《网络基础设施安全》PPT课件.ppt

第七讲 网络基础设施安全 2 路由系统安全 目录 7 1局域网和VLAN7 2远程访问 拨号 7 3路由系统安全7 4网络管理系统安全7 5域名系统安全 7 3路由系统安全 7 3 1路由器工作原理简介7 3 2路由协议及安全特性7 3 3路由器自身的安全防护7 3 4访问控制列表7 3 5使用路由器防止拒绝服务的攻击 低端路由器外观 高端路由器外观 核心路由器外观 Interface Interface 路由器的内部结构 RAM ROM Flash NVRAM Interface CPU Interface console ConfigurationscancomefrommanysourcesConfigurationswillactindevicememory Consoleport Auxiliaryport Interfaces PCorUnixserver WeborNetworkManagementserver Virtualterminal 路由器配置方式 Telnet TFTP 超级终端 Step1 VerifycablingStep2 PoweronPCStep3 OpenHyperTerminalFolderStep4 OpenHyperTerminalStep5 DescribeConnection Step3and4 Step5 超级终端通信参数配置 Step6 SelectCOMporttobeused Step7 Selectproperties 路由器配置界面 Connect Disconnect Step8 AccessDevice Console 登录路由器 enableEnterpassword disable quit Usermodeprompt Privilegedmodeprompt 内存 ROM 只读存储器 ROM 只读存储器 存放引导程序和IOS的一个最小子集 相当于PC的BIOS 闪存 Flash 包含压缩的IOS和微代码 是一种可擦写 可编程的ROM 系统掉电时数据不会丢失 NVRAM No VoliateRAM 存放路由器的配置文件 系统掉电时数据不会丢失 内存 RAM RAM动态内存 系统掉电 内容丢失操作系统运行的空间 命令解释器 操作系统 进程 活动配置文件 路由表 缓冲区 路由器的启动过程 首先运行ROM的程序 系统自检和引导读Flash内的IOS 装入RAM中从NVRAM中读入路由器的配置信息计算并生成初始路由表通过与相邻路由器交换路由信息 更新 完善路由表 7 3路由系统安全 7 3 1路由器工作原理简介7 3 2路由协议及安全特性7 3 3路由器自身的安全防护7 3 4访问控制列表7 3 5使用路由器防止拒绝服务的攻击 NetworkProtocol DestinationNetwork ConnectedLearned 10 120 2 0172 16 1 0 ExitInterface E0S0 RoutedProtocol IP Routersmustlearndestinationsthatarenotdirectlyconnected 172 16 1 0 10 120 2 0 E0 S0 什么是路由 静态路由网络管理员手工输入不适合大规模网络环境 动态路由通过路由器之间的路由协议动态获取可以随着网络拓扑结构的变化而变化 动态路由和静态路由 172 16 2 1 SO 静态路由 StaticRoutes 172 16 1 0 B 172 16 2 2 Network A Configureunidirectionalstaticroutestoandfromastubnetworktoallowcommunicationstooccur B StubNetwork TransitNetwork StubNetwork iproute172 16 1 0255 255 255 0172 16 2 1 172 16 2 1 SO 静态路由举例 172 16 1 0 B 172 16 2 2 Network A B Thisisaunidirectionalroute Youmusthavearouteconfiguredintheoppositedirection StubNetwork iproute0 0 0 00 0 0 0172 16 2 2 缺省路由 172 16 2 1 SO 172 16 1 0 B 172 16 2 2 Network A B ThisrouteallowsthestubnetworktoreachallknownnetworksbeyondrouterA 什么是路由协议 路由协议用于路由器之间交换信息 这些信息用来决定最佳路径 维护路由表 NetworkProtocol DestinationNetwork ConnectedRIPIGRP 10 120 2 0172 16 2 0172 17 3 0 ExitInterface E0S0S1 RoutedProtocol IPRoutingprotocol RIP IGRP 172 17 3 0 172 16 1 0 10 120 2 0 E0 S0 AutonomousSystem100 AutonomousSystem200 IGPs RIP OSPF IGRP EGPs BGP 内部 外部网关路由协议 IGP EGP AnautonomoussystemisacollectionofnetworksunderacommonadministrativedomainIGPsoperatewithinanautonomoussystemEGPsconnectdifferentautonomoussystems 距离向量 链路状态路由协议 DistanceVector HybridRouting LinkState C B A D C D B A 距离向量路由协议 Passperiodiccopiesofroutingtabletoneighborroutersandaccumulatedistancevectors C D B A C B A D RoutingTable RoutingTable RoutingTable RoutingTable Distance HowfarVector Inwhichdirection Routersdiscoverthebestpathtodestinationsfromeachneighbor A B C 10 1 0 0 10 2 0 0 10 3 0 0 10 4 0 0 E0 S0 S0 S1 S0 E0 RoutingTable 10 2 0 0 10 3 0 0 0 0 RoutingTable 10 3 0 0 S0 0 10 4 0 0 E0 0 RoutingTable 10 1 0 0 10 2 0 0 0 0 距离向量 路由发现过程 Routersdiscoverthebestpathtodestinationsfromeachneighbor A B C 10 1 0 0 10 2 0 0 10 3 0 0 10 4 0 0 E0 S0 S0 S1 S0 E0 RoutingTable 10 1 0 0 10 2 0 0 10 3 0 0 RoutingTable 10 2 0 0 10 3 0 0 10 4 0 0 10 1 0 0 0 0 1 1 RoutingTable 10 3 0 0 S0 0 10 4 0 0 E0 0 10 2 0 0 1 1 0 0 距离向量 路由发现过程 距离向量 路由发现过程 Routersdiscoverthebestpathtodestinationsfromeachneighbor A B C 10 1 0 0 10 2 0 0 10 3 0 0 10 4 0 0 E0 S0 S0 S1 S0 E0 RoutingTable 10 1 0 0 10 2 0 0 10 3 0 0 10 4 0 0 RoutingTable 10 2 0 0 10 3 0 0 10 4 0 0 10 1 0 0 0 0 1 1 RoutingTable 10 3 0 0 S0 0 10 4 0 0 E0 0 10 2 0 0 S0 10 1 0 0 1 2 1 2 0 0 19 2kbps T1 T1 T1 距离向量路由协议用跳数 Hop 计算路径的尺度 metric 每30秒广播一次路由表 RIP简介 StartstheRIProutingprocess Router config routerrip Router config router networknetwork number SelectsparticipatingattachednetworksThenetworknumbermustbeamajorclassfulnetworknumber RIP配置命令 2 3 0 0 RIP配置实例 2 3 0 0 172 16 1 1 S2 E0 S3 192 168 1 1 10 1 1 1 10 2 2 2 10 1 1 2 S2 S3 10 2 2 3 172 16 1 0 A B C 192 168 1 0 E0 debugipripCommand RouterA debugipripRIPprotocoldebuggingisonRouterA 00 06 24 RIP receivedv1updatefrom10 1 1 2onSerial200 06 24 10 2 2 0in1hops00 06 24 192 168 1 0in2hops00 06 33 RIP sendingv1updateto255 255 255 255viaEthernet0 172 16 1 1 00 06 34 network10 0 0 0 metric100 06 34 network192 168 1 0 metric300 06 34 RIP sendingv1updateto255 255 255 255viaSerial2 10 1 1 1 00 06 34 network172 16 0 0 metric1 172 16 1 1 S2 E0 S3 192 168 1 1 10 1 1 1 10 2 2 2 10 1 1 2 S2 S3 10 2 2 3 172 16 1 0 A B C 192 168 1 0 E0 链路状态路由协议 Afterinitialflood passsmallevent triggeredlink stateupdatestoallotherrouters Link StatePackets SPFAlgorithm TopologicalDatabase ShortestPathFirstTree RoutingTable C A D B 7 3路由系统安全 7 3 1路由器工作原理简介7 3 2路由协议及安全特性7 3 3路由器自身的安全防护7 3 4访问控制列表7 3 5使用路由器防止拒绝服务的攻击 使用边界路由器保护内部网络 路由其自身的安全保护路由协议安全配置路由器实现访问控制防止DoS攻击 保护路由器自身的安全 控制对路由器的访问控制台访问TelnetHTTPSNMP关闭不必要的服务路由协议认证审计 控制台访问 物理安全 在路由器加电启动时 可以通过按 Break 键 进入口令恢复过程通过修改寄存器的值 可以使启动过程绕过口令验证设置控制台口令 Router config lineconsole0Router config line loginRouter config line passwordpassword 控制台访问 设置口令加密缺省条件下 enable口令是明文存储的 很容易被看到 控制台 telnet 两种方式 Servicepassword encryptionenablesecret router showrunning configenablepassword714141B180FB0 linecon0password7094F71A1A0A 控制台访问 口令加密enablesecret超时退出 router showrunning config enablesecret5 1 6cWV inD7guHPLlD3ZmdX08MMS router config lineconsole0router config line exec timeout230 控制Telnet HTTP的访问 telnet口令Telnet端口在路由器上被称为vty端口必须在vty上配置一个启用口令才能通过telnet访问控制列表 Router config linevty04Router config line loginRouter config line passwordshakespeare Router config access list21permit10 1 1 4Router config line linevty04Router config line access class21in 控制SNMP的访问 SNMP概述 GET SET UDP161 UDP162 TRAP Manager Agent MIBs 控制SNMP的访问 SNMPv1Communityname明文传输没有访问控制用snmpwalk等工具可以得到路由器的配置性SNMPv2增加了视图的概念 访问控制机制 Router config snmp servercommunitypassword1roRouter config snmp servercommunitypassword2rw 控制SNMP的访问 SNMPTRAP设备启动 链路中断 链路启动 认证失败等访问控制 Router config snmp serverhost10 11 1 11trap Router config access list1permit10 1 1 4Router config access list1permit10 1 1 5Router config snmp servercommunityprivaterw1 关闭不必要的服务 Noservicetcp small serversnoserviceudp small serversnoservicefingernoserviceipdomain lookupnocdpenablenoproxyarpnoipdirected broadcast 保护路由器之间的通信 路由器假冒 路由欺骗相邻路由器认证明文认证MD5认证 PPPCHAP认证 7 3路由系统安全 7 3 1路由器工作原理简介7 3 2路由协议及安全特性7 3 3路由器自身的安全防护7 3 4访问控制列表7 3 5使用路由器防止拒绝服务的攻击 用路由器实现访问控制 访问控制列表的配置原则路由器总是自顶向下顺序检查所有规则 因此 配置规则时要从具体到一般 如主机 子网 网络 任何网络permit192 168 2 1deny192 168 2 00 0 0 255permitany常发生的放在列表的前面隐含拒绝一切新增加的行将放在末尾未定义的访问控制列表等与允许一切 标准型和扩展型访问控制列表 标准型access listnumpermit denysource wildcard log access list10permit10 1 1 3access list10deny10 1 1 30 0 0 255access list10permit10 1 1 3 标准型和扩展型访问控制列表 扩展型访问控制列表access listnumpermit denyprocsrcdst interfaceeth1ipaccess group103inaccess list103permittcpany172 16 1 00 0 255 255establishedaccess list103permittcpanyhost172 16 1 3eqsmtp 172 16 1 0 Ethe1 internet 实例 internet 内部网10 1 2 0 24 允许所有外出的数据流 允许所有由内部发起的外来的数据流 拒绝其他的数据流 并记录这些访问企图 s0 Router config access list47permit10 1 2 00 0 0 255Router config access list103permittcpanyanyestablishedRouter config access list103denyanyanyRouter config interfaceserial0Router config if ipaccess group47outRouter config if ipaccess group103in 7 3路由系统安全 7 3 1路由器工作原理简介7 3 2路由协议及安全特性7 3 3路由器自身的安全防护7 3 4访问控制列表7 3 5使用路由器防止拒绝服务的攻击 防止DOS攻击 noipdirected broadcast入流量过滤 出流量过滤CAR committedaccessrate 限制某种类型包的发送速率 interfaceserial0rate limitoutputaccess group1051540000512000786000conform actiontransmitexceed actiondropaccess list105permiticmpanyanyecho reply 过滤出入的包 进入过滤 interfaceSerial0ipaddress10 80 71 1255 255 255 0ipaccess group11inaccess list11deny192 168 0 00 0 255 255access list11deny172 16 0 00 15 255 255access list