網(wǎng)絡工程師交換試驗手冊附錄4網(wǎng)絡路由器安全配置手冊

1、網(wǎng)絡工程師交換試驗手冊附錄4：網(wǎng)絡路由器安全配置手冊安全威脅類型：網(wǎng)絡命令、PING掃描、端口掃描口偵察非授權訪問資源過載型拒絕服務攻擊(表一)口拒絕服務(DOS)帶外數(shù)據(jù)型拒絕服務攻擊(表二)口其他拒絕服務攻擊(分布式拒絕服務攻擊DDOS、電子郵件炸彈、緩沖區(qū)溢出、惡意applet、CPU獨 占)口數(shù)據(jù)操縱IP欺騙(IP口Spooling)會話重放和劫持(Hijacking)重路由(Rerouting)否認(Repudianton)(表一)類型描述防范措施Ping flood向一臺主機發(fā)送大量ICMP回聲請求包將邊界路由器設置為拒絕響應ICMP回聲請求包 半開(half-open)syn攻擊

2、向端口發(fā)起大量不完整TCP會話連接請求，導致宕機使用TCP攔截， lock-and-key,IDC 檢測數(shù)據(jù)包風暴 發(fā)送大量的UDP包 使用cisco PIX上的syn flooding保護功能(表二)類型 描述 防范措施過大的數(shù)據(jù)包(死亡ping)修改ip包頭中的長度大于實際包長，導致接收系統(tǒng)崩潰 過濾ICMP數(shù) 據(jù)包重疊的數(shù)據(jù)包(winnuke.c)對已建立的連接發(fā)送帶外數(shù)據(jù)，導致目標重起或停止(典型的對NETBIOS, 端口 137) 如果不需要關閉NETBIOS分片(teardrop.c)利用一些TCP/IP的IP分片組裝代碼實施中的漏洞，導致內(nèi)存緩沖區(qū)溢出 在邊界 路由器上扔掉來自外

3、部的被分片了的IP包IP源地址欺騙(land.c)導致計算機產(chǎn)生對自身的TCP連接，陷入死循環(huán)在路由器或主機上過濾掉 虛假源地址IP包畸形包頭(UDP炸彈)制造一些包頭中長度不正確的UDP包，導致一些主機出現(xiàn)內(nèi)核混亂 根據(jù)CERT 建議列表在主機上安裝操作系統(tǒng)補丁保護管理接口的安全設置控制臺(Console)口令：router(config)#line console 0router(config-line)#loginrouter(config-line)#password cisco_psw1設置 vty (Telnet) 口令：router(config)#line vty 0 4rou

4、ter(config-line)#loginrouter(config-line)#password cisco_psw2設置特權模式一般口令：router(config)#enable password cisco_psw3設置特權模式秘密口令：router(config)#enable secret cisco_psw4servicepassword-encryption”命令：將口令以一種加密的方式存儲在路由器的配置文件中，以致在“Show config”中不可見。路由器限定具體的某臺主機擁有”telnet”訪問的權限：router(config)# access-list 21 per

5、mit router(config)#line vty 0 4router(config-line)#access-class 21 in管理員只能在上用Telnet訪問路由器CISCO訪問列表類型：標準訪問列表：只允許過濾源地址，功能十分有限access-list list-number permit|deny source address wildcard-mask log有三個關鍵字host、any、log適用此列表,host和any分別適用單個主機和所有主機access-list 1 permits 55 logaccess-list 1 deny host D access-list

6、 1 permit any擴展訪問列表：允許過濾源地址、目的地址、協(xié)議、端口、上層應用數(shù)據(jù)access-list list-number permit|deny protocol protocol keyword sourece address source-wildcard source port destination address destination-wildcard destination port log optionsaccess-list 101 pemit tcp any host口 eq smtpaccess-list 101 pemit ip 55 host 標準或擴

7、展列表定義好以后，必須用“ip access-group list-number in|out”應用到端口上 標準的命名IP訪問列表：ip access-list standard nameip口 access-list standard test-namepermit 55 口permit口 55ip access-group test-name口 out定義和應用的格式與標準列表不同，其他用法和標準列表相同 擴展的命名IP訪問列表：ip access-list extended nameip access-list口 extended sever-securitypermit tcp an

8、y host 9 eq 21 ip口 access-group sever-security out定義和應用的格式與擴展列表不同，其他用法和擴展列表相同 動態(tài)訪問表(lock-and-key)：例一：兩個以太網(wǎng)接口 E0： ，E1： ；服務器 2；希望任何用戶 都能訪問2服務器，并允許的網(wǎng)絡能HTTP和FTP訪問INTERNET。username test password cisco !interface serial0ip address ip access-group 100 in !access-list 100 permit tcp any host eq te

9、lnetaccess-list 100 permit udp any eq 53 55 gt 1023access-list 100 permit tcp any eq www 55 gt 1023 establishedaccess-list 100 permit tcp any eq 21 55 gy 1023 establishedaccess-list 100 dynamic test timeout 180 permit ip any host 2 log!logging buffered 64000!line vty 0 2login localautocommand access

10、-enable host timeout 10line vty 3 4login localrotary 1通常的訪問列表，如果想開啟一個訪問列表讓授權用戶在不信任端訪問內(nèi)部資源的話，那么這個訪問 通道將會永久有效直到刪除，以致帶來巨大的安全漏洞；動態(tài)訪問列表解決這個問題，它提供了一個 用戶名和密碼的認證方式，避免了不信任端的用戶非法侵入。必需步驟：1、創(chuàng)建 user 和 password2、創(chuàng)建Telnet連接，如果不允許此連接就不能在訪問表中創(chuàng)建動態(tài)的訪問表項。3、配置動態(tài)訪問列表項和其它訪問列表項4、必須在 line vty 下配置Autocommand”，一般在“l(fā)ine vty 0

11、2”下。5、必須在line vty下配置“rotary 1”6、將動態(tài)和一般訪問列表應用到接口： ip access-group list-number inlout基于時間的訪問列表：interface ethernet0ip access-group 101 inTime-range allow-httpAbsolute start 7:00 1 June 2000 end 17:00 31 December 2000Periodic weekends 7:00 to 17:00ip access-list 101 permit tcp any any eq 80 allow-http!必

12、需步驟：1、定義時間范圍：（具體參數(shù)見表三）time-range time-range-nameabsolute start time date end time dateperiodic days-of-the -week hh:mm to days-of-the-weekhh:mm2、定義訪問列表并應用時間范圍名稱，以及將列表應用到接口（表三）Time-range-name用來標識時間范圍進行應用的名稱Time以小時和分鐘方式（hh:mm）輸入的時間Date以日/月/年 方式輸入的日期Days-of-the-week產(chǎn)生作用的某天或某周，參數(shù)可以是單一的某天（如Monday、Tuesday

13、），或daily （從周一到周五）、weekdays （從周一到周五）、weekend （周六和周日）absolute是用于定義全面的時間范圍，在一個“time-range”中，只能有一個absolute，但可以有多個Periodic定義具體的時間范圍自反訪問列表：自反訪問列表在路由器的一邊創(chuàng)建IP流量的動態(tài)開啟，該過程是基于來自路由器另一邊的會話進行 的。它必須是基于擴展的IP命名訪問列表。作用類似于一般訪問列表中的“establish數(shù)，它可創(chuàng) 建一個動態(tài)的臨時的相反方向的訪問列表口 自反訪問列表創(chuàng)建語句：口使用一條permit語句創(chuàng)建一個擴展ip命名訪問列表，并在每個permit語句中使

14、用reflect關鍵字， 用以表明訪問表中使用一個自反向開啟表項。格式：permit protocol source destination reflect name timeout seconds。使用evaluate語句將終止包含一條或多條自反向表項的擴展ip命名訪問列表。格式：evaluate name使用ip reflexive-list timeout命令改變臨時自反訪問表表項的全局超時缺省值。格式：ip reflexive-list timeout seconds解決方案一：口interface serial 0ip access-group outfilter outip acc

15、ess-group infilter in!ip access-list extended outfilterpermit tcp any any eq 80 reflect my-packets timeout 240permit tcp any any eq 23 reflect my-packets timeout 60permit udp any any eq 53 reflect my-packets timeout 180ip access-list extended infilterevaluate my-packets解決方案二：口interface serial 0ip ac

16、cess-group infilter0 inip access-group outfilter0 out!ip reflexive-list timeout 180!ip access-list extended infilter0evaluate my-packets0!ip access-list extended outfilter0permit tcp any any eq 23 reflect my-packets0permit udp any any eq 53 reflect my-packets0permit tcp any any eq 80 reflect my-pack

17、ets0！interface serial 1ip access-group infilter1 inip access-group outfilter1 out!ip access-list extended infilter1permit icmp any host 2 echo requestpermit tcp any host 2 eq 80evaluate my-packets1ip access-list extended outfilterlpermit tcp any any eq 23 reflet my-packetslpermit udp any any eq 53 r

18、eflect my-packets1permit tcp any any eq 80 reflect my-packets1一般在一個向外的擴展ip命名訪問列表中定義合適的方向語句。這樣就可以使臨時開啟表項出現(xiàn)在向內(nèi)的方向上基于上下文的訪問控制：用過濾器控制數(shù)據(jù)流抑制路由使它不在路由更新中被廣播出去router(config)# access-list 45 deny 55router(config)# access-list 45 permit any anyrouter(config-line)#router eigrp 200router(config-router)#distribut

19、e-list 45 out serial0在路由更新被廣播出去的時候，網(wǎng)段的地址路由信息不被廣播，并在Serial0上將該訪問控制 列表用于外出的EIGRP數(shù)據(jù)流進行過濾。抑制從路由更新中收到的路由router(config)# access-list 46 permit 55router(config-line)#router eigrp 200router(config-router)#distribute-list 46 in serial0配置一個訪問列表只接收來自被信任網(wǎng)絡的路由更新，并在Serial0上將該訪問控制列表施加于進入該接口的數(shù)據(jù)流。抑制從路由更新使之不被從接口發(fā)出阻止路

20、由更新消息從某個指定路由器接口上發(fā)送出去的命令為“Passive-interface type number”(該特性應用于除BGP、EGP之外的所有基于IP的路由協(xié)議)過濾路由信息的來源可以利用管理距離參數(shù)讓路由器智能地辯選路由信息的來源，過濾路由信息來源的命令為“distance weight address mask access-list-number|nameip”用安全策略控制數(shù)據(jù)流實例：例一：安全策略：1、允許所有外出的數(shù)據(jù)流；2、允許且只允許由內(nèi)部發(fā)起的入數(shù)據(jù)流，防止IP欺騙造成的攻擊3、允許對已建立連接的外出數(shù)據(jù)流的入響應4、拒絕所有其它入數(shù)據(jù)流，并記錄這些非授權訪問企圖ro

21、uter(config)#access-list 47 permit 55router(config)#access-list 103 permit tcp any any establishedrouter(config)#access-list 103 deny ip any any logrouter(config)#interface serial0router(config-if)#ip access-group 47 outrouter(config-if)#ip access-group 103 in控制對路由器上HTTP服務器模塊的訪問可以用“ip httpserver”全局配置命令讓任何路由器能通過Cisco web瀏覽器接口被監(jiān)控配置 可以用“ip httpport”全局配置命令來設置一個將被客戶端軟件接口使用的端口（例如端口 8080） 可以用“ip httpaccess-class”全局配置命令為將被使用的HTTP服務器分配一個訪問控制列表 可以用“ip httpauthentcation”全局命令來指定一種對“IP HTTP”服務器用戶的認證，以提供安全 ip http authentication aaa