JS-CZ-006路由器安全技术.pptx

路由器安全技术 技术基础课程系列 讲师介绍 迈普通信xxx部门 张三电话箱 zhangsan 课程内容 路由器身份认证体制 看是否有配置line AAA认证 用户登录 进入Shell 未配置line 未配置AAA 已配置line 已配置AAA 看是否有配置AAA line认证 用户及级别设置 设置用户及相关属性使用user命令来配置本地用户和相关用户权限属性 用户分0 15级 15最高 只有高级别用户才能对低级别用户操作 设置用户密码时的参数0代表以明文输入 而不是以密文输入 用户及级别设置 修改命令的级别在迈普路由器IOS中的每个shell命令都有一个默认的级别 但是可以通过命令privilege来修改其默认级别 保证只有相应级别及以上的用户才有配置 查看相应命令的权限 设置enable密码设置进入各个用户级别的本地enable密码 也可以只设置一个共通的密码 若没有配置enable密码 则非console用户不能进入特权模式 用户及级别设置 设置line属性路由器支持一个console口用户最多16个telnet用户和16个ssh用户同时登录到设备上 line命令可以为这些登录设置不同的认证 授权等属性 AAA技术概念 AAA是认证 授权和统计 Authentication AuthorizationandAccounting 的简称 它提供了一个用来对这三种安全功能进行配置的一致性框架 AAA的配置实际上是对网络安全的一种管理 这里的网络安全主要指访问控制 包括 哪些用户可以访问网络服务器 具有访问权的用户可以得到哪些服务 如何对正在使用网络资源的用户进行记账 AAA基本原理 NAS 网络接入服务器 NetworkAccessServer 在路由器上启动AAA安全服务作为NAS 当用户想要登录NAS或与NAS建立连接 比如拨号连接 从而获得访问其他网络的权限时 NAS起到了验证用户的作用RADIUS 远程身份认证拨入用户服务 RemoteAuthenticationDialInUserService Tacacs Tacacs是终端访问控制系统 TerminalAccessControllerAccessControlSystem 的简称 AAA认证相关配置 AAA认证简单设置命令 配置范例 router config if aaanew model启动AAA功能router config if aaaauthenticationlogindefaultlocal对登陆用户根据本地用户数据库进行身份认证 Dot1x接入认证体系 802 1XIEEE802LAN WAN委员会为解决无线局域网网络安全问题 提出了802 1X协议 后来 802 1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用 主要解决以太网内认证和安全方面的问题 802 1X协议是一种基于端口的网络接入控制协议 portbasednetworkaccesscontrolprotocol 基于端口的网络接入控制 是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制 连接在端口上的用户设备如果能通过认证 就可以访问局域网中的资源 如果不能通过认证 则无法访问局域网中的资源 802 1X系统为典型的Client Server结构 如图所示 包括三个实体 客户端 Client 设备端 Device 和认证服务器 Server 802 1X的认证方式 802 1X认证系统使用EAP ExtensibleAuthenticationProtocol 可扩展认证协议 来实现客户端 设备端和认证服务器之间认证信息的交换 在客户端与设备端之间 EAP协议报文使用EAPOL封装格式 直接承载于LAN环境中 在设备端与RADIUS服务器之间 可以使用两种方式来交换信息 EAP协议报文由设备端进行中继 使用EAPOR EAPoverRADIUS 封装格式承载于RADIUS协议中EAP协议报文由设备端进行终结 采用包含PAP PasswordAuthenticationProtocol 密码验证协议 或CHAP ChallengeHandshakeAuthenticationProtocal 质询握手验证协议 属性的报文与RADIUS服务器进行认证交互 802 1X认证流程 802 1X认证相关配置 802 1X认证常用命令 dot1xeap relay该命令配置端口的EAP模式 EAP中继或者EAP终结 相关的no命令恢复配置缺省值 dot1xeap relay enable disable nodot1xeap relay dot1xport control该命令在端口启用或者关闭802 1X功能 相关的no命令恢复配置缺省值 dot1xport control enable disable nodot1xport control dot1xport method该命令配置端口802 1X的认证模式 基于端口认证模式或者基于用户认证模式 相关的no命令恢复配置缺省值 dot1xport method portbased macbased nodot1xport method备注 Portbased 基于端口的认证模式macbased 基于用户的认证模式 课程内容 防火墙技术 内联网通常采用一定的安全措施与企业或机构外部的Internet用户相隔离 这个安全措施就是防火墙 firewall 防火墙技术一般分为两类 网络级防火墙 主要是用来防止整个网络出现外来非法的入侵 属于这类的有包过滤 packetfiltering 和授权服务器 authorizationserver 应用级防火墙 从应用程序来进行存取控制 通常使用应用网关或委托服务器 proxyserver 来区分各种应用 例如 可以只允许通过万维网的应用 而阻止FTP应用的通过 访问控制列表 ACL 技术 迈普路由器采用的是包过滤式的防火墙技术 包过滤式防火墙的核心就是通过访问控制列表来控制流入流出路由器的数据 访问控制列表以IP包信息为基础 对IP源地址 IP目标地址 协议类型及各协议的字段 如 TCP UDP的端口号 ICMP的类型 代码 IGMP的类型等 进行筛选 访问列表根据过滤的内容可以分成2类 标准访问列表和扩展访问列表 标准访问列表配置实例 实例实现目标建立标准访问列表2 定义了三条规则 将标准访问列表2应用于以太接口0 从以太接口0来的包中 只允许子网92 49 0 0上的主机IP地址为92 49 0 3发来的包通过 允许子网92 48 0 0上所有机器发来的包 拒绝接收其它的包 扩展访问列表配置命令 定义扩展访问控制列表定义一个扩展访问列表 可以用数字命名 也可以是用户自定义名称 该命令将进入扩展访问列表配置模式 no格式是删掉某个访问列表 包含它下面的所有规则 no ipaccess listextended access list number access list name 规则定义配置一条permit 或deny 扩展访问列表规则 no格式是删除指定的规则 no sequence permitprotocolsourcesource wildcard operatorsource port source port destinationdestination wildcard icmp type igmp type operatordestination port destination port ack fin established psh rst syn urg precedenceprecedence tostos log audit time rangetime range name 扩展访问列表规则参数 扩展访问列表规则参数 扩展访问列表配置命令 在接口上应用访问控制列表对于往内的访问列表 如果允许这个包 路由器软件继续处理这个包 如果拒绝这个包 防火墙软件就会扔掉这个包 并向源地址发送ICMP管理状态不可达的包 对于往出的访问列表 收到并路由一个包到接口后 防火墙软件根据访问列表检测包 如果允许这个包 路由器软件就会转发这个包 如果拒绝这个包 防火墙软件就会扔掉这个包 并向源地址发送ICMP管理状态不可达的包 no ipaccess group access list number access list name in out 防火墙的其他安全功能 伪源地址检测伪源地址一直是攻击者最常利用的手段 常常被使用在会话劫持 DOS攻击等场合 而对于这样的报文进行检测也往往是很具有技术性的 最常规的检测是在各接口上配置接收方向的访问列表 进行包的过滤 但这种检测是相当有限的 迈普路由器有相应的检测机制 从这样几个角度进行 接收接口是否正确 如果接收到某报文的接口根本没有到达其源地址的路由 其路由应该取决于其它接口 该报文将被拦截 从本路由器上根本找不到到达某报文源地址的路由 该报文被拦截 从源地址来看 是直连路由且属于以太网 但在ARP表中找不到该MAC地址与源IP地址的对应 很可能是欺骗 拦截该报文 不是直连路由 是接口路由 如果在ARP表中找不到该报文的MAC项 是不正常的 拦截该报文 如果按照源地址来看是网关路由 但MAC地址却不是对应的网关的物理地址 很可能也是欺骗 拦截该报文 其余的包 确定正常的或无法确定的 都放行 防火墙的其他安全功能 攻击检测根据开关检测攻击 ICMPflood Smurf Fraggle SYNflood LAND等 几种攻击包的检测 或监控 防火墙的监控与维护 showaccess lists显示访问列表的内容 当没有名称和编号时 显示所有的访问列表 showaccess lists access list number access list name audit showipinterfacelist显示各接口上访问列表的应用 clearaccess listcounters清除访问列表的计数器 当没有名称和编号时 清除所有的访问列表的计数器 debugippacketaccess list查看访问列表的过滤处理信息来监控和维护防火墙 课程内容 NAT的概念 网络地址转换 NAT 主要用来完成局部地址与全局地址之间的转换 NAT解决了Internet地址耗竭问题 企业内部网只需少量的全局地址就可达到与INTERNET的互连 NAT使一个组织在多个域内重用注册过的IP地址 只要离开该域以前将那些重用地址转换为全局的唯一注册IP地址即可 NAT的相关术语 内部本地地址 分配给内部网络中的主机的IP地址 这个地址可能不是由网络信息中心 NIC 或服务提供商 ISP 分配的合法的IP地址 内部全局地址 合法的IP地址 由NIC或ISP分配的 用于向外部世界表示一个或多个内部本地IP地址 外部本地地址 分配给外部网络中的主机的IP地址 这个地址可能不是由网络信息中心 NIC 或服务提供商 ISP 分配的合法的IP地址 外部全局地址 合法的外部IP地址 由NIC或ISP分配的 internet上实际存在的地址 静态转换 在内部本地地址与内部全局地址之间建立一个一对一的映射 当一个固定的地址必须从外界访问一个内部主机时静态转换是有用的 动态转换 在一个内部本地地址与一个全局地址池之间建立一个映射 NAT的分类应用 你想接入Internet 但你的主机并不都具有全球唯一的IP地址通常情况下 内部本地地址通常采用127 192等保留网段作为内部本地地址 而这些地址相对外网来说不可达 为了要使得内部网络访问外部的某些地址 就需要使用内部源NAT地址转换 为了节省内部全局地址池中的地址 可以重载内部全局地址 允许路由器将多个本地地址映像为一个全局地址 你想进行基本的TCP信息流负载分配如果内部网络中有多台提供同样服务的主机 如WebServer 它们拥有连续的几个内部IP地址 通过配置内部目的地址NAT转换可以实现简单的TCP负载分担 而通过一个或几个全局IP地址对外提供服务 你希望只有部分外网段才能访问内网服务器可以在与外界通信时 使用外部源NAT地址转换 把外部全局IP地址转换成外部本地IP地址 NAT常用配置命令 NAT常用配置命令 静态转换内部源地址 在与外界通信时 使用转换内部源地址把你自己的IP地址转换成全局唯一的IP地址 可以选择配置静态或动态转换 在本例中 建立192 168 8 1到203 25 25 1静态转换 然后将以太接口f0配置为内部接口 串口s0 0配置为外部接口 静态转换内部源地址 router配置 如果分配的外部地址足够多 也可将内部整个网段映射到外部网段 动态转换内部源地址 动态转换内部源地址 router配置 注意 访问列表必须只允许那些将被转换的地址 一个允许太多地址的访问列表会导致不可预期的结果 重载一个内部全局地址 为了节省内部全局地址池中的地址 可以允许路由器将多个本地地址映像为一个全局地址 当多个本地地址映像到一个全局地址时 则用每个内部主机的TCP或UDP端口号来区分这些本地地址 重载一个内部全局地址 router配置 转换内部目的地址 如果内部网络中有多台提供同样服务的主机 如多台WebServer 它们拥有连续的几个内部IP地址 通过配置内部目的地址的NAT转换可以实现简单的TCP负载分担 而通过一个或几个全局IP地址对外提供服务 转换内部目的地址 访问列表必须只允许那些将被转换的地址 如果内部主机只有一个就不再需要进行TCP负载分担 不需要使用此配置 router配置 静态转换外部源地址 在与外界通信时 使用转换外部原地址把外部全局IP地址转换成外部本地IP地址 可以配置静态或动态转换 静态转换外部源地址 router配置 如果分配的地址足够多 也可以同时将外部整个网段映射到内部网段 动态转换外部源地址 首先由外部主机向内部主机152 1 1 2发起连接 报文为195 1 1 1 152 1 1 2经过路由器后 使用地址池中的地址152 1 1 10替换源地址 报文变为152 1 1 10 152 1 1 2主机152 1 1 2收到请求后 响应请求 报文为152 1 1 2 152 1 1 10响应报文经过路由器后 使用外部地址替换目的地址 报文变为152 1 1 2 195 1 1 1 并根据目的地址转发给主机195 1 1 1 动态转换外部源地址 router配置 NAT配置注意事项 全局地址和本地地址不能交迭 配置时静态的地址不能与动态的地址池中的地址交迭 作为连接问题的一个解决方案 只有当一个内部网中有相对少量的主机同时与这个域的外界通信时 NAT才是实用的 在这种情况下 在必须与外界通信时 这个域的IP地址中只有一个很小的子集必须被转换成全球唯一的IP地址 当不再使用时 这些地址还能被重新使用 当应用程序中嵌入IP地址或端口时 NAT对端用户来说就成为不透明的 故NAT也不能用于此种情况 在应用程序中嵌入了IP地址和端口的应用协议中 现在只支持FTP MMS OICQ TFTP 路由信息只能向内不能向外传播 需设定NAT与ISP的路由器之间的静态路由配置 IPOPTION不能正常的支持 当有多个接口时 要使用同样的NAT表 NAT的监控命令 NAT的监控命令 NAT监控信息实例 描述与分析 Type NAT转换记录的类型Pro IP协议类型Insideglobal 内部全局地址和端口Insidelocal 内部局部地址和端口Outsidelocal 外部局部地址和端口Outsideglobal 外部全局地址和端口Age 记录余下的生命期 秒 括号中的内容 当前的TCP状态 router showipnattranslationsTypeProInsideglobalInsidelocalOutsidelocalOutsideglobalAgeNATICMP128 255 42 141 1024192 168 0 100 1024 128 255 125 125 102450NATTCP128 255 42 141 1916192 168 0 100 1916 10 0 3 5 801785 NORMAL 0 NATTCP128 255 42 141 1882192 168 0 100 1882 10 0 3 5 801785 NORMAL 0 该显示结果表明内部局部地址192 168 0 100分别向外部地址128 255 125 125发送了ICMP报文 向外部地址10 0 3 5的80端口发起了两条TCP连接 NAT的监控命令 showipnatstatistics信息分析 1 NAT的监控命令 showipnatstatistics信息分析 2 NAT的监控命令 showrunning configipnat信息分析显示结果 ipnatpoolpp128 255 42 140128 255 42 141netmask255 255 255 0ipnatinsidesourcelist1poolppoverload描述与分析 配置了一个地址池内地址为128 255 42 140 128 255 42 141的地址池pp 并将该地址池地址与access list1绑定 并采用端口重载方式 showipnatpool信息分析 NAT的监控命令 描述与分析 source 地址信息rcv pkts s 每秒接收的报文数rcv bits s 每秒接收的bit数send pkts s 每秒平均的发送报文数send bits s 每秒平均的发送bits数tcp udp other 当前的用户的TCP UDP OTHER的分别的连接数 showlocalstat信息分析 sourcercv pkts srcv bits ssend pkts ssend bits stcp udp other129 255 104 1 54272027201 1 0129 255 104 104 22714041634165802164 2615 0all 274986041834173004323 2616 0 NAT的调试命令 课程内容 DHCP协议简介 当网络规模达到一定程度 它就开始变得难以管理 特别在手工分发IP地址的网络环境中为了减轻管理员跟踪记录手工分配IP地址的负担 IETF为此设计了动态主机配置协议 DynamicHostConfigurationProtocol DHCP DHCP采用客户端 服务器模式 从一个地址池中把IP地址分配给请求主机 它提供一种机制 允许计算机不必手工参与即可加入新的网络和获取IP地址 这个概念术语称作即插即用网络 plug and playnetworking DHCP也能提供其他信息 如网关IP DNS服务器 缺省域和网络范围内HOSTS文件的位置 DHCP消息格式 DHCP的报文类型 DHCPDISCOVER 客户端用于地址申请的广播报文 DHCPOFFER 服务器端对客户端DHCPDISCOVER报文的回复 包含了所提供的IP地址和网络配置信息 DHCPREQUEST 在不同的状态下 用途不同 a 在请求状态时 请求服务器同意开始使用所提供的IP地址 b 在更新状态 请求提供IP地址的服务器更新IP地址租用时间 c 在重绑定状态 广播请求子网中的服务器 是否允许继续使用当前的IP地址 DHCPACK 服务器端对客户端请求的同意报文 DHCPNAK 服务器端对客户端请求的否定报文 客户端必须重新开始申请 DHCPRELEASE 客户端主动终止IP地址的使用 用于释放IP地址报文 DHCPDECLINE 由于地址已经被使用 客户端对服务器提供的地址表示拒绝 DHCPINFORM 客户端要求服务器提供最新的网络配置信息 DHCP简单工作流程 客户机通过DHCPDISCOVER广播提出请求 也可直接请求租用的永久地址 服务器收到请求 返回附有一个可用地址的DHCPOFFER报文 客户机若收到多个DHCPOFFER报文 选择第一个的地址或其所请求的那个 客户机广播含有服务器标识的DHCPREQUEST报文并等待 服务器检查收到的DHCPREQUEST报文 当其中的标识与服务器相符 发回DHCPACK报文 如果所请求的IP已被分配或者租期已满 发回DHCPNAK报文 如果客户机收到DHCPACK报文 即开始使用IP地址 如它收到DHCPNAK 会重新开始整个过程 假如IP有问题 客户机会发送一个DHCPDECLINE报文给服务器并重新开始 DHCP客户端变迁 租用更新定时器 重绑定定时器 租用到期定时器 定时器重置为0 DHCP常用配置命令 DHCP配置范例 范例说明 maipu路由器routerA的f0口通过一台二层交换机与两台PC以及routerB相连 routerA作为DHCP服务器端 两台PC和routerB作为客户端 其中routerA的f0口ip地址为199 1 1 1 DHCP配置范例 routerA配置 routerB配置 DHCP的中继代理 中继代理 能中继服务器和客户机之间的交互报文 这样可以使服务器能处理不在该服务器所在子网的DHCP报文 这意味着不必为每一个子网设置一个服务器 为每一个子网设置一个服务器开销很大中继代理工作原理 DHCP客户机广播一个消息 中继代理把收到报文的接口对应的IP地址放到消息的giaddr 中继IP地址 域中 然后单播至服务器 服务器给中继代理返回应答 通过单播 应答分配的IP地址与giaddr域地址相同 中继代理会从giaddr域中IP地址对应的接口中广播应答 192 168 1 1 24 租用 DHCP消息 DHCP中继代理配置范例 范例说明 如图所示 routerA是一个dhcp的服务器 routerB是一个dhcp中继 routerA的f0口地址为129 255 1 1 和routerB的f0为199 1 1 1 e0的ip地址为129 255 1 2 所以routerA的地址池 是一个跨网段的为pc1和pc2分配地址 DHCP中继代理配置范例 routerA配置 routerB配置 DHCP监控命令 DHCP调试命令 课程内容 多机冗余热备协议介绍 VBRP VirtualBackupRouterProtocol MP HSRP HotStandbyRouterProtocol Cisco VRRP VirtualRouterRedundancyProtocol RFC2338 GLBP GatewayLoadBalancingProtocol Cisco 一个网络内的主机设置一条缺省路由 主机发出的目的地址不在本网段的报文将通过缺省路由发往网关路由器 为了提高网络稳定性和可靠性 采用多台机器共同承担网关的角色 形成主备关系或者负载均衡的冗余方式 VRRP协议介绍 VRRP 虚拟路由冗余协议 VirtualRouterRedundancyProtocol 就是为解决多机冗余备份问题而提出的 它为具有多播或广播能力的局域网 如 以太网 设计 VRRP协议是在CISCO的私有协议HSRP基础上进行简化后指定出来的 RFC2338 VRRP将局域网的一组路由器组织成一个虚拟的路由器 称之为一个备份组 这个虚拟的路由器 即备份组 拥有自己的IP地址 网络内的主机就通过这个虚拟的路由器来与其它网络进行通信 当备份组内的MASTER路由器坏掉时 备份组内的其它BACKUP路由器将会接替成为新的MASTER 继续向网络内的主机提供路由服务 从而实现网络内的主机不间断地与外部网络进行通信 VRRP相关概念 Master VRRP的一个状态 活动路由器处于该状态 且保证相关IP报文的转发 优先级高的路由器为master状态 Backup VRRP的一个状态 备份路由器处于该状态 且保证在活动路由器失效时 及时切换 Priority 接口上配置的优先级 VRRP报文结构 VRRP报文是一种多播IP报文 224 0 0 18 协议号是112 0 x70 VRID 接口配置的VirtualRouterIdentifier VRID 虚拟路由器ID Priority 接口上配置的优先级 拥有虚拟IP地址的路由器 VIP等于接口IP的路由器 priority等于255 其余路由器只能为1 254 缺省是100 CountIPAddr 虚拟IP地址的个数 一般等于1 VRRP工作流程 虚拟路由器的三种状态 初始化状态 Initialize 活动状态 master 备份状态 backup VRRP竞争原则 优先级为255的接口UP后自动成为Master 不进行竞争 优先级不为255的接口先进入Backup状态 设置dead定时器 在定时器超时前若没有收到VRRP报文则将自己设为Master参与竞争 各个接口通过VRRP报文比较优先级 优先级大者为Master 优先级相同则IP地址大的为Master 在若一个接口因为UP较早先进入Master状态 后来者的优先级比其高时抢占其为Master 需配置抢占功能 优先级相同时不取代 Master接口DOWN 重新进行竞争 若VRRP对路由器其他接口进行Track 则相应接口状态变化会对Master的优先级造成影响 引起重新竞争 VRRP相关命令 VRRP相关命令 VRRP配置范例 范例说明 如图所示 局域网里的pc1和pc2通过路由器router a router b与Internet相连 pc1 pc2均配置默认网关129 255 123 1 16 VRRP配置范例 routerA配置 routerB配置 VRRP的监控命令 VRRP的调试命令 debugvrrpevent信息 VRRP的调试命令 debugvrrppacket信息 debugvrrptimer信息 VBRP协议介绍 VBRP 虚拟备份路由协议 VirtualBackupRouterProtocol 兼容Cisco的HSRP热备份路由协议 HotStandbyRouterProtocol VBRP通过使多个路由器能够发出关于单个IP地址的请求来解决多机冗余备份问题在局域网中的用户将必须选择两个路由器之一为默认网关 当两个路由器上的VBRP起作用时 就产生了第三个虚拟路由器并且给它分配一个自己的IP地址 然后使用这个地址作为主机的默认网关 在任何一个给定的时间里 一个VBRP路由器是活动的路由器 同时一个VBRP路由器是备份路由器 活动的路由器对通过虚拟的IP地址的流量起作用 如果活动的路由器变得不可用了 备份的路由器将接管操作 VBRP相关概念 ActiveRouter 活动路由器 当前负责转发报文的路由器 StandbyRouter 备份路由器 主备份路由器 StandbyGroup 加入VBRP的一组路由器 它们共同维护一个虚拟的路由器 VBRP报文结构 VBRP报文是一种UDP报文 源和目的端口都是1985 在VBRP中定义了三种类型的报文 Hello报文 由活动路由器和备份路由器及处在竞选状态的路由器发送 向它们所在的组成员通知它们的存在 Resign报文 当活动路由器由于配置改变或关闭路由器等原因从VBRP组退出时 活动路由器将发送这个Resign报文 Coup报文 由于preempt配置命令导致一个路由器替换活动路由器时送出这个报文 如果那个路由器是备份路由器 它将成为