网络基础设施安全-路由系统.ppt

《网络基础设施安全-路由系统.ppt》由会员分享，可在线阅读，更多相关《网络基础设施安全-路由系统.ppt（59页珍藏版）》请在三一办公上搜索。

1、第七讲、网络基础设施安全,（2）路由系统安全,目录,7.1 局域网和VLAN7.2 远程访问（拨号）7.3 路由系统安全7.4 网络管理系统安全7.5 域名系统安全,7.3 路由系统安全,路由器工作原理简介路由协议及安全特性路由器自身的安全防护访问控制列表7.3.5 使用路由器防止拒绝服务的攻击,低端路由器外观,高端路由器外观,核心路由器外观,Interface,Interface,路由器的内部结构,RAM,ROM,Flash,NVRAM,Interface,CPU,Interface,console,Configurations can come from many sourcesConfi

2、gurations will act in device memory,Console port,Auxiliary port,Interfaces,PC or Unix server,Web or Network Managementserver,Virtual terminal,路由器配置方式,Telnet,TFTP,超级终端,Step 1:Verify cablingStep 2:Power on PCStep 3:Open HyperTerminal FolderStep 4:Open HyperTerminalStep 5:Describe Connection,Step 3 and

3、 4,Step 5,超级终端通信参数配置,Step 6:Select COM port to be used,Step 7:Select properties,路由器配置界面,Connect,Disconnect,Step 8:Access Device,Console,登录路由器,enableEnter password:#disable quit,User mode prompt,Privileged mode prompt,内存:ROM,只读存储器（ROM）只读存储器，存放引导程序和IOS的一个最小子集，相当于PC的BIOS。闪存（Flash）包含压缩的IOS和微代码，是一种可擦写、可编

4、程的ROM，系统掉电时数据不会丢失。NVRAM（No-Voliate RAM）存放路由器的配置文件，系统掉电时数据不会丢失。,内存：RAM,RAM动态内存，系统掉电，内容丢失操作系统运行的空间,命令解释器,操作系统,进程,活动配置文件,路由表,缓冲区,路由器的启动过程,首先运行ROM的程序，系统自检和引导读Flash内的IOS，装入RAM中从NVRAM中读入路由器的配置信息计算并生成初始路由表通过与相邻路由器交换路由信息，更新、完善路由表,7.3 路由系统安全,路由器工作原理简介路由协议及安全特性路由器自身的安全防护访问控制列表7.3.5 使用路由器防止拒绝服务的攻击,NetworkProto

5、col,DestinationNetwork,ConnectedLearned,10.120.2.0172.16.1.0,Exit Interface,E0S0,Routed Protocol:IP,Routers must learn destinations that are not directly connected,E0,S0,什么是路由？,静态路由网络管理员手工输入不适合大规模网络环境,动态路由通过路由器之间的路由协议动态获取可以随着路由器拓扑结构的变化而变化。,动态路由和静态路由,SO,静态路由（Static Routes）,B,Network,A,Configure unidi

6、rectional static routes to and from a stub network to allow communications to occur.,B,Stub Network,Transit Network,Stub Network,ip route 172.16.1.0 255.255.255.0 172.16.2.1,SO,静态路由举例,B,Network,A,B,This is a unidirectional route.You must have a route configured in the opposite direction.,Stub Networ

7、k,ip route 0.0.0.0 0.0.0.0 172.16.2.2,缺省路由,SO,B,Network,A,B,This route allows the stub network to reach all known networks beyond router A.,什么是路由协议,路由协议用于路由器之间交换信息，这些信息用来决定最佳路径，维护路由表,NetworkProtocol,DestinationNetwork,ConnectedRIPIGRP,Exit Interface,E0S0S1,Routed Protocol:IPRouting protocol:RIP,IGRP

8、,E0,S0,Autonomous System 100,Autonomous System 200,IGPs:RIP,OSPF,IGRP,EGPs:BGP,内部/外部网关路由协议（IGP/EGP）,An autonomous system is a collection of networks under a common administrative domainIGPs operate within an autonomous systemEGPs connect different autonomous systems,距离向量/链路状态路由协议,Distance Vector,Hyb

9、rid Routing,Link State,C,B,A,D,C,D,B,A,距离向量路由协议,Pass periodic copies of routing table to neighbor routers and accumulate distance vectors,C,D,B,A,C,B,A,D,RoutingTable,RoutingTable,RoutingTable,RoutingTable,DistanceHow farVectorIn which direction,Routers discover the best path to destinations from ea

10、ch neighbor,A,B,C,E0,S0,S0,S1,S0,E0,Routing Table,0,0,Routing Table,S0,0,E0,0,Routing Table,0,0,距离向量路由发现过程,Routers discover the best path to destinations from each neighbor,A,B,C,E0,S0,S0,S1,S0,E0,Routing Table,Routing Table,0,0,1,1,Routing Table,S0,0,E0,0,1,1,0,0,距离向量路由发现过程,距离向量路由发现过程,Routers disco

11、ver the best path to destinations from each neighbor,A,B,C,E0,S0,S0,S1,S0,E0,Routing Table,Routing Table,0,0,1,1,Routing Table,S0,0,E0,0,S0,1,2,1,2,0,0,19.2 kbps,T1,T1,T1,距离向量路由协议用跳数（Hop）计算路径的尺度（metric）每30秒广播一次路由表,RIP 简介,Starts the RIP routing process,Router(config)#router rip,Router(config-router)#

12、network network-number,Selects participating attached networksThe network number must be a major classful network number,RIP 配置命令,RIP 配置实例,S2,E0,S3,S2,S3,A,B,C,192.168.1.0,E0,debug ip rip Command,RouterA#debug ip ripRIP protocol debugging is onRouterA#00:06:24:RIP:received v1 update from 10.1.1.2 on

13、 Serial200:06:24:10.2.2.0 in 1 hops00:06:24:192.168.1.0 in 2 hops00:06:33:RIP:sending v1 update to 255.255.255.255 via Ethernet0(172.16.1.1)00:06:34:network 10.0.0.0,metric 100:06:34:network 192.168.1.0,metric 300:06:34:RIP:sending v1 update to 255.255.255.255 via Serial2(10.1.1.1)00:06:34:network 1

14、72.16.0.0,metric 1,S2,E0,S3,S2,S3,A,B,C,192.168.1.0,E0,链路状态路由协议,After initial flood,pass small event-triggered link-state updates to all other routers,Link-State Packets,SPFAlgorithm,TopologicalDatabase,Shortest Path First Tree,RoutingTable,C,A,D,B,7.3 路由系统安全,路由器工作原理简介路由协议及安全特性路由器自身的安全防护访问控制列表7.3.5

15、使用路由器防止拒绝服务的攻击,使用边界路由器保护内部网络,路由其自身的安全保护路由协议安全配置路由器实现访问控制防止DoS 攻击,保护路由器自身的安全,控制对路由器的访问控制台访问TelnetHTTPSNMP关闭不必要的服务路由协议认证审计,控制台访问,物理安全：在路由器加电启动时，可以通过按“Break”键，进入口令恢复过程通过修改寄存器的值，可以使启动过程绕过口令验证设置控制台口令,Router(config)#line console 0Router(config-line)#loginRouter(config-line)#password password,控制台访问,设置口令加密缺

16、省条件下,enable 口令是明文存储的，很容易被看到（控制台、telnet）两种方式：Service password-encryptionenable secret,router#show running-configenable password 7 14141B180FB0!line con 0password 7 094F71A1A0A,控制台访问,口令加密enable secret 超时退出,router#show running-config!enable secret 5$1$6cWV$inD7guHPLlD3ZmdX08MMS,router(config)#line cons

17、ole 0router(config-line)#exec-timeout 2 30,控制Telnet、HTTP的访问,telnet 口令Telnet 端口在路由器上被称为vty端口必须在vty上配置一个启用口令才能通过telnet访问控制列表,Router(config)#line vty 0 4Router(config-line)#loginRouter(config-line)#password shakespeare,Router(config)#access-list 21 permit 10.1.1.4 Router(config-line)#line vty 0 4Router

18、(config-line)#access-class 21 in,控制SNMP的访问,SNMP概述,GET/SET,UDP 161,UDP 162,TRAP,Manager,Agent,MIBs,控制SNMP的访问,SNMPv1 Community name 明文传输没有访问控制用snmpwalk等工具可以得到路由器的配置性SNMPv2增加了视图的概念，访问控制机制,Router(config)#snmp-server community password1 roRouter(config)#snmp-server community password2 rw,控制SNMP的访问,SNMP T

19、RAP设备启动、链路中断、链路启动、认证失败等访问控制,Router(config)#snmp-server host 10.11.1.11 trap,Router(configRouter(configRouter(config)#snmp-server community private rw 1,关闭不必要的服务,No service tcp-small-serversno service udp-small-serversno service fingerno service ip domain-lookupno cdp enableno proxy arpno ip directed

20、-broadcast,保护路由器之间的通信,路由器假冒、路由欺骗相邻路由器认证明文认证MD5 认证,PPPCHAP 认证,7.3 路由系统安全,路由器工作原理简介路由协议及安全特性路由器自身的安全防护访问控制列表7.3.5 使用路由器防止拒绝服务的攻击,用路由器实现访问控制,访问控制列表的配置原则路由器总是自顶向下顺序检查所有规则，因此，配置规则时要从具体到一般，如主机、子网、网络、任何网络permit 192.168.2.1 permit any 常发生的放在列表的前面隐含拒绝一切新增加的行将放在末尾未定义的访问控制列表等与允许一切,标准型和扩展型访问控制列表,标准型access-list

21、num permit|deny source wildcard log,access-list 10 permit 10.1.1.3,标准型和扩展型访问控制列表,扩展型访问控制列表access-list num permit|deny proc src dst,interface eth 1ip access-group 103 inaccess-list 103 permit tcp any 172.16.1.0 0.0.255.255 establishedaccess list 103 permit tcp any host 172.16.1.3 eq smtp,Ethe 1,inter

22、net,实例,internet,内部网,允许所有外出的数据流,允许所有由内部发起的外来的数据流,拒绝其他的数据流，并记录这些访问企图,s0,Router(configRouter(config)#access-list 103 permit tcp any any establishedRouter(config)#access-list 103 deny any any Router(config)#interface serial 0Router(config-if)#ip access-group 47 outRouter(config-if)#ip access-group 103 i

23、n,7.3 路由系统安全,路由器工作原理简介路由协议及安全特性路由器自身的安全防护访问控制列表7.3.5 使用路由器防止拒绝服务的攻击,防止DOS 攻击,no ip directed-broadcast 入流量过滤、出流量过滤CAR(committed access rate)限制某种类型包的发送速率,interface serial 0rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropaccess-list 105 permit icmp any

24、 any echo-reply,过滤出入的包,进入过滤：interface Serial 0ipip access-group 11 inaccess-list 11 deny access-list 11 permit any离开过滤：interface Ethernet 0ipip access-group 12 inaccess-list 12 permit ip verify unicast reverse-path,s0,eth0,内部网络,TCP 拦截 限制 SYN 攻击,internet,客户机请求被拦截和验证,与客户机建立连接,有效连接被交换，数据被传递,ip tcp inte

25、rcept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000,TCP 拦截 限制 SYN 攻击,TCP 拦截 限制 SYN 攻击,Can do as much good as badIf enabled:process switching and not“full”CEF anymoreThe“destination”host must send a RST(no silent drops)or youll DoS yourselfSame is true if you use“blackholed”routes(route to Null0),ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000,