网络管理与维护技术-10第10章-网络设备安全

1、主编 苏英如 中国水利水电出版社 l本章重点 物理安全 口令管理 SNMP及其安全配置 HTTP管理方式安全管理 终端访问控制方式 设备安全策略 l工作环境安全 网络设备安装环境须从设备的安全与 稳定运行方面考虑：防盗、防火、防静电、 适当的通风和可控制的环境温度；确保设 备有一个良好的电磁兼容工作环境。只有 满足这些基本要求，设备才能正常、稳定、 可靠、高效运行。 l物理防范 设备Console口具有特殊权限，攻击 者如果物理接触设备后，实施“口令修复 流程”，登录设备，就可以完全控制设备。 为此必须保障设备安放环境的封闭性，以 保障设备端口的物理安全。 l 网络设备中secret和enab

2、le口令的权限 类似于计算机系统的administrator，拥有 对设备的最高控制权，在对设备访问和配 置过程中可以使用本地口令验证、针对不 同的端口指定不同的认证方法，并对不同 权限的管理人员赋予不同口令，同时对不 同的权限级别赋予对操作命令的运行权限。 l通过执行service password-encryption启用口令加密服务： 3640(config)#service password-encryption 3640#show running-config . enable secret 5 $1$fy6O$ymDQtD2Yo8nD2zpd3cK0B1 enable passwo

3、rd 7 094F471A1A0A line con 0 password 7 045804080E254147 line aux 0 line vty 0 4 password 7 110A1016141D login . enable secret用MD5加密方式来加密口令， enable secret 优先级高于enable password， enable password 以明文显示口令； 两者所设口令不能相同并且当两者均已设置时只有 enable secret口令起作用，enable password口令自动失效。 service password-encryption命令采用了可

4、逆的弱加密方 式，加密后的密码可以通过一些工具进行逆向破解， enable secret采用md5方式加密，安全性较强，在建立用 户与口令时建议用username / secret取代username / password（IOS12.2(8)T后可以用secret对username的密 码做MD5加密）。 网络设备自身提供了多级口令：常规模式口令、 特权模式口令、配置模式口令、console控制口连接口 令、ssh访问口令等等，网络设备运行在复杂的网络中 难免会遭受各种无意或刻意的攻击，如果多台设备采用 同一口令，则当网络中某一台设备被非法侵入，所有设 备口令将暴露无遗，这会对整个网络和设备

5、的安全造成 极大威胁，严重时令网络设备配置文件被非法修改甚至 恶意删除，导致整个网络瘫痪，并且网络管理人员不能 通过正常方式登录和管理被攻击过的网络设备，因此在 设置口令时必须做到设备口令多样化、多级化，禁止口 令的同一化、同级化。 默认情况下利用设备加电重启期间的BREAK方式 可以进入ROMMON监听模式进行口令恢复。任何人只 要物理接触到设备就可以使用这个方法达到重设口令非 法进去侵入的目的。通过no service password-recovery命 令来关闭ROMMON监听模式，避免由此带来的安全隐 患。 3640(config)#no service password-recov

6、ery 禁用禁用ROMMON。 3640(config)#service password-recovery 启用启用ROMMON，Cisco未公开的两条命令，必须手工完未公开的两条命令，必须手工完 整键入后才可以执行。整键入后才可以执行。 . 3640(config)#no service password-recovery l禁止把管理口令泄漏给任何人，如果已经发 生口令的泄漏，一定要及时修改原口令。 l及时回收临时口令，通过设置临时密码的方 式进行远程维护后，及时回收口令停止临时账 户对设备的访问权限。 l修改默认配置，拒绝空口令访问设备，并对 口令加密。尤其注意一定要对console禁

7、止空口 令访问。 合理限制设备人员的数量，通过严格的访问级别设置不同级别管理员 的权限；通过访问控制表阻止非授权IP地址对网络设备的访问，采用访问 控制表控制后即使非授权人员知道了管理口令也会因使用的IP未经授权而 被拒绝登录设备；合理设置会话超时时间，在管理人员离开终端一段时间 或静止一段时间后自动关闭会话，断开对话连接，避免身边非授权人员登 录设备进行操作。 Router#show privilege 查看权限信息。 Router#show user 查看终端登录用户。 Router#clear line vty 0 断开vty 0的连接（aux、tty、console、vty操作类似）。

8、 Router#disconnect ip-address 断开怀疑或没有授权许可的用户的对话。 Router(config)#line console 0 Router(config-line)#exec-timeout 6 30 修改console会话时间为6分钟30秒，设备默认配置的会话超时时间为10分钟。 SNMP简介 lSimple Network Management Protocol,简单网管协议是一种被广泛应用在网络设备监 控、配置方面的应用协议，最初版本由于批量存取机制的限制所致的对大块数据存 取效率低、安全机制不可靠、不支持TCP/IP协议之外的其他网络协议、没有提供 ma

9、nager与manager之间通信的机制等因素，造成SNMP只能适用集中式管理而不能 对设备进行分布式管理、只能对网络设备进行监测而不能对网络本身进行监测。 lSNMP的改进版本（1991年11月）RMON(RemoteNetworkMonitoring)MIB,使SNMP 在对网络设备进行管理的同时还能收集局域网和互联网上的数据流量等信息。到 1993年SNMPv2面世（原SNMP被称为SNMPv1），SNMPv2提供了一次存取大量数 据的能力，大幅度的提高了效率，增加了manager间的信息交换机制，开始支持分 布式管理结构：由中间（intermediate）manager分担主manag

10、er的任务，增加了远程 站点的局部自主性；OSI、Appletalk、IPX等多协议网络环境下的运行得到了支持 （默认网络协议仍是UDP）。同时又提供了验证机制、加密机制、时间同步机制， 在安全性上较SNMPv1也有了很大的提高。 l2002年3月SNMPv3被定为互联网一项标准，此版本在SNMPv2的基础之上增加、完 善了安全和管理机制，通过简明的方式实现了加密和验证功能；采用了新的SNMP 扩展框架， 使管理者能在多种操作环境下可以根据需要对模块和算法进行增加和 替换，它的多种安全处理模块不但保持了SNMPv1和SNMPv2易于理解、易于实现 特点，而且还弥补了前两个版本安全方面的不足，实

11、现了对复杂网络的管理。 SNMP的community用于限制不同的被授权管理者对设备相关信息的读取和写入的操作 许多设备的SNMP community出厂默认被设置为“Public”和“Private”，在配置时要修改这些 默 认值，使用自定义的community，防止非授权者得到网络设备的信息配置。 SNMP配置 Cisco#config terminal Cisco(config)#snmp-server community wlglwh ro 配置只读字符串为“wlglwh”。 Cisco(config)#snmp-server community wlglwhw rw 配置读写字符串为

12、“wlglwhw”。 Cisco(config)#snmp-server enable traps 启用陷阱将所有类型SNMP Trap发送出去。 Cisco(config)#snmp-server host version 2c trpser 指定SNMP Trap的接收者为（网管服务器），SNMP使用2c版本，发送Trap时采用 trpser作为字串。 Cisco(config)#snmp-server trap-source loopback0 指定SNMP Trap的发送源地址为loopback0（配置这条命令前要配置loopback0地址，否

13、则命令 配置不成功）。 Cisco#write terminal Cisco#show running . snmp-server community wlglwh RO snmp-server community wlglwhw RW snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps casa snmp-server enable traps isdn call-inform

14、ation snmp-server enable traps isdn layer2 snmp-server enable traps isdn chan-not-avail snmp-server enable traps isdn ietf snmp-server enable traps hsrp snmp-server enable traps config snmp-server enable traps entity snmp-server enable traps envmon snmp-server enable traps ds0-busyout snmp-server en

15、able traps ds1-loopback snmp-server enable traps bgp snmp-server enable traps ipmulticast snmp-server enable traps msdp snmp-server enable traps rsvp snmp-server enable traps frame-relay snmp-server enable traps rtr snmp-server enable traps syslog snmp-server enable traps dlsw snmp-server enable tra

16、ps dial snmp-server enable traps dsp card-status snmp-server enable traps voice poor-qov snmp-server enable traps xgcp snmp-server host version 2c trpser . 目前大多网络设备允许用户以图形化的方 式，通过设备内置的HTTP服务对设备进行管理 和配置，尽管这种傻瓜式的管理方式可以避免 命令行方式下输入不便的弊端，使对设备的管 理和配置工作变得更加便捷，但是却给设备的 安全带来了一些威胁：如果允许通过HTTP访问 管理设备，

17、此时通过网络设备的浏览器接口对 网络设备实施监视，可以嗅探到用户名和口令 等设备信息，甚至可以对设备的配置进行更改， 达到破坏或者入侵的目的。因此，在关键设备 中，从安全角度出发不推荐采用这种方式对网 络设备进行管理和配置。 l设备内置的http服务默认是关闭的。使用ip http server命令来开启HTTP服，开启服 务的同时最好采用AAA服务器、TACAC服务器等一些独立的身份验证方法或通过 访问控制表来限制通过HTTP进行连接的用户，只允许经过授权的用户可以远程连 接登录、管理设备，来进一步降低因为采用http服务对设备带来的安全风险。 l3524#configure termina

18、l l3524(config)#ip http server l开启http服务。 l3524(config)#ip http port 8080 l指定HTTP服务端口为8080 （一般的取值范围为0-65535，建议优先选用1024- 65535）。 l3524(config)#ip http secure-server l启用HTTPS安全连接（部分版本不支持此命令，对支持此命令的设备最好开启https 服务而不使用http服务）。 l3524(config)#ip http authentication local l设置验证方式为本地验证。 l3524(config)#usernam

19、e cisco privilege 15 password 0 cisco l创建本地用户：用户名cisco和口令cisco 访问级别15 口令不加密。 l通过IE浏览器进入http管理系统，如图10-4-1、图10-4-2 网络管理人员通过终端访问在远程对设备进行管 理和配置时应采用一些安全配置和安全策略来限制非 授权对网络设备的访问，最大限度避免可能来自网络 内部或外部的恶意攻击和入侵。 方 式不 同 点命令行要点 Telnet 一种明文传输协 议，账户名称与口令 在传输过程中以明文 方式传送，通过使用 网络嗅探工具能轻而 易举地窃取网络设备 中明文传输的帐户名 称与口令，这对于设 备和网

20、络的安全是一 个巨大的威胁 3640#configure terminal 3640(config)#line vty 0 4 3640 (config-line)#transport input telnet 使用远 程终端对 设备进行 配置和管 理之前， 要确保已 经开启被 管设备上 的Telnet或 SSH服务 SSH 以MD5加密方式 传输数据，同时采用 了基于口令的安全认 证和基于密钥的安全 认证两种方式，SSH 可以有效避免“中间 人”方式的攻击，还 能够防止DNS和IP欺 骗，传输的数据经过 压缩后传送，大大加 快了传输速度。管理 设备时应尽量采用 SSH方式。 3640#con

21、figure terminal 3640(config)#line vty 0 4 3640(config-line)#transport input SSH 在设备上配置安全策略，只允许指定 的管理人员在指定的主机对网络设备进行 访问、管理和配置，能在一定程度上提高 网络设备的安全性 。 在端口线路上应用访问控制表，限 制访问范围、设置连接会话的超时时间 。 虚拟终 端配置 Router(config)#line vty 0 4Router(config-line)#exec- timeout 1 20 设置会话超时时间为1分20秒 Router(config-line)#access- c

22、lass 1 in 将访问列表应用到虚拟终端线 路上 注： in可以远程登录进入到这 台设备，out表示当用户已登 录到网络设备内部时还可以通 过此会话远程登录到何处 辅助接 口配置 Router(config)#line console 0 控制台 接口配 置 Router(config-line)#access-class 1 in Switch(config)#ip http port 8080 Switch(config)#access-list 1 permit host Switch(config)#ip http server Switch(config)

23、#ip http access-class 1 修改端口号为修改端口号为8080 通过访问控制表只允许通过访问控制表只允许IP地址为地址为的主机可以通过的主机可以通过 Web控制台对交换机进行访问（在支持控制台对交换机进行访问（在支持https的设备上应当启的设备上应当启 用用https（ip http secure-server）服务）服务 命令格式： privillege mode level level level-command Switch(config)#privilege configure level 2 copy run start Switch(con

24、fig)#privilege configure level 2 ping Switch(config)#privilege configure level 2 show run Switch(config)#enable secret level 2 abcd123 创建一个权限级别为2、在全局配置模式下能执行copy run start、 ping和show run命令并设定级别2的使能口令为“abcd123”。 由于设备软件的漏洞、配置错误等原 因，致使一些服务对设备和网络的安全带 来影响，因此要定期更新设备的软件系统 IOS、关闭不必要和不需要的网络服务、 使设备运行服务尽量保持最小化

25、： lRouter(Config)#no ip http server l禁用HTTP服务 lRouter(Config)#no cdp run l禁用CDP协议 lRouter(Config-if)#no cdp enable l禁用某端口的CDP协议 lRouter(Config)#no service tcp-small-servers l禁用TCP Small服务 lRouter(Config)#no service udp-samll-servers l禁用UDP Small服务 lRouter(Config)#no ip finger lRouter(Config)#no serv

26、ice finger l禁用Finger服务 lRouter(Config)#no ip bootp server l禁用BOOTP服务 lRouter(Config)#no boot network lRouter(Config)#no servic config l禁用从网络启动和自动从网络下载初始配置文件 lRouter(Config)#no ip source-route l禁用IP Source Routing（防止源路由欺骗攻击） lRouter(Config-if)#no ip proxy-arp l禁用 ARP-Proxy服务，路由器默认情况下是开启的 lRouter(Conf

27、ig-if)#no ip directed-broadcast l禁用IP Directed Broadcast lRouter(Config-if)#no ip unreacheables lRouter(Config-if)#no ip redirects lRouter(Config-if)#no ip mask-reply l禁用ICMP协议的IP Unreachables，Redirects，Mask Replies lRouter(Config)#no snmp-server community public Ro lRouter(Config)#no snmp-server co

28、mmunity admin RW lRouter(Config)#no snmp-server enable traps lRouter(Config)#no snmp-server system-shutdown lRouter(Config)#no snmp-server trap-anth lRouter(Config)#no snmp-server lRouter(Config)#end l禁用SNMP协议服务 lRouter(Config)#no ip domain-lookup l禁用DNS服务 lRouter(Config)#interface Serial 1 lRouter(

29、Config-if)#shutdown l关闭不使用的端口 l1以cisco3640为例配置预防DDOS攻击策略： l3640(Config)#ip cef l启用CEF l3640(Config)#interface fastEthernet 0/0 l3640(config-if)#ip verify unicast reverse-path l在边界路由器端口启用 ip verfy unicast reverse-path （检查经过路由器的每一个数据包，如CEF路由表中没有该数据包源IP地址的路由，路由器把该数据包做为丢弃处 理从而实现阻止SMURF攻击和其它基于IP地址伪装的攻击（如

30、ip spoolingip欺骗）。 l3640 (Config)#router ospf 100 l3640 (Config-router)#passive-interface fastEthernet 0/0 lOSPF中禁止端口0/3接收和转发路由信息建，议对于不需要路由的端口，启用passive-interface。 l3640(Config)#access-list 10 deny 55 l3640(Config)#access-list 10 permit any l3640(Config)#router ospf 100 l3640(Conf

31、ig-router)#distribute-list 10 in l3640(Config-router)#distribute-list 10 out l启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。禁止路由器接收更新网络的路由信息 l3640 (Config) #no ip source-route l关闭源路由,防止路由攻击 l对于处于边界的路由器，则需要屏蔽以下地址段/8全网络地址； /8；/16， DHCP自定义地址； /20， /16； 20.20.

32、20.0/24， /23SUN公司测试地址； /4不用的组播地址的IP数据包： l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 de

33、ny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 15.2

34、55.255.255 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l用访问控制表控制定义属于内部网络要流出的地址，如： l3640(Config)#access-list 121 permit ip 55 any l3640(Config)#access-list 121 deny ip any any log l3

35、640(Config)#access-list 122 deny ip 55 any l3640(Config)#access-list 122 permit ip any any log l3640(Config)#interface fastEthernet 0/1 l3640(Config-if)#description lan l3640(Config-if)#ip address 54 l3640(Config-if)#ip access-group 121 in l3640(Config)#in

36、terface fastEthernet 0/0 l3640(Config-if)#description wan l3640(Config-if)#ip address 60.10.xx.xx 52 l3640(Config-if)#ip access-group 120 in l3640(Config-if)#ip access-group 121 out l3640(Config-if)#ip access-group 122 in l2路由器的接口上设置no ip directed-broadcast 拒绝smurf攻击，来控制直接广播风暴的产生，前提是全局已

37、经启用no ip directed-broadcast。 l3限制数据包流量速率 lrate-limit out put accees-group xx Bits per second Normal burst bytes Maximum burst bytes conform-action set-prec-transmit （0-7） exceed-action set-prec-transmit （0-7） laccees-group xx是访问列表标号，Bits per second承诺接入速率， Normal burst bytes 正常突变速率，Maximum burst byte

38、s最大突变速率， conform-action 后边跟遵从条 件时的动作，set-prec-transmit （0-7）exceed-action 后边跟超越条件时的动作。 例如： l3640(Config)#interface fastEthernet 0/1 l3640(Config-if)#rate-limit output access-group 2010 3000000 512000 786000 conform-action transmit exceed-action drop 3640(Config)#access-list 2010 permit icmp any any echo-reply l限制icmp数据包流量速率 l3640#show interfaces fastEthernet 0/1 rate-limit l查看rate-limit配置 lSYN数据包流量速率可参照icmp进行配置 l4将设备日志信息发往日志服务器，以便查看设备运行情况和用户登录操作情况： l3640#conf t3640(config)#logging on3640(config)#logging 指定ip为的主机最为日志服务器（3cdaemo