成果ccie理论securitylogloginput作用mand

TOC\o"1-1"\h\z\u 基于时间的 PorttoApplication IPSource ACL，并且ACL记录下曾经转发过的用户记录，这样，就能从路由器得知哪些用户是发起好的ACL用于接口上。Loglog-inputLog只能记录数据包通过时的源IP和目的log-inputIP和目的IPMACACL中的说明：配置路由器R1，让其允许R2发来的数据包通过，但拒绝R3的数据包通说明：ACLR2，拒绝R3log关键字r1(config)#access-list100permitiphostanylogr1(config)#access-list100denyiphostanylog说明：从R2R3pingR4R1Oct114:15:26:%SEC-6-IPACCESSLOGDP:list100permittedicmp->Oct114:16:46:%SEC-6-IPACCESSLOGDP:list100deniedicmp->5说明：R1上弹出的日志可以看出，R2到R4的数据包是被放行了的，而R3查看ACL记录r1#shipaccess-lists10permitiphostanylog(2520denyiphostanylog(5说明：ACL中也可以看出，R2的流量被放行，R3ACLlog-将记录下源MAC。r1(config)#access-list130permitipananlog-r2#showinterfacesf0/0Internetaddressis/24 (FastEthernet0/00013.1a2f.1200)->(0/0),1packet说明：从R1上弹出的日志可以看出，R2R4R2MACACL时，有时因为条目太多，ACLACLremark来实现，remark可以在条目的前一行，也可以在后一行，由自己决定，但remark不能和条目同一行。ACL r1(config)#access-list100denyiphost r1(config)#access-list100permitiphostaccess-list100denyiphostanyaccess-list100remarkPermit_R3access-list100permitiphosttelnet到客户的网络设备上，但是却并不希望远程工程师去的用户telnet到设备时，就可以自动执行其想要的命令。在VTYr2(config)#linevty0935说明：R1telnet到R2r1#telnetTrying...OpenUsername:OK?MethodYESmanualYESunsetadministrativelydownYESunsetadministrativelydownYESunsetadministrativelydownYESunsetadministrativelydownYESunsetadministrativelydown[Connectiontoclosedbyforeignhost]说明：这里配置自动执行命令：showiprouter1#telnetTrying...OpenUsername:testCodes:C-connected,S-static,R-RIP,M-mobile,B-D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortisnot/24issubnetted,1 [Connectiontoclosedbyforeignhost]说明：R1VTYR2CiscoUserEXECmode，1的命令，如果要将等级提enable15115enable模式时手工指定要进入的等级。定，默认用户等级为1级。5155VTYUserEXECmode的默认等级r1>showprivilege1PrivilegedEXECmode说明：PrivilegedEXECmode155 r1#showprivilege^说明：5showrun6 r1#showprivilege^说明：6showrun5showrunr1(config)#privilegeexeclevel5show5Buildingconfiguration...!!6showBuildingconfiguration...!!! R1>showprivilege说明：115R1(config)#usernamecccprivilege15passwordUsername:ccc说明：15HTTP服务，或其它服务，在时间范围之外，就不能访问，那么这样的需求，就可以通过配置基于时间的ACL来实现。要通过ACL来限制用户在规定的时间范围内访问特定的服务，首先设备上必须在定义time-range（abolute（periodictime-说明：配置R1R2R4的telnet，其它流量全部通过。r1(config)#access-list150denytcphostanyeq23time-rangeTELNETr1(config)#access-list150permitipanyany14:34:33.002GMTThuOct1r2#telnetTrying%Destinationunreachable;gatewayorhost说明：可以看到，在规定的时间范围内，R2R4发起telnetTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2说明：可以看到，在规定的时间范围内，除了telnetr3#telnet说明：可以看到，除R2telnet15:01:15.206GMTThuOct1r2#telnetReflexiveACL在外网进来的接口上拒绝所ReflexiveACL来实现。ReflexiveACL就是根据以上所述，先拒绝外网向内网发送数据，然后允许内网所以根据这些原理，ReflexiveACLACLACL是用在外ACL是用在内网到外网的方向，ACL中ACL正因为外网数据在主动进入内网时被拒绝的，所以TCP的数TCP数据传完之后，会马目关闭缺口，但是对于没有会话的UDP，就不能使用上面的方法了，就软件根据timeout来判断数据是否传完，如果timeout结束后，缺口被关闭。正因为这些从内网发到外网的数据被记录了，只因此，会话在中途端口号是不能更换的，一旦更换，就无法匹配记录了。而像FTPFTP在有ReflexiveACL时，不能很好的工ReflexiveACL拒绝外网数据进入内网时，外网是不能先向内网发起连接的，说明：R4为外网，R2R3说明：拒绝外网主动访问内网，但是ICMPr1(config-ext-nacl)#permiticmpanyany 被允许的ICMP是不用标记即可进入内网 TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2说明：可以看到，ICMPr4#telnetTrying说明：可以看到，除ICMPTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2说明：可以看到，内网发ICMPr2#telnetTrying%Connectiontimedout;remotehostnotresponding说明：可以看到，除ICMP配置内网向外网发起的telnetabctelnetabc，返回时，就会有缺口，因此内网能正常telnet外网，但外网不可主动telnet内网。r1(config-ext-nacl)#permittcpanyanyeqtelnetreflectabctimeout telnetTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2说明：ICMPr2#telnetr1#shipaccess-listspermittcphosteqtelnethosteq23395(16matches)(timeleft33)ExtendedIPaccesslistcome10permiticmpanyany(86matches)20evaluateabcExtendedIPaccesslist10permittcpanyanyeqtelnetreflectabc20permitipanyany(20matches)telnetACL，并且后面跟有剩Context-BasedAccess的，ReflexiveACLCBACACL去匹配，CBAC所写的协议，就是OSI7层应用层的协议，所以很方便用户匹配数据，并且可以写多个协议。CBACICMP这个协议，所以请注意你的IOS，在实际中，支持CBAC的，都是支持ICMP的。CBAC记住这个会话，并且在从外网进入内网的接口上打开缺口，方ACL，必ACLCBAC所记录。CBAC同样有说明：R4为外网，R2R3r1(config)#access-list100denyipanTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2seconds:r4#telnetTrying说明：从结果中看出，外网向内网发起的ICMPtelnetTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2r2#telnetTrying%Connectiontimedout;remotehostnotresponding说明：从结果中看出，内网向外网发起的ICMPtelnet配置CBACr1(config)ipinspectnameccietcpaudit-trailontimeout60r1(config)#intf0/1r1(config-if)#ipinspectccie说明：测试IOS没有单独的telnet协议，只能选整个TCPCBAC效果TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis0percent说明：外网向内网发起的ICMPr4#telnetTrying说明：外网向内网发起的telnetTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2r2#telnetr1#shipinspectsessionsEstablishedSessionsSession835AC510(:63276)=>(:23)tcp说明：内网到外网的telnetCBACr1#shipaccess-listspermittcphosteqtelnethosteq20029(13matches)10denyipanyany(48matches)Oct118:52:22:%FW-6-SESS_AUDIT_TRAIL:tcpsessioninitiator(:62155)30bytes--responder(:23)sent32bytes说明：CBACPorttoApplicationTCP80HTTP来处理，看到TCP23，就会当成telnet来处理。TCP80的数据通过时，就会记录下会话，并且为其打开缺口，而检测TCP1000HTTPTCP1000TCP1000CBAC中，是不会为其记录并打开这个功能就是靠PAM来实现的。需要PAM来完成这个工作。主机映射就是可以使用重复端口，即是基于每台主机的，比如定义某台主机说明：在R3NATtelnet00的结果被转到telnetR3说明：配置让telnet001000telnet定义NAT方向r3(config)#intf0/0r3(config)#intf0/1r3(config)#ipnatinsidesourcestatictcp2300说明：telnet001000telnettelnetr2#telnet00Trying00,1000...说明：从结果中看出，当R2telnet001000telnet配置ACL拒绝所有数据进入r1(config-if)#ipaccess-group100inr1(config)#ipinspectnameccietelnettimeout100r1(config)#intf0/1r1(config-if)#ipinspectccieCBAC结果r2#telnet00Trying00,1000%Connectiontimedout;remotehostnotresponding说明：从结果中看出，CBAC1000的数据创建返回缺口，因为已CBACtelnetTCP23端口，而现在是TCP1000端口，所TCP1000PAMtelnet端口，应改为1000，从而让CBAC根据此端口映射表作记录。r1(config)#ipport-maptelnetporttcpCBACPAMr2#telnet00Trying00,1000...r1#shipinspectsessionsEstablishedSessionsr1(config)#ipport-maphttpport8001r1(config)#ipport-maphttpport8002r1(config)#ipport-maphttpport8003r1(config)#ipport-maphttpport8004r1(config)#access-list10permitr1(config)#ipport-maphttpport8000list10r1(config)#access-list20permitr1(config)#ipport-mapftpport8000list20ACL恢复最初的DynamicACL什么时候恢复最初的配置，可以定义会话超时，即会话DynamicACLAAA，本地用户telnet到路由器时，输入了正确的用户名和密码之后，认证就算通过。而要注意如果用户输入的用户名是普通的，那么等于普通的telnet，并不能成为认证，只有户名网络访问权的功能，就需要配置autocommand来实现。用户名添加，并且还可以加在VTY接口下。空闲时间必须小于绝对时间，如果两个时间都不配，DynamicACL打开的访问缺口DynamicACLtelnet自己，所以一定要为用户打开telnet访问权限，某些数据也可以让其默认通过，比如路由协议的数据。认证通过条动态ACL，IOS只认第一条，要注意DynamicACL只支持扩展的ACL。做认证，然后只有当认证通过之后，ICMPDynamicr1(config)#access-list100permittcpananeqr1(config)#access-list100dynamicccietimeout2permiticmpanyr2#telnetTrying...说明：从结果中看出，telnetTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis0percent(0/5)说明：内网在没有认证之前，ICMPr1(config)#linevty0181r1(config-line)#autocommandaccess-enable内网R2做认证r2#telnetTryingOpen[Connectiontoclosedbyforeignhost]说明：telnet测试内网到外网的ICMP通信功能TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2说明：认证通过之后，ICMPACLr1#shipaccess-lists10permittcpanyanyeqtelnet(105matches)20Dynamiccciepermiticmpanyanypermiticmpanyany(5host功能r1(config-line)#autocommandaccess-enabler1(config-line)#autocommandaccess-enablehosthost，那么内网一台主机通过认证之后，所有主机都能访问外网，加了host，就变成谁通过了认证，谁才能访问外网。TCPTCPUDP可靠，是因为TCP是有会话的，是面向连接的，任何TCP器R2建立TCP会话，这三次握手的过程是：第一次握手：R1向R2100第二次握手：R2R1回一个数据包，先回答R1100+1,101，第三次握手：R1根据R2提出的序列号，作出回答，200+1201。R1R2R2回应之R1当一台网络上的正常服务器向用户提供服务时，如果用户对其进行上述的TCPTCP保护，有两种工作模式。第一种是客户向watch模式。第二种是当客户向服务器发起握手配置需要监视的说明：ACLACLTCPTCPInterceptr1(config)#iptcpinterceptmode配置半开连接最长等待时间（30秒说明：既然三次握手成功完成，TCP24r1(config)#iptcpinterceptmax-incompletelow800900r1(config)#iptcpinterceptone-minutelow800UnicastReversePathForwardinguRPFIPIP伪造的uRPFIPIP的数据包的并不应该从某个接口进来，却从某IP地址，同时与路由表中的路由条目作对比，经过判断后，如果到达这个源IP的出uRPF的接口，则数据包被转发，否则被丢弃。比如路由器从接F0/0（F0/1），那么该数据包被丢弃。CEFuRPF。uRPFin方向上开启，在做检查时，所IP的最优路径都认为是可行的，EIGRP非等价出口也算正常，并且即使是默ACL来决定，ACL允许，就放行，ACLACLACL一样配置，可以带log和log-input参数。R3到任何网段的数据包都发向（即R4）说明：r3#shipCodes:C-connected,S-static,R-RIP,M-mobile,B-D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltypeE1-OSPFexternaltype1,E2-OSPFexternaltypei-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortistonetwork/24issubnetted,1 /32issubnetted,1subnets /24issubnetted,1subnets S*/0[1/0]viar3#tracerouteTracingtherouteto0msec4msec012msec12msec12312msec*8msec说明：从结果中看出，R3R1，是先发往R4，然后R4R2s0/0发过来，最后到R1的。Codes:C-connected,S-static,R-RIP,M-mobile,B-D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortisnot [1/0]via [1/0]via/24issubnetted,1 /24issubnetted,1subnets /24issubnetted,1subnets 说明：从路由表中可以看出，R2R3loopback0()(r2#tracerouteTracingtherouteto0msec*0msecTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof说明：Typeescapesequencetoabort.Tracingtherouteto0msec4msec012msec12msec112msec*8msec说明：在任何情况下到达R1R2测试开启uRPFr3#pingsourceloopbackTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof说明：可以看到，在R2S0/0uRPFR2uRPF情况r2#shipinterface5verificationdrops说明：5uRPF被丢弃，正是因为R2R3loopback0()F0/1R3loopback0()为源的数据包必须也从须配置ACL允许。R3F0/0R1TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2R2uRPF情况r2#shipinterface10verificationdrops说明：R2ACLR3loopback0(3.3.33)为源的数据包即使uRPF检查失败也r2(config)#access-list100permitiphostanyr2(config)#ints0/0测试以R3loopback0(3.3.33)Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:PacketsentwithasourceaddressofR3F0/0R1TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2consolePrivilegedEXECenable密码，VTY接口使用远程服务器的认证方式，那就需要AAA中的认证来实现。AAA中的认证可以给设备提供更多的认证方式，AAA认证就相当于一个装有认AAAlistlist加AAA中的认证方式除了调用设备本地的认证方式之外，还可以调用远程服务器时，IOS可能并不认为是认证不响应，所以很难使用下一个认证方式，只有当前一IOS的不足之处。listIOS是不会让用户登陆的，除非最后有none指示放弃认证。是给dot1x认证的，就要指定为dot1x。所有支持login认证的方法有：groupradiusgrouptacacs+AAA服务器组，IPAAACisco设备和远程服务器r2#telnetTryingOpen说明：AAAVTYlocal本地用户数据VTYAAA认证r1(config)#aaaauthenticationloginlist1localr1(config)#linevty0（1）enabler2#telnetTrying...OpenAAAlisttacacs+enabler1(config)#aaaauthenticationloginlist2grouptacacs+enabler1(config)#linevty0935r2#telnetTryingOpen说明：在没有配置远程服务器时，AAA认证认证无响应，所以切换到第二个认证方式enable认证。tacacs+enableenable密r1(config)#aaaauthenticationloginlist3grouptacacs+enablenoner1(config)#linevty0935r2#telnetTrying...Openr1(config-sg-tacacs+)#server说明：AAAlist中，当第一项为服务器时，检测不可用，才会往后退，如果服务器后localnone时，随便输入什么认证都无项，直接让用r1(config)#aaaauthenticationloginlist4grouptacacs+localr1(config)#linevty0r2#telnetTryingUsername:abcIPSource击源，创建必要的描述DOS攻击易用的信息，可以跟踪多个IP。GRPRSP75，12000才支持。SecureShelltelnettelnet会话telnet会话之上的连接方法，将数据进行加密后传输，这就是SecureShell(SSH)。SSH共有两个版本，ver1ver2，Cisco设备在没有指定版本的情况下，默认ver1SSHIPSec(DESor3DES)IOS，从12.1(1)T或之后都是可以的。除此之外，必须为设备配置主机名和域名，否则会报RSAcryptokeyzeroizersaSSH被禁用。CiscoSSH，SSHserverclient两种，serverSSHclient在配置server功能后自动开启，并且自身是不需要任何命令打开的，也没有clientSSH120秒，即使SSHVTY所允许的数量。SSH2RSA768注：serverclient配置R1的主机名和域名router(config)#hostnamer1配置R2的主机名和域名router(config)#hostnamer2配置双方的RSAThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:%Generating1024bitRSAkeysThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:%Generating1024bitRSAkeys,keyswillbenon-*Mar105:24:34.940:%SSH-5-ENABLED:SSH1.99hasbeenenabled创建用户名和密码，clientVTY下开启认证，并指定SSHr1(config)#linevty0测试SSH登陆说明：SSH版本：r1#shipSSHEnabled-versionr2#shipSSHEnabled-versionSSH启用版本r2#shipSSHEnabled-version说明：2说明：当使用telnet登陆远程时，可以指定源IPSSH时，需要在配置中修改源IP地址。9SSH版本R1(config)#noipsshIntrusionPreventionSystem而厂商写的特征码文件，被称为signatures（签名文件。1默认的，也就是系统内置的签名（100条2SDMCLI模式不能调整IPS的动作的，所以配置IPS，建议使用SDM。attack-drop.sdf83条)128MB128MB.sdf300)128MB256MB.sdf500)256MBSDF12.4(9)TxIOSIOS也支持。IPSACL要定义哪些流量需要检测，哪些不需要检测。命名和数字ACL都支持，但是12.3(8)T，只支持标准数字ACL。IOSSDF之后，要告诉设备从哪些接口检测进来还是出去的流量，SDF，当在系统中出现错误时，默认使用内置SDF，但可以禁止在厂商SDF失败时使用内置SDF。安装内置r1(config)#ipipssdfr1(config)#ipipsnamer1(config)#intf0/0IPS结果r1#shipipsBuiltinsignaturesareenabledandLastsuccessfulSDFloadtime:01:43:33UTCMar12002IPSfailclosedisdisabledFastpathipsisenabledQuickrunmodeisenaEventnotificationthroughsyslogisenabledEventnotificationthroughSDEEisdisabledTotalActiveSignatures:135TotalInactiveSignatures:0Signature50000:0disableSignature1107:0IPSnameippInterfaceConfigurationInterfaceFastEthernet0/0InboundIPSruleisippOutgoingIPSruleisnotset将内置和厂商SDFR1(config)#ipipssdflocationdisk2:my-SDEE报警功能R1(config)#ipipsnotifyR1(config)#ipsdeeevents不加载内置不使用内置SDFR1(config)#noipipslocationin说明：在IPSSDFR1(config)#ipipsfailFirewall，也就是说这种防火墙是基于zone的，是基于区域的。既然是基于区域的在同一个区域内的数据是不会应用任何策略的。而要配置这些策略，方法像使用MQC来配置QOS一样配置防火墙策略，但是两个的配置方法并不完全一致，因为Zonezone中可以包含一个接口，也可以包含SecurityZoneszoneSecurityZones是指应用了策略的zone，而且SecurityZones应该是要包含接口的。SecurityZonesSecurityZones的成员时，所有任何zone的任何接口通信。R4属于区域zone2R5不属于任何区域R2和R3Zone1R2R3zone2R4zone，必须明确配Zone1到Zone2的数据全部被放行。可以看出，Zone1是源区域，Zone2域的策略，而配置一个区域到另一个区域的策略，就必须配置一个Zone-Pairs，并selfzone即作源又作目的。selfzonesystem-definedzone，即系zonezone-pairselfzone时，被应用的策略只MapClassMapPolicyMap应用ClassMapsPolicyMapsClassMapsPolicyMapsMQCClassMapPolicyMapClassMaps和顶级PolicyMapsinspectclassmapsinspectpolicymapsClassMapsPolicyMapszone-pairzone-pairpolicepassservice-policy,andurlfilterClassMapsOSI第三层数据7ClassMapsPolicy7classmaps7PolicyMaps7PolicyMaps7Mapsparentpolicy7PolicyMapschildpolicy7ClassMapsPolicyMapsHTTP协议，ClassMapsclass-maptypeinspecthttp，PolicyMapspolicy-maptypeinspecthttp。7PolicyMapsPolicyMaps来处ParameterpolicymapandclassmapInspectparametermapURLFilterparametermapInspectparametermap是可选的，如果两级都有，低等级的有效。URLFilterparametermapURL34policyMAP中Protocol-specificparametermap只有7policymap需要。TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2r2#pingTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2说明：可以看到，默认没有配置防火墙的情况下，ICMPr2#telnet说明：可以看到，默认没有配置防火墙的情况下，telnetsecurity创建zone1创建zone2将接口划入zoneselfzonezone1zoneMember说明：TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2说明：从结果中看出，从zone1到z