收藏
下载资源 加入VIP免费专享

第七讲、网络基础设施安全.ppt

上传人:本田雅阁 文档编号:2913525 上传时间:2019-06-05 格式:PPT 页数:59 大小:478.52KB
返回 下载 相关 举报
第七讲、网络基础设施安全.ppt_第1页
第1页 / 共59页
第七讲、网络基础设施安全.ppt_第2页
第2页 / 共59页
第七讲、网络基础设施安全.ppt_第3页
第3页 / 共59页
第七讲、网络基础设施安全.ppt_第4页
第4页 / 共59页
第七讲、网络基础设施安全.ppt_第5页
第5页 / 共59页
点击查看更多>>
资源描述

《第七讲、网络基础设施安全.ppt》由会员分享,可在线阅读,更多相关《第七讲、网络基础设施安全.ppt(59页珍藏版)》请在三一文库上搜索。

1、第七讲、网络基础设施安全,(2)路由系统安全,目录,7.1 局域网和VLAN 7.2 远程访问(拨号) 7.3 路由系统安全 7.4 网络管理系统安全 7.5 域名系统安全,7.3 路由系统安全,7.3.1路由器工作原理简介 7.3.2路由协议及安全特性 7.3.3路由器自身的安全防护 7.3.4访问控制列表 7.3.5 使用路由器防止拒绝服务的攻击,低端路由器外观,高端路由器外观,核心路由器外观,Interface,Interface,路由器的内部结构,RAM,ROM,Flash,NVRAM,Interface,CPU,Interface,console,Configurations can

2、 come from many sources Configurations will act in device memory,Console port,Auxiliary port,Interfaces,PC or Unix server,Web or Network Management server,Virtual terminal,路由器配置方式,Telnet,TFTP,超级终端,Step 1: Verify cabling Step 2: Power on PC Step 3: Open HyperTerminal Folder Step 4: Open HyperTerminal

3、 Step 5: Describe Connection,Step 3 and 4,Step 5,超级终端通信参数配置,Step 6: Select COM port to be used,Step 7: Select properties,路由器配置界面,Connect,Disconnect,Step 8: Access Device,Console,登录路由器, enable Enter password: # # disable quit,User mode prompt,Privileged mode prompt,内存 :ROM,只读存储器(ROM) 只读存储器,存放引导程序和IOS

4、的一个最小子集,相当于PC的BIOS。 闪存(Flash) 包含压缩的IOS和微代码,是一种可擦写、可编程的ROM,系统掉电时数据不会丢失。 NVRAM(No-Voliate RAM) 存放路由器的配置文件,系统掉电时数据不会丢失。,内存 :RAM,RAM 动态内存,系统掉电,内容丢失 操作系统运行的空间,命令 解释器,操作系统,进程,活动配置文件,路由表,缓冲区,路由器的启动过程,首先运行ROM的程序,系统自检和引导 读Flash内的IOS,装入RAM中 从NVRAM中读入路由器的配置信息 计算并生成初始路由表 通过与相邻路由器交换路由信息,更新、完善路由表,7.3 路由系统安全,7.3.1

5、路由器工作原理简介 7.3.2路由协议及安全特性 7.3.3路由器自身的安全防护 7.3.4访问控制列表 7.3.5 使用路由器防止拒绝服务的攻击,Network Protocol,Destination Network,Connected Learned,10.120.2.0 172.16.1.0,Exit Interface,E0 S0,Routed Protocol: IP,Routers must learn destinations that are not directly connected,172.16.1.0,10.120.2.0,E0,S0,什么是路由?,静态路由 网络管理

6、员手工输入 不适合大规模网络环境,动态路由 通过路由器之间的路由协议动态获取 可以随着网络拓扑结构的变化而变化。,动态路由和静态路由,172.16.2.1,SO,静态路由(Static Routes),172.16.1.0,B,172.16.2.2,Network,A,Configure unidirectional static routes to and from a stub network to allow communications to occur.,B,Stub Network,Transit Network,Stub Network,ip route 172.16.1.0 2

7、55.255.255.0 172.16.2.1,172.16.2.1,SO,静态路由举例,172.16.1.0,B,172.16.2.2,Network,A,B,This is a unidirectional route. You must have a route configured in the opposite direction.,Stub Network,ip route 0.0.0.0 0.0.0.0 172.16.2.2,缺省路由,172.16.2.1,SO,172.16.1.0,B,172.16.2.2,Network,A,B,This route allows the s

8、tub network to reach all known networks beyond router A.,什么是路由协议,路由协议用于路由器之间交换信息,这些信息用来决定最佳路径,维护路由表,Network Protocol,Destination Network,Connected RIP IGRP,10.120.2.0 172.16.2.0 172.17.3.0,Exit Interface,E0 S0 S1,Routed Protocol: IP Routing protocol: RIP, IGRP,172.17.3.0,172.16.1.0,10.120.2.0,E0,S0,

9、Autonomous System 100,Autonomous System 200,IGPs: RIP, OSPF,IGRP,EGPs: BGP,内部/外部网关路由协议 (IGP/EGP),An autonomous system is a collection of networks under a common administrative domain IGPs operate within an autonomous system EGPs connect different autonomous systems,距离向量/链路状态路由协议,Distance Vector,Hybr

10、id Routing,Link State,C,B,A,D,C,D,B,A,距离向量路由协议,Pass periodic copies of routing table to neighbor routers and accumulate distance vectors,C,D,B,A,C,B,A,D,Routing Table,Routing Table,Routing Table,Routing Table,DistanceHow far VectorIn which direction,Routers discover the best path to destinations fro

11、m each neighbor,A,B,C,10.1.0.0,10.2.0.0,10.3.0.0,10.4.0.0,E0,S0,S0,S1,S0,E0,Routing Table,10.2.0.0,10.3.0.0,0,0,Routing Table,10.3.0.0,S0,0,10.4.0.0,E0,0,Routing Table,10.1.0.0,10.2.0.0,0,0,距离向量路由发现过程,Routers discover the best path to destinations from each neighbor,A,B,C,10.1.0.0,10.2.0.0,10.3.0.0,

12、10.4.0.0,E0,S0,S0,S1,S0,E0,Routing Table,10.1.0.0,10.2.0.0,10.3.0.0,Routing Table,10.2.0.0,10.3.0.0,10.4.0.0,10.1.0.0,0,0,1,1,Routing Table,10.3.0.0,S0,0,10.4.0.0,E0,0,10.2.0.0,1,1,0,0,距离向量路由发现过程,距离向量路由发现过程,Routers discover the best path to destinations from each neighbor,A,B,C,10.1.0.0,10.2.0.0,10.

13、3.0.0,10.4.0.0,E0,S0,S0,S1,S0,E0,Routing Table,10.1.0.0,10.2.0.0,10.3.0.0,10.4.0.0,Routing Table,10.2.0.0,10.3.0.0,10.4.0.0,10.1.0.0,0,0,1,1,Routing Table,10.3.0.0,S0,0,10.4.0.0,E0,0,10.2.0.0,S0,10.1.0.0,1,2,1,2,0,0,19.2 kbps,T1,T1,T1,距离向量路由协议 用跳数(Hop)计算路径的尺度(metric) 每30秒广播一次路由表,RIP 简介,Starts the RI

14、P routing process,Router(config)#router rip,Router(config-router)#network network-number,Selects participating attached networks The network number must be a major classful network number,RIP 配置命令,2.3.0.0,RIP 配置实例,2.3.0.0,172.16.1.1,S2,E0,S3,192.168.1.1,10.1.1.1,10.2.2.2,10.1.1.2,S2,S3,10.2.2.3,172.

15、16.1.0,A,B,C,192.168.1.0,E0,debug ip rip Command,RouterA#debug ip rip RIP protocol debugging is on RouterA# 00:06:24: RIP: received v1 update from 10.1.1.2 on Serial2 00:06:24: 10.2.2.0 in 1 hops 00:06:24: 192.168.1.0 in 2 hops 00:06:33: RIP: sending v1 update to 255.255.255.255 via Ethernet0 (172.1

16、6.1.1) 00:06:34: network 10.0.0.0, metric 1 00:06:34: network 192.168.1.0, metric 3 00:06:34: RIP: sending v1 update to 255.255.255.255 via Serial2 (10.1.1.1) 00:06:34: network 172.16.0.0, metric 1,172.16.1.1,S2,E0,S3,192.168.1.1,10.1.1.1,10.2.2.2,10.1.1.2,S2,S3,10.2.2.3,172.16.1.0,A,B,C,192.168.1.0

17、,E0,链路状态路由协议,After initial flood, pass small event-triggered link-state updates to all other routers,Link-State Packets,SPF Algorithm,Topological Database,Shortest Path First Tree,Routing Table,C,A,D,B,7.3 路由系统安全,7.3.1路由器工作原理简介 7.3.2路由协议及安全特性 7.3.3路由器自身的安全防护 7.3.4访问控制列表 7.3.5 使用路由器防止拒绝服务的攻击,使用边界路由器保

18、护内部网络,路由其自身的安全保护 路由协议安全配置 路由器实现访问控制 防止DoS 攻击,保护路由器自身的安全,控制对路由器的访问 控制台访问 Telnet HTTP SNMP 关闭不必要的服务 路由协议认证 审计,控制台访问,物理安全: 在路由器加电启动时,可以通过按“Break”键,进入口令恢复过程 通过修改寄存器的值,可以使启动过程绕过口令验证 设置控制台口令,Router(config)# line console 0 Router(config-line)# login Router(config-line)# password password,控制台访问,设置口令加密 缺省条件下

19、, enable 口令是明文存储的,很容易被看到(控制台、telnet) 两种方式: Service password-encryption enable secret,router# show running-config enable password 7 14141B180FB0 ! line con 0 password 7 094F71A1A0A,控制台访问,口令加密 enable secret 超时退出,router # show running-config ! enable secret 5 $1$6cWV$inD7guHPLlD3ZmdX08MMS,router (confi

20、g )#line console 0 router(config-line)# exec-timeout 2 30,控制Telnet、HTTP的访问,telnet 口令 Telnet 端口在路由器上被称为vty端口 必须在vty上配置一个启用口令才能通过telnet访问 控制列表,Router(config)# line vty 0 4 Router (config -line)# login Router(config-line) #password shakespeare,Router(config)# access-list 21 permit 10.1.1.4 Router (conf

21、ig -line)# line vty 0 4 Router(config-line) #access-class 21 in,控制SNMP的访问,SNMP概述,GET / SET,UDP 161,UDP 162,TRAP,Manager,Agent, MIBs,控制SNMP的访问,SNMPv1 Community name 明文传输 没有访问控制 用snmpwalk等工具可以得到路由器的配置性 SNMPv2 增加了视图的概念,访问控制机制,Router(config)# snmp-server community password1 ro Router(config)# snmp-serve

22、r community password2 rw,控制SNMP的访问,SNMP TRAP 设备启动、链路中断、链路启动、认证失败等 访问控制,Router(config)# snmp-server host 10.11.1.11 trap,Router(config) # access-list 1 permit 10.1.1.4 Router (config) # access-list 1 permit 10.1.1.5 Router (config) # snmp-server community private rw 1,关闭不必要的服务,No service tcp-small-se

23、rvers no service udp-small-servers no service finger no service ip domain-lookup no cdp enable no proxy arp no ip directed-broadcast,保护路由器之间的通信,路由器假冒、路由欺骗 相邻路由器认证 明文认证 MD5 认证,PPP CHAP 认证,7.3 路由系统安全,7.3.1路由器工作原理简介 7.3.2路由协议及安全特性 7.3.3路由器自身的安全防护 7.3.4访问控制列表 7.3.5 使用路由器防止拒绝服务的攻击,用路由器实现访问控制,访问控制列表的配置原则

24、路由器总是自顶向下顺序检查所有规则,因此,配置规则时要从具体到一般,如主机、子网、网络、任何网络 permit 192.168.2.1 deny 192.168.2.0 0.0.0.255 permit any 常发生的放在列表的前面 隐含拒绝一切 新增加的行将放在末尾 未定义的访问控制列表等与允许一切,标准型和扩展型访问控制列表,标准型 access-list num permit|deny source wildcard log,access-list 10 permit 10.1.1.3 access-list 10 deny 10.1.1.3 0.0.0.255 access-list

25、 10 permit 10.1.1.3,标准型和扩展型访问控制列表,扩展型访问控制列表 access-list num permit|deny proc src dst,interface eth 1 ip access-group 103 in access-list 103 permit tcp any 172.16.1.0 0.0.255.255 established access list 103 permit tcp any host 172.16.1.3 eq smtp,172.16.1.0,Ethe 1,internet,实例,internet,内部网 10.1.2.0/24,

26、允许所有外出的数据流,允许所有由内部发起的外来的数据流,拒绝其他的数据流,并记录这些访问企图,s0,Router(config) # access-list 47 permit 10.1.2.0 0.0.0.255 Router(config) # access-list 103 permit tcp any any established Router(config) # access-list 103 deny any any Router(config) # interface serial 0 Router(config-if) # ip access-group 47 out Rou

27、ter(config-if) # ip access-group 103 in,7.3 路由系统安全,7.3.1路由器工作原理简介 7.3.2路由协议及安全特性 7.3.3路由器自身的安全防护 7.3.4访问控制列表 7.3.5 使用路由器防止拒绝服务的攻击,防止DOS 攻击,no ip directed-broadcast 入流量过滤、出流量过滤 CAR(committed access rate) 限制某种类型包的发送速率,interface serial 0 rate-limit output access-group 105 1540000 512000 786000 conform-

28、action transmit exceed-action drop access-list 105 permit icmp any any echo-reply,过滤出入的包,进入过滤: interface Serial 0 ip address 10.80.71.1 255.255.255.0 ip access-group 11 in access-list 11 deny 192.168.0.0 0.0.255.255 access-list 11 deny 172.16.0.0 0.15.255.255 access-list 11 deny 10.0.0.0 0.255.255.2

29、55 access-list 11 deny access-list 11 permit any 离开过滤: interface Ethernet 0 ip address 10.80.71.1 255.255.255.0 ip access-group 12 in access-list 12 permit ip verify unicast reverse-path,s0,eth0,内部网络,TCP 拦截 限制 SYN 攻击,internet,客户机请求被拦截和验证,与客户机建立连接,有效连接被交换,数据被传递,ip tcp intercept list 100 ip tcp interc

30、ept connection-timeout 60 ip tcp intercept watch-timeout 10 ip tcp intercept one-minute low 1500 ip tcp intercept one-minute high 6000 access-list 100 permit tcp any x.x.x.0 0.0.0.255,TCP 拦截 限制 SYN 攻击,TCP 拦截 限制 SYN 攻击,Can do as much good as bad If enabled : process switching and not “full” CEF anymo

31、re The “destination” host must send a RST (no silent drops) or youll DoS yourself Same is true if you use “blackholed” routes (route to Null0),ip tcp intercept list 100 ip tcp intercept connection-timeout 60 ip tcp intercept watch-timeout 10 ip tcp intercept one-minute low 1500 ip tcp intercept one-minute high 6000 access-list 100 permit tcp any x.x.x.0 0.0.0.255,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1