巧设CTC路由器ACL降低网络安全风险

2014-08-15 00:45刘彩录
铁道通信信号 2014年3期
关键词:访问控制列表路由器

刘彩录

铁路分散自律调度集中系统 (CTC),已被广泛应用于我国既有铁路、高速铁路及城际客专等铁路运输上,提高了运输组织工作效率,也被国家相关部门评定为“等级保护”四级系统,对该系统信息网络安全提出了更高的要求。铁路CTC网络均采用了带访问控制功能的路由器,正确地设置ACL(访问控制列表),将起到防火墙的作用,降低网络安全风险。本文探讨在CTC网络路由器上进行规则设定,阻挡不匹配安全规则的数据包,实现CTC网络安全。

1 CTC网络安全情况

1.1 CTC网络安全风险因素

1.病毒。CTC系统在建立和运营过程中,需进行大量的软件上传、修改、备份和检查升级工作,远程连接登录、使用U盘等都可能造成系统的“病毒”感染,导致中心或车站系统瘫痪。

2.非法登录。掌握CTC系统各级口令的人可以随时通过中心或车站某台终端接入CTC系统,有可能对系统进行破坏。

3.信息安全。CTC系统直接指挥和控制行车,是铁路调度指挥进行生产组织的核心系统,其内部网络中传输着涉密信息,尤其是军运或专运列车的行车组织信息。

1.2 现有解决方案

1.设置杀毒软件服务器。CTC中心部署一套网络版杀毒软件服务器,通过控制中心管理全网的客户端,实现统一升级、设置,对网络中的病毒进行实时监控和查杀。

2.访问控制。大多数方案是安装硬件防火墙,主要是过滤非法数据包或者不安全的流量,保证网络安全。车站防火墙均布置在网络出入口处 (网络交换机和路由器之间),防火墙一次故障或死机就可能危及整个车站网络,导致信息传输中断,影响行车组织;而且专门增设防火墙也增加了成本。

3.强化CTC用户管理。杜绝一机双网,确保与外部网络物理隔离;拒绝未经检测的移动存储使用;验证CTC用户的身份和使用权限,防止用户越权操作等。

访问控制是实现网络安全的主要途径。目前实现访问控制的技术方案有MAC地址过滤、交换机VLAN隔离、基于IP地址的访问控制列表等。

2 配置访问控制列表

访问控制列表 (Access control list,缩写ACL),是一种基于包过滤的数据控制技术,在路由器和三层交换机中被广泛使用。它把源地址、目的地址以及端口号作为数据包检查的基本要素,并规定符合检查条件的数据包允许通过,不符合检查条件的数据包禁止通过,从而保证网络安全。

现有CTC网络绝大多数部署了防火墙,但实际运行防火墙死机或故障发生率偏高。由于防火墙部署在网络出入口,即便是瞬间重启也必然导致整个车站CTC网络中断。而在路由器适当配置访问控制列表 (ACL),对网络流量进行规则检查,限制非法数据包通过,实践证明,可以有效减少网络安全风险,实现一般防火墙具有的功能。

访问控制列表实现方法:首先进入路由器全局配置模式,依次定义访问控制列表,最后将其配置到网络接口中。这样通过该接口的数据包都必须接受规则检查,被禁止的数据流量将无法通过。

ACL根据情况配置检查源IP地址、目的IP地址、网络协议和端口号等,主要使用以下2种。

1.标准访问控制列表是最简单的ACL,格式:

access-list ACL号permit|deny主机IP地址

2.扩展访问控制列表是一种高级ACL,格式:

access-list ACL号[permit|deny][协议][定义过滤源主机][定义过滤源端口][定义过滤目的主机][定义过滤目的端口]

实际应用中,还要分清ACL所应用的接口及其方向。

3 CTC路由器访问控制列表常用配置实例

1.限制计算机病毒传播。由于微软操作系统的漏洞,一些病毒或木马软件使用UDP端口135、137等和 TCP端口135、137、9996等进行传播,可设置ACL规则关闭这些端口,阻碍其传播,有利于病毒的查杀。比如关闭UDP和TCP135端口。

access-list 101 deny udp any any eq 135

access-list 101 deny tcp any any eq 135

access-list 101 permit ip any any

2.屏蔽非法主机通信。假设一台主机ip 172.22.10.5非法进入网络 (或者感染了病毒),那么可以采用ACL策略,限制该主机的数据传输。

access-list 3 deny 172.22.10.5

access-list 3 permit ip any any

int f1/0

ip access-group 3 in

exit

3.保护CTC中心服务器安全。CTC中心服务器作为网络中枢,对所有的网络终端都是可访问的,这样也很容易招来黑客和病毒的攻击,通过设置车站路由器ACL可以将除了必用服务端口之外的其他端口都关掉。假设172.22.10.1为中心服务器,必用服务端口为99,协议为TCP。

access-list 101 permit tcp any 172.22.10.1 0.0.0.0 eq 99

access-list 101 deny any

4.保护CTC车站车务终端不被非法登录。为了防止非法用户远程登录车站车务终端 (一般使用PC Anywhere软件),非法操作而危及行车安全,可以设置ACL只允许正常合法的维修终端访问,其他主机远程登录均禁止。假设合法的维修终端为172.22.10.201,PC Anywhere使用的默认端口号为tcp,5631,udp,5632。

access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq 5631

access-list 101 permit udp any 172.22.10.201 0.0.0.0 eq 5632

access-list 101 deny any

5.保护车站自律机安全。自律机是分散自律调度集中系统的车站核心设备,负责与联锁、列控及中心服务器交换信息,使用定制的LINUX操作系统。正常通过telnet和ftp访问。为了防止其被非法操作,同样可以设置ACL只允许合法的维修终端访问。

假设合法的维修终端为172.22.10.201.

access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq telnet

access-list 101 permit tcp any 172.22.10.201 0.0.0.0 eq ftp

access-list 101 deny any

路由器ACL功能灵活、使用方便,这对网管人员也提出了更高的要求。在CTC路由器ACL配置上述实例,可以实现访问控制,使路由器发挥防火墙作用,降低网络安全风险。随着CTC网络的不断扩展,网络安全问题也日益突出,网络维护人员应根据本单位具体网络需求情况,认真分析配置ACL,不允许有丝毫差错。

[1] [美]Brenton,C.Cisco.王军译.路由器从入门到精通[M].电子工业出版社,2003.

[2] 谭浩强.Cisco路由器实用技术[M].北京:中国铁道出版社,2006.

猜你喜欢
访问控制列表路由器
一种跨策略域的林业资源访问控制模型设计
买千兆路由器看接口参数
维持生命
路由器每天都要关
路由器每天都要关
学习运用列表法
扩列吧
云计算访问控制技术研究综述
ONVIF的全新主张:一致性及最访问控制的Profile A
列表画树状图各有所长