1、第七讲、网络基础设施安全(2)路由系统安全目录7.1 局域网和VLAN7.2 远程访问(拨号)7.3 路由系统安全7.4 网络管理系统安全7.5 域名系统安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击低端路由器外观高端路由器外观核心路由器外观InterfaceInterface路由器的内部结构RAMROMFlashNVRAMInterfaceCPUInterfaceconsole Configurations can come from many sources Con
2、figurations will act in device memoryConsole portAuxiliary portInterfacesPC or Unix serverWeb or Network ManagementserverVirtual terminal路由器配置方式TelnetTFTP超级终端Step 1:Verify cablingStep 2:Power on PCStep 3:Open HyperTerminal FolderStep 4:Open HyperTerminalStep 5:Describe ConnectionStep 3 and 4Step 5超级
3、终端通信参数配置Step 6:Select COM port to be usedStep 7:Select properties路由器配置界面ConnectDisconnectStep 8:Access DeviceConsole登录路由器 enableEnter password:#disable quit User mode prompt Privileged mode prompt 内存:ROM 只读存储器(ROM)只读存储器,存放引导程序和IOS的一个最小子集,相当于PC的BIOS。闪存(Flash)包含压缩的IOS和微代码,是一种可擦写、可编程的ROM,系统掉电时数据不会丢失。NV
4、RAM(No-Voliate RAM)存放路由器的配置文件,系统掉电时数据不会丢失。内存:RAM RAM 动态内存,系统掉电,内容丢失 操作系统运行的空间命令解释器操作系统进程活动配置文件路由表缓冲区路由器的启动过程 首先运行ROM的程序,系统自检和引导 读Flash内的IOS,装入RAM中 从NVRAM中读入路由器的配置信息 计算并生成初始路由表 通过与相邻路由器交换路由信息,更新、完善路由表7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击NetworkProtocolDe
5、stinationNetworkConnectedLearned10.120.2.0172.16.1.0Exit InterfaceE0S0Routed Protocol:IP Routers must learn destinations that are not directly connected172.16.1.010.120.2.0E0S0什么是路由?静态路由网络管理员手工输入不适合大规模网络环境动态路由通过路由器之间的路由协议动态获取可以随着网络拓扑结构的变化而变化。动态路由和静态路由172.16.2.1SO静态路由(Static Routes)172.16.1.0B172.16.
6、2.2NetworkAConfigure unidirectional static routes to and from a stub network to allow communications to occur.BStub NetworkTransit NetworkStub Networkip route 172.16.1.0 255.255.255.0 172.16.2.1172.16.2.1SO静态路由举例172.16.1.0B172.16.2.2NetworkABThis is a unidirectional route.You must have a route confi
7、gured in the opposite direction.Stub Networkip route 0.0.0.0 0.0.0.0 172.16.2.2缺省路由172.16.2.1SO172.16.1.0B172.16.2.2NetworkABThis route allows the stub network to reach all known networks beyond router A.什么是路由协议路由协议用于路由器之间交换信息,这些信息用来决定最佳路径,维护路由表NetworkProtocolDestinationNetworkConnectedRIPIGRP10.120
8、.2.0172.16.2.0172.17.3.0Exit InterfaceE0S0S1Routed Protocol:IPRouting protocol:RIP,IGRP172.17.3.0172.16.1.010.120.2.0E0S0Autonomous System 100Autonomous System 200IGPs:RIP,OSPF,IGRPEGPs:BGP内部/外部网关路由协议(IGP/EGP)An autonomous system is a collection of networks under a common administrative domain IGPs
9、operate within an autonomous system EGPs connect different autonomous systems距离向量/链路状态路由协议Distance VectorHybrid RoutingLink State距离向量路由协议Pass periodic copies of routing table to neighbor routers and accumulate distance vectorsRoutingTableRoutingTableRoutingTableRoutingTableDistanceHow farVectorIn wh
10、ich directionRouters discover the best path to destinations from each neighbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.2.0.010.3.0.0 00S0S1Routing Table10.3.0.0S0010.4.0.0E00Routing Table10.1.0.010.2.0.0 E0S0 00距离向量路由发现过程Routers discover the best path to destinations from each nei
11、ghbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.1.0.010.2.0.010.3.0.0Routing Table10.2.0.010.3.0.010.4.0.010.1.0.00011S0S1S1S0Routing Table10.3.0.0S0010.4.0.0E0010.2.0.0S0 1E0S0S0100距离向量路由发现过程距离向量路由发现过程Routers discover the best path to destinations from each neighbor10.1.0.010.2.0.0
12、10.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.1.0.010.2.0.010.3.0.010.4.0.0Routing Table10.2.0.010.3.0.010.4.0.010.1.0.00011S0S1S1S0Routing Table10.3.0.0S0010.4.0.0E0010.2.0.0S010.1.0.0S012E0S0S0S0120019.2 kbpsT1T1T1 距离向量路由协议 用跳数(Hop)计算路径的尺度(metric)每30秒广播一次路由表RIP 简介 Starts the RIP routing processRoute
13、r(config)#router ripRouter(config-router)#network network-number Selects participating attached networks The network number must be a major classful network numberRIP 配置命令2.3.0.0router ripnetwork 172.16.0.0network 10.0.0.0RIP 配置实例router ripnetwork 10.0.0.02.3.0.0router ripnetwork 192.168.1.0network
14、10.0.0.0172.16.1.1S2E0S3192.168.1.110.1.1.110.2.2.210.1.1.2S2S310.2.2.3172.16.1.0ABC192.168.1.0 E0debug ip rip CommandRouterA#debug ip ripRIP protocol debugging is onRouterA#00:06:24:RIP:received v1 update from 10.1.1.2 on Serial200:06:24:10.2.2.0 in 1 hops00:06:24:192.168.1.0 in 2 hops00:06:33:RIP:
15、sending v1 update to 255.255.255.255 via Ethernet0(172.16.1.1)00:06:34:network 10.0.0.0,metric 100:06:34:network 192.168.1.0,metric 300:06:34:RIP:sending v1 update to 255.255.255.255 via Serial2(10.1.1.1)00:06:34:network 172.16.0.0,metric 1172.16.1.1S2E0S3192.168.1.110.1.1.110.2.2.210.1.1.2S2S310.2.
16、2.3172.16.1.0ABC192.168.1.0 E0链路状态路由协议After initial flood,pass small event-triggered link-state updates to all other routersLink-State PacketsSPFAlgorithmTopologicalDatabaseShortest Path First TreeRoutingTable7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击使用边界路由器
17、保护内部网络 路由其自身的安全保护 路由协议安全配置 路由器实现访问控制 防止DoS 攻击保护路由器自身的安全 控制对路由器的访问 控制台访问 Telnet HTTP SNMP 关闭不必要的服务 路由协议认证 审计控制台访问 物理安全:在路由器加电启动时,可以通过按“Break”键,进入口令恢复过程 通过修改寄存器的值,可以使启动过程绕过口令验证 设置控制台口令Router(config)#line console 0Router(config-line)#loginRouter(config-line)#password password控制台访问 设置口令加密 缺省条件下,enable 口
18、令是明文存储的,很容易被看到(控制台、telnet)两种方式:Service password-encryption enable secretrouter#show running-configenable password 7 14141B180FB0!line con 0password 7 094F71A1A0A控制台访问 口令加密 enable secret 超时退出router#show running-config!enable secret 5$1$6cWV$inD7guHPLlD3ZmdX08MMSrouter(config)#line console 0router(con
19、fig-line)#exec-timeout 2 30控制Telnet、HTTP的访问 telnet 口令 Telnet 端口在路由器上被称为vty端口 必须在vty上配置一个启用口令才能通过telnet访问 控制列表Router(config)#line vty 0 4Router(config-line)#loginRouter(config-line)#password shakespeareRouter(config)#access-list 21 permit 10.1.1.4 Router(config-line)#line vty 0 4Router(config-line)#a
20、ccess-class 21 in控制SNMP的访问 SNMP概述GET/SETUDP 161UDP 162TRAPManagerAgent,MIBs控制SNMP的访问 SNMPv1 Community name 明文传输 没有访问控制 用snmpwalk等工具可以得到路由器的配置性 SNMPv2 增加了视图的概念,访问控制机制Router(config)#snmp-server community password1 roRouter(config)#snmp-server community password2 rw控制SNMP的访问 SNMP TRAP 设备启动、链路中断、链路启动、认证
21、失败等 访问控制Router(config)#snmp-server host 10.11.1.11 trapRouter(config)#access-list 1 permit 10.1.1.4Router(config)#access-list 1 permit 10.1.1.5Router(config)#snmp-server community private rw 1 关闭不必要的服务 No service tcp-small-servers no service udp-small-servers no service finger no service ip domain-l
22、ookup no cdp enable no proxy arp no ip directed-broadcast保护路由器之间的通信 路由器假冒、路由欺骗 相邻路由器认证 明文认证 MD5 认证PPPCHAP 认证认证RAkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication key-chain kal ip rip authentication ke
23、y-chain kal router rip version 2 network 141.108.0.0 network 70.0.0.0 RBkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication key-chain kal ip rip authentication key-chain kal clockrate 64000!router rip ve
24、rsion 2 network 141.108.0.0 network 80.0.0.07.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击用路由器实现访问控制 访问控制列表的配置原则 路由器总是自顶向下顺序检查所有规则,因此,配置规则时要从具体到一般,如主机、子网、网络、任何网络 permit 192.168.2.1 deny 192.168.2.0 0.0.0.255 permit any 常发生的放在列表的前面 隐含拒绝一切 新增加的行将放在末尾 未定义的访问控制列表等与允
25、许一切标准型和扩展型访问控制列表 标准型 access-list num permit|deny source wildcard logaccess-list 10 permit 10.1.1.3 access-list 10 deny 10.1.1.3 0.0.0.255access-list 10 permit 10.1.1.3标准型和扩展型访问控制列表 扩展型访问控制列表access-list num permit|deny proc src dst interface eth 1ip access-group 103 inaccess-list 103 permit tcp any 1
26、72.16.1.0 0.0.255.255 establishedaccess list 103 permit tcp any host 172.16.1.3 eq smtp172.16.1.0Ethe 1internet实例internet内部网内部网10.1.2.0/24允许所有外出的数据流允许所有外出的数据流允许所有由内部发起允许所有由内部发起的外来的数据流的外来的数据流拒绝其他的数据流,并记录这些访问企图拒绝其他的数据流,并记录这些访问企图s0Router(config)#access-list 47 permit 10.1.2.0 0.0.0.255Router(config)#ac
27、cess-list 103 permit tcp any any establishedRouter(config)#access-list 103 deny any any Router(config)#interface serial 0Router(config-if)#ip access-group 47 outRouter(config-if)#ip access-group 103 in7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击防止DOS 攻击 no ip
28、directed-broadcast 入流量过滤、出流量过滤 CAR(committed access rate)限制某种类型包的发送速率interface serial 0rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropaccess-list 105 permit icmp any any echo-reply过滤出入的包进入过滤:interface Serial 0ip address 10.80.71.1 255.255.255.0ip a
29、ccess-group 11 inaccess-list 11 deny 192.168.0.0 0.0.255.255access-list 11 deny 172.16.0.0 0.15.255.255access-list 11 deny 10.0.0.0 0.255.255.255access-list 11 deny access-list 11 permit any离开过滤:interface Ethernet 0ip address 10.80.71.1 255.255.255.0ip access-group 12 inaccess-list 12 permit ip veri
30、fy unicast reverse-path外部网络s0eth0内部网络TCP 拦截 限制 SYN 攻击internet客户机请求被拦截客户机请求被拦截和验证和验证与客户机与客户机建立连接建立连接有效连接被交换,有效连接被交换,数据被传递数据被传递ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000access
31、-list 100 permit tcp any x.x.x.0 0.0.0.255TCP 拦截 限制 SYN 攻击TCPClientTCPCollapsarSYNSEQ#=100ACK#=0SYN/ACKSEQ#=1000ACK#=101ACKSEQ#=101ACK#=1001TCPSYNSEQ#=80000ACK#=0SYN/ACKSEQ#=200ACK#=80001ACKSEQ#=80001ACK#=201ServerPSHSEQ#=101ACK#=1001PSHSEQ#=80001ACK#=201ACKSEQ#=201ACK#=8010ACKSEQ#=1001ACK#=110Hash(
32、src ip/port,dst ip/port)存入内存中的Hash表Hash(src ip/port,dst ip/port)查内存中的Hash表9 byte9 byteTCP 拦截 限制 SYN 攻击 Can do as much good as bad If enabled:process switching and not“full”CEF anymore The“destination”host must send a RST(no silent drops)or youll DoS yourself Same is true if you use“blackholed”routes(route to Null0)ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000access-list 100 permit tcp any x.x.x.0 0.0.0.255