08信息安全知识竞赛培训-网络设备_第1页
08信息安全知识竞赛培训-网络设备_第2页
08信息安全知识竞赛培训-网络设备_第3页
08信息安全知识竞赛培训-网络设备_第4页
08信息安全知识竞赛培训-网络设备_第5页
已阅读5页,还剩50页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

网络设备根底理论知识培训CISCO设备平安设置JUNIPER设备平安设置目录CISCO设备平安设置CISCO设备通用平安知识CISCO设备平安设置-访问控制列表CISCO设备平安设置-路由协议平安CISCO设备平安设置-网管平安CISCO设备平安设置-SNMP协议平安CISCO设备平安设置-HTTP平安CISCO设备平安设置-日志CISCO设备平安设置-特定平安配置CISCO设备平安维护作为电信行业主流的路由、交换设备,CISCO设备除了能提供强大的数据交换功能外,还可以提供最根底的网络平安防护功能。由于CISCO设备往往负担着运营商业务、经营等数据,如何保证CISCO设备自身的平安,是网络管理人员首当其冲面临的平安问题。充分的利用CISCO设备自身的平安特性,合理的使用CISCO设备的平安配置,可保证运营商网络CISCO设备的运行平安。CISCO设备通用平安知识Cisco设备具有强大的访问控制能力:可以实现对远程登录并发个数和空闲时长的限制;支持使用SSH代替Telnet,并提供ACL对用户登陆进行严格控制;支持AAA认证和授权;支持SNMP管理认证、限制TRAP主机,修改TRAP端口等;路由协议的认证支持RIP、OSPF和BGPMD5认证,同时也支持密码明文认证;CISCO设备通用平安知识-访问控制CISCO设备的数据加密能力主要有:支持SSH替代Telnet,可以在网络中传递加密的用户名和密码;对于enable密码,使用加密的enablesecret,并且密码可以通过servicepassword-encryption命令,进行密码加密;提供Cisco加密技术〔CET〕;IPSec技术实现数据传输的加密技术。CISCO设备通用平安知识-数据加密CISCO设备可以提供强大的日志功能:Cisco设备将LOG信息分成八个级别,由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。可以设置将一定级别的LOG消息通过SYSLOG、SNMPTRAP传递给异地的LOGSERVER长期保存,并对LOGSERVER的地址可以进行严格控制。CISCO设备通用平安知识-日志Cisco设备的防攻击能力主要表达如下:可以通过对Q0S技术的配置,起到自身的防护的能力,它支持排队技术、CAR和GTS等;结合强大的ACL命令,用于自身以及网络的防攻击,支持标准访问控制列表、扩展的访问控制列表、动态访问列表、自反访问列表、基于时间的访问控制列表、基于上下文的访问控制列表,从而保证了强大的防攻击能力;支持黑洞路由;支持源路由检查。CISCO设备通用平安知识-攻击防御CISCO设备平安设置-访问控制列表访问控制列表是网络防御的前端,Cisco设备支持两种类型的访问控制列表:标准访问列表〔1-99和1300-1999〕和扩展访问列表〔100-199和2000-2699〕。对于路由器接口,一个访问表必须在创立之后应用到某个接口上,它才能产生作用。因为通过接口的数据流是双向的,所以访问表要应用到接口的特定方向上,向外的方向或者向内的方向。CISCO设备对于不匹配任何表项的数据包,默认是拒绝其通过的操作。CISCO设备访问控制列表-应用Cisco访问控制列表提供如下应用:标准的访问表:只允许过滤源地址,功能有限。扩展访问列表:用于扩展报文过滤能力,一个扩展的IP访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。它的建立也支持编号方式和命名方式。动态访问表〔lock-and-key〕:能够创立动态访问表项的访问表。基于时间的访问表:使用基于时间的访问表可以实现根据一天中的不同时间,或者根据一星期中的不同天,或者二者的结合,来控制对网络资源的访问。Cisco7500系列路由器不支持该功能。自反访问表:是扩展的IP命名访问表的一个重要的功能特性,自反访问表创立开启表项并用于从路由器的不可信方〔某个接口〕,在正常的操作模式下,这些开启表项并没有启用。基于上下文的访问控制〔Context-BasedAccessControl,CBAC〕:工作方式类似于自反访问表,它会检查向外的会话,并且创立临时开启表项来允许返回的通信报文;其不同之处在于,自反访问表表与传统的访问表一样,不能检测高于第4层的信息,并且只支持单通道的会话。CISCO设备访问控制列表-实施原那么只允许合法的网管网段或网管和维护主机地址作为源地址发起对设备的远程连接,如Telnet、SSH、HTTP、SNMP、Syslog等;只允许需要的协议端口能进入〔如OSPF、BGP、RSVP等〕;指定设备自身发包的源地址,如loopbackIP;同时只允许在设备间使用这些地址来互相远程登录;对ICMP数据包的限制对非法IP的限制除此外,以设备端口IP地址为目的地址数据包都被拒收。CISCO设备访问控制列表-作用Cisco设备的ACL可以发挥如下作用:过滤恶意和垃圾路由信息控制网络的垃圾信息流控制未授权的远程访问CISCO设备平安设置-路由协议平安路由协议是数据网络最常用的技术。大局部的路由协议都会周期发送组播或播送PDU来维持协议运作。组播和播送模式自身就存在严重平安隐患,而且路由协议的PDU携带有敏感的路由信息。一旦路由协议PDU被窃听或冒充后,不对的或被恶意篡改的路由信息将直接导致网络故障,甚至网络瘫痪。路由协议运作过程中的平安防护是保证全网平安的重要一环。CISCO设备路由协议平安-协议认证OSPF协议认证:默认的OSPF认证密码是明文传输的,要求启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。RIP协议认证:只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证,普通认证同样是明文传输的。ISIS协议认证:ISIS路由协议只支持明文密码认证,分成neighbor间认证、area认证和以及域间的认证。BGP协议认证:BGP路由协议配置认证,自动启用MD5认证。CISCO设备路由协议平安-被动端口对于不需要路由的端口,建议启用passive-interface,可以禁用一些不需要接收和转发路由信息的端口。Router(config-router)#passive-interfaceserial0/0RIP协议只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。CISCO设备平安设置-源路由检查为了防止利用IPSpoofing手段假冒源地址进行的DoS攻击对整个网络造成的冲击,建议在所有的边缘路由设备〔即直接与终端用户网络互连的路由设备〕上,根据用户网段规划添加源路由检查。Cisco路由器提供全局模式下启用URPF〔UnicastReversePathForwarding单播反向路径转发〕的功能。启用源路由检查必须要先启用CEF。CISCO设备平安设置-网管平安网管人员都习惯使用CLI来进行设备配置和日常管理,常会使用Telnet来远程登录设备。Cisco设备提供标准的Telnet接口,开放TCP23端口。虽然Telnet在连接建立初期也需要核查帐号和密码,但是此过程中,以及后续会话中,都是明文方式传送所有数据,容易造窃听而泄密。Telnet并不是一个平安的协议。建议采用SSH协议来取代Telnet进行设备的远程登录。SSH与Telnet一样提供远程连接手段。但是SSH传送的数据〔包括帐号和密码〕都会被加密,且密钥会自动更新,极大提高了连接的平安性。SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。CISCO设备网管平安-TELNET配置密码设置:长度8位以上,含大、小写,数字及特写字符超时设置:设置超时自动断开远程连接〔180秒〕访问控制:设置针对远程Telnet的专用ACL并发数目:控制远程Telnet的并发连接数〔5个〕定期变更:定期变更远程登录密码〔最长3个月〕传播控制:严格控制密码的传播范围和传播方式,如遇网管人员离职或职位变动应立即更改密码,禁止使用明文邮件方式传递密码,可使用PGP加密方式。CISCO设备网管平安-帐号、密码管理在日常维护过程中周期性地更改登录密码,甚至登录帐号。Cisco设备可以为不同的管理员提供权限分级。当外方人员需要登录设备时,应创立临时帐号,并指定适宜的权限。临时帐号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责,并注意保密。帐号名字应该与使用者存在对应关系,应做到一人对应单独帐号。帐号名字应尽量混用字符的大小写、数字和符号,密码至少使用四种可用字符类型中的三种:小写字母、大写字母、数字和符号,而且密码不得包含用户名或用户全名的一局部。一般情况下密码至少包含8个字符。Cisco设备采用enablesecret命令,为特权模式的进入设置强壮的密码。CISCO设备网管平安-本地认证和授权初始模式下,Cisco设备内一般建有没有密码的管理员帐号,该帐号只能用于Console连接,不能用于远程登录。建议用户应在初始化配置时为它们加添密码。一般而言,设备允许用户自行创立本机登录帐号,并为其设定密码和权限。同时,为了AAA效劳器出现问题时,对设备的维护工作仍可正常进行,建议保存必要的维护用户。CISCO设备网管平安-AAACisco设备支持RADIUS或TACACS+的AAA〔认证、授权、计费〕客户端功能,通过AAA认证可以方便实现对大量设备的登录帐号和密码的管理。建议采用集中认证和授权模式。通过AAA效劳器还可以弥补设备本身对执行权限管理的缺乏。CISCO设备平安设置-SNMP协议平安由于SNMP协议的MIB存放着大量设备状态信息〔称之为Object,并以OID作为唯一标识〕,既有物理层信息〔如端口状态〕,也有协议层信息〔如端口IP地址〕。网管系统通过SNMPGET或M-GET指令采集这些信息作为原始数据,经分析和处理后实现各种网管功能。局部MIBObject还可以让网管系统通过SNMPSET指令来赋值。怀有恶意的人可以通过窃取SNMP数据来获得网络的根本情况,并以此发起恶意攻击,甚至通过修改MIBObject赋值来进行破坏。因此SNMP的防护非常重要。SNMP自身也提供了一定的平安手段,即Community。Community相当于网管系统与设备之间建立SNMP连接合法性的识别字串。它们两者之间的SNMP交互都需要先做Community检查后,再执行。有2种Community:Read-Only〔简称RO〕和Read-Write〔简称RW〕。RW相当危险,要求关闭snmprw功能。CISCO设备平安设置-SNMP协议平安Cisco设备默认开启SNMP协议,并采用了public和private的口令,故Cisco默认的SNMP配置是及其危险的。如不需要提供SNMP效劳的,要求禁止SNMP协议效劳,注意在禁止时删除一些SNMP效劳的默认配置。如开启SNMP协议,建议更改SNMPtrap协议的标准端口号,并使用访问控制列表控制未授权的SNMP读写,定期更改SNMPCommunity,以增强其平安性。如开启SNMP协议,并且条件许可的话,建议转用SNMPv3。它引入了除Community外的基于MD5认证和DES加密来保障SNMP通道平安的机制。CISCO设备平安设置-HTTP平安Cisco设备的IOS支持HTTP协议进行远端配置和监视。由于HTTP效劳本身具有诸多平安漏洞,如CGI漏洞等,针对HTTP的认证就相当于在网络上发送明文。且对于HTTP没有有效的基于挑战或一次性的口令保护,这使得用HTTP进行管理相当危险。建议关闭HTTP效劳。CISCO设备HTTP平安-关闭HTTP效劳如需要使用HTTP效劳,要求更改标准的端口号,将协议运行在其他不用端口上,如“49152至65535〞,而不是标准端口上。Router(Config)#noipserverCISCO设备HTTP平安-HTTP平安配置如果必须选择使用Http进行管理,最好用ipaccess-class命令限定访问地址,并用ipauthentication命令配置认证,修改HTTP的默认端口。Router(Config)#ipport50000Router(Config)#access-list10permitRouter(Config)#access-list10denyanyRouter(Config)#ipaccess-class10CISCO设备平安设置-日志建议对Cisco设备的平安审计进行有效管理,根据设备本身具有的属性和实际维护经验,建议相关平安审计信息应包括设备登录信息日志和设备事件信息日志,同时提供SYSLOG效劳器的设置方式。Cisco设备将LOG信息分成八个级别,由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。考虑到日志信息的种类和详细程度,并且日志开启对设备的负荷有一定影响,建议获取有意义的日志信息进行分析。CISCO设备平安设置-日志日志除在本机保存外,还应异地存储到专用的LOG效劳器,建议将notifications及以上的LOG信息送到LOG效劳器。为确保日志时间戳的准确,需要配置正确的时间戳,有助于故障排除,取得平安事件的证物和与其他路由器进行时间同步。Router(Config)#servicetimestampslogdatetimelocaltimeCISCO设备平安设置-特定平安配置除上述平安设置外,Cisco设备还应该关闭一些默认的效劳,并进行一些特定的平安配置,尽可能确保Cisco设备的平安运行。CISCO设备特定平安配置-效劳关闭Cisco设备本省提供了许多比较危险的效劳如CDP、TCP和UDPSmall、Finger、NTP、BOOTp、IPsourcerouting、IPUnreachables,Redirects,Mask-Replies、ARP-Proxy、IPDirectedBroadcast、IPClassless、WINS和DNS等等,对该类效劳的建议是,如果不需要效劳,关闭这些效劳。CISCO设备特定平安配置-效劳关闭CDP效劳可能被攻击者利用获得路由器的版本等信息,从而进行攻击,所有边界的Cisco设备需要关闭CDP效劳。一些基于TCP和UDP协议的小效劳如:echo、chargen等,容易被攻击者利用来越过包过滤机制,建议关闭。Finger效劳可能被攻击者利用查找用户和口令攻击,建议关闭。NTP不是十分危险的,但是如果没有一个很好的认证,那么会影响路由器正确时间,导致日志和其他任务出错,建议关闭。ARP-Proxy效劳默认是开启的,容易引起路由表的混乱,建议关闭。CISCO设备特定平安配置-效劳关闭禁止ICMP协议的IPUnreachables,Redirects,Mask-Replies功能。明确的禁止IPDirectedBroadcast。禁止IPSourceRouting。禁止BOOTp效劳。CISCO设备特定平安配置-效劳关闭Cisco路由器默认的对IPv4协议报进行处理,但会导致网络接口拒绝效劳,为确保不受到次类型的攻击,可以在接口上禁止53(SWIPE)55(IPMobility)77(SunND)103(ProtocolIndependentMulticast-PIM)CISCO设备平安设置-其他COM端口的平安:建议控制CONSOLE端口的访问,给CONSOLE口设置高强度的密码,设置超时退出时间等。AUX端口的平安:由于默认翻开,在不使用AUX端口时,那么禁止这个端口。空闲物理端口的平安:如确认端口〔Interface〕不使用,使用shutdown命令关闭。Banner的设置:对远程登陆的banner的设置要求必须包含非授权用户禁止登录的字样,banner不能包含-设备名、设备型号、设备所有者及设备运行软件信息。Cisco路由器禁止从网络启动和自动从网络下载初始配置文件。nobootnetworknoserviceconfigCISCO设备平安维护-路由器快照为防止意外情况的发生,可对运行的路由器进行快照保存。路由器的快照需要保存两个信息:当前的配置-runningconfig当前的开放端口列表CISCO设备平安维护-常用命令TerminalmonitorShowusersShowversionShowclockShowloggingShowarpClearlinevty…JUNIPER设备平安设置JUNIPER设备通用平安知识JUNIPER设备平安设置-访问控制列表JUNIPER设备平安设置-路由协议平安JUNIPER设备平安设置-网管平安JUNIPER设备平安设置-SNMP协议平安JUNIPER设备平安设置-日志JUNIPER设备平安设置-特定平安配置JUNIPER设备通用平安知识作为电信行业常见的路由设备,JUNIPER设备除了能提供强大的数据交换功能外,还可以提供最根底的网络平安防护功能。由于JUNIPER设备负担着运营商业务、经营等数据,如何保证JUNIPER设备自身的平安,是网络管理人员首当其冲面临的平安问题。充分的利用JUNIPER设备自身的平安特性,合理的使用JUNIPER设备的平安配置,可保证运营商网络JUNIPER设备的运行平安。JUNIPER设备通用平安知识访问控制:JUIPER路由器具有强大的访问控制能力,在设备的访问控制能力包括:远程登录控制能力、snmp的认证、路由协议的认证、IP地址限制、流量控制等。数据加密:JUNOS除了普通的明文telnet连接之外,能提供标准的SSH连接。JUNOS可支持SSHv1和/或SSHv2,但需要确认系统加载的版本是否具有平安加密的功能。日志:JUIPER路由器具有强大的日志功能,可以通过日志记录各种路由器的相关信息,内容包括登陆日志、系统操作命令、异常事件日志、系统故障信息等,并具有通过SYSLOG或snmptrap进行通信的能力。JUNIPER设备平安设置-访问控制列表JUNOS的访问控制列表〔ACL〕功能〔JUNOS称之为FirewallFilter〕非常强大,可以灵活的创立,以实现众多功能。Juniper路由器采用ASIC芯片来执行ACL的,而且ACL检查都先于转发处理,不会影响设备的转发效能和路由处理。建议ACL的设置应尽量往网络边缘靠,如在接入层设备和全网出口处。这样能起到更好的防范效果,也包证了网络的整体转发效能不受影响。JUNIPER设备访问控制列表-访问地址限制只允许合法的网管网段或网管和维护主机地址作为源地址发起对设备的远程连接,如Telnet、SSH、Http、SNMP、Syslog等。只允许需要的协议端口能进入〔如OSPF、BGP等〕。禁止所有以设备端口IP地址为目的地址的非法数据包。JUNIPER设备访问控制列表-自身防护功能ICMP数据包:目前网络上泛滥着大量的使用ICMP数据包的DoS攻击,建议创立ACL来屏蔽所有的ICMP数据流,再加添高优先级的ACL来允许特殊类型或具体源/目地址的ICMP包通过。病毒数据包:针对的病毒配置ACL,实现对攻击模式的病毒攻击的防护。非法地址屏蔽:屏蔽不应在Internet上出现的IP地址-回环地址(/8);RFC1918私有地址;DHCP自定义地址(/16);科学文档作者测试用地址(/24);不用的组播地址(/4);SUN公司的古老的测试地址(/24;/23);全网络地址(/8)等等。效劳端口屏蔽:屏蔽不应在Internet上出现的效劳端口。JUNIPER设备平安设置-路由协议平安路由协议是数据网络最常用的技术。大局部的路由协议都会周期发送组播或播送PDU来维持协议运作。组播和播送模式自身就存在严重平安隐患,而且路由协议的PDU携带有敏感的路由信息。一旦路由协议PDU被窃听或冒充后,不对的或被恶意篡改的路由信息将直接导致网络故障,甚至网络瘫痪。路由协议运作过程中的平安防护是保证全网平安的重要一环。JUNIPER设备路由协议平安-协议认证JUNIPER设备的路由协议OSPF、ISIS和BGP都具有MD5认证功能。默认不启用。建议启用该项功能。建议在与不可信网络建立路由关系时,或邻居关系承载在不可信链路上时,加添路由策略来限制只与可信设备间建立路由邻接关系,以及只发送尽可能简洁和必要的路由信息,和只接受必要的外部路由更新。将路由协议的交互工作置于受控状态。设备根本都能提供强大的路由策略配置能力,再配合ACL的过滤,能对路由更新的发送和接受起到精确控制。建议应根据需要来启用IP端口对OSPF或ISIS的支持。这样可以净化链路流量,也有助于提高网络平安性。双方配置的认证字段与解密id必须完全一致,否那么将会中断路由协议运行,建议双方路由器的配置最好同时进行,保证路由中断最少时间。JUNIPER设备路由协议平安-被动端口为了使某一直连网段能够通过协议宣告出去,但又不用路由策略来做直连网段的分发限制,而随意将该IP端口参加路由域的作法不值得提倡。建议在此情况下应该将该端口设为Passive模式来满足需要。JUNIPER设备路由协议平安-源路由为了防止利用IPSpoofing手段假冒源地址进行的DoS攻击对整个网络造成的冲击,建议在所有的边缘路由设备〔即直接与终端用户网络互连的路由设备〕上,根据用户网段规划添加源路由检查。Juniper设备提供全局模式下启用URPF〔UnicastReversePathForwarding单播反向路径转发〕的功能。注意源路由检查功能更适用于网络接入层设备。会聚层和核心层设备不建议使用。会聚层和核心层设备出现不均衡路由的时机较高〔即输出流量与返回流量分别承载在不同链路上。这是正常现象〕。如果启用源路由检查后,容易造成正常返回流量的无端被弃。JUNIPER设备平安设置-网管平安Juniper设备提供标准的Telnet接口,开放TCP23端口。Telnet在连接建立初期也需要核查帐号和密码,但是此过程中,以及后续会话中,都是明文方式传送所有数据,容易造窃听而泄密。Telnet并不是一个平安的协议。建议采用SSH协议来取代Telnet进行Juniper设备的远程登录。SSH与Telnet一样准门提供远程连接手段。但是SSH传送的数据〔包括帐号和密码〕都会被加密,且密钥会自动更新,极大提高了连接的平安性。SSH可以非常有效地防止窃听、防止使用地址欺骗手段实施的连接尝试。建议启用SSHV2,并禁止root直接登陆。JUNIPER设备网管平安-远程登录登录空闲时间:设定登录连接空闲时间限制,让系统自动检查当前连接是否长时间处于空闲状态,假设是那么自动将其撤除。登录尝试次数:设置登录尝试次数限制。当系统收到一个连接请求,假设提供的帐号或密码连续不能通过验证的的次数超过设定值,就自动中断该连接。JUNOS允许一次登录中连续进行4次快速认证。假设4次都未能通过验证,系统将自动延时一段时间后才接受下一次认证。假设仍未能通过认证,系统会自动加大延时后再接受认证。相关参数不能调整。登录并发个数:为了防止穷举式密码试探,建议设置并发登录个数限制。该限制必须与上述的空闲时间限制一并使用,否那么当收到此类攻击时,将导致无法远程登录设备。JUNOS有很宽的限制。SSH防护:为了防护通过SSH端口的DoS攻击,应限制Juniper路由器的SSH并发连接数和1分钟内的尝试连接数JUNIPER设备网管平安-SSH协议设置Juniper路由器在配置SSH访问时应注意如下细节:建立允许访问的SSH-ADDRESSES过滤器确保只允许来自内部接口的授权用户访问针对SSH进行限速以保护路由引擎过滤器应用在loopback接口JUNIPER设备网管平安-帐号、密码平安建议应在日常维护过程中周期性地〔至少按季度〕更改登录密码,甚至登录帐号。当外方人员需要登录设备时,应创立临时帐号,并指定适宜的权限。临时帐号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责,并注意保密。帐号名字应该与使用者存在对应关系,如能反响使用者的级别、附属关系。为了提高平安性,在方便记忆的前提下,帐号名字应尽量混用字符的大小写、数字和符号,提高猜度的难度。同样的,密码必须至少使用四种可用字符类型中的三种:小写字母、大写字母、数字和符号,而且密码不得包含用户名或用户全

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论