网络基础设施安全课件.ppt

1、第七讲、网络基础设施安全（2）路由系统安全第1页，共59页。目录7.1 局域网和VLAN7.2 远程访问（拨号）7.3 路由系统安全7.4 网络管理系统安全7.5 域名系统安全第2页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击第3页，共59页。低端路由器外观第4页，共59页。高端路由器外观第5页，共59页。核心路由器外观第6页，共59页。InterfaceInterface路由器的内部结构RAMROMFlashNVRAMInterfaceCPUInterfac

2、econsole第7页，共59页。Configurations can come from many sources Configurations will act in device memoryConsole portAuxiliary portInterfacesPC or Unix serverWeb or Network ManagementserverVirtual terminal路由器配置方式TelnetTFTP第8页，共59页。超级终端Step 1:Verify cablingStep 2:Power on PCStep 3:Open HyperTerminal Folder

3、Step 4:Open HyperTerminalStep 5:Describe ConnectionStep 3 and 4Step 5第9页，共59页。超级终端通信参数配置Step 6:Select COM port to be usedStep 7:Select properties第10页，共59页。路由器配置界面ConnectDisconnectStep 8:Access Device第11页，共59页。Console登录路由器 enableEnter password:#disable quit User mode prompt Privileged mode prompt 第12

4、页，共59页。内存:ROM 只读存储器（ROM）只读存储器，存放引导程序和IOS的一个最小子集，相当于PC的BIOS。闪存（Flash）包含压缩的IOS和微代码，是一种可擦写、可编程的ROM，系统掉电时数据不会丢失。NVRAM（No-Voliate RAM）存放路由器的配置文件，系统掉电时数据不会丢失。第13页，共59页。内存：RAM RAM 动态内存，系统掉电，内容丢失 操作系统运行的空间命令解释器操作系统进程活动配置文件路由表缓冲区第14页，共59页。路由器的启动过程 首先运行ROM的程序，系统自检和引导 读Flash内的IOS，装入RAM中 从NVRAM中读入路由器的配置信息 计算并生成

5、初始路由表 通过与相邻路由器交换路由信息，更新、完善路由表第15页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击第16页，共59页。NetworkProtocolDestinationNetworkConnectedLearned10.120.2.0172.16.1.0Exit InterfaceE0S0Routed Protocol:IP Routers must learn destinations that are not directly connect

6、ed172.16.1.010.120.2.0E0S0什么是路由？第17页，共59页。静态路由网络管理员手工输入不适合大规模网络环境动态路由通过路由器之间的路由协议动态获取可以随着网络拓扑结构的变化而变化。动态路由和静态路由第18页，共59页。172.16.2.1SO静态路由（Static Routes）172.16.1.0B172.16.2.2NetworkAConfigure unidirectional static routes to and from a stub network to allow communications to occur.BStub NetworkTransit

7、 Network第19页，共59页。Stub Networkip route 172.16.1.0 255.255.255.0 172.16.2.1172.16.2.1SO静态路由举例172.16.1.0B172.16.2.2NetworkABThis is a unidirectional route.You must have a route configured in the opposite direction.第20页，共59页。Stub Networkip route 0.0.0.0 0.0.0.0 172.16.2.2缺省路由172.16.2.1SO172.16.1.0B172.

8、16.2.2NetworkABThis route allows the stub network to reach all known networks beyond router A.第21页，共59页。什么是路由协议路由协议用于路由器之间交换信息，这些信息用来决定最佳路径，维护路由表NetworkProtocolDestinationNetworkConnectedRIPIGRP10.120.2.0172.16.2.0172.17.3.0Exit InterfaceE0S0S1Routed Protocol:IPRouting protocol:RIP,IGRP172.17.3.0172

9、.16.1.010.120.2.0E0S0第22页，共59页。Autonomous System 100Autonomous System 200IGPs:RIP,OSPF,IGRPEGPs:BGP内部/外部网关路由协议（IGP/EGP）An autonomous system is a collection of networks under a common administrative domain IGPs operate within an autonomous system EGPs connect different autonomous systems第23页，共59页。距离向

10、量/链路状态路由协议Distance VectorHybrid RoutingLink State第24页，共59页。距离向量路由协议Pass periodic copies of routing table to neighbor routers and accumulate distance vectorsRoutingTableRoutingTableRoutingTableRoutingTableDistanceHow farVectorIn which direction第25页，共59页。Routers discover the best path to destinations

11、from each neighbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.2.0.010.3.0.0 00S0S1Routing Table10.3.0.0S0010.4.0.0E00Routing Table10.1.0.010.2.0.0 E0S0 00距离向量路由发现过程第26页，共59页。Routers discover the best path to destinations from each neighbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0R

12、outing Table10.1.0.010.2.0.010.3.0.0Routing Table10.2.0.010.3.0.010.4.0.010.1.0.00011S0S1S1S0Routing Table10.3.0.0S0010.4.0.0E0010.2.0.0S0 1E0S0S0100距离向量路由发现过程第27页，共59页。距离向量路由发现过程Routers discover the best path to destinations from each neighbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Tabl

13、e10.1.0.010.2.0.010.3.0.010.4.0.0Routing Table10.2.0.010.3.0.010.4.0.010.1.0.00011S0S1S1S0Routing Table10.3.0.0S0010.4.0.0E0010.2.0.0S010.1.0.0S012E0S0S0S01200第28页，共59页。19.2 kbpsT1T1T1 距离向量路由协议 用跳数（Hop）计算路径的尺度（metric）每30秒广播一次路由表RIP 简介第29页，共59页。Starts the RIP routing processRouter(config)#router ripR

14、outer(config-router)#network network-number Selects participating attached networks The network number must be a major classful network numberRIP 配置命令第30页，共59页。2.3.0.0router ripnetwork 172.16.0.0network 10.0.0.0RIP 配置实例router ripnetwork 10.0.0.02.3.0.0router ripnetwork 192.168.1.0network 10.0.0.0172

15、.16.1.1S2E0S3192.168.1.110.1.1.110.2.2.210.1.1.2S2S310.2.2.3172.16.1.0ABC192.168.1.0 E0第31页，共59页。debug ip rip CommandRouterA#debug ip ripRIP protocol debugging is onRouterA#00:06:24:RIP:received v1 update from 10.1.1.2 on Serial200:06:24:10.2.2.0 in 1 hops00:06:24:192.168.1.0 in 2 hops00:06:33:RIP:s

16、ending v1 update to 255.255.255.255 via Ethernet0(172.16.1.1)00:06:34:network 10.0.0.0,metric 100:06:34:network 192.168.1.0,metric 300:06:34:RIP:sending v1 update to 255.255.255.255 via Serial2(10.1.1.1)00:06:34:network 172.16.0.0,metric 1172.16.1.1S2E0S3192.168.1.110.1.1.110.2.2.210.1.1.2S2S310.2.2

17、.3172.16.1.0ABC192.168.1.0 E0第32页，共59页。链路状态路由协议After initial flood,pass small event-triggered link-state updates to all other routersLink-State PacketsSPFAlgorithmTopologicalDatabaseShortest Path First TreeRoutingTable第33页，共59页。第34页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制

18、列表7.3.5 使用路由器防止拒绝服务的攻击第35页，共59页。使用边界路由器保护内部网络 路由其自身的安全保护 路由协议安全配置 路由器实现访问控制 防止DoS 攻击第36页，共59页。保护路由器自身的安全 控制对路由器的访问 控制台访问 Telnet HTTP SNMP 关闭不必要的服务 路由协议认证 审计第37页，共59页。控制台访问 物理安全：在路由器加电启动时，可以通过按“Break”键，进入口令恢复过程 通过修改寄存器的值，可以使启动过程绕过口令验证 设置控制台口令Router(config)#line console 0Router(config-line)#loginRoute

19、r(config-line)#password password第38页，共59页。控制台访问 设置口令加密 缺省条件下,enable 口令是明文存储的，很容易被看到（控制台、telnet）两种方式：Service password-encryption enable secretrouter#show running-configenable password 7 14141B180FB0!line con 0password 7 094F71A1A0A第39页，共59页。控制台访问 口令加密 enable secret 超时退出router#show running-config!enab

20、le secret 5$1$6cWV$inD7guHPLlD3ZmdX08MMSrouter(config)#line console 0router(config-line)#exec-timeout 2 30第40页，共59页。控制Telnet、HTTP的访问 telnet 口令 Telnet 端口在路由器上被称为vty端口 必须在vty上配置一个启用口令才能通过telnet访问 控制列表Router(config)#line vty 0 4Router(config-line)#loginRouter(config-line)#password shakespeareRouter(con

21、fig)#access-list 21 permit 10.1.1.4 Router(config-line)#line vty 0 4Router(config-line)#access-class 21 in第41页，共59页。控制SNMP的访问 SNMP概述GET/SETUDP 161UDP 162TRAPManagerAgent,MIBs第42页，共59页。控制SNMP的访问 SNMPv1 Community name 明文传输 没有访问控制 用snmpwalk等工具可以得到路由器的配置性 SNMPv2 增加了视图的概念，访问控制机制Router(config)#snmp-server

22、 community password1 roRouter(config)#snmp-server community password2 rw第43页，共59页。控制SNMP的访问 SNMP TRAP 设备启动、链路中断、链路启动、认证失败等 访问控制Router(config)#snmp-server host 10.11.1.11 trapRouter(config)#access-list 1 permit 10.1.1.4Router(config)#access-list 1 permit 10.1.1.5Router(config)#snmp-server community p

23、rivate rw 1 第44页，共59页。关闭不必要的服务 No service tcp-small-servers no service udp-small-servers no service finger no service ip domain-lookup no cdp enable no proxy arp no ip directed-broadcast第45页，共59页。保护路由器之间的通信 路由器假冒、路由欺骗 相邻路由器认证 明文认证 MD5 认证PPPCHAP 认证认证第46页，共59页。RAkey chain kal key chain kal key 1 key 1

24、 key-string 234 key-string 234 interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication key-chain kal ip rip authentication key-chain kal router rip version 2 network 141.108.0.0 network 70.0.0.0 RBkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface

25、 Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication key-chain kal ip rip authentication key-chain kal clockrate 64000!router rip version 2 network 141.108.0.0 network 80.0.0.0第47页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击第48页，共59页。用路由

26、器实现访问控制 访问控制列表的配置原则 路由器总是自顶向下顺序检查所有规则，因此，配置规则时要从具体到一般，如主机、子网、网络、任何网络 permit 192.168.2.1 deny 192.168.2.0 0.0.0.255 permit any 常发生的放在列表的前面 隐含拒绝一切 新增加的行将放在末尾 未定义的访问控制列表等与允许一切第49页，共59页。标准型和扩展型访问控制列表 标准型 access-list num permit|deny source wildcard logaccess-list 10 permit 10.1.1.3 access-list 10 deny 10

27、.1.1.3 0.0.0.255access-list 10 permit 10.1.1.3第50页，共59页。标准型和扩展型访问控制列表 扩展型访问控制列表access-list num permit|deny proc src dst interface eth 1ip access-group 103 inaccess-list 103 permit tcp any 172.16.1.0 0.0.255.255 establishedaccess list 103 permit tcp any host 172.16.1.3 eq smtp172.16.1.0Ethe 1internet

28、第51页，共59页。实例internet内部网内部网10.1.2.0/24允许所有外出的数据流允许所有外出的数据流允许所有由内部发起的外允许所有由内部发起的外来的数据流来的数据流拒绝其他的数据流，并记录这些访问企图拒绝其他的数据流，并记录这些访问企图s0第52页，共59页。Router(config)#access-list 47 permit 10.1.2.0 0.0.0.255Router(config)#access-list 103 permit tcp any any establishedRouter(config)#access-list 103 deny any any Rou

29、ter(config)#interface serial 0Router(config-if)#ip access-group 47 outRouter(config-if)#ip access-group 103 in第53页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击第54页，共59页。防止DOS 攻击 no ip directed-broadcast 入流量过滤、出流量过滤 CAR(committed access rate)限制某种类型包的发送速率in

30、terface serial 0rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropaccess-list 105 permit icmp any any echo-reply第55页，共59页。过滤出入的包进入过滤：interface Serial 0ip address 10.80.71.1 255.255.255.0ip access-group 11 inaccess-list 11 deny 192.168.0.0 0.0.255.255a

31、ccess-list 11 deny 172.16.0.0 0.15.255.255access-list 11 deny 10.0.0.0 0.255.255.255access-list 11 deny access-list 11 permit any离开过滤：interface Ethernet 0ip address 10.80.71.1 255.255.255.0ip access-group 12 inaccess-list 12 permit ip verify unicast reverse-path外部网络s0eth0内部网络第56页，共59页。TCP 拦截 限制 SYN

32、攻击internet客户机请求被拦截和验客户机请求被拦截和验证证与客户机建与客户机建立连接立连接有效连接被交换，数有效连接被交换，数据被传递据被传递ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000access-list 100 permit tcp any x.x.x.0 0.0.0.255第57页，共59页

33、。TCP 拦截 限制 SYN 攻击TCPClientTCPCollapsarSYNSEQ#=100ACK#=0SYN/ACKSEQ#=1000ACK#=101ACKSEQ#=101ACK#=1001TCPSYNSEQ#=80000ACK#=0SYN/ACKSEQ#=200ACK#=80001ACKSEQ#=80001ACK#=201ServerPSHSEQ#=101ACK#=1001PSHSEQ#=80001ACK#=201ACKSEQ#=201ACK#=8010ACKSEQ#=1001ACK#=110Hash(src ip/port,dst ip/port)存入内存中的Hash表Hash(s

34、rc ip/port,dst ip/port)查内存中的Hash表9 byte9 byte第58页，共59页。TCP 拦截 限制 SYN 攻击 Can do as much good as bad If enabled:process switching and not“full”CEF anymore The“destination”host must send a RST(no silent drops)or youll DoS yourself Same is true if you use“blackholed”routes(route to Null0)ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000access-list 100 permit tcp any x.x.x.0 0.0.0.255第59页，共59页。