网络基础设施安全

《网络基础设施安全》由会员分享，可在线阅读，更多相关《网络基础设施安全（59页珍藏版）》请在装配图网上搜索。

1、第七讲、网络基础设施安全（2）路由系统安全编辑ppt目录7.1 局域网和VLAN7.2 远程访问（拨号）7.3 路由系统安全7.4 网络管理系统安全7.5 域名系统安全编辑ppt7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击编辑ppt低端路由器外观编辑ppt高端路由器外观编辑ppt核心路由器外观编辑pptInterfaceInterface路由器的内部结构RAMROMFlashNVRAMInterfaceCPUInterfaceconsole编辑ppt Configurat

2、ions can come from many sources Configurations will act in device memoryConsole portAuxiliary portInterfacesPC or Unix serverWeb or Network ManagementserverVirtual terminal路由器配置方式TelnetTFTP编辑ppt超级终端Step 1:Verify cablingStep 2:Power on PCStep 3:Open HyperTerminal FolderStep 4:Open HyperTerminalStep 5

3、:Describe ConnectionStep 3 and 4Step 5编辑ppt超级终端通信参数配置Step 6:Select COM port to be usedStep 7:Select properties编辑ppt路由器配置界面ConnectDisconnectStep 8:Access Device编辑pptConsole登录路由器 enableEnter password:#disable quit User mode prompt Privileged mode prompt 编辑ppt内存:ROM 只读存储器（ROM）只读存储器，存放引导程序和IOS的一个最小子集，相当

4、于PC的BIOS。闪存（Flash）包含压缩的IOS和微代码，是一种可擦写、可编程的ROM，系统掉电时数据不会丢失。NVRAM（No-Voliate RAM）存放路由器的配置文件，系统掉电时数据不会丢失。编辑ppt内存：RAM RAM 动态内存，系统掉电，内容丢失 操作系统运行的空间命令解释器操作系统进程活动配置文件路由表缓冲区编辑ppt路由器的启动过程 首先运行ROM的程序，系统自检和引导 读Flash内的IOS，装入RAM中 从NVRAM中读入路由器的配置信息 计算并生成初始路由表 通过与相邻路由器交换路由信息，更新、完善路由表编辑ppt7.3 路由系统安全7.3.1路由器工作原理简介7.

5、3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击编辑pptNetworkProtocolDestinationNetworkConnectedLearned10.120.2.0172.16.1.0Exit InterfaceE0S0Routed Protocol:IP Routers must learn destinations that are not directly connected172.16.1.010.120.2.0E0S0什么是路由？编辑ppt静态路由网络管理员手工输入不适合大规模网络环境动态路由通过路由器之

6、间的路由协议动态获取可以随着网络拓扑结构的变化而变化。动态路由和静态路由编辑ppt172.16.2.1SO静态路由（Static Routes）172.16.1.0B172.16.2.2NetworkAConfigure unidirectional static routes to and from a stub network to allow communications to occur.BStub NetworkTransit Network编辑pptStub Networkip route 172.16.1.0 255.255.255.0 172.16.2.1172.16.2.1S

7、O静态路由举例172.16.1.0B172.16.2.2NetworkABThis is a unidirectional route.You must have a route configured in the opposite direction.编辑pptStub Networkip route 0.0.0.0 0.0.0.0 172.16.2.2缺省路由172.16.2.1SO172.16.1.0B172.16.2.2NetworkABThis route allows the stub network to reach all known networks beyond route

8、r A.编辑ppt什么是路由协议路由协议用于路由器之间交换信息，这些信息用来决定最佳路径，维护路由表NetworkProtocolDestinationNetworkConnectedRIPIGRP10.120.2.0172.16.2.0172.17.3.0Exit InterfaceE0S0S1Routed Protocol:IPRouting protocol:RIP,IGRP172.17.3.0172.16.1.010.120.2.0E0S0编辑pptAutonomous System 100Autonomous System 200IGPs:RIP,OSPF,IGRPEGPs:BGP内

9、部/外部网关路由协议（IGP/EGP）An autonomous system is a collection of networks under a common administrative domain IGPs operate within an autonomous system EGPs connect different autonomous systems编辑ppt距离向量/链路状态路由协议Distance VectorHybrid RoutingLink State编辑ppt距离向量路由协议Pass periodic copies of routing table to ne

10、ighbor routers and accumulate distance vectorsRoutingTableRoutingTableRoutingTableRoutingTableDistanceHow farVectorIn which direction编辑pptRouters discover the best path to destinations from each neighbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.2.0.010.3.0.0 00S0S1Routing Table10.3

11、.0.0S0010.4.0.0E00Routing Table10.1.0.010.2.0.0 E0S0 00距离向量路由发现过程编辑pptRouters discover the best path to destinations from each neighbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.1.0.010.2.0.010.3.0.0Routing Table10.2.0.010.3.0.010.4.0.010.1.0.00011S0S1S1S0Routing Table10.3.0.0S0010.

12、4.0.0E0010.2.0.0S0 1E0S0S0100距离向量路由发现过程编辑ppt距离向量路由发现过程Routers discover the best path to destinations from each neighbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.1.0.010.2.0.010.3.0.010.4.0.0Routing Table10.2.0.010.3.0.010.4.0.010.1.0.00011S0S1S1S0Routing Table10.3.0.0S0010.4.0.0E00

13、10.2.0.0S010.1.0.0S012E0S0S0S01200编辑ppt19.2 kbpsT1T1T1 距离向量路由协议 用跳数（Hop）计算路径的尺度（metric）每30秒广播一次路由表RIP 简介编辑ppt Starts the RIP routing processRouter(config)#router ripRouter(config-router)#network network-number Selects participating attached networks The network number must be a major classful networ

14、k numberRIP 配置命令编辑ppt2.3.0.0router ripnetwork 172.16.0.0network 10.0.0.0RIP 配置实例router ripnetwork 10.0.0.02.3.0.0router ripnetwork 192.168.1.0network 10.0.0.0172.16.1.1S2E0S3192.168.1.110.1.1.110.2.2.210.1.1.2S2S310.2.2.3172.16.1.0ABC192.168.1.0 E0编辑pptdebug ip rip CommandRouterA#debug ip ripRIP pro

15、tocol debugging is onRouterA#00:06:24:RIP:received v1 update from 10.1.1.2 on Serial200:06:24:10.2.2.0 in 1 hops00:06:24:192.168.1.0 in 2 hops00:06:33:RIP:sending v1 update to 255.255.255.255 via Ethernet0(172.16.1.1)00:06:34:network 10.0.0.0,metric 100:06:34:network 192.168.1.0,metric 300:06:34:RIP

16、:sending v1 update to 255.255.255.255 via Serial2(10.1.1.1)00:06:34:network 172.16.0.0,metric 1172.16.1.1S2E0S3192.168.1.110.1.1.110.2.2.210.1.1.2S2S310.2.2.3172.16.1.0ABC192.168.1.0 E0编辑ppt链路状态路由协议After initial flood,pass small event-triggered link-state updates to all other routersLink-State Packe

17、tsSPFAlgorithmTopologicalDatabaseShortest Path First TreeRoutingTable编辑ppt编辑ppt7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击编辑ppt使用边界路由器保护内部网络 路由其自身的安全保护 路由协议安全配置 路由器实现访问控制 防止DoS 攻击编辑ppt保护路由器自身的安全 控制对路由器的访问 控制台访问 Telnet HTTP SNMP 关闭不必要的服务 路由协议认证 审计编辑ppt控制台访问 物理

18、安全：在路由器加电启动时，可以通过按“Break”键，进入口令恢复过程 通过修改寄存器的值，可以使启动过程绕过口令验证 设置控制台口令Router(config)#line console 0Router(config-line)#loginRouter(config-line)#password password编辑ppt控制台访问 设置口令加密 缺省条件下,enable 口令是明文存储的，很容易被看到（控制台、telnet）两种方式：Service password-encryption enable secretrouter#show running-configenable passw

19、ord 7 14141B180FB0!line con 0password 7 094F71A1A0A编辑ppt控制台访问 口令加密 enable secret 超时退出router#show running-config!enable secret 5$1$6cWV$inD7guHPLlD3ZmdX08MMSrouter(config)#line console 0router(config-line)#exec-timeout 2 30编辑ppt控制Telnet、HTTP的访问 telnet 口令 Telnet 端口在路由器上被称为vty端口 必须在vty上配置一个启用口令才能通过teln

20、et访问 控制列表Router(config)#line vty 0 4Router(config-line)#loginRouter(config-line)#password shakespeareRouter(config)#access-list 21 permit 10.1.1.4 Router(config-line)#line vty 0 4Router(config-line)#access-class 21 in编辑ppt控制SNMP的访问 SNMP概述GET/SETUDP 161UDP 162TRAPManagerAgent,MIBs编辑ppt控制SNMP的访问 SNMPv

21、1 Community name 明文传输 没有访问控制 用snmpwalk等工具可以得到路由器的配置性 SNMPv2 增加了视图的概念，访问控制机制Router(config)#snmp-server community password1 roRouter(config)#snmp-server community password2 rw编辑ppt控制SNMP的访问 SNMP TRAP 设备启动、链路中断、链路启动、认证失败等 访问控制Router(config)#snmp-server host 10.11.1.11 trapRouter(config)#access-list 1 p

22、ermit 10.1.1.4Router(config)#access-list 1 permit 10.1.1.5Router(config)#snmp-server community private rw 1 编辑ppt关闭不必要的服务 No service tcp-small-servers no service udp-small-servers no service finger no service ip domain-lookup no cdp enable no proxy arp no ip directed-broadcast编辑ppt保护路由器之间的通信 路由器假冒、路

23、由欺骗 相邻路由器认证 明文认证 MD5 认证PPPCHAP 认证认证编辑pptRAkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication key-chain kal ip rip authentication key-chain kal router rip version 2 network 141.108.0.0 network 70.0.0.0

24、RBkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication key-chain kal ip rip authentication key-chain kal clockrate 64000!router rip version 2 network 141.108.0.0 network 80.0.0.0编辑ppt7.3 路由系统安全7.3.1路由器工作原

25、理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击编辑ppt用路由器实现访问控制 访问控制列表的配置原则 路由器总是自顶向下顺序检查所有规则，因此，配置规则时要从具体到一般，如主机、子网、网络、任何网络 permit 192.168.2.1 deny 192.168.2.0 0.0.0.255 permit any 常发生的放在列表的前面 隐含拒绝一切 新增加的行将放在末尾 未定义的访问控制列表等与允许一切编辑ppt标准型和扩展型访问控制列表 标准型 access-list num permit|deny source

26、 wildcard logaccess-list 10 permit 10.1.1.3 access-list 10 deny 10.1.1.3 0.0.0.255access-list 10 permit 10.1.1.3编辑ppt标准型和扩展型访问控制列表 扩展型访问控制列表access-list num permit|deny proc src dst interface eth 1ip access-group 103 inaccess-list 103 permit tcp any 172.16.1.0 0.0.255.255 establishedaccess list 103 p

27、ermit tcp any host 172.16.1.3 eq smtp172.16.1.0Ethe 1internet编辑ppt实例internet内部网内部网10.1.2.0/24允许所有外出的数据流允许所有外出的数据流允许所有由内部发起允许所有由内部发起的外来的数据流的外来的数据流拒绝其他的数据流，并记录这些访问企图拒绝其他的数据流，并记录这些访问企图s0编辑pptRouter(config)#access-list 47 permit 10.1.2.0 0.0.0.255Router(config)#access-list 103 permit tcp any any establi

28、shedRouter(config)#access-list 103 deny any any Router(config)#interface serial 0Router(config-if)#ip access-group 47 outRouter(config-if)#ip access-group 103 in编辑ppt7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击编辑ppt防止DOS 攻击 no ip directed-broadcast 入流量过滤、出流量过滤

29、 CAR(committed access rate)限制某种类型包的发送速率interface serial 0rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropaccess-list 105 permit icmp any any echo-reply编辑ppt过滤出入的包进入过滤：interface Serial 0ip address 10.80.71.1 255.255.255.0ip access-group 11 inaccess-l

30、ist 11 deny 192.168.0.0 0.0.255.255access-list 11 deny 172.16.0.0 0.15.255.255access-list 11 deny 10.0.0.0 0.255.255.255access-list 11 deny access-list 11 permit any离开过滤：interface Ethernet 0ip address 10.80.71.1 255.255.255.0ip access-group 12 inaccess-list 12 permit ip verify unicast reverse-path外部

31、网络s0eth0内部网络编辑pptTCP 拦截 限制 SYN 攻击internet客户机请求被拦截客户机请求被拦截和验证和验证与客户机与客户机建立连接建立连接有效连接被交换，有效连接被交换，数据被传递数据被传递ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000access-list 100 permit tcp

32、 any x.x.x.0 0.0.0.255编辑pptTCP 拦截 限制 SYN 攻击TCPClientTCPCollapsarSYNSEQ#=100ACK#=0SYN/ACKSEQ#=1000ACK#=101ACKSEQ#=101ACK#=1001TCPSYNSEQ#=80000ACK#=0SYN/ACKSEQ#=200ACK#=80001ACKSEQ#=80001ACK#=201ServerPSHSEQ#=101ACK#=1001PSHSEQ#=80001ACK#=201ACKSEQ#=201ACK#=8010ACKSEQ#=1001ACK#=110Hash(src ip/port,dst

33、 ip/port)存入内存中的Hash表Hash(src ip/port,dst ip/port)查内存中的Hash表9 byte9 byte编辑pptTCP 拦截 限制 SYN 攻击 Can do as much good as bad If enabled:process switching and not“full”CEF anymore The“destination”host must send a RST(no silent drops)or youll DoS yourself Same is true if you use“blackholed”routes(route to Null0)ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000access-list 100 permit tcp any x.x.x.0 0.0.0.255