網(wǎng)絡(luò)工程師交換試驗(yàn)手冊附錄4網(wǎng)絡(luò)路由器安全配置手冊

1、網(wǎng)絡(luò)工程師交換試驗(yàn)手冊附錄4：網(wǎng)絡(luò)路由器安全配置手冊安全威脅類型：網(wǎng)絡(luò)命令、PING掃描、端口掃描口偵察非授權(quán)訪問資源過載型拒絕服務(wù)攻擊(表一)口拒絕服務(wù)(DOS)帶外數(shù)據(jù)型拒絕服務(wù)攻擊(表二)口其他拒絕服務(wù)攻擊(分布式拒絕服務(wù)攻擊DDOS、電子郵件炸彈、緩沖區(qū)溢出、惡意applet、CPU獨(dú) 占)口數(shù)據(jù)操縱IP欺騙(IP口Spooling)會(huì)話重放和劫持(Hijacking)重路由(Rerouting)否認(rèn)(Repudianton)(表一)類型描述防范措施Ping flood向一臺(tái)主機(jī)發(fā)送大量ICMP回聲請求包將邊界路由器設(shè)置為拒絕響應(yīng)ICMP回聲請求包 半開(half-open)syn攻擊

2、向端口發(fā)起大量不完整TCP會(huì)話連接請求，導(dǎo)致宕機(jī)使用TCP攔截， lock-and-key,IDC 檢測數(shù)據(jù)包風(fēng)暴 發(fā)送大量的UDP包 使用cisco PIX上的syn flooding保護(hù)功能(表二)類型 描述 防范措施過大的數(shù)據(jù)包(死亡ping)修改ip包頭中的長度大于實(shí)際包長，導(dǎo)致接收系統(tǒng)崩潰 過濾ICMP數(shù) 據(jù)包重疊的數(shù)據(jù)包(winnuke.c)對已建立的連接發(fā)送帶外數(shù)據(jù)，導(dǎo)致目標(biāo)重起或停止(典型的對NETBIOS, 端口 137) 如果不需要關(guān)閉NETBIOS分片(teardrop.c)利用一些TCP/IP的IP分片組裝代碼實(shí)施中的漏洞，導(dǎo)致內(nèi)存緩沖區(qū)溢出 在邊界 路由器上扔掉來自外

3、部的被分片了的IP包IP源地址欺騙(land.c)導(dǎo)致計(jì)算機(jī)產(chǎn)生對自身的TCP連接，陷入死循環(huán)在路由器或主機(jī)上過濾掉 虛假源地址IP包畸形包頭(UDP炸彈)制造一些包頭中長度不正確的UDP包，導(dǎo)致一些主機(jī)出現(xiàn)內(nèi)核混亂 根據(jù)CERT 建議列表在主機(jī)上安裝操作系統(tǒng)補(bǔ)丁保護(hù)管理接口的安全設(shè)置控制臺(tái)(Console)口令：router(config)#line console 0router(config-line)#loginrouter(config-line)#password cisco_psw1設(shè)置 vty (Telnet) 口令：router(config)#line vty 0 4rou

4、ter(config-line)#loginrouter(config-line)#password cisco_psw2設(shè)置特權(quán)模式一般口令：router(config)#enable password cisco_psw3設(shè)置特權(quán)模式秘密口令：router(config)#enable secret cisco_psw4servicepassword-encryption”命令：將口令以一種加密的方式存儲(chǔ)在路由器的配置文件中，以致在“Show config”中不可見。路由器限定具體的某臺(tái)主機(jī)擁有”telnet”訪問的權(quán)限：router(config)# access-list 21 per

5、mit router(config)#line vty 0 4router(config-line)#access-class 21 in管理員只能在上用Telnet訪問路由器CISCO訪問列表類型：標(biāo)準(zhǔn)訪問列表：只允許過濾源地址，功能十分有限access-list list-number permit|deny source address wildcard-mask log有三個(gè)關(guān)鍵字host、any、log適用此列表,host和any分別適用單個(gè)主機(jī)和所有主機(jī)access-list 1 permits 55 logaccess-list 1 deny host D access-list

6、 1 permit any擴(kuò)展訪問列表：允許過濾源地址、目的地址、協(xié)議、端口、上層應(yīng)用數(shù)據(jù)access-list list-number permit|deny protocol protocol keyword sourece address source-wildcard source port destination address destination-wildcard destination port log optionsaccess-list 101 pemit tcp any host口 eq smtpaccess-list 101 pemit ip 55 host 標(biāo)準(zhǔn)或擴(kuò)

7、展列表定義好以后，必須用“ip access-group list-number in|out”應(yīng)用到端口上 標(biāo)準(zhǔn)的命名IP訪問列表：ip access-list standard nameip口 access-list standard test-namepermit 55 口permit口 55ip access-group test-name口 out定義和應(yīng)用的格式與標(biāo)準(zhǔn)列表不同，其他用法和標(biāo)準(zhǔn)列表相同 擴(kuò)展的命名IP訪問列表：ip access-list extended nameip access-list口 extended sever-securitypermit tcp an

8、y host 9 eq 21 ip口 access-group sever-security out定義和應(yīng)用的格式與擴(kuò)展列表不同，其他用法和擴(kuò)展列表相同 動(dòng)態(tài)訪問表(lock-and-key)：例一：兩個(gè)以太網(wǎng)接口 E0： ，E1： ；服務(wù)器 2；希望任何用戶 都能訪問2服務(wù)器，并允許的網(wǎng)絡(luò)能HTTP和FTP訪問INTERNET。username test password cisco !interface serial0ip address ip access-group 100 in !access-list 100 permit tcp any host eq te

9、lnetaccess-list 100 permit udp any eq 53 55 gt 1023access-list 100 permit tcp any eq www 55 gt 1023 establishedaccess-list 100 permit tcp any eq 21 55 gy 1023 establishedaccess-list 100 dynamic test timeout 180 permit ip any host 2 log!logging buffered 64000!line vty 0 2login localautocommand access

10、-enable host timeout 10line vty 3 4login localrotary 1通常的訪問列表，如果想開啟一個(gè)訪問列表讓授權(quán)用戶在不信任端訪問內(nèi)部資源的話，那么這個(gè)訪問 通道將會(huì)永久有效直到刪除，以致帶來巨大的安全漏洞；動(dòng)態(tài)訪問列表解決這個(gè)問題，它提供了一個(gè) 用戶名和密碼的認(rèn)證方式，避免了不信任端的用戶非法侵入。必需步驟：1、創(chuàng)建 user 和 password2、創(chuàng)建Telnet連接，如果不允許此連接就不能在訪問表中創(chuàng)建動(dòng)態(tài)的訪問表項(xiàng)。3、配置動(dòng)態(tài)訪問列表項(xiàng)和其它訪問列表項(xiàng)4、必須在 line vty 下配置Autocommand”，一般在“l(fā)ine vty 0

11、2”下。5、必須在line vty下配置“rotary 1”6、將動(dòng)態(tài)和一般訪問列表應(yīng)用到接口： ip access-group list-number inlout基于時(shí)間的訪問列表：interface ethernet0ip access-group 101 inTime-range allow-httpAbsolute start 7:00 1 June 2000 end 17:00 31 December 2000Periodic weekends 7:00 to 17:00ip access-list 101 permit tcp any any eq 80 allow-http!必

12、需步驟：1、定義時(shí)間范圍：（具體參數(shù)見表三）time-range time-range-nameabsolute start time date end time dateperiodic days-of-the -week hh:mm to days-of-the-weekhh:mm2、定義訪問列表并應(yīng)用時(shí)間范圍名稱，以及將列表應(yīng)用到接口（表三）Time-range-name用來標(biāo)識(shí)時(shí)間范圍進(jìn)行應(yīng)用的名稱Time以小時(shí)和分鐘方式（hh:mm）輸入的時(shí)間Date以日/月/年 方式輸入的日期Days-of-the-week產(chǎn)生作用的某天或某周，參數(shù)可以是單一的某天（如Monday、Tuesday

13、），或daily （從周一到周五）、weekdays （從周一到周五）、weekend （周六和周日）absolute是用于定義全面的時(shí)間范圍，在一個(gè)“time-range”中，只能有一個(gè)absolute，但可以有多個(gè)Periodic定義具體的時(shí)間范圍自反訪問列表：自反訪問列表在路由器的一邊創(chuàng)建IP流量的動(dòng)態(tài)開啟，該過程是基于來自路由器另一邊的會(huì)話進(jìn)行 的。它必須是基于擴(kuò)展的IP命名訪問列表。作用類似于一般訪問列表中的“establish數(shù)，它可創(chuàng) 建一個(gè)動(dòng)態(tài)的臨時(shí)的相反方向的訪問列表口 自反訪問列表創(chuàng)建語句：口使用一條permit語句創(chuàng)建一個(gè)擴(kuò)展ip命名訪問列表，并在每個(gè)permit語句中使

14、用reflect關(guān)鍵字， 用以表明訪問表中使用一個(gè)自反向開啟表項(xiàng)。格式：permit protocol source destination reflect name timeout seconds。使用evaluate語句將終止包含一條或多條自反向表項(xiàng)的擴(kuò)展ip命名訪問列表。格式：evaluate name使用ip reflexive-list timeout命令改變臨時(shí)自反訪問表表項(xiàng)的全局超時(shí)缺省值。格式：ip reflexive-list timeout seconds解決方案一：口interface serial 0ip access-group outfilter outip acc

15、ess-group infilter in!ip access-list extended outfilterpermit tcp any any eq 80 reflect my-packets timeout 240permit tcp any any eq 23 reflect my-packets timeout 60permit udp any any eq 53 reflect my-packets timeout 180ip access-list extended infilterevaluate my-packets解決方案二：口interface serial 0ip ac

16、cess-group infilter0 inip access-group outfilter0 out!ip reflexive-list timeout 180!ip access-list extended infilter0evaluate my-packets0!ip access-list extended outfilter0permit tcp any any eq 23 reflect my-packets0permit udp any any eq 53 reflect my-packets0permit tcp any any eq 80 reflect my-pack

17、ets0！interface serial 1ip access-group infilter1 inip access-group outfilter1 out!ip access-list extended infilter1permit icmp any host 2 echo requestpermit tcp any host 2 eq 80evaluate my-packets1ip access-list extended outfilterlpermit tcp any any eq 23 reflet my-packetslpermit udp any any eq 53 r

18、eflect my-packets1permit tcp any any eq 80 reflect my-packets1一般在一個(gè)向外的擴(kuò)展ip命名訪問列表中定義合適的方向語句。這樣就可以使臨時(shí)開啟表項(xiàng)出現(xiàn)在向內(nèi)的方向上基于上下文的訪問控制：用過濾器控制數(shù)據(jù)流抑制路由使它不在路由更新中被廣播出去router(config)# access-list 45 deny 55router(config)# access-list 45 permit any anyrouter(config-line)#router eigrp 200router(config-router)#distribut

19、e-list 45 out serial0在路由更新被廣播出去的時(shí)候，網(wǎng)段的地址路由信息不被廣播，并在Serial0上將該訪問控制 列表用于外出的EIGRP數(shù)據(jù)流進(jìn)行過濾。抑制從路由更新中收到的路由router(config)# access-list 46 permit 55router(config-line)#router eigrp 200router(config-router)#distribute-list 46 in serial0配置一個(gè)訪問列表只接收來自被信任網(wǎng)絡(luò)的路由更新，并在Serial0上將該訪問控制列表施加于進(jìn)入該接口的數(shù)據(jù)流。抑制從路由更新使之不被從接口發(fā)出阻止路

20、由更新消息從某個(gè)指定路由器接口上發(fā)送出去的命令為“Passive-interface type number”(該特性應(yīng)用于除BGP、EGP之外的所有基于IP的路由協(xié)議)過濾路由信息的來源可以利用管理距離參數(shù)讓路由器智能地辯選路由信息的來源，過濾路由信息來源的命令為“distance weight address mask access-list-number|nameip”用安全策略控制數(shù)據(jù)流實(shí)例：例一：安全策略：1、允許所有外出的數(shù)據(jù)流；2、允許且只允許由內(nèi)部發(fā)起的入數(shù)據(jù)流，防止IP欺騙造成的攻擊3、允許對已建立連接的外出數(shù)據(jù)流的入響應(yīng)4、拒絕所有其它入數(shù)據(jù)流，并記錄這些非授權(quán)訪問企圖ro

21、uter(config)#access-list 47 permit 55router(config)#access-list 103 permit tcp any any establishedrouter(config)#access-list 103 deny ip any any logrouter(config)#interface serial0router(config-if)#ip access-group 47 outrouter(config-if)#ip access-group 103 in控制對路由器上HTTP服務(wù)器模塊的訪問可以用“ip httpserver”全局配置命令讓任何路由器能通過Cisco web瀏覽器接口被監(jiān)控配置 可以用“ip httpport”全局配置命令來設(shè)置一個(gè)將被客戶端軟件接口使用的端口（例如端口 8080） 可以用“ip httpaccess-class”全局配置命令為將被使用的HTTP服務(wù)器分配一個(gè)訪問控制列表 可以用“ip httpauthentcation”全局命令來指定一種對“IP HTTP”服務(wù)器用戶的認(rèn)證，以提供安全 ip http authentication aaa