表示讓這個IP位址生效。
在Cisco IOS中,很多關閉和開啟的指令都只是在原本指令之前加上no這個關鍵字即可,例如shutdown指令是用來關閉IP位址用,而相反的指令就是no shutdown。
由於透過虛擬終端這種遠端管理Cisco路由器設備也牽扯到不少安全性的議題,所以,提升虛擬終端的安全性,已經是網路管理人員不可忽略的問題。而本文所要介紹的做法就是透過Cisco設備的存取控制清單來完成。
存取控制清單簡介
Cisco路由器設備的標準型存取控制清單和延伸型存取控制清單提供許多功能,包含一般的存取控制,同時也提供資料加密以及根據策略自動決定路由的功能(Policy-based Routing)。
存取控制清單(Access Control List,ACL)顧名思義就是一個清單,內容包含一些「規則」,也可以視為條件,用來指導Cisco路由器設備如何辨識哪些網路封包,以及要對這些網路封包做哪些動作。
例如,網路管理人員想要阻絕某些網路封包,希望只允許某些特定的網路封包,一旦在Cisco路由器設備上設定好存取控制清單之後,當網路封包通過Cisco路由器設備時,就會依據存取控制清單的內容來決定是否要讓這個網路封包經過。
藉由適當地控制好存取控制清單,網路管理人員就可以過濾網路封包,達到一定的網路安全。基本上,存取控制清單分為以下兩種類型:
1. 標準型存取控制清單
2. 延伸型存取控制清單
兩種存取控制清單各有好壞,以下就來分析這兩種存取控制清單的不同之處。
檢查網路封包的條件(Criteria)
標準型存取控制清單與延伸型存取控制清單最大的不同,在於標準型會檢查網路封包的來源IP位址,而延伸型存取控制清單則是檢查網路封包的來源IP位址和目的地IP位址。
所能處理的網路協定
除此之外,標準型存取控制清單只針對所有的網路協定做處理,不能針對特定的網路協定指定允許或拒絕的動作,但延伸型存取控制清單可以針對特定的網路協定做處置。
由此看來,延伸型的存取控制清單的能力比較強大,能設定的東西比較多。
延伸型存取控制清單中的規則,除了可以指定網路協定外,還能夠在協定後面加上埠的編號,以便指明要套用在那一個通訊埠的網路封包。
一般來說,網路管理人員都會指定比較常見的埠編號(Well Known Ports),底下列出一些常見的埠編號以及所對應的網路服務:
常見的埠編號及所對應的網路服務