网络基础设施安全PPT课件

1、网络基础设施安全第七讲、网络基础设施安全（2）路由系统安全网络基础设施安全目录7.1 局域网和VLAN7.2 远程访问（拨号）7.3 路由系统安全7.4 网络管理系统安全7.5 域名系统安全网络基础设施安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全低端路由器外观网络基础设施安全高端路由器外观网络基础设施安全核心路由器外观网络基础设施安全InterfaceInterface路由器的内部结构RAMROMFlashNVRAMInterfaceCPUInterf

2、aceconsole网络基础设施安全 Configurations can come from many sources Configurations will act in device memoryConsole portAuxiliary portInterfacesPC or Unix serverWeb or Network ManagementserverVirtual terminal路由器配置方式TelnetTFTP网络基础设施安全超级终端Step 1: Verify cablingStep 2: Power on PCStep 3: Open HyperTerminal Fo

3、lderStep 4: Open HyperTerminalStep 5: Describe ConnectionStep 3 and 4Step 5网络基础设施安全超级终端通信参数配置Step 6: Select COM port to be usedStep 7: Select properties网络基础设施安全路由器配置界面ConnectDisconnectStep 8: Access Device网络基础设施安全Console登录路由器 enableEnter password:# disable quit User mode prompt Privileged mode promp

4、t 网络基础设施安全内存 :ROM 只读存储器（ROM） 只读存储器，存放引导程序和IOS的一个最小子集，相当于PC的BIOS。 闪存（Flash） 包含压缩的IOS和微代码，是一种可擦写、可编程的ROM，系统掉电时数据不会丢失。 NVRAM（No-Voliate RAM） 存放路由器的配置文件，系统掉电时数据不会丢失。网络基础设施安全内存 ：RAM RAM 动态内存，系统掉电，内容丢失 操作系统运行的空间命令解释器操作系统进程活动配置文件路由表缓冲区网络基础设施安全路由器的启动过程 首先运行ROM的程序，系统自检和引导 读Flash内的IOS，装入RAM中 从NVRAM中读入路由器的配置信息

5、 计算并生成初始路由表 通过与相邻路由器交换路由信息，更新、完善路由表网络基础设施安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全NetworkProtocolDestinationNetworkConnectedLearnedExit InterfaceE0S0Routed Protocol: IP Routers must learn destinations that are not directly conn

6、ectedE0S0什么是路由？网络基础设施安全静态路由网络管理员手工输入不适合大规模网络环境动态路由通过路由器之间的路由协议动态获取可以随着网络拓扑结构的变化而变化。动态路由和静态路由网络基础设施安全SO静态路由（Static Routes）BNetworkAConfigure unidirectional static routes to and from a stub network to allow communications to occur.BStub NetworkTransit

7、Network网络基础设施安全Stub Networkip route SO静态路由举例BNetworkABThis is a unidirectional route. You must have a route configured in the opposite direction.网络基础设施安全Stub Networkip route 缺省路由SOB172.16.2

8、.2NetworkABThis route allows the stub network to reach all known networks beyond router A.网络基础设施安全什么是路由协议路由协议用于路由器之间交换信息，这些信息用来决定最佳路径，维护路由表NetworkProtocolDestinationNetworkConnectedRIPIGRPExit InterfaceE0S0S1Routed Protocol: IPRouting protocol: RIP, IGRP172.16

9、.1.0E0S0网络基础设施安全Autonomous System 100Autonomous System 200IGPs: RIP, OSPF,IGRPEGPs: BGP内部/外部网关路由协议 （IGP/EGP） An autonomous system is a collection of networks under a common administrative domain IGPs operate within an autonomous system EGPs connect different autonomous systems网络基础设施安全距离向量/

10、链路状态路由协议Distance VectorHybrid RoutingLink State网络基础设施安全距离向量路由协议Pass periodic copies of routing table to neighbor routers and accumulate distance vectorsRoutingTableRoutingTableRoutingTableRoutingTableDistanceHow farVectorIn which direction网络基础设施安全Routers discover the best path to destinations from e

11、ach neighborE0S0S0S1S0E0Routing Table 00S0S1Routing TableS00E00Routing Table E0S0 00距离向量路由发现过程网络基础设施安全Routers discover the best path to destinations from each neighborE0S0S0S1S0E0Routing T

12、ableRouting Table0011S0S1S1S0Routing TableS00E00S0 1E0S0S0100距离向量路由发现过程网络基础设施安全距离向量路由发现过程Routers discover the best path to destinations from each neighborE0S0S0S1S0E0Routing Table1

13、Routing Table0011S0S1S1S0Routing TableS00E00S0S012E0S0S0S01200网络基础设施安全19.2 kbpsT1T1T1 距离向量路由协议 用跳数（Hop）计算路径的尺度（metric） 每30秒广播一次路由表RIP 简介网络基础设施安全 Starts the RIP routing processRouter(config)#router ripRouter(config

14、-router)#network network-number Selects participating attached networks The network number must be a major classful network numberRIP 配置命令网络基础设施安全router ripnetwork network RIP 配置实例router ripnetwork router ripnetwork network S2E0S31

15、S2S3ABC E0网络基础设施安全debug ip rip CommandRouterA#debug ip ripRIP protocol debugging is onRouterA#00:06:24: RIP: received v1 update from on Serial200:06:24: in 1 hops00:06:24: in 2 hops00:06:33: RIP: sending v1

16、update to 55 via Ethernet0 ()00:06:34: network , metric 100:06:34: network , metric 300:06:34: RIP: sending v1 update to 55 via Serial2 ()00:06:34: network , metric 1S2E0S3S2S310.2.2

17、.3ABC E0网络基础设施安全链路状态路由协议After initial flood, pass small event-triggered link-state updates to all other routersLink-State PacketsSPFAlgorithmTopologicalDatabaseShortest Path First TreeRoutingTable网络基础设施安全网络基础设施安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3

18、.5 使用路由器防止拒绝服务的攻击网络基础设施安全使用边界路由器保护内部网络 路由其自身的安全保护 路由协议安全配置 路由器实现访问控制 防止DoS 攻击网络基础设施安全保护路由器自身的安全 控制对路由器的访问 控制台访问 Telnet HTTP SNMP 关闭不必要的服务 路由协议认证 审计网络基础设施安全控制台访问 物理安全： 在路由器加电启动时，可以通过按“Break”键，进入口令恢复过程 通过修改寄存器的值，可以使启动过程绕过口令验证 设置控制台口令Router(config)# line console 0Router(config-line)# loginRouter(config

19、-line)# password password网络基础设施安全控制台访问 设置口令加密 缺省条件下, enable 口令是明文存储的，很容易被看到（控制台、telnet） 两种方式： Service password-encryption enable secretrouter# show running-configenable password 7 14141B180FB0!line con 0password 7 094F71A1A0A网络基础设施安全控制台访问 口令加密 enable secret 超时退出router # show running-config!enable se

20、cret 5 $1$6cWV$inD7guHPLlD3ZmdX08MMSrouter (config )#line console 0router(config-line)# exec-timeout 2 30网络基础设施安全控制Telnet、HTTP的访问 telnet 口令 Telnet 端口在路由器上被称为vty端口 必须在vty上配置一个启用口令才能通过telnet访问 控制列表Router(config)# line vty 0 4Router (config -line)# loginRouter(config-line) #password shakespeareRouter(c

21、onfig)# access-list 21 permit Router (config -line)# line vty 0 4Router(config-line) #access-class 21 in网络基础设施安全控制SNMP的访问 SNMP概述GET / SETUDP 161UDP 162TRAPManagerAgent, MIBs网络基础设施安全控制SNMP的访问 SNMPv1 Community name 明文传输 没有访问控制 用snmpwalk等工具可以得到路由器的配置性 SNMPv2 增加了视图的概念，访问控制机制Router(config)# snmp

22、-server community password1 roRouter(config)# snmp-server community password2 rw网络基础设施安全控制SNMP的访问 SNMP TRAP 设备启动、链路中断、链路启动、认证失败等 访问控制Router(config)# snmp-server host 1 trapRouter(config) # access-list 1 permit Router (config) # access-list 1 permit Router (config) # snmp-ser

23、ver community private rw 1 网络基础设施安全关闭不必要的服务 No service tcp-small-servers no service udp-small-servers no service finger no service ip domain-lookup no cdp enable no proxy arp no ip directed-broadcast网络基础设施安全保护路由器之间的通信 路由器假冒、路由欺骗 相邻路由器认证 明文认证 MD5 认证PPPCHAP 认证认证网络基础设施安全RAkey chain kal key chain kal ke

24、y 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 0 52 ip rip authentication key-chain kal ip rip authentication key-chain kal router rip version 2 network network RBkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234

25、interface Serial0 ip address 52 ip rip authentication key-chain kal ip rip authentication key-chain kal clockrate 64000 ! router rip version 2 network network 网络基础设施安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础

26、设施安全用路由器实现访问控制 访问控制列表的配置原则 路由器总是自顶向下顺序检查所有规则，因此，配置规则时要从具体到一般，如主机、子网、网络、任何网络 permit deny 55 permit any 常发生的放在列表的前面 隐含拒绝一切 新增加的行将放在末尾 未定义的访问控制列表等与允许一切网络基础设施安全标准型和扩展型访问控制列表 标准型 access-list num permit|deny source wildcard logaccess-list 10 permit access-list 10 de

27、ny 55access-list 10 permit 网络基础设施安全标准型和扩展型访问控制列表 扩展型访问控制列表access-list num permit|deny proc src dst interface eth 1ip access-group 103 inaccess-list 103 permit tcp any 55 establishedaccess list 103 permit tcp any host eq smtpEthe 1inter

28、net网络基础设施安全实例internet内部网内部网/24允许所有外出的数据流允许所有外出的数据流允许所有由内部发起允许所有由内部发起的外来的数据流的外来的数据流拒绝其他的数据流，并记录这些访问企图拒绝其他的数据流，并记录这些访问企图s0网络基础设施安全Router(config) # access-list 47 permit 55Router(config) # access-list 103 permit tcp any any establishedRouter(config) # access-list 103 deny any an

29、y Router(config) # interface serial 0Router(config-if) # ip access-group 47 outRouter(config-if) # ip access-group 103 in网络基础设施安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全防止DOS 攻击 no ip directed-broadcast 入流量过滤、出流量过滤 CAR(committed access rate) 限制某种类型

30、包的发送速率interface serial 0rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropaccess-list 105 permit icmp any any echo-reply网络基础设施安全过滤出入的包进入过滤：interface Serial 0ip address ip access-group 11 inaccess-list 11 deny 0.0.25

31、5.255access-list 11 deny 55access-list 11 deny 55access-list 11 deny access-list 11 permit any离开过滤：interface Ethernet 0ip address ip access-group 12 inaccess-list 12 permit ip verify unicast reverse-path外部网络s0eth0内部网络网络基础设施安全TCP 拦截 限制 SYN 攻击internet客户机请求被拦截客户机请求被拦截和验证和验证与客户机与客户机建立连接建立连接有效连接被交换，有效连接被交换，数据被传递数据被传递ip tcp intercept list 100ip tcp intercept con