Tweet
Infrastructure Access-List – ACL Bảo Vệ Hạ Tầng: Không Chỉ Là Permit/Den y, Mà Là Một Lớp Phòng Thủ Biên
Trong các thiết kế mạng hiện đại, router biên (edge router) không chỉ đóng vai trò chuyển tiếp lưu lượng mà còn là một điểm thực thi chính sách bảo mật quan trọng. Một trong những kỹ thuật cơ bản nhưng rất hiệu quả là triển khai Infrastructure Access-List (Infrastructure ACL hay iACL).
Khác với ACL dùng để kiểm soát truy cập người dùng hay lọc traffic giữa các vùng mạng, Infrastructure ACL tập trung bảo vệ chính bản thân thiết bị hạ tầng – router, switch, control-plane – trước các kiểu tấn công phổ biến từ Internet.
Nói cách khác, mục tiêu không phải lọc lưu lượng ứng dụng thông thường, mà là:
Hãy hình dung một router biên kết nối Internet qua interface public 1.1.1.1, phía sau là mạng nội bộ cần truy cập Internet.
Thay vì cho phép mọi thứ đi vào router, chúng ta tạo một ACL inbound tại interface ngoài chỉ cho phép đúng những gì hạ tầng thực sự cần.
Đây là nguyên tắc kinh điển của security:
Explicit Permit What Is Required — Deny Everything Else.
Trước khi viết iACL, cần trả lời:
Không có một iACL áp dụng cho mọi nơi; nó phụ thuộc vai trò của router.
1. ICMP Packet Filtering
ICMP rất quan trọng cho troubleshooting và error reporting, nhưng cũng thường bị lạm dụng cho:
Một chiến lược phổ biến là chỉ permit một số loại ICMP thật sự cần thiết:
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any time-exceeded
deny icmp any any Ý nghĩa:
Cho phép:
Chặn:
Đây là cách giảm khả năng reconnaissance nhưng vẫn giữ khả năng vận hành.
2. IP Fragment Filtering
Phân mảnh IP (fragmentation) cho phép chia packet lớn thành các fragment nhỏ hơn.
Tuy nhiên fragmented packets từng bị khai thác trong nhiều kỹ thuật bypass:
Do đó nhiều thiết kế chặn luôn fragment từ Internet:
deny ip any any fragments
Đây là biện pháp hardening đơn giản nhưng hiệu quả.
3. RFC 3330 Special Address Filtering
Một nguyên tắc quan trọng:
Không bao giờ nhận packet từ Internet với source address không hợp lệ.
Ví dụ lọc:
deny ip host 0.0.0.0 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 224.0.0.0 15.255.255.255 any Phân tích:
0.0.0.0/8
Không bao giờ xuất hiện như source hợp lệ.
127.0.0.0/8
Loopback.
Không thể xuất hiện từ Internet.
Nếu thấy → spoofing.
192.0.2.0/24
TEST-NET theo IANA.
Chỉ dùng tài liệu/lab.
Không dùng ngoài Internet.
224.0.0.0/4
Multicast range.
Không phải source address hợp lệ từ Internet.
(Lưu ý trong tài liệu có forum reply chỉnh lại wildcard cho dải multicast thành đúng 15.255.255.255.) fileciteturn0file0
Đây là anti-spoofing cơ bản.
4. RFC 1918 Address Filtering
Private address tuyệt đối không nên xuất hiện từ Internet public.
Lọc:
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
Đây là kiểm soát chống:
Khái niệm này cũng liên hệ với bogon filtering và uRPF.
5. RFC 2827 Filtering (BCP 38)
RFC 2827 (BCP38) tập trung ngăn IP spoofing.
Nếu tổ chức bạn sở hữu public block riêng, ví dụ:
1.0.0.0/8
Bạn không nên nhận traffic từ Internet có source thuộc chính prefix của mình:
deny ip 1.0.0.0 0.255.255.255 any
Đây là anti-spoofing ingress validation.
Trong thực tế, có thể kết hợp:
Đây là best practice lâu đời nhưng cực kỳ quan trọng.
6. BGP Filtering
Nếu router chạy eBGP với ISP hoặc peer, chỉ nên permit phiên BGP cụ thể:
permit tcp host 3.3.3.3 host 1.1.1.1 eq bgp
permit tcp host 3.3.3.3 eq bgp host 1.1.1.1
deny tcp any any eq bgp
Cho phép:
Chặn:
Điều này giảm nguy cơ:
Trong môi trường production có thể kết hợp thêm:
Infrastructure ACL và tư duy phòng thủ nhiều lớp
Điểm quan trọng cần hiểu:
Infrastructure ACL không thay firewall.
Nó là lớp hardening cho chính thiết bị mạng.
Defense-in-depth thường gồm:
Layer 1:
Infrastructure ACL
Layer 2:
Control Plane Policing (CoPP)
Layer 3:
uRPF / Anti-spoofing
Layer 4:
Stateful Firewall
Layer 5:
Routing protocol protections
Các lớp này bổ trợ nhau.
Một số mở rộng thực chiến nên cân nhắc
Ngoài ví dụ trong tài liệu, production thường thêm chặn:
Bogon ranges:
Control-plane services không dùng:
Chỉ permit đúng management sources.
Liên hệ với CCIE Security / Infrastructure Protection
Đây thực chất là nền tảng của:
Những nguyên lý này xuất hiện xuyên suốt từ:
Công nghệ thay đổi, nhưng nguyên lý vẫn nguyên giá trị.
Kết luận
Nhiều người xem ACL chỉ là công cụ permit/deny.
Thực tế, Infrastructure ACL là một lớp phòng thủ chiến lược.
Một vài dòng ACL đơn giản có thể chặn:
Đôi khi đó chính là khác biệt giữa một edge router “đang định tuyến” và một edge router “được bảo vệ”.
Nếu đang vận hành router biên, hãy tự hỏi:
Interface Internet-facing của bạn hôm nay đang cho phép nhiều hơn mức cần thiết bao nhiêu?
Đó thường là nơi hardening nên bắt đầu.
Trong các thiết kế mạng hiện đại, router biên (edge router) không chỉ đóng vai trò chuyển tiếp lưu lượng mà còn là một điểm thực thi chính sách bảo mật quan trọng. Một trong những kỹ thuật cơ bản nhưng rất hiệu quả là triển khai Infrastructure Access-List (Infrastructure ACL hay iACL).
Khác với ACL dùng để kiểm soát truy cập người dùng hay lọc traffic giữa các vùng mạng, Infrastructure ACL tập trung bảo vệ chính bản thân thiết bị hạ tầng – router, switch, control-plane – trước các kiểu tấn công phổ biến từ Internet.
Nói cách khác, mục tiêu không phải lọc lưu lượng ứng dụng thông thường, mà là:
- Giảm bề mặt tấn công (attack surface)
- Chặn lưu lượng bất thường hoặc giả mạo (spoofed traffic)
- Bảo vệ control plane và routing protocol
- Giảm rủi ro reconnaissance, DoS và packet abuse
Hãy hình dung một router biên kết nối Internet qua interface public 1.1.1.1, phía sau là mạng nội bộ cần truy cập Internet.
Thay vì cho phép mọi thứ đi vào router, chúng ta tạo một ACL inbound tại interface ngoài chỉ cho phép đúng những gì hạ tầng thực sự cần.
Đây là nguyên tắc kinh điển của security:
Explicit Permit What Is Required — Deny Everything Else.
Trước khi viết iACL, cần trả lời:
- Router này là edge NAT/PAT router hay transit router?
- Có chạy VPN không?
- Có chạy BGP với ISP không?
- Có traffic control-plane nào thực sự phải được phép?
Không có một iACL áp dụng cho mọi nơi; nó phụ thuộc vai trò của router.
1. ICMP Packet Filtering
ICMP rất quan trọng cho troubleshooting và error reporting, nhưng cũng thường bị lạm dụng cho:
- Reconnaissance
- Ping sweep
- DoS abuse
- Covert signaling
Một chiến lược phổ biến là chỉ permit một số loại ICMP thật sự cần thiết:
permit icmp any any echo-reply
permit icmp any any unreachable
permit icmp any any time-exceeded
deny icmp any any Ý nghĩa:
Cho phép:
- echo-reply → hỗ trợ phản hồi ping
- unreachable → cần cho Path MTU Discovery và thông báo lỗi
- time-exceeded → cần cho traceroute
Chặn:
- Echo request từ Internet
- Redirect
- Source quench (legacy)
- Các loại ICMP không cần thiết khác
Đây là cách giảm khả năng reconnaissance nhưng vẫn giữ khả năng vận hành.
2. IP Fragment Filtering
Phân mảnh IP (fragmentation) cho phép chia packet lớn thành các fragment nhỏ hơn.
Tuy nhiên fragmented packets từng bị khai thác trong nhiều kỹ thuật bypass:
- ACL evasion
- IDS evasion
- Tiny Fragment Attack
- Overlapping Fragment Attack (Teardrop-style)
Do đó nhiều thiết kế chặn luôn fragment từ Internet:
deny ip any any fragments
Đây là biện pháp hardening đơn giản nhưng hiệu quả.
3. RFC 3330 Special Address Filtering
Một nguyên tắc quan trọng:
Không bao giờ nhận packet từ Internet với source address không hợp lệ.
Ví dụ lọc:
deny ip host 0.0.0.0 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 224.0.0.0 15.255.255.255 any Phân tích:
0.0.0.0/8
Không bao giờ xuất hiện như source hợp lệ.
127.0.0.0/8
Loopback.
Không thể xuất hiện từ Internet.
Nếu thấy → spoofing.
192.0.2.0/24
TEST-NET theo IANA.
Chỉ dùng tài liệu/lab.
Không dùng ngoài Internet.
224.0.0.0/4
Multicast range.
Không phải source address hợp lệ từ Internet.
(Lưu ý trong tài liệu có forum reply chỉnh lại wildcard cho dải multicast thành đúng 15.255.255.255.) fileciteturn0file0
Đây là anti-spoofing cơ bản.
4. RFC 1918 Address Filtering
Private address tuyệt đối không nên xuất hiện từ Internet public.
Lọc:
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
Đây là kiểm soát chống:
- Source spoofing
- Reflection attacks
- Misrouted packets
- Bogon traffic
Khái niệm này cũng liên hệ với bogon filtering và uRPF.
5. RFC 2827 Filtering (BCP 38)
RFC 2827 (BCP38) tập trung ngăn IP spoofing.
Nếu tổ chức bạn sở hữu public block riêng, ví dụ:
1.0.0.0/8
Bạn không nên nhận traffic từ Internet có source thuộc chính prefix của mình:
deny ip 1.0.0.0 0.255.255.255 any
Đây là anti-spoofing ingress validation.
Trong thực tế, có thể kết hợp:
- ACL filtering
- uRPF strict mode
- uRPF loose mode
Đây là best practice lâu đời nhưng cực kỳ quan trọng.
6. BGP Filtering
Nếu router chạy eBGP với ISP hoặc peer, chỉ nên permit phiên BGP cụ thể:
permit tcp host 3.3.3.3 host 1.1.1.1 eq bgp
permit tcp host 3.3.3.3 eq bgp host 1.1.1.1
deny tcp any any eq bgp
Cho phép:
- TCP/179 giữa peer hợp lệ
Chặn:
- Mọi BGP session khác
Điều này giảm nguy cơ:
- Rogue peering attempt
- TCP session abuse
- Recon trên TCP 179
Trong môi trường production có thể kết hợp thêm:
- TTL Security (GTSM)
- MD5/TCP-AO authentication
- CoPP/CPPr bảo vệ control plane
Infrastructure ACL và tư duy phòng thủ nhiều lớp
Điểm quan trọng cần hiểu:
Infrastructure ACL không thay firewall.
Nó là lớp hardening cho chính thiết bị mạng.
Defense-in-depth thường gồm:
Layer 1:
Infrastructure ACL
Layer 2:
Control Plane Policing (CoPP)
Layer 3:
uRPF / Anti-spoofing
Layer 4:
Stateful Firewall
Layer 5:
Routing protocol protections
Các lớp này bổ trợ nhau.
Một số mở rộng thực chiến nên cân nhắc
Ngoài ví dụ trong tài liệu, production thường thêm chặn:
Bogon ranges:
- 169.254.0.0/16
- 100.64.0.0/10
- 198.18.0.0/15
- Reserved space khác
Control-plane services không dùng:
- SNMP từ Internet
- SSH từ Internet
- Telnet (nên loại bỏ hoàn toàn)
- TFTP
- NTP không tin cậy
Chỉ permit đúng management sources.
Liên hệ với CCIE Security / Infrastructure Protection
Đây thực chất là nền tảng của:
- Infrastructure Protection
- Control Plane Security
- Edge Hardening
- Secure Routing Architecture
Những nguyên lý này xuất hiện xuyên suốt từ:
- CCNP ENCOR
- CCNP Security SCOR
- CCIE Security
- CISSP Domain 4 (Communication and Network Security)
Công nghệ thay đổi, nhưng nguyên lý vẫn nguyên giá trị.
Kết luận
Nhiều người xem ACL chỉ là công cụ permit/deny.
Thực tế, Infrastructure ACL là một lớp phòng thủ chiến lược.
Một vài dòng ACL đơn giản có thể chặn:
- Spoofed traffic
- Fragment attacks
- ICMP abuse
- Unauthorized BGP attempts
- Bogon traffic
Đôi khi đó chính là khác biệt giữa một edge router “đang định tuyến” và một edge router “được bảo vệ”.
Nếu đang vận hành router biên, hãy tự hỏi:
Interface Internet-facing của bạn hôm nay đang cho phép nhiều hơn mức cần thiết bao nhiêu?
Đó thường là nơi hardening nên bắt đầu.
Attached Files