背景介绍
ACL在企业内网安全中发挥着不可或缺的作用,它可以有效防止很多外部和内部的信息安全问题。例如开发人员有权限登录生产环境的某些机器,ACL可以防止他们利用这些机器跳转访问到其他不属于其权限范围的机器。又例如黑客通过网站获取到内网服务器的控制权限,ACL可以限制黑客在内网中横向移动的范围,降低危害。
在一些中小型企业中,ACL规则只开不关的情况普遍存在。当设备或服务下线、IP地址变更或者临时用途结束后,没有及时删除对应的ACL规则。日积月累,网络设备上堆积了大量的ACL规则,其中可能存在一些开放了危险端口(如3389、3306、1433等)甚至是网段全通的规则,也可能存在一些冗余或者互相冲突的规则,这些情况都存在安全隐患,并且体积太大的配置文件也不利于网络设备的健康运行。相关负责人可能有意识到这种情况,但是由于网络设备数量多,如需要人工审计所有设备上的ACL规则将耗费大量的时间精力,实施难度较大。
工具介绍
aclAuditor是Python语言编写的ACL规则安全审计脚本,审计规则基于正则表达式,支持华为、华三、思科和锐捷等主流品牌,以及其他基于以上品牌底层系统的网络设备。该脚本可批量审计网络配置文件,发现ACL中存在安全隐患的规则,如宽松规则、冗余规则、危险端口等。
使用方法
配置以下变量:
1.dport为需要审计的端口,如21、3389、3306等定义为危险端口
2.path为配置文件所在目录,支持直接审计完整的设备配置文件,无需单独提取ACL
3.output为审计日志输出目录,输出文件名为“输入文件名.txt”
配置后直接运行脚本
注意事项
因笔者持有的ACL测试样本较少。无法保证该脚本没有BUG,希望有ACL安全审计这方面需求的朋友们下载试用。如有任何问题可以在Github提交Issue,帮助笔者逐步完善该脚本。
执行流程
运行截图
Github地址
https://github.com/cahi1l1yn/aclAuditor