交换机安全配置

交换机的安全配置培训信息技术部

2008年3月2/1/20241版权所有©北汽福田汽车股份有限公司目录交换机访问安全交换机网络服务安全配置：访问控制列表和过滤： 路由和路由协议的安全配置 如何防止DDoS攻击2/1/20242版权所有©北汽福田汽车股份有限公司交换机访问安全

物理访问的严格控制物理运行环境的安全性远程访问控制随时更新IOS操作系统口令安全管理交互式访问控制2/1/20243版权所有©北汽福田汽车股份有限公司物理访问的严格控制只有网络管理员可以接触路由器，由管理员负责路由器的安全性最好有门卫、管理员或电子监控设备，能够对设备进行7*24小时的监控。同时不能使授权人员接触路由器的过于困难。2/1/20244版权所有©北汽福田汽车股份有限公司（1）一个管理员或攻击者可以通过简单的终端或主机来连接到console口来可以通过物理接触来达到对一个路由器完全具有管理员权限的权利具体方法做简单的说明：当路由器重启动的开始几秒如果发送一个Break信号到控制台端口，则利用口令恢复程式可以很容易控制整个系统。这样如果一个攻击者尽管他没有正常的访问权限，具有系统重启（切断电源或系统崩溃）和访问控制端口（通过直连终端、Modem、终端服务器）的能力就可以控制整个系统。所以必须保证所有连结控制端口的访问的安全性。（2）闪存

一个可以物理接触路由器的攻击者可以通过更换闪存的办法，可以使路由器从他的闪存启动，运行攻击者的ios系统版本和配置。对这种攻击的防范只能从限制物理接触来防范。必须保证物理上的安全性。物理攻击的实例2/1/20245版权所有©北汽福田汽车股份有限公司远程访问控制

使用访问控制来限制远程管理的接入主机（从物理安全性来考虑）可能的话最好用加密的方式来保护路由器与远程主机的通信的机密性。console和aux(辅助端口）的安全配置路由器访问IP限制命令：

access-list3permit55access-list3permit55access-list3denyanylinevty04access-class3in2/1/20246版权所有©北汽福田汽车股份有限公司主要区别是口令恢复的方法只能用在con口上；

在大多数情况下aux是不用的；

设置console过期时间来保持安全性

操作：linecon0exec-timeout50

禁止aux(辅助端口）

口：一般不需要

操作：lineaux0

noexec

transportinputnone

远程访问控制

2/1/20247版权所有©北汽福田汽车股份有限公司随时更新IOS操作系统新的ios对旧版本的漏洞或bugs都会作出修复。CiscoUpgradeCBOS2.4.5 http://

/warp/public/707/2/1/20248版权所有©北汽福田汽车股份有限公司口令安全管理

线路口令认证线路口令：(从控制台或VTY登录的时候用）passwordpasswordlogin有效（特权）口令设置命令：Enablesecretpassword（Enablepasswordpassword）本地用户认证usernamerouteradminpassword70317B21895FElinevty04loginlocal2/1/20249版权所有©北汽福田汽车股份有限公司本地口令安全配置使用enablesecret命令

enablesecret命令用于设定进入特权EXEC模式的静态口令。

enablepassword和enablesecret的区别enablepassword采用的加密算法比较弱。而enablesecret命令采用的是MD5算法，这种算法很难进行破译的。但是这种MD5算法对于字典式攻击还是没有办法。

使用servicepassword-encryption（密码加密服务）

这条命令用于对存储在配置文件中的所有口令和类似数据（如CHAP）进行加密。避免当配置文件被不怀好意者看见，从而获得这些数据的明文。 但是servicepassword-encrypation的加密算法是一个简单的维吉尼亚加密，很容易被破译。

所以不要以为加密了就可以放心了，最好的方法就是选择一个长的口令字，避免配置文件被外界得到。且设定enablesecret和servicepassword-encryption。

2/1/202410版权所有©北汽福田汽车股份有限公司多级权限配置

缺省条件下，CiscoIOS只有一个超级权限的口令，可以配置CiscoIOS有多达16个级别的权限及其口令。可以设置通过某个级别的口令登录的用户只允许使用某些命令。

设置步骤：

1.设置某条命令属于某个级别，在全局设置模式下

privilegemodelevel级别

命令关键字

noprivilegemodelevel级别

命令关键字注意：CiscoIOS可以定制0-15个级别权限。0-15级别中，数字越大，权限越高，权限高的级别继承低权限的所有命令。

2.设置某个级别的口令

enablesecretlevel级别

口令

通过多级权限，可以根据管理要求，授予相应的工作以相应的权限。2/1/202411版权所有©北汽福田汽车股份有限公司设置timeout设置timeout（超过这个时间无任何操作，就取消该会话）linecon0exec-timeout50lineaux0exec-timeout100linevty04exec-timeout50servicetcp-keepalives-in2/1/202412版权所有©北汽福田汽车股份有限公司基于TCP和UDP协议的小服务

这些服务很少被使用，而且容易被攻击者利用来越过包过滤机制。如echo服务，就可以被攻击者利用它发送数据包，好像这些数据包来自交换机本身。所以最好禁止这些服务。命令：noservicetcp-small-serversnoserviceudp-small-servers交换机网络服务安全配置2/1/202413版权所有©北汽福田汽车股份有限公司Finger、NTP、CDP等服务

服务作用Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错。CDP可能被攻击者利用获得路由器的版本等信息，从而进行攻击。安全配置：可以禁止上述服务。命令：noservicefingernontp

enabelnocdprun(全局配置)nocdpenable(端口配置)

noip

bootpserver

以下端口服务通常可以关闭：noipredirectsnoipdirected-broadcast2/1/202414版权所有©北汽福田汽车股份有限公司访问控制列表和过滤访问控制列表配置原则访问控制列表配置防止外部IP地址欺骗

防止外部的非法探测

保护路由器不受攻击

阻止对关键端口的非法访问

对内部网的重要服务器进行访问限制

2/1/202415版权所有©北汽福田汽车股份有限公司访问控制列表配置原则可以在网络的任何一点进行限制，但是最好在网络的边界路由器上进行，因为在网络内部是难于判断地址伪造的。最好对接口进入的数据进行访问控制（用ipaccess-grouplistin）。因为输出列表过滤只保护了位于交换机后的网络部分，而输入列表数据过滤还保护了路由器本身不受到外界的攻击。不仅对外部的端口进行访问控制，还要对内部的端口进行访问控制。因为可以防止来自内部的攻击行为

所有向内对话应用于交换机外部接口的IN方向，所有向外对话应用于交换机外部接口的OUT方向。

2/1/202416版权所有©北汽福田汽车股份有限公司访问控制列表配置说明防止外部IP地址欺骗

防止外部的非法探测

保护路由器不受攻击

阻止对关键端口的非法访问

对内部网的重要服务器进行访问限制

针对最新蠕虫防范的访问列表2/1/202417版权所有©北汽福田汽车股份有限公司防止外部IP地址欺骗access-list101denyip55any

access-list101denyip55any

access-list101denyip55any

阻止源地址为私有地址的所有通信流。access-list101denyip55any

阻止源地址为回环地址的所有通信流。

access-list101denyip55any

阻止源地址为多目的地址的所有通信流。

access-list101denyiphostany

阻止没有列出源地址的通信流。

注：可以在外部接口的向内方向使用101过滤。

2/1/202418版权所有©北汽福田汽车股份有限公司防止外部的非法探测

access-list102denyicmpanyanyecho

阻止用ping探测网络。

access-list102denyicmpanyanytime-exceeded

阻止用traceroute探测网络。

注：可在外部接口的向外方向使用102过滤。在这里主要是阻止答复输出，不阻止探测进入。

2/1/202419版权所有©北汽福田汽车股份有限公司保护交换机不受攻击

交换机:外部接口serial0的IP为，内部接口fastethernet0的IP为

access-list101denytcpanyeq23

access-list101denytcpanyeq23

access-list101denyudpanyeq161

access-list101denyudpanyeq1612/1/202420版权所有©北汽福田汽车股份有限公司阻止对关键端口的非法访问

access-list101denytcpanyanyeq135access-list101denytcpanyanyeq137access-list101denytcpanyanyeq138access-list101denytcpanyanyeq139access-list101denyudpanyanyeq135access-list101denyudpanyanyeq137access-list101denyudpanyanyeq138access-list101denyudpanyanyeq1392/1/202421版权所有©北汽福田汽车股份有限公司对内部网的重要服务器进行访问限制

允许外部用户到Web服务器的向内连接请求。

允许Web服务器到外部用户的向外答复。

允许外部SMTP服务器向内部邮件服务器的向内连接请求。

允许内部邮件服务器向外部SMTP服务器的向外答复。

允许内部邮件服务器向外DNS查询。

允许到内部邮件服务器的向内的DNS答复。

允许内部主机的向外TCP连接。

允许对请求主机的向内TCP答复。

2/1/202422版权所有©北汽福田汽车股份有限公司针对sql-slammer、Netbios_Worm.Dvldr_蠕虫的访问列表access-list110denyudpanyanyeq1434access-list110denytcpanyanyeq445access-list110denytcpanyanyeq5800access-list110denytcpanyanyeq5900access-list110deny255anyanyaccess-list110deny0anyanyaccess-list110permitipanyany2/1/202423版权所有©北汽福田汽车股份有限公司路由和路由协议的安全

路由的安全

防范Smurf攻击防止源路由攻击

Icmp

重定向攻击防止盗用内部IP地址防止DDoS攻击路由协议的安全

2/1/202424版权所有©北汽福田汽车股份有限公司防范Smurf攻击

“smurf”攻击原理：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，所以它比ping

of

deaih洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

2/1/202425版权所有©北汽福田汽车股份有限公司2/1/202426版权所有©北汽福田汽车股份有限公司防范Smurf攻击

阻止从你的网络中发起的Smurf攻击

Access-list100permitIP{你的网络号}{你的网络子网掩码}any

Access-list100denyIPanyany

防止本网络做为中间代理

如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播，命令如下：

noipdirected-broadcast

边界路由器上使用以下命令：

ipverifyunicastreverse-path

让路由器对具有相反路径的ICMP欺骗数据包进行校验，丢弃那些没有路径存在的包。

2/1/202427版权所有©北汽福田汽车股份有限公司Icmp

重定向攻击

Icmp

重定向攻击也是一种常用的路由攻击方法。攻击者通过发送错误的重定向信息给末端主机，从而导致末端主机的错误路由。将本应送到正确目标的信息重定向到它们指定的设备，从而获得有用信息

禁止外部用户使用ICMP重定向的命令如下：

interfaceserial0

noipredirects

2/1/202428版权所有©北汽福田汽车股份有限公司防止外部源路由欺骗

源路由选择是指使用数据链路层信息来为数据报进行路由选择。该技术跨越了网络层的路由信息，使入侵者可以为内部网的数据报指定一个非法的路由，这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。

禁止使用源路由的命令如下：

noipsource-route

2/1/202429版权所有©北汽福田汽车股份有限公司防止盗用内部IP地址

攻击者可能会盗用内部IP地址进行非法访问。针对这一问题，可以利用Cisco路由器的ARP命令将固定IP地址绑定到某一MAC地址之上。具体命令如下：

arp

固定IP地址

MAC地址

arpa

2/1/202430版权所有©北汽福田汽车股份有限公司如何防止DDoS攻击

使用

ip

verfy

unicastreverse-path网络接口命令使用访问控制列表（ACL）过滤RFC1918中列出的所有地址使用访问控制列表（ACL）过滤进出报文

使用CAR（ControlAccessRate）限制ICMP数据包流量速率

设置SYN数据包流量速率

合理的流量管理

2/1/202431版权所有©北汽福田汽车股份有限公司使用访问控制列表（ACL）过滤RFC1918中列出的所有地址

interfacexy

ipaccess-group101inaccess-list101denyip55anyaccess-list101denyip55anyaccess-list101denyip55anyaccess-list101permitipanyany2/1/202432版权所有©北汽福田汽车股份有限公司使用访问控制列表（ACL）过滤进出报文以下是客户端边界路由器的ACL例子：

access-list187denyip{客户端网络}{客户端网络掩码}anyaccess-list187permitipanyanyaccess-list188permitip{客户端网络}{客户端网络掩码}anyaccess-list188denyipanyanyinterface{外部网络接口}{网络接口号}ipaccess-group187in（入站过滤）ipaccess-group188out（出站过滤）

2/1/202433版权所有©北汽福田汽车