版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、网络工程师交换试验手册附录4:网络路由器安全配置手册安全威胁类型:网络命令、PING扫描、端口扫描口侦察非授权访问资源过载型拒绝服务攻击(表一)口拒绝服务(DOS)带外数据型拒绝服务攻击(表二)口其他拒绝服务攻击(分布式拒绝服务攻击DDOS、电子邮件炸弹、缓冲区溢出、恶意applet、CPU独 占)口数据操纵IP欺骗(IP口Spooling)会话重放和劫持(Hijacking)重路由(Rerouting)否认(Repudianton)(表一)类型描述防范措施Ping flood向一台主机发送大量ICMP回声请求包将边界路由器设置为拒绝响应ICMP回声请求包 半开(half-open)syn攻击
2、向端口发起大量不完整TCP会话连接请求,导致宕机使用TCP拦截, lock-and-key,IDC 检测数据包风暴 发送大量的UDP包 使用cisco PIX上的syn flooding保护功能(表二)类型 描述 防范措施过大的数据包(死亡ping)修改ip包头中的长度大于实际包长,导致接收系统崩溃 过滤ICMP数 据包重叠的数据包(winnuke.c)对已建立的连接发送带外数据,导致目标重起或停止(典型的对NETBIOS, 端口 137) 如果不需要关闭NETBIOS分片(teardrop.c)利用一些TCP/IP的IP分片组装代码实施中的漏洞,导致内存缓冲区溢出 在边界 路由器上扔掉来自外
3、部的被分片了的IP包IP源地址欺骗(land.c)导致计算机产生对自身的TCP连接,陷入死循环在路由器或主机上过滤掉 虚假源地址IP包畸形包头(UDP炸弹)制造一些包头中长度不正确的UDP包,导致一些主机出现内核混乱 根据CERT 建议列表在主机上安装操作系统补丁保护管理接口的安全设置控制台(Console)口令:router(config)#line console 0router(config-line)#loginrouter(config-line)#password cisco_psw1设置 vty (Telnet) 口令:router(config)#line vty 0 4rou
4、ter(config-line)#loginrouter(config-line)#password cisco_psw2设置特权模式一般口令:router(config)#enable password cisco_psw3设置特权模式秘密口令:router(config)#enable secret cisco_psw4servicepassword-encryption”命令:将口令以一种加密的方式存储在路由器的配置文件中,以致在“Show config”中不可见。路由器限定具体的某台主机拥有”telnet”访问的权限:router(config)# access-list 21 per
5、mit router(config)#line vty 0 4router(config-line)#access-class 21 in管理员只能在上用Telnet访问路由器CISCO访问列表类型:标准访问列表:只允许过滤源地址,功能十分有限access-list list-number permit|deny source address wildcard-mask log有三个关键字host、any、log适用此列表,host和any分别适用单个主机和所有主机access-list 1 permits 55 logaccess-list 1 deny host D access-list
6、 1 permit any扩展访问列表:允许过滤源地址、目的地址、协议、端口、上层应用数据access-list list-number permit|deny protocol protocol keyword sourece address source-wildcard source port destination address destination-wildcard destination port log optionsaccess-list 101 pemit tcp any host口 eq smtpaccess-list 101 pemit ip 55 host 标准或扩
7、展列表定义好以后,必须用“ip access-group list-number in|out”应用到端口上 标准的命名IP访问列表:ip access-list standard nameip口 access-list standard test-namepermit 55 口permit口 55ip access-group test-name口 out定义和应用的格式与标准列表不同,其他用法和标准列表相同 扩展的命名IP访问列表:ip access-list extended nameip access-list口 extended sever-securitypermit tcp an
8、y host 9 eq 21 ip口 access-group sever-security out定义和应用的格式与扩展列表不同,其他用法和扩展列表相同 动态访问表(lock-and-key):例一:两个以太网接口 E0: ,E1: ;服务器 2;希望任何用户 都能访问2服务器,并允许的网络能HTTP和FTP访问INTERNET。username test password cisco !interface serial0ip address ip access-group 100 in !access-list 100 permit tcp any host eq te
9、lnetaccess-list 100 permit udp any eq 53 55 gt 1023access-list 100 permit tcp any eq www 55 gt 1023 establishedaccess-list 100 permit tcp any eq 21 55 gy 1023 establishedaccess-list 100 dynamic test timeout 180 permit ip any host 2 log!logging buffered 64000!line vty 0 2login localautocommand access
10、-enable host timeout 10line vty 3 4login localrotary 1通常的访问列表,如果想开启一个访问列表让授权用户在不信任端访问内部资源的话,那么这个访问 通道将会永久有效直到删除,以致带来巨大的安全漏洞;动态访问列表解决这个问题,它提供了一个 用户名和密码的认证方式,避免了不信任端的用户非法侵入。必需步骤:1、创建 user 和 password2、创建Telnet连接,如果不允许此连接就不能在访问表中创建动态的访问表项。3、配置动态访问列表项和其它访问列表项4、必须在 line vty 下配置Autocommand”,一般在“line vty 0
11、2”下。5、必须在line vty下配置“rotary 1”6、将动态和一般访问列表应用到接口: ip access-group list-number inlout基于时间的访问列表:interface ethernet0ip access-group 101 inTime-range allow-httpAbsolute start 7:00 1 June 2000 end 17:00 31 December 2000Periodic weekends 7:00 to 17:00ip access-list 101 permit tcp any any eq 80 allow-http!必
12、需步骤:1、定义时间范围:(具体参数见表三)time-range time-range-nameabsolute start time date end time dateperiodic days-of-the -week hh:mm to days-of-the-weekhh:mm2、定义访问列表并应用时间范围名称,以及将列表应用到接口(表三)Time-range-name用来标识时间范围进行应用的名称Time以小时和分钟方式(hh:mm)输入的时间Date以日/月/年 方式输入的日期Days-of-the-week产生作用的某天或某周,参数可以是单一的某天(如Monday、Tuesday
13、),或daily (从周一到周五)、weekdays (从周一到周五)、weekend (周六和周日)absolute是用于定义全面的时间范围,在一个“time-range”中,只能有一个absolute,但可以有多个Periodic定义具体的时间范围自反访问列表:自反访问列表在路由器的一边创建IP流量的动态开启,该过程是基于来自路由器另一边的会话进行 的。它必须是基于扩展的IP命名访问列表。作用类似于一般访问列表中的“establish数,它可创 建一个动态的临时的相反方向的访问列表口 自反访问列表创建语句:口使用一条permit语句创建一个扩展ip命名访问列表,并在每个permit语句中使
14、用reflect关键字, 用以表明访问表中使用一个自反向开启表项。格式:permit protocol source destination reflect name timeout seconds。使用evaluate语句将终止包含一条或多条自反向表项的扩展ip命名访问列表。格式:evaluate name使用ip reflexive-list timeout命令改变临时自反访问表表项的全局超时缺省值。格式:ip reflexive-list timeout seconds解决方案一:口interface serial 0ip access-group outfilter outip acc
15、ess-group infilter in!ip access-list extended outfilterpermit tcp any any eq 80 reflect my-packets timeout 240permit tcp any any eq 23 reflect my-packets timeout 60permit udp any any eq 53 reflect my-packets timeout 180ip access-list extended infilterevaluate my-packets解决方案二:口interface serial 0ip ac
16、cess-group infilter0 inip access-group outfilter0 out!ip reflexive-list timeout 180!ip access-list extended infilter0evaluate my-packets0!ip access-list extended outfilter0permit tcp any any eq 23 reflect my-packets0permit udp any any eq 53 reflect my-packets0permit tcp any any eq 80 reflect my-pack
17、ets0!interface serial 1ip access-group infilter1 inip access-group outfilter1 out!ip access-list extended infilter1permit icmp any host 2 echo requestpermit tcp any host 2 eq 80evaluate my-packets1ip access-list extended outfilterlpermit tcp any any eq 23 reflet my-packetslpermit udp any any eq 53 r
18、eflect my-packets1permit tcp any any eq 80 reflect my-packets1一般在一个向外的扩展ip命名访问列表中定义合适的方向语句。这样就可以使临时开启表项出现在向内的方向上基于上下文的访问控制:用过滤器控制数据流抑制路由使它不在路由更新中被广播出去router(config)# access-list 45 deny 55router(config)# access-list 45 permit any anyrouter(config-line)#router eigrp 200router(config-router)#distribut
19、e-list 45 out serial0在路由更新被广播出去的时候,网段的地址路由信息不被广播,并在Serial0上将该访问控制 列表用于外出的EIGRP数据流进行过滤。抑制从路由更新中收到的路由router(config)# access-list 46 permit 55router(config-line)#router eigrp 200router(config-router)#distribute-list 46 in serial0配置一个访问列表只接收来自被信任网络的路由更新,并在Serial0上将该访问控制列表施加于进入该接口的数据流。抑制从路由更新使之不被从接口发出阻止路
20、由更新消息从某个指定路由器接口上发送出去的命令为“Passive-interface type number”(该特性应用于除BGP、EGP之外的所有基于IP的路由协议)过滤路由信息的来源可以利用管理距离参数让路由器智能地辩选路由信息的来源,过滤路由信息来源的命令为“distance weight address mask access-list-number|nameip”用安全策略控制数据流实例:例一:安全策略:1、允许所有外出的数据流;2、允许且只允许由内部发起的入数据流,防止IP欺骗造成的攻击3、允许对已建立连接的外出数据流的入响应4、拒绝所有其它入数据流,并记录这些非授权访问企图ro
21、uter(config)#access-list 47 permit 55router(config)#access-list 103 permit tcp any any establishedrouter(config)#access-list 103 deny ip any any logrouter(config)#interface serial0router(config-if)#ip access-group 47 outrouter(config-if)#ip access-group 103 in控制对路由器上HTTP服务器模块的访问可以用“ip httpserver”全局配置命令让任何路由器能通过Cisco web浏览器接口被监控配置 可以用“ip httpport”全局配置命令来设置一个将被客户端软件接口使用的端口(例如端口 8080) 可以用“ip httpaccess-class”全局配置命令为将被使用的HTTP服务器分配一个访问控制列表 可以用“ip httpauthentcation”全局命令来指定一种对“IP HTTP”服务器用户的认证,以提供安全 ip http authentication aaa
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 海信日立新员工入职安全
- 市值管理之道
- 学宪法讲宪法课件
- 泰康人寿职场规划
- 行政助理工作计划格式5篇
- 防火消防安全课件26
- 小学毕业晚会主持稿
- 教师实习心得(15篇)
- 给老婆的保证书(汇编15篇)
- 读《丰碑》有感15篇
- 南方中证500ETF介绍课件
- 高中美术-美术鉴赏《人间生活》
- 《物流系统规划与设计》课程教学大纲
- 护理质控分析整改措施(共5篇)
- 金属矿山安全教育课件
- 托盘演示教学课件
- DB32T 4353-2022 房屋建筑和市政基础设施工程档案资料管理规程
- DBJ61-T 112-2021 高延性混凝土应用技术规程-(高清版)
- 2023年高考数学求定义域专题练习(附答案)
- 农产品品牌与营销课件
- 苏科版一年级心理健康教育第17节《生命更美好》教案(定稿)
评论
0/150
提交评论