超强的ccsp笔记1.IOS安全路由器交换机

byby/byby/2.交换机MAC转还没建立的时候，交换机会广播这个数据FTP：21端口做认证20端口上传/下传防御sniffer：OTP：one-time-password反工具：IDS就是一款反工用SSH代替 A——————————————————————————A的公 B的公A的私 B的私（加密有两种方式：对称加密和非对称加密；非对称加密的速度比对称加密慢1500倍）数据——这个KEY是加密算法自动产生的。SSL：接子层HTTPS（443端口IPspoofing（IPIP有两种模式来自内网的（是内网的另一台主机来自的（自己是内网的一个信任IP，默认路由器认为内网IP都是可以信任的，那么这时候从路由器的接口收到一个源地址为内网IP的时候，路由器利用ACL：还要过滤掉源地址是和55（在接口不可能会有这种地址，除获取IP时，向网络发送的SHCPDISCOVERY包。RFC1918：私有IP ——172.16.x.x——192.168.x.x——55（-55保留DOS SYNSYNTCP三次握手，其中某一部没成功，就是半打开连接，但这时候服务器还基于UDP的，例如DNS一个DNS查询信息后，要回复；现在者发生大量的不存在的，这是DNS要为这些请求去查找对应的IP，耗费大量资源，那么这时就没能力去处理那些正常的DNS查询，这就造成了基于DNS请求。DOS：一对一的DDOS：多对一的TC.UD.ICMP，TC317SP第二次（晚 IP ARP（ACK确认号=SEQ序列号IP头部20字节TCP20字节UDP8DSCP区分服务代码点（0-IPprecedenceIP（0-TCP的六大标志旗SYNACKFINURG是—自己真实MAC）注意：在IP数据包传输过程中，IP是没变的，MAC变（除去NAT情况）中间人防御方法：；对等体认证（设备认证应用层红色代码：URL长度超过最长度时，就造成了溢出，这是2000系统会自动弹出cmd.exe联动：IDS发现，然后联动其他设备或者软件进行防御扫描端口（扫描一个主机上的所有端口解决扫描：（用net可以扫描测试主机上的任何端口SSHnet：破坏系统文件 全局：nocdprunnocdp19字符（net19会出现字符刷屏现象13时间（net14会显示对方的时间7icmp测试端口（net会显示端口7是打开的）small-serversR1—————————————ConftHosR2intipaddlinevty0nologinservicestcp-small-serversservicesudp-small-serversnetR1ctrl+shift+6Xdisconnect1关闭netnetnetNoservicestcp-small-serversNoservicesudp-small-servers（默认是关闭的Fingerfinger服务：相当于在R1上执行showuser（查看R2上net的连接服务后，在R1上直接netfinger（net地址finger）就可以查看R2上的net连接。Linevty04NologinCtrl+shift+6XCtrl+shift+6Show net

319SP第三次IdentD使用TCP113RFC1413所以，一般要关闭此服务：noipidentd（回复Identd：用自己的设备信息去回复，TCP113端口请正常流量：用户通过Internet然后通过到总公司网络施，这是的知道了，然后利用PBR（基于策略的路由）改到总公司网络的下安全有极大——这就是IP源路由（IPsource-route）Noipsource-Noftp-serverenableNotftp-serverHTTPS443IphttpIphttpport8080（更改路由器HTTP的端为8080）IphttpauthenticationlocalUsernameciscopasswordciscoUsernameciscoprivilege15路由器的HTTPS配置：Iphttpsecure-NoiphttpNoiphttpsecure-SNMP：简单网络管理协议Trap：陷阱消息（类似于日志Trap：使用UDP162安装了SNMP管理软件的服务器，用UDP161端口连agentagent利用UDP162端口向agent都用publicprivate这两个团体属性（即密钥）Nosnmp-servercommunitypublicroNosnmp-servercommunityprivaterw路由器SNMP的配置：Snmp-serverenabletrapSnmp-servercommunityccieroSnmp-servercommunityccnp关闭SNMP服务：nosnmp-serverLoggingonLogginghost(在主机8KIWISYSLOG软件KIWIsysloglocal7cisco的网络设备（代表厂家设备）LoggingfacilityNoip-如果将一台路由器设置成BOOTP服务器，这是，网络内的一台路由器在启动的时候没服务器的本地IOS以及配置文件）——如果故意用一台路由器去发BOOTP消息，那么将会对我们的网络产生很大（知道我们的IOS以及IOS文件）NoipbootpNobootNoservicebootNoservices三层设备广播，当一个设备配置为从DHCP处自动获取IP的时候，初始时会发生播，所以三层设备会drop掉这个消息Iphelper-addressIP：Inte0/0IpaddNoservices重要部分 ARP（ -为什么一定要关闭R1和R3的路由功能，上图才可以通呢？R1R3没关掉路由功能时，R1R3是两台路由器，这是R1要发送一个数据包到，当R1和R3关掉路由功能后，R1和R3是可以通的（前提是R2的E0/0口开启了ARP，R首先回去尝试得到R3的MAC地址以便封装数据包，那么R1就会发ARP广播请求，请求的MAC地址，这是R2的E0/0开启了ARP并且收到一个ARP请求，那么这是R2就会把自己E0/0的MAC地址回复给R1 R1这就是R3的MACe0/0口的MAC地址源MAC自己的MAC，然后发往R2；R2收到后，首先查看MAC然后查看路由表（是直连的，最后把数据包从自己的E0/1口发送出去，那么这是R3就会收到。，观察开启了ARP和没开ARP时，R1的MAC缓存：开启ARP后：R2e0/0R1，所以这里是没有与其对应的MAC的ARP 者知道路由器连的网段（注意设置的IP24位的，而且连者的接口开启了ARP，那么这时，者发送一个ARP请求主机B的MAC地址，路由器会用自主机B就收到了主机B收到这个包后，会回复echorelay消息注意：Bechorelay7（因为数据包里面是没有码匹配的原则，发现7在/25网段，于是就不会把这个回复包回复给达消息给主机B——注意，者执行一次，这是主机B就要执行一个收 ——所以，我们要在接口上关闭ARPInte0/0No 定向广本地广播：主机A发生一个目标地址55的广播，路由器会掉，不会发（路由器默认是转发定向广播的三个结合在一起smurfspoofing（IP如拓扑所示，者在网段，如果者向路由器R1发送一个基于IPspoofng的包，者把源地址改为00，目标地址55，路由器收到这个数据包后，因为这是个定向广播，路由器会把这个数据包转发到网段，注意：00（内部网络的服务器ICMPechorelay消息回复给服务器——如果这是者发送大量过的包，那么服务器将收到2网IntNoipdirected-——Sniffer可以做这个ICMP消ICMP不可达消destination发大量的未知网络的包给路由器，路由器得回复（非常消耗资源）IntIpicmprate-limitunreachableR1现在我们在路由器R1上个大包这是R1R2的时候就不通,R2不会回复unreachable消R1PCR1PC.那么数据包的流向是：以到，就回复一个ICMP重定向消息给PC,的数据包直接发给R2IntNoipICMP掩码答如果开启了ICMP掩码答复，那么网络设备的时候，设备会用自己的直连的网络和掩Intnoipmask-MOPinte0/1nomoplinevty0transportinputnet只允许别人用net来管理transportinputsshSSH来管理transportinputall一般都是ALLtransportoutputall我去管理别319SP第四次一.IPIPV420IPV64064paddingIdentification标识Flag标 DF,MFFragmentoffset路由器执行分片的时候，会对分片的数据包打个标示（identification验证字段，然后DFMF位，DF0的时候表示允许分片，MF位不等于1的时候，标示分片结束（即最后一个分片，目的地的路由器（主机）收到后，通过查看DF位和MF位，知道分片是否结束。首先在R1上R2（大包2000字节，需要分片Y（YES解决分片的的方法Eg:access101denytcpanyanyFragmentidentification字段过滤；它不能过滤分片的第一个数据包——第一个数据包和正常数据包有个相同点：都有IPAccess-list101denyicmpanyanyfragmentAccess-list101per ipanyanyInt可以看到，在使用正常包R2的时候是通的；而使用大包R2时，被R2的fragmentACLR2R2过滤掉了后续的分片，那么R2将不能重组数据，所以就不通为了看的效果很清楚，我们在R2上使用：Access-list101denyicmpanyanyfragmentlogAccess-list101peripanyanyIntAccess101denytcpanyanyfragmentAccess101denyudpanyanyfragmentAccess101denyicmpanyanyfragmentFragment只能过滤非初始分片00–l2000IdentificationMayfragment被设置为0（DF0）Morefragment被设置（MF位置为1）NTP服务NTPConftClocktimezoneGMT+8（时间是东8区Clockset13:50:0020mar2009（设置R1的时间Showclock（确定时间是否配置正确ConfNtp ConftClocktimezoneGMT+8（设置时区，NTP同步只同步时间，不能同步时区Ntpserver Showclock规定：2009年3月20日12：00到2009年3月20日15：00内，不允许（这是个绝对Time-rangeAbsolutestart12:0020mar2009end15:0020marPeriodicweekdays12:00to14:00Access-list101denyipanyanytime-rangetimeAccess-list101permiteipanyanyIntTCPestablished关键字的TCP标志旗SYNACKFINRSTURGTCP的三次握（建立连接A——————ABA回复ACK——连接建TCP的四次挥（断开连接A————AB默认在路由器R2E0/1口R2inboard方向的outside接口，都有denyipanyany的ACL（为了内部的安全，不允许用户内部）denyipanyany，那么由内部出去的流量在回程的时候也被丢弃——所以我们要到内网的主机）来放行UDP流量只检查数据包内是否含有（SYN）字段，允许字段（SYN的ACK,FIN的ACK。FIN）并测连接的状态（即不连接的状态，只检查数据包内的TCP标志旗）——外部可以一个TCP连接IntRACLACL：第四层RACL：3.4.5层CBAC：可以过滤掉第七RACL：能够会话状态，能够检测双向连RACL工作R1发起的流量（内部）出去时，RACL匹配需要检测的流量，然后动态的插入一条允许回程流量的临ACL（inboard方向的outside接口动态插入一条临时性ACL，这条临时性的ACL是插到denyipanyany前面的）RACL，默认所有的外部进内部的流321SP第五次ACL末尾可以接端gtlteqrang端口范围：1——65535（1——1023保留TCP，有状态（TCP的标志旗echoechorelaydestinationunreachableinboard方向outside接口的in方向，这条临时ACL的超时时间为300秒（TCP连接空闲因为TCP有状态，所以TCP连接断开后，ACL条目会马上。状态，所以当会话结束后，这条ACL还是只能等超时时间到的时候才被删除。RACL（在满足以下两个条件后，插入临时性的匹配条件（RACL设置对哪些流量做当R1netR3时目标IP Permittcphosteq23host192.16812.1eqRACL动态插入的临时性的ACL应该插入到denyipanyany之前，这里需要使用一个evaluate占位符语句，如果不用这个evaluate语句，那么RACL插入的条目将插入到denyipanyany之后——那么这条ACL就不会生效IpaccessextendPermittcpanyanyreflectRACL（名字）PermitudpanyanyreflrctRACLIntipaccess-groupaaoutevaluateRACLdenyipanyanyinte0/1ipaccess-groupbbinInte0/1Ipaccountingaccess- 开启ACL统计（被ShowipPermitudpanyanyreflectRACLtimeoutRACLACL条目被删除的两种情况会话结束TCP会话中，ciscoIOSFINACL5秒之后被删除；ciscoIOS收到RST消息。马上删除临时性的ACLRACL的局限性：获得了内部网络主机A的控制权，然后在主机A上向发起一个net流量，这时路由器就会为其流量在inboard方向的outside接口添加一条临时性的ACL，然后再利用软件断开这条net连接（软件断开不会发TCP标志旗那么路由器会一直认为此net连接一直有效即一直为其维持一条临时性的ACLL，那么现在可以基于这条由路由器的RACL添加的临时性的ACL进行。Eg:：主机A在浏览网页的时候不中了一个小木马，中了这个木马后，木马自动在主机A上发起一个到的net（或者其他的连接），那么现在知道了，就可以利用其进行下一步的FTP：21端口证（控制连接20端口上传/（数据连接第二步：如果客户端要上传数据，那么它会用控制连接向服务器说明，我的N+1端第一种情况：在内部，server在外第二种情况 FTP第二步 （通过控制连接第三步：server向说明自己的用于数据连接的端P（通过控制连接）第四步：发起数据连接（源端口N+1，目的端口P）FTP：控制连接和数据连接都是 第二种情况：server在内网 外部的TCP随机端口到服务器的随机端口，这样就会产生隐患。DACL动态ACL（基于锁和密钥的ACL里的动态项生效Ipaccerss-listextendPermittcp host range2223首先要允许net开启DACL路由器 testperipanyany定义一个动态项（认证失败后，此项不其作用，认证成功后，前面的any被认证通过用户的IP代替）IntLinevty0 LoginlocalDACL动态ACL，需要客户端net或者SSH到路由器，然后再提示用户输入用户名动态ACL条目只能写一条AP，认证，当客户的时候，AP截取会话，要求用户输入用户名和进AP可以做基于用户的认证，可以做到每个用户通过后具有不同的权限323堂笔SP第六次Access-list101pertcpanyhostrang2223Access-list101dynamicDACLpermitipanyanyAccess-list101denyipanyany扩展命名的ACL：ipaccess-listextendaapertcpanyhostrange2223dynamicDACLperipanyanydenyipanyanyDACL的timeout：Access-list101dynamicDACLtimeout10peripanyLinevty0mandaccess-enablehosttimeouthosthostIP不会代替动态ACL里面的源ANY（即只要一个认证通过后，全部都可以出去host关键字，IP可以出去）当用户net到路由器的时候，就会提示用户认证，认证后，马上断开——如果用户要 第法：rotaryport旋转端以定义线路5用来管理，但是现在用户net上来做认证，并不占用线路，那么不管我们怎么net5定义一个旋转端口，然后net的时候接我们定义的旋转端口，那么我们就可以登陆到线路5对设备进行管理（根据端口区分线路）LinevtyRotary35R1注意：net的rotary旋转端口的基础是3000，我们后面再接35，即端口就是认证或者管理）UsernamecciepasswordciscoUsernameciscopasswordUsernamecisco mandaccess-enablehostLinevty04第法：rotaryport旋转端Ip-nameCryptokeygeneratersaUsernameciscopasswordAccess-list101permittcpanyhostrange2223Access-list101dynamicDACLperipanyanyAccess-list101denyipanyanyInte0/0Linevty0LoginlocalLinevtyRotary1Ipsshport2000rotary1注意：SSHrotary旋转端口的基础是2000，经试验，不管怎么配端口，只能通过2000上来管理；如上列来看，应该是端口2001用作区分linevty5，但是只能通过端口2000才可以ip-cryptoketgeneratersausernamecciepassciscousernameccie mandaccess-enablehostlinevty04（模拟器上面都是管理当R1netR2时，输入用户名和后，自动在R2上执行命令（reload）——这是我们需要在R2上给予这个用户名级别15的权限，否则就不能执行；或者给予级别1执行reload的权限UsernameciscopasswordciscoUsernamecisco Usernameciscoprivilege15R1lCBAC基于上下文的控制列 可以过滤到第七层——应用层（可以查看控制连接里面令条临时性的ACL允许回程流量——和RACL是一样的CBAC在IOS12.34）了B（firewallACLbypas）旁路特性，当出的，，后话立状表程量查态表，而ACL（注意，FB特性默认是开启的，且不能关闭）端口映射过滤嵌HTTP里面JAVA小程预防DOS（DOS最著名的就是半打开连接APIDS—— 能够过滤到第七层，去查看数据包的内审计：audit，哪个IP发了多少个包可以连接的流检测（检查命令cisco：基于状态的RACLCBAC的比较RACLCBAC都是要达到允许回程流量这个RACL：通过在inboardoutside接口动态的插入一条临时性的ACL，来允许回程流量，CBAC：TCP连接SYNCBAC查看TCPSYN标志位被置位的时候，给30秒的时间让它建立连接，如果30秒还没建立，删除会话信息如果5秒还没断开连接，那么IOS自动断开连接，删除会话信息够保证TCP连接的安全CBAC，还可以检查TCP序列号CBAC发现超过5000的序列号时，发生一个TCPUDP30秒，UDP流量出去后，CBAC3030所以说UDP是没有状态的）DNS（TCP53端口，UDP53端口CBAC只支持以下ICMP类型8Echo0Destination3CBAC：能够控制连接令在上图中（FTP）第一步：CBAC由内部发起的TCP连接，然后为其维持一个状态项，允许流量回程第二步：CBAC发现内部要建立数据连接（查看控制连接令，然后就为其新建一个状态项，允许由外部server发起的数据连接——CBAC检查上图的第二步（当，源 目的NAT后源 目的源 目的NAT后源 目的流量进来的时候：路由器先检查状态表，然后再NATCBAC能应用命SMTP简单邮件传送协议，现在有一种增强的SMTPCBAC只能SMTP，当到ESMTP时，会丢弃，那么这是ESMTP服务器会自动将为SMTP服务器再向路由器发送——现在CBAC已经支持ESMTP第三：检测基于主机的半打开TCP会话的数量324堂笔SP第七次CBAC支持的协议CBAC支持大部分的协注意一个协议：skinny，voice的协议（cisco）使用TCP2000端口，联众游戏平台也是用的TCP2000端口，有，所以要关掉（callmanage）CBAC的局限性CBAC不能自己产生的流CBAC不能到自己的流CBAC不能加密过的数据包，IPSEC— ，所有设备都不能的流ACL不能过滤自己产生的流量，但是可以过滤到达自己的CBAC既不能自己产生的流量，而且不能达到自己的流量，只能穿越路由器的Ipinspecttcpsynwait-timenIpinspecttcpfinwait-timenIpinspecttcpidle-timeoutnIpinspectudpidle-timeoutnIpinspecticmpidle-timeoutnIpinspectdns-timeoutnIp pletehighIpinspect pletelownIpinspectone-minutenIpinspect pletehostnumberblock-timeAccess101denyipanyanyInte0/1IpinspectnameCBACtcpalertonaudit-trailonIpinspectnameCBACudpalertonaudit-trailonInte0/1现在，R1不通R3，可以 ShowipinspectsessionPAM（port-application-map）PAM表 ——不能覆盖系统定义的常见端口，比如让CBAC去HTTP对应端口25（全局）这是不行的但是可以基于主机这样设置比如，让CBAC去的HTTP流量在端口25上CBAC是根据端口定义的类型，当CBAC看到端口是80的时候，就会用HTTPHTTP——HTTP——Ipport-maphttpport25（是不行的，系统会报错）Ipport-maphttpportlist1（可以，基于特定主机）Access-list1perIpport-maphttpportIpport-maphttpport8080list1showipport-map更改HTTP端是在目的主机上更改的 为8080的web服务Access-list101denyipanyanyInte0/0IpinspectnameCBAChttpalertonaudit-trailonInte0/0这是因为，CBAC默认是用80端口去HTTP流量，现在我们使用目标端口是8080，那么CBAC看到目的端口是8080（未知应用）所以不会去为其维持状态——我们要在R1上做port-map，告诉CBAC目标端口8080是HTTP应用，那么CBAC就会知道8080端口就是HTTP流量，然后会为其维持一个状态。R1Ipport-maphttpport8080list1Access-list1perAccess101denyipanyanyInte0/0IpinspectnameCBAChttpalertonaudit-trailonIpport-maphttpport8080list1Access1perInte0/0AAA认证，，统计Linevty04UsernameciscopasswordciscoLinevty04Show 是enbale15，级别15是唯一一个不需要进去的级别（前提是我们没设置，而进低级别——高级别（要求输入高级别——低级别（不需要输入Enablesecretlevel3Authentication）2，CSACS（ciscosecureaccesscontrolserver）——AAACSACS：ciscosecureaccesscontrol cisco安全控务器（其实就是一个装ACS软件的主机1路由器和AAAserver，路由器扮AAA（user第一步：user想Internet，于是将数据发给自己的默认网关第三步：user输入用户名和，路由器R1将用户名和发往AAAserver在AAA和AAAserver之间交换信息是需要一种协议来达到双方都认可（支持）和同 KerberosStart报文Reply报文RADIUS的报文：Access-accept报文Access-reject报文Exchange报文TACACS+工作流RADIUS工作流程325SP第八次 AAAservertacacs+（cisco私有，但是已经公开，允许其他厂商使用TACACS+发展过XTACACS（使用UDP作为传输协议 与server之间链路拥塞和合理的分配带宽（TCP滑动窗口使用TCPRST标志旗，重置连接；当server出现问题时，发送一个RST消息通知server挂掉了，然 断掉连接使用备份认证方这是因为，ABBTACACS+TACACS+的消息类型连接；start消息内包含认证类型reply，server要求路由器输入用户名和 第一步：user发起到连接需求第三步：server回复一个reply消息要求输入用户名第五步：server回复一个reply消息要求输入 与server之间的连接出现问题（当 使用TACACS+协议认证的过程由器AAAserver发送一个Start消息（AAAserver的连接）user输入accept,rejecterror,continue字段TACACS+TACACS+的消息类型authorization authorizationresponseTACACS+的流程使用TACACS+的过程第二步：路由器将这个命令打包到authorizationrequest消息传给AAAserver第三步：AAAserver收到后，校验该用户是否有权限执行这条命令，然后回复一个authorizationresponse消息（failresponsepass-addpass-replyfollowerrorPass-add：代表成功，随即把权限现在 Pass-relay：代表忽略这个请Error：可能预共享KEY不匹配，需要排TACACS+TACACS+统计的类型Startrecord，开始统计，执行命令的时候开始统计（服务开始的时候统计stoprecord，停止统计，执行命令完成后开始统计（服务停止的时候统计TACACS+的消息类型accountingaccountingTACACS+的统计流程第一步：user成功后，执行相应的动作第二步：路由器发送request消息给serverRADIUS（ciscoIOS11.1后支第一组：UDP1645（认证）1646（统计）——大部分使用这组（cisco使用这组）第二组：UDP1812（认证）1813（统计）RADIUS不支持模块化的AAA策略，它的认证和是在一起的不能分开（只要认 RADIUS使用共享KEY加密信息（只加密信息RADIUS不支持字符模式的认证（只有TACACS+才支持字符模式的认证RADIUS的统计是advancement（高级）而TACACS+是basic（基本RADIUS的认证RADIUS的消息类access-access-access-access-RADIUS的认证流Access-request包含：用户名，加密过的，IP地址，端时信息已经包含在返回的access-accept消息里的RADIUS的统RADIUS的消息类第三步：server回复accounting-responseConfigtHosR1IntIpaddNoAaanew-AaaauthenticationloginnoconAaaauthenticationloginvtygrouptacacs+Lineconsole0Linevty04AaaauthorizationexecnoconnoneAaaauthorizationexecvtygrouptacacs+Lineconsole0Linevty04AuthorizationexecvtyAaaauthorizationcommand1noconAaaauthorizationcommand5noconAaaauthorizationcommand1vtygroupAaaauthorizationcommand5vtygrouptacacs+Lineconsole0Authorizationcommand1noconAuthorizationcommand5noconLinevty04Authorizationcommand1vtyAuthorizationcommand5vtyAaaauthorization Privilegeexeclevel5writeterminalPrivilegeexeclevel5configterminalPrivilegeconfigurelevel5router(privilegeconfigurealllevel5router)AaaaccountingexecnoconnoneAaaaccountingexecvtygrouptacacs+Lineconsole0Linevty04AccountingexecvtyAaaaccountingcommand0noconnoneAaaaccountingcommand1noconnoneAaaaccountingcommand5noconnoneAaaaccountingcommand0vtystart-stopgrouptacacs+Aaaaccountingcommand1vtystart-stopgrouptacacs+Aaaaccountingcommand5vtystart-stopgrouptacacs+Lineconsole0Accountingcommand0noconAccountingcommand1noconAccountingcommand5noconLinevty04Accountingcommand0vtyAccountingcommand1vtyAccountingcommand5vty重令注解aaaauthorizationcommand1aaaauthorizationcommand1vtygroup设置级别1令需要，要为级别1是有showarp;showiproute;showipintb等show命令，如果不对级别1令，那么我们定义的级别5即使没有AAA使用这些命令，它还是可以用的，这样就不满足我们的要求，所以级别1需要Aaaauthorization Privilegeconfigurelevel5router(privilegeconfigurealllevel5router我们给了级别5在配置模式下的router命令，aaaauthorization mands这条命令是）Allall5router命令，即只能routerriprouterrip里面，发现时没有命令的；如果加上all关键字，更进一层的配置模式里面令都会出现——通过ACS后，发现还是不能使用更进一步令，这是因为ACS不能控制到这么细，没有这么智能Aaaaccountingcommand0noconnoneAaaaccountingcommand1noconnoneAaaaccountingcommand0vtystart-stopgrouptacacs+Aaaaccountingcommand1vtystart-stopgrouptacacs+这里为什么要给级别0和级别1开启统计呢？那为什么不开级别0的呢？326堂笔SP第九次AP（auth-）认不能基于每个用户做认证（ACL只能写一条，所有用户认证成功后的权限都是一只能对到达路由器（net，ssh）的流量做认证，不能对穿越路由器的流量做认AP的工作过程：外部用户想内部的web服务要求用户输入用户名和第五步：AAAserver返回认证通过或者失败消息给路由（还有相应权限）将一profile文件download到路由器e0/0接口（其实就是一个ACL文件，直接调用在路由器e0/0接口定义的ACL之前）去做认证，用户对应的相应权限都是在AAAserver上配置的，如果认证成功，那么AAAserver就会把对应这个用户的profile文件（权限实就是ACL条目，download到路由器进行配置，那么我们就得基于相应用户级别15的权限，这样AAAserver才可以把profile文件download到路由器。（priv-lvl=15）AP可以截取： AP可以检测DOS，可以定义一个阈值，当路由器收到的HTTP请求超过我们定义在这半个小时内，路由器不应答IP的服务请求）AP还可以与一起工作，提供额外的认证（一般不使用AP还可以和NAT,CBAC一起使用默认，R1E0/1E0/0denyipanyanyACL，现在我们分析一下，当，AAE0/1口的indenyipanyanydropAAAserver的流量，所以我们得放一条由AAAserver到路由器的流量：Access-list101pertcphost8eq49hostAccess-list101denyipanyanyIntIpaccess-list101inhsoR1intipaddnoshipaddaccess101pertcphost8eq49hostaccess101denyipanyanyintaaanew-aaaauthenticationlogindefaultgroupaaaauthorization defaultgroupaaaaccountingauth- defaultstart-stopgrouptacatacacs-serverhost8keycisco123ipauth- inte0/1ipauth- access10perinte0/0inte0/1ipnatinipnatinsidesoulist10inte0/0overloadaccess102denyipanyanyintipinspectnameCBACtcpalertonaudit-trailonipinspectnameCBACudpalertonaudit-trailonipinspectnameCBACicmpalertonaudit-trailoninte0/0Showipaccess-ipauth-nameAUTHhttpinactivity-time10（空闲超时——特定条目）ipauth-nameAUTHhttpabsolute-time10（绝对超时——特定条目）ipauth-inactivity-time10（全局定义空闲超时——所有条目）ipauth-absolute-time10（全局定义绝对超时——所有条目）ipauth-nameAUTHhttplist100access100pertcpanyhosteqAP防DOSIpauth- watch-listenable开启监视列表，当一个IP在输入用户名和错误5次时，把这个IP地址丢到（锁的该IP30分钟，30分钟内忽略该IP的认证请求）Ip Ip Ip 327SP第十次Port-security交换机的端口安802.1Port-security端口安全主要是防止ARPx功能时给接入用户做认证，防止非ARP的三种第一种：自己是PC4会发送一个ARP（回复）说：我是MACPC4IPMAC第二种：IP第三种：MAC相对于交换机接口来说：IP没变MACPort-security端口安全特性，可以到err-disable状态（操作）可以为手动设置 MAC（静态绑定项）设置超时时switchportmodeaccessswitchportport- umswitchportport-securitymac-address0004.0004.0004switchportport-securityviolationshutdownno手动绑定一个MAC地址到这个交换机端口口）——进入err-disable状态端口才能激活Showport-securityinterfaceInte0/0NoshErrdisablerecoverycausesecurity-Errdisablerecoverycause设置端口自动恢复时间为120秒SwitchportmodeaccessSwitchportport-Switchportport-securityum1Switchportport-securitystickySwitchportport-securityviolationShowport-securityinterfaceIntSwitchportport-securityagingSwitchportport-securityagingtypeinactivity/absoluteSwitchportport-securityagingtime2(分钟)设置老化时间为2分钟（默认动态项老化时间是5分钟）限制模式：丢弃未知源MAC地址的数据包，同时在安全急计数器上记录丢弃的未知MACMACMAC地址并且删除以前的MAC进而为其转发流量802.1x（基于端口的认证802.1x于无---当开启802.1X认证的交换机，在端口检测到有网卡接入的时候，交换机会想接入该端口的主机发送EAPOL数据帧，要求进行认证EAPoL（基于局域网的扩展认证协议x 认证服务器：AAAserver（RADIUS）——802.1x只有RADIUS才支 ，信息传给AAAserver（对用户和AAAserver来说是透明的）传用户信息到AAAserver（由认证服务器做认证格式的数据帧当交换机发EAPOL请求超时后（用户并不802.1x认证或者是用户正在启动系统来不及回复MACbypass特性（MAC地址的认证，那么交换机会根据用户的MAC做认证，如果通过就允许其网络，如果认证失败，那么交换机就会把这个端口（用户）丢到guestvlan，提供一些限制性的服务；guestVLAN——对那些不支持802.1x认证的用户丢到这个guestvlan，通常guestvlan有一台服务器，提供客户端软件的VLA（restricteAAAserverinaccessibleauthenticationbypass特性，那那么就丢到guestVLAN中去，认证成功，则允许用户网络；如果没开启MACauthenticationbypass特性，那么就直接丢到guestvlan中去802.1x802.1x认证（802.1x认证，如果认证失（开启了限制VLAN）就丢到限制VLAN中去；如果认证成功，就允许用户访bypass特性，那么用户认证会失败，那么用户将不能网络331SP第十一次802.1x认证超时后（802.1x认证guestVLAN，那acketMAC地址）MACMACRADIUS-access-request数据GuestVLAN里一般都有一台服务器，提供802.1x客户端的（服务器连在交换机的另一个接口，并且划分在guestVLAN里）RestrictedVLAN（限VLAN：交换机会将连接用户的端口丢到限制VLAN里。注意：默认三次输入用户名和错误就丢到限制VLAN（前提是设置了限制VLAN）（交换机唤醒功能Inaccessibleauthenticationbypass当交换机与AAAserver之间的链路出现问题时（即交换机数次发送RADIUSaccess-request，但是没受到RADIUS服务器的回复），如果交换机开启了inaccessibleAV2729指示的是重认证期间的一个动作（defaultRADIUS-request）RADIUS-request——重认证期间连接不会受到Dot1xreauthentication（开启接口重认证Dot1xtimeoutreauth-periodic120（设置重认证周期时间802.1x第一步：交换机和客户端都可以发起做认证；当交换机端口开启了802.1x认证（dot1xport-controlauto，交换机检测到PC连上后（端口链路状态up），这时交换机就会发送一个EAPrequest/identity消息提示用户认证。第二步：如果客户端有能力回应（802.1x认证），那么客户端会回复一个EAPEAPrequest/identityPC802.1x认开始802.1x认证。户端的回复，使用MAC地址认证access-request消息发给RADIUSserverethernetpacketMAC地么交换机会马上转换认证方式，使用802.1x认证。EAPOL，CDP，STPvoiceVLAN端口都只允许这三种流量通过（voiceVLANVOIP流量通过，因为和传真机时不能做认证的）802.1x802.1x认证，交换机会不允许客户当客户端支持802.1x认证，而交换机没开启802.1x认证，当客户端发送EAP-start报文（802.1xEAPrequest/identity消息）unauthorized强制非，端口一直处于非状态，忽略所有认证请求主机模式下交换机会记录主机的MAC地址）multiple-host多主机模式，多主机模式下，只要一个客户端能认证成功，其他客户端都可认证成功后VLAN到指定的VLAN中（根据用户名）AV65tunnel-medium-type=IEEE802RADIUS-request——重认证不影响连65tunnel-medium-type802：指定协议类型（IETF——ConfigtHosSWIntvlanIpaddAaanew-Aaaauthenticationloginnoconnone（console口不需要认证Lineconsole0Aaaauthenticationdot1xdefaultgroupradiusAaaauthorizationnetworkdefaultgroupradiusRadius-serverhost8keycisco添加一个ADD然后 选的基于用户的然后 勾上RADIUS-request——重认证不影响连65tunnel-medium-type802：指定协议类型（IETF——为VLAN0002的VLAN）VlanVlan3Vlan4intdot1xport-controlauto802.1xdot1xguest-vlan3 指定guestVLAN为VLAN3dot1xauth-failvlan 指定限制VLAN为VLANdot1xauth-failmax-attempts3设置用户最多输错3（用户名或者然后丢限制VLANdot1xre-req3 设置交换机最多发3个EAPrequest/identity消息dot1xre-authentication802.1xdot1xre-auth-req 3个EAPrequest/identityno41SP第十二次IDS：检测系统intrusiondetectionsystem；发现，与其他设备一起解决（联动特性）——比如，IDS检测到，然后让干掉这个。IPS：防御系统intrusionpreventionsystem；检测，直接干IDSIPS就是软件版本的差别：软件版本4.0及以前都是IDSIDS工作在混杂模式（离线模式IDS的工作方当IDS发现时，通过联动特性，通过管理口告诉，那些流量是，那么防火墙会做出相应的动作（比如写ACL），过滤掉流量。普通SPAN，镜像流量来自于接VSPAN，镜像流量来自于SPAN配置：Monitorsession1sourceinterfacefa0/1Monitorsession1destinationinterfacefa0/15rx接收的流量；tx发送的流量；both接收和发送的流量（默ConfigureMonitorsession1sourcevlan2Monitorsession1destinationinterfaceMonitorsession1sourceinterfacefa0/1rx（做RSPAN，最好镜像接收的流量）Monitorsession1destinationremotevlan99reflect-portfa0/20设置镜像流量的目标是用做承载RSPAN流量的VLAN99（后面还接了反射端口，在早些的Vlan99（新建一个VLAN第二步：在SW3上配置Monitorsession1sourceremotevlan99Monitorsession1destinationinterfacefa0/15IPS的工作方发现的时候，直接把流量丢注意：IPSinline模式，对设备要求是相当高的，IPS不仅仅要做流量分析，而且还要做防御，转发流量IDS/IPS的实现方式比对，发现异常流量后，就认为是——其实就是一个训练过程，当买回IDS设备时，一个流量匹配模版，然后再使用这个模版作为标准，去检测。训练的时候，如果有，那么流量会被创建到模版被IDS认为是正常流量，那么当再有的时候，IDS会认为其时正常流量优点：能够检测到未知的（杀毒软件里面称为IDS/IPS称为特征IDS/IPS发现的动作：，SNMP时间查看器）——使用RDEP，SDEE协议路由器 路由器上的IDS模块（2600系列等等）——NM-CIDS（网络模块ASAIDS模块——AIP-SSM-10(AIP-SSM-NIPS不能很好解决分片（一个一个分片不是，但是在重组的时候就是一个攻击HIPS可以很好的解决分片NIPS不能检测到 流量里面的，而HIPS可以检测到 流量通过路由器是被，到主机的时候其实就是普通的流量）路由器IDS配置：（早期的路由器IOS才支持）IpauditinfoalertIpauditattackalertdropresetIpauditnameAUDITinfoalertIpaufitnameAUDITattackalertdropresetIpauditsignature2000disableIpauditsignature2004disableInts0/0IpauditAUDITH ICMPechoreply43SP第十三次PSTN公共交 ISDN综合业务数字网络（B信道；P信道）FR帧中继（端到端的网络）——逐渐被代DDN（数字数据网）——T1链路；EI链路；DDNSONET——SDH（同步光纤环网（1.544M有两种标准，G.703和G.704G.703：不划分时隙（相当于信道G.704：这个标准时是为了在TI链承载voice流量（VOIP）而制定的，它把一个T1链路划分成2464K的时隙（相当于信道然后预留8k的带宽给两端的同（因为G704.T1链路采用时分复用TDM技术，所以两端需要利用各种参数协商在什么时候使用那个时隙）以太网的水晶头标准：RJ4（芯用于发送接收数据——两接两发当速度达RJ-48：通常是指RJ-48C，用E1/T1/语音接口，用RI-45RJ-48的水晶头物理规格是一样的（相同的以前的网络：封闭的网络（企业网络通过专线连在一起第一步：截获用户的DNS请求，然后用自己的IP地址回复用户，然后用web服务器，这是的就可以通过HTTP界面，把一些JAVA程序，发给用户第二步：还可以成用户，对WEB服务器进行户B通讯——用户A和用户B的数据全部都被截获只适合点到点（一台设备到一台设备）——packetpay-loadencryption数据包净载荷加密，一个数据包=IP头部+数据包净载荷（那么现在数据包就可以再公网在传输）— 密典型算法：DES56位；3DES168位；AES128192256位；RC440128RC62040被者数据——这里就存在一个KEY的传递问题。KEY第一步：A请求B的公钥第三步：B使用自己的私钥对其，第一步：A，B相互去请求对方的公钥第二步：A使用自己的私钥对进行加密——形成一个签名第三步：A把签名信息和明文的一起传给B第五步：B使用得到的对比A传过来的明文这里有个问题：因为A传给B的认证信息是签名和明文的认证信息，如果更改了包内的明文，那么A在B处认证会失败。KEYKEY的传递问题；但是由于非对称加密要比对称加密慢1500倍，因此，我们选择了一个折中的方法：使用非对称算法加 KEY，利用对称加密算法加密数非对称算型代表 5127681024 128位（16字节SHA160位（20字节每个算法都会产生一个自己的KEY相同散列值；而这个KEY的传递又存在安全隐患。加密KEY传递问 算法（非对称算法：通过不安全的公网，安全的传递对称加密算法使用的B使用自己的私钥和ADH运算得到一个相同的X组1：768位21024位515367163（PDA）路由器只支持组1，2，5那么用户C就可以对用户A用户B加密的数据进行。和自己的私钥经过DH运算得出一个XCADHX第五步：用户C使用X得到用户A和用户B的对称加密KEY密钥交换（密钥刷新IKEInternetkeyexchange因特网密钥交换协议48SP第十四次SP的课程内容IPSECovereasy设备认KEYDHDH组只能保证安全的传KEY，不能对设备进行认证，所以DH组易受中间人——现在的pre-shareRSA- RSA签名（CA（不安全由于HMAC算法是不可逆的，所以预共享设备认证使用了第二种认证模式进行设备认对称算法KEY的传递：DH组IKE：因特网设备交换协 这里的ISAKMPIKE是有区别IKEISAKMPISAKMPIKESA：两端协商完成，构建了一条安全的连接，保证后续动作是在一个安全的环境下进IKESA的生存周期到了后重新生成密钥（传递主模式（分六步去协商这些参数就会得到KEY（属于自己的）第五六步：设备验证（已经处于安全的连接——KEY在三四步已经过来过去算法得到的散列值（IPSEC阶段：真正用来保护数IPSEC阶段有两个协议AH和ESP是两个数据封装协议：IPSEC阶段的两个模式tunnelmode隧道模式（IP头部transportmode传输模式（IP头部）默认IPSEC使用的是隧道模式AHtunnelIPESPtunnelIPIPESPESP隧道模式：ESP头部——ESPIP头部——ESPESPESP传输模式：ESP头部——ESPIPSECIP头部可以使一个IP到一个IP或者是一个网络到一个网络（私网到私网）IPSEC阶段同样要去协商参数得到一个SAIPSEC阶段，我们把所有的参数放在transform-set（转换集）里SADB安全关联数据库（4月10 第三次pre-shareRSA- RSA- 预共享密钥：在设备较少的时候，使用方便，但是设备数量多的时候而且是全网状的颁发的机构是双方信任的第机构CACA来颁发。CA，信任的颁发机在使PKI分层结构时，有个问题，当对方的发证服务器CA挂了呢，那么怎么就能去信任他的数字呢？（信任对方的，是因为信任给他发证的CA）现在就引入了RA（机构）用来给CA做备份，RA既不能颁发，也不能撤PKCS#10公钥加密标准#10CA设备把PKCS#10的信息使用自己的私钥签名+设备的公钥+明文的PKCS#10信息传给协议，SCEP会以HTTP方式把PKCS#10信息传给CA）（CA验证设备的）当设备认证和随机数口令认证都通过时，CA会为其产生一个实体（进入下一步CA使用（设备的PKCS#10信息+CA自己的+随机的HMAC对称密钥）进行hashCAHMAC对称密钥进行加密，最后把信息打包就形成了数字（X.509）——实体——最后CA把这个传给设备CA（PKCS#10+CA）进过HASH得到的散列HMAC使用的对称密钥（CA私钥加过密的HMAC的功能（即HMAC所使用的算法和另外一些参数实体（设备的根（CA的——包含CA的公钥PKCS#7是一个RSA标准，用于签名和加密实体并且发给设PKCS#7使用需要的设备的公钥对进行加密，然后发给设PKCS#7允许在一个用户请求中发送多个（实体+根PKCS#7——负责将安全的传给设备的（PKCS#10信息+CA的信息）进行hash运算，得到一个散列值对等体通过一个安全的连接（经过IPSEC主模式的3.4步后，得出DH组的X，各KEY已经传递过去，现在的连接时安全的，最后才是设备认证）把数字证因为都是信任的CA颁发，所以双方都有CA的公钥，然后对实体进行验证，验证成功后，对等体建立（流量触发）——上面所说的是在PKI集中的环境下（的那么在分级的环境下（分层的在分级的环境下，签署的权力被分配到不同的层次，顶级为根CA，它为下一级的CA签署，下一级的CA又为更低一级的CA签署，最后一级的CA为用户签署身顶级CA字段（其实就是CA公钥的一个副本，然后下一级再向下一级的时候也会把这个顶级CA字段添加进去，一直到最低一级给用户签署的CA，给用户签署的时候同样会把这个顶级CA字段添加在根里——现在，虽然给不同用户的签署的CA不同，但是不同CA的根包含的顶级CA字段（即顶级CA的公钥）是相同的，所以双方可以利用这个顶级CA的公钥认证对方的。在这里，有个问题，密钥每隔一段时间都是要更换的（IKE，那么每次都要去请求对方的字字缓存1证对字。现在又引入了一个CRL（吊销列表可以再设备上开启CRL吊销列表功能（可选项当开启了CRL，设备会定期的到CA服务器上去被吊销的序列号（每个，把缓存中的数字的序列号拿到CRL里比较，如果没有相同的，则有效（没有被吊销）可以进行设备认证；如果有相同的（被吊销，那么设备会再一次去向对方请求证挂起（需要管理员手动处理颁发现在cepsetup.exe软件（使windows2003服务器能够支持SCEP）第一步：R1,R3到CAserver去申请ConftHosClocktimezoneGMT+8首先设置时间，防止与CA服务器时间差别太大导致申请失Clockset11:00:0011apr2009Conftip- cryptokeygenerate cryptocatrustpoint enrollmentmode enrollmenturl/certsrv/mscep/mscep.dll设置CA信任点位crl 开启CRL（撤销列表）——可选cryptocaauthen cryptocaenrollcaserver申请实体，这时提示输入随即口令，需要到CA服务器上查看口令，或者是在本地直接登录到服务器（服务器需要安装SCEP软件）：本地浏览 （需要：re-enterR3

Cryptoisakmppo10En3Aursa-GCryptoipsectransmysetesp-3esp-mModetunAcc101periphhCryptomapmap10ipsec-isakmpSettransmysetSetpeerInt第四次课GREoverIPSECGRE：通用路由封装协GRE是一个网络层协议（第三层议号为GRE的优点：可以封装任何第三层协GRE的缺点没有安全机制（不能支持认证，加密，完整性校验IPSEC的优点：提供安GRE有几种EGRE比如说我们的两个内网（被公网隔开EIGRPGRE在公网中虚性，所以可以选用IPSEC。ProtocolIPIPProtocolIPIPEGRE支持隧道默认的封装为：greGRE是一个隧道协议（协议号GREoverIPSEC：IPIPIPIPIPIP；是模拟我们的两个内网的数据包：原IP头部：——GRE封装的IP头部：12.1——23.3IPSECIP头部：12.1——23.3这里，GREIPSECIPIPSEC的传输模式（隧道模式也是可以通的只是增加了20字节的头部的开销）R的数据包时，通过查看路由表（最长掩码匹配原则，选择了下一条的路由（tunnel么就会触发GRE封装一个新的IP头部，其实数据包最后还是走的物理接口（R1E0/0R3，那么现在由R1的内R3的内网的IP数据包为：23.3GREGREoverIPSEC和普通的site-to-siteIPSEC有两处不同1IPSEC模式不2，IPSEC感流量不同（GRE流量IpaddNoshIntloIpaddIprouteInttunIpaddTunsouTundesNoauNetNetCryptoisakmppo10En3AupHmG2CryptoisakmpkeyciscoaddCryptoipsectransmysetesp-3esp-mModetransAcc101pergrehhCryptomapmap10ipsec-isakmpSettransmysetInt(注意：隧道要两边同步配，否者会出问题R3 ，SA就协商好了——EIGRP ShowcryptoisakmpCryptoisakmpkey0/6ciscoadd了加密后，no掉后加密后，同时被no掉，所有在no掉加密后，需要重新配：Passwordencryption Keyconfig-keypassword-encrypt加密我们的IPSECVTI认为，只要是在隧道走到流量都是要被加密的inttunipaddtunsounoauneten3hmg2cryptoisakmpkey0ciscoaddcryptoipsectransesp-3esp-mcryptoipsecprofilePRO settransform-setmysetinttuntunnelmodeipsectunnelprotectionipsecprofilePROIPSECprofile)showcryptoisakmpShowcryptoisakmpShowcryptoipsecIPSEC阶段会产生两个SA：进站SA和出SA其实有SPI（安全参数索引：可以表示一个SA本端的出站SA就是对端的进站SA

4月13 第五次LAN-TO-remote IP地址不固定，而且会有很多个 server和 的IKE策略和IPSEC策略匹配问题第三：server使用预共享密钥的时候，KEY的对端不能指定 server在cryptomap里，不能指定setpeer第五：server感的流不好定增加了X-authentication扩展认证阶段，当拨入到组后，server再要求输入用户名和（可以使用本地数据库或者是AAA对客户认证）当X-authentication认证通过后，server会助推配置参数给（最主要的是分配一个IP地址给 server的内网）MAPtransform-set 拨号成功后，客户会有两个IP，一个公网IP（用于初始化 server分配的IP（用于公司内网）server：cisco路由器，， 客户端有两种：硬件客户端（PIX 有两种连接类客户端模式（软件客户端只支持客户端模式 ，内网所以主机都要公司总部的内网。 server的时候， 公司内网，然后的硬件设备会自动的执行PAT（端口地址转换使得内网的所有主机都可以公司总部（都使用server分配给硬件的IP地