路由器的安全

路由器的安全第1页，共121页，2023年，2月20日，星期四路由器的安全配置创建有效的安全策略路由器的安全目标防止对路由器的未经授权的访问（保护路由器本身）防止对网络的未经授权的访问（通过路由器来保护网络）防止网络数据窃听防止欺骗性路由更新 路由器的安全配置路由器访问安全路由器网络服务安全配置：访问控制列表和过滤： 路由和路由协议的安全配置 日志和管理 路由网络接入服务的安全性 如何防止DDoS攻击第2页，共121页，2023年，2月20日，星期四创建安全策略安全策略的性质安全策略的两个级别部署安全策略的基础第3页，共121页，2023年，2月20日，星期四安全策略的性质安全策略意味着折衷保证对用户访问和效率的影响最小的情况下提供最大的安全性安全策略应根据企业需要来确定由需要来支配制定安全策略安全策略的动态性根据业务、技术、资源配置的变化而变化第4页，共121页，2023年，2月20日，星期四安全策略的两个级别需求级安全策略：定义防止网络资源遭受入侵或破坏的保护程度，并对违反安全策略的代价进行估计。实施级安全策略使用具体的技术，以预先定义的方式来实施需求级安全策略。第5页，共121页，2023年，2月20日，星期四部署安全策略的基础找出需要保护的网络资源确定危险之处限制访问范围找出假设情况确定安全措施的代价考虑认为因素保持有限的机密实施具有普遍性的、可调整的安全策略了解典型的网络功能物理安全第6页，共121页，2023年，2月20日，星期四路由器的安全策略路由器的安全目标*需求级*防止对路由器的未经授权的访问（保护路由器本身）防止对网络的未经授权的访问（通过路由器来保护网络）防止网络数据窃听防止欺骗性路由更新 路由器的安全配置*实施级*路由器访问安全路由器网络服务安全配置：访问控制列表和过滤： 路由和路由协议的安全配置 日志和管理 路由网络接入服务的安全性 如何防止DDoS攻击第7页，共121页，2023年，2月20日，星期四路由器安全的原则和目标路由器安全的原则和目标防止对路由器的未经授权的访问（保护路由器本身）防止对网络的未经授权的访问（通过路由器来保护网络）防止网络数据窃听防止欺骗性路由更新

第8页，共121页，2023年，2月20日，星期四防止对路由器的未经授权的访问（保护路由器本身）物理安全操作系统的安全性路由配置文件的安全防止对网络的未经授权的访问（通过路由器来保护网络）基于tcp/ip数据包过滤原理、实行入站过滤和出站过滤允许要求的协议和服务通过拒绝有危险的协议和服务防止网络数据窃听防止欺骗性路由更新路由器安全的原则和目标第9页，共121页，2023年，2月20日，星期四路由器的安全配置路由器安全的原则和目标 路由器的安全配置

路由器访问安全 路由器网络服务安全配置 访问控制列表和过滤 路由和路由协议的安全配置 日志和管理 路由网络接入服务的安全性 如何防止DDoS攻击第10页，共121页，2023年，2月20日，星期四路由器访问安全

物理访问的严格控制物理运行环境的安全性远程访问控制随时更新IOS操作系统口令安全管理交互式访问控制第11页，共121页，2023年，2月20日，星期四物理访问的严格控制只有网络管理员可以接触路由器，由管理员负责路由器的安全性最好有门卫、管理员或电子监控设备，能够对设备进行7*24小时的监控。同时不能使授权人员接触路由器的过于困难。第12页，共121页，2023年，2月20日，星期四物理攻击的例子（1）一个管理员或攻击者可以通过简单的终端或主机来连接到console口来可以通过物理接触来达到对一个路由器完全具有管理员权限的权利具体方法做简单的说明：当路由器重启动的开始几秒如果发送一个Break信号到控制台端口，则利用口令恢复程式可以很容易控制整个系统。这样如果一个攻击者尽管他没有正常的访问权限，具有系统重启（切断电源或系统崩溃）和访问控制端口（通过直连终端、Modem、终端服务器）的能力就可以控制整个系统。所以必须保证所有连结控制端口的访问的安全性。（2）闪存

一个可以物理接触路由器的攻击者可以通过更换闪存的办法，可以使路由器从他的山村启动，运行攻击者的ios系统版本和配置。对这种攻击的防范只能从限制物理接触来防范。必须保证物理上的安全性。

第13页，共121页，2023年，2月20日，星期四物理运行环境的安全性

合适的温度和湿度不受电磁干扰使用ups电源供电等。

第14页，共121页，2023年，2月20日，星期四远程访问控制

使用访问控制来限制远程管理的接入主机（从物理安全性来考虑）可能的话最好用加密的方式来保护路由器与远程主机的通信的机密性。console和aux(辅助端口）的安全配置路由器访问IP限制命令：

access-list3permit55access-list3permit55access-list3denyanylinevty04access-class3in第15页，共121页，2023年，2月20日，星期四远程访问控制主要区别是口令恢复的方法只能用在con口上；

在大多数情况下aux是不用的；

设置console过期时间来保持安全性

操作：linecon0exec-timeout50

禁止aux(辅助端口）

口：一般不需要

操作：lineaux0

noexec

transportinputnone

第16页，共121页，2023年，2月20日，星期四随时更新IOS操作系统新的ios对旧版本的漏洞或bugs都会作出修复。CiscoUpgradeCBOS2.4.5

/warp/public/707/第17页，共121页，2023年，2月20日，星期四认证口令安全管理线路口令认证(从控制台或VTY登录的时候用）本地用户名认证AAA（推荐方法）最好的口令处理方法是将这些口令保存在TACACS+或RADIUS或KerBeros认证服务器上。第18页，共121页，2023年，2月20日，星期四口令安全管理

线路口令认证线路口令：(从控制台或VTY登录的时候用）passwordpasswordlogin有效（特权）口令设置命令：Enablesecretpassword（Enablepasswordpassword）本地用户认证usernamerouteradminpassword70317B21895FElinevty04loginlocal第19页，共121页，2023年，2月20日，星期四本地口令安全配置使用enablesecret命令enablesecret命令用于设定进入特权EXEC模式的静态口令。

enablepassword和enablesecret的区别enablepassword采用的加密算法比较弱。而enablesecret命令采用的是MD5算法，这种算法很难进行破译的。但是这种MD5算法对于字典式攻击还是没有办法。

使用servicepassword-encryption（密码加密服务） 这条命令用于对存储在配置文件中的所有口令和类似数据（如CHAP）进行加密。避免当配置文件被不怀好意者看见，从而获得这些数据的明文。 但是servicepassword-encrypation的加密算法是一个简单的维吉尼亚加密，很容易被破译。

所以不要以为加密了就可以放心了，最好的方法就是选择一个长的口令字，避免配置文件被外界得到。且设定enablesecret和servicepassword-encryption。

第20页，共121页，2023年，2月20日，星期四多级权限配置

缺省条件下，CiscoIOS只有一个超级权限的口令，可以配置CiscoIOS有多达16个级别的权限及其口令。可以设置通过某个级别的口令登录的用户只允许使用某些命令。

设置步骤：

1.设置某条命令属于某个级别，在全局设置模式下

privilegemodelevel级别

命令关键字noprivilegemodelevel级别

命令关键字注意：CiscoIOS可以定制0-15个级别权限。0-15级别中，数字越大，权限越高，权限高的级别继承低权限的所有命令。

2.设置某个级别的口令

enablesecretlevel级别

口令

通过多级权限，可以根据管理要求，授予相应的工作以相应的权限。第21页，共121页，2023年，2月20日，星期四TACACS认证认证配置(TACACS认证)aaanew-modelaaaauthenticationlogindefaulttacacs+enableaaaauthenticationenabledefaulttacacs+enable（是否可以访问特权级别的命令）aaaaccountingexecstart-stoptacacs+iptacacssource-interfaceLoopback0tacacs-serverhosttacacs-serverhost0tacacs-serverkeyCKr3t#（对传输的信息进行加密）linevty04loginauthenticationdefaultlocal第22页，共121页，2023年，2月20日，星期四交互式访问控制登录路由器的方法：直连的控制台终端登录Modem拨号登录支持如Telnet、rlogin、Ssh以及非基于IP的网络协议如LAT、MOP、X.29和V.120等的远程网络登录本地的异步终端和拨号Modem用标准的"TTYs"。远地的网络连结不管采用什么协议都是虚拟的TTYs，即"VTYs"。第23页，共121页，2023年，2月20日，星期四控制VTY（虚拟终端）任何VTY应该仅允许指定的协议建立连结。利用transportinput命令。如一个VTY只支持Telnet服务，可以如下设置transportinputtelnet。transportinputssh。仅允许的ip地址范围可以利用ipaccess-class限制访问VTY的。第24页，共121页，2023年，2月20日，星期四控制VTY（虚拟终端）防止对能被利用进行Dos（拒绝服务攻击）。这里攻击者不必登录进入，只要建立连结，到login提示符下就可以，消耗到所有的VTYs。好的防御方法：利用ipaccess-class命令限制最后一个VTYs的访问地址，只向特定管理工作站打开。而其他的VTYs不限制，从而既保证了灵活性，也保证关键的管理工作不被影响。另一个方法是利用exec-timeout命令，配置VTY的超时。避免一个空闲的任务一直占用VTY。类似的也可以用servicetcp-keepalives-in保证Tcp建立的连结是活动的，从而避免恶意的攻击或远端系统的意外崩溃导致的资源独占。更好的保护VTY的方法是关闭所有非基于IP的访问，且使用IPSec加密所有的远端与路由器的连结。

第25页，共121页，2023年，2月20日，星期四设置timeout设置timeout（超过这个时间无任何操作，就取消该会话）linecon0exec-timeout50lineaux0exec-timeout100linevty04exec-timeout50servicetcp-keepalives-in第26页，共121页，2023年，2月20日，星期四路由器的安全路由器安全的原则和目标 路由器的安全配置 路由器访问安全

路由器网络服务安全配置 访问控制列表和过滤 路由和路由协议的安全配置 日志和管理 路由网络接入服务的安全性 如何防止DDoS攻击第27页，共121页，2023年，2月20日，星期四路由器网络服务安全配置

基于TCP和UDP协议的小服务

echo、chargen和discard。Finger、NTP、CDP等服务第28页，共121页，2023年，2月20日，星期四基于TCP和UDP协议的小服务

这些服务很少被使用，而且容易被攻击者利用来越过包过滤机制。如echo服务，就可以被攻击者利用它发送数据包，好像这些数据包来自路由器本身。所以最好禁止这些服务。命令：noservicetcp-small-serversnoserviceudp-small-servers第29页，共121页，2023年，2月20日，星期四Finger、NTP、CDP等服务

服务作用Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错。CDP可能被攻击者利用获得路由器的版本等信息，从而进行攻击。安全配置：可以禁止上述服务。命令：noservicefingernontpenabelnocdprun(全局配置)nocdpenable(端口配置)

noipbootpserver

第30页，共121页，2023年，2月20日，星期四以下端口服务通常可以关闭：noipredirectsnoipdirected-broadcast第31页，共121页，2023年，2月20日，星期四路由器安全的原则和目标 路由器的安全配置 路由器访问安全 路由器网络服务安全配置

访问控制列表和过滤 路由和路由协议的安全配置 日志和管理 路由网络接入服务的安全性 如何防止DDoS攻击第32页，共121页，2023年，2月20日，星期四访问控制列表和过滤访问控制列表配置原则访问控制列表配置防止外部IP地址欺骗

防止外部的非法探测

保护路由器不受攻击

阻止对关键端口的非法访问

对内部网的重要服务器进行访问限制

第33页，共121页，2023年，2月20日，星期四访问控制列表配置原则可以在网络的任何一点进行限制，但是最好在网络的边界路由器上进行，因为在网络内部是难于判断地址伪造的。最好对接口进入的数据进行访问控制（用ipaccess-grouplistin）。因为输出列表过滤只保护了位于路由器后的网络部分，而输入列表数据过滤还保护了路由器本身不受到外界的攻击。不仅对外部的端口进行访问控制，还要对内部的端口进行访问控制。因为可以防止来自内部的攻击行为

所有向内对话应用于路由器外部接口的IN方向，所有向外对话应用于路由器外部接口的OUT方向。

第34页，共121页，2023年，2月20日，星期四访问控制列表配置说明防止外部IP地址欺骗

防止外部的非法探测

保护路由器不受攻击

阻止对关键端口的非法访问

对内部网的重要服务器进行访问限制

针对最新蠕虫防范的访问列表第35页，共121页，2023年，2月20日，星期四防止外部IP地址欺骗access-list101denyip55any

access-list101denyip55any

access-list101denyip55any

阻止源地址为私有地址的所有通信流。access-list101denyip55any

阻止源地址为回环地址的所有通信流。

access-list101denyip55any

阻止源地址为多目的地址的所有通信流。

access-list101denyiphostany

阻止没有列出源地址的通信流。

注：可以在外部接口的向内方向使用101过滤。

第36页，共121页，2023年，2月20日，星期四防止外部的非法探测

access-list102denyicmpanyanyecho

阻止用ping探测网络。

access-list102denyicmpanyanytime-exceeded

阻止用traceroute探测网络。

注：可在外部接口的向外方向使用102过滤。在这里主要是阻止答复输出，不阻止探测进入。

第37页，共121页，2023年，2月20日，星期四保护路由器不受攻击

路由器:外部接口serial0的IP为，内部接口fastethernet0的IP为

access-list101denytcpanyeq23

access-list101denytcpanyeq23

access-list101denyudpanyeq161

access-list101denyudpanyeq161第38页，共121页，2023年，2月20日，星期四阻止对关键端口的非法访问

access-list101denytcpanyanyeq135access-list101denytcpanyanyeq137access-list101denytcpanyanyeq138access-list101denytcpanyanyeq139access-list101denyudpanyanyeq135access-list101denyudpanyanyeq137access-list101denyudpanyanyeq138access-list101denyudpanyanyeq139第39页，共121页，2023年，2月20日，星期四对内部网的重要服务器进行访问限制

允许外部用户到Web服务器的向内连接请求。

允许Web服务器到外部用户的向外答复。

允许外部SMTP服务器向内部邮件服务器的向内连接请求。

允许内部邮件服务器向外部SMTP服务器的向外答复。

允许内部邮件服务器向外DNS查询。

允许到内部邮件服务器的向内的DNS答复。

允许内部主机的向外TCP连接。

允许对请求主机的向内TCP答复。

第40页，共121页，2023年，2月20日，星期四针对sql-slammer、Netbios_Worm.Dvldr_蠕虫

的访问列表access-list110denyudpanyanyeq1434access-list110denytcpanyanyeq445access-list110denytcpanyanyeq5800access-list110denytcpanyanyeq5900access-list110deny255anyanyaccess-list110deny0anyanyaccess-list110permitipanyany第41页，共121页，2023年，2月20日，星期四基本访问列表实现会话过滤使用基本的标准访问列表和静态扩展访问列表实现会话过滤，可以通过在permit命令中使用关键字established，近似地实现会话过滤。established关键字根据是否设置了ACK或RST位来过滤TCP包（设置了ACK或RST位后，说明这个包不是会话的第一个包）。---使用关键字established的第一种方法只适用于TCP上层协议，对其它上层协议（比如UDP、ICMP等等），则要么允许所有输入流量，要么为每个协议定义所有可能的源主机和目的主机或源端口地址和目的端口地址对（它不但是一个不可管理的任务，而且还占用了NVRAM空间）。-这种过滤标准可以作为访问列表的一部分长期应用到接口上。第42页，共121页，2023年，2月20日，星期四反射访问列表与基本访问列表实现会话过滤的区别使用反射访问列表实现会话过滤反射访问列表提供了一种真正意义的会话过滤，过滤规则相匹配（例如，除了检查ACK和RST位外，源地址、目的地址和端口号也要被检查），所以反射访问列表能更有力地抵御欺诈。会话过滤使用临时过滤器，在会话结束时，临时过滤器被删除，这样，就把黑客的攻击机会缩小到了一个更小的时限窗口。第43页，共121页，2023年，2月20日，星期四反射访问列表的工作方式当一个新的IP高层会话（如TCP或UDP）从网络内部发起、并将包传送到外部网络时，反射访问列表被触发。触发后，反射访问列表生成一个新的临时入口，如果外部来的流量是这个会话的一部分，则此入口将允许它进入网络内部，如果不是会话的一部分，则被禁止进入网络内部。例如，如果有一个TCP包从内部网络往外传送，并且这个包是TCP会话的第一个包，则将产生一个新的临时反射访问列表入口，这个入口附加在应用于输入流量的反射访问列表上，并具有下述特征：此入口总是一个允许（permit）入口。入口指定的协议与初始输出的TCP包的协议相同。第44页，共121页，2023年，2月20日，星期四反射访问列表的特点反射访问列表基于上层会话信息过滤IP包。使用反射访问列表，可以允许源自内部网络的IP会话流量，而拒绝源自外部网络的IP会话流量，这一任务通过反射过滤（一种会话过滤）来完成。反射访问列表只能使用扩展的命名IP访问列表来定义。不可以使用数字名或标准命名的IP访问列表或使用其它协议的访问列表来定义反射访问列表。可以把反射访问列表和其它标准访问列表或静态访问列表结合起来使用。反射访问列表对进入网络的外部分组有更强的控制能力。第45页，共121页，2023年，2月20日，星期四反射访问列表的特点反射访问列表和其它访问列表有许多相似之处。反射访问列表包含了用于定义允许IP包规则的条件语句（入口），这些入口按次序求值，当出现一个匹配时，其它入口便不再求值。反射访问列表也与其它类型的访问列表存在一些重要的差异。反射访问列表只包含临时入口，这些入口在新的会话开始（有一个输出包）时创建，并在会话结束时删除。反射访问列表自身并不直接应用到接口，而是嵌套地通过扩展命名IP访问列表应用到接口。由于嵌套的原因，反射访问列表的最后不存在隐含的“拒绝所有流量（DenyAllTraffic）”语句。第46页，共121页，2023年，2月20日，星期四反射访问列表的配置ipaccess-listextendedname对于外部接口：指定输出访问列表对于内部接口：指定输入访问列表permitprotocolanyanyreflectname[timeoutseconds]使用反射permit入口定义反射访问列表，为每个IP上层协议重复这个步骤，例如，用户既可为TCP会话、也可为UDP会话定义反射过滤。可以在多个协议中使用相同的名字。ipaccess-groupnameout或ipaccess-groupnamein对于外部接口：把扩展访问列表应用于接口的输出型流量对于内部接口：把扩展访问列表应用于接口的输入型流量第47页，共121页，2023年，2月20日，星期四反射访问列表的配置evaluatename增加一个指向反射访问列表的入口，为先前定义了名字的每个反射访问列表都增加一个入口ipreflexive-listtimeoutseconds更改临时访问列表入口的全局超时值（没有会话数据流后多常时间内，反射访问列表被删除）第48页，共121页，2023年，2月20日，星期四路由器安全的原则和目标 路由器的安全配置 路由器访问安全 路由器网络服务安全配置 访问控制列表和过滤

路由和路由协议的安全配置

日志和管理 路由网络接入服务的安全性 如何防止DDoS攻击第49页，共121页，2023年，2月20日，星期四路由和路由协议的安全

路由的安全防范Smurf攻击防止源路由攻击Icmp重定向攻击防止盗用内部IP地址防止DDoS攻击路由协议的安全

第50页，共121页，2023年，2月20日，星期四这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。攻击的过程是这样的：WoodllyAttacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是Woolly希望攻击的系统。这种攻击的前提是，路由器接收到这个发送给IP广播地址（如55）的分组后，会认为这就是广播分组，并且把以太网广播地址FF:FF:FF:FF:FF:FF:映射过来。这样路由器人因特网上接收到该分组，会对本地网段中的所有主机进行广播。第51页，共121页，2023年，2月20日，星期四防范Smurf攻击

“smurf”攻击原理：攻击者通过不断的发送一个源地址为非法地址的直接广播包到攻击的子网。从而导致子网的所有主机向这个非法地址发送响应，最终导致目的网络的广播风暴。

第52页，共121页，2023年，2月20日，星期四第53页，共121页，2023年，2月20日，星期四防范Smurf攻击

阻止从你的网络中发起的Smurf攻击

Access-list100permitIP{你的网络号}{你的网络子网掩码}any

Access-list100denyIPanyany

防止本网络做为中间代理

如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播，命令如下：

noipdirected-broadcast

边界路由器上使用以下命令：

ipverifyunicastreverse-path

让路由器对具有相反路径的ICMP欺骗数据包进行校验，丢弃那些没有路径存在的包。

第54页，共121页，2023年，2月20日，星期四Icmp重定向攻击

Icmp重定向攻击也是一种常用的路由攻击方法。攻击者通过发送错误的重定向信息给末端主机，从而导致末端主机的错误路由。将本应送到正确目标的信息重定向到它们指定的设备，从而获得有用信息

禁止外部用户使用ICMP重定向的命令如下：

interfaceserial0

noipredirects

第55页，共121页，2023年，2月20日，星期四防止外部源路由欺骗

源路由选择是指使用数据链路层信息来为数据报进行路由选择。该技术跨越了网络层的路由信息，使入侵者可以为内部网的数据报指定一个非法的路由，这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。

禁止使用源路由的命令如下：

noipsource-route

第56页，共121页，2023年，2月20日，星期四防止盗用内部IP地址

攻击者可能会盗用内部IP地址进行非法访问。针对这一问题，可以利用Cisco路由器的ARP命令将固定IP地址绑定到某一MAC地址之上。具体命令如下：

arp固定IP地址MAC地址arpa

第57页，共121页，2023年，2月20日，星期四路由协议的安全

路由邻接认证RIP协议的漏洞和防范措施BGP协议的漏洞和防范措施OSPF协议的漏洞和防范措施第58页，共121页，2023年，2月20日，星期四邻接认证的必要性没有邻接认证的危险：未授权的或故意的恶意路由更新可能危害网络通信的安全性。如果一个非友好的团体转移或者分析网络中的通信流，就会造成安全问题。例如，未经授权的路由器可以发送假的路由更新信息，使你的路由器确信向一个不正确的目的地发送数据流。这种转移的通信可以用来进行分析，以掌握网络组织的机密信息，或者仅仅给组织机构的有效通信造成混乱。邻接认证的优点：无论何时在邻接路由器之间交换路由更新信息时，都将进行邻接认证。确保路由器从可靠的来源接收到可以依赖的路由信息，防止路由更新欺诈。第59页，共121页，2023年，2月20日，星期四邻接认证工作原理与工作方式工作原理：当在路由器上配置了邻接认证时，该路由器对其收到的每个路由更新包的来源都要进行认证。认证过程通过交换认证密钥或消息摘要（有时称为口令）完成，该密钥对于发送路由器和接收路由器都是已知的。认证方式明文文本认证消息摘要算法版本5（MD5）认证。这两种认证形式的工作方式完全相同。第60页，共121页，2023年，2月20日，星期四明文文本认证明文文本认证方式：每台参予邻接认证的路由器必须共享一个认证密钥。该密钥是在配置每个路由器时指定的。有些协议可以指定多个密钥；每个密钥必须使用一个密钥号标识认证过程：步骤1某个路由器向邻接的路由器发送带密钥及该密钥对应的密钥号的路由更新。在只能有唯一一个密钥的协议中，密钥号总是零。步骤2接收（邻接）路由器检查收到的密钥，与存储在自身存储器内的密钥比较，看是否相同。步骤3如果两个密钥匹配，则接收路由器接受路由更新包。如果不匹配，则拒绝路由更新包。下述协议使用明文文本认证：DRP服务代理协议IS-IS协议lOSPF协议RIP协议版本2第61页，共121页，2023年，2月20日，星期四MD5认证认证方式：路由器使用MD5算法产生该密钥的一条消息摘要（也叫做散列）。然后发送消息摘要，而不是密钥本身。确保在信息传输期间，没有人能够在线路上窥视并掌握密钥。MD5认证过程与明文文本认证的过程相同。下述协议使用MD5认证：OSPF协议RIP协议版本2BGP协议IP增强的IGRP协议第62页，共121页，2023年，2月20日，星期四使用邻接认证的协议使用邻接认证的协议邻接认证可以配置下述路由协议：边界网关协议（BGP，BorderGatewayProtocol）DRP服务器代理协议(DRPServerAgent)中间系统对中间系统协议（IS-IS，IntermediateSystem-to-IntermediateSystem）IP增强的内部网关路由协议（IGRP,IPEnhancedInteriorGatewayRoutingProtocol）开放的最短路径优先协议（OSPF，OpenShortestPathFirst）第二版路由信息协议（RIP，RoutingInformationProtocolversion2第63页，共121页，2023年，2月20日，星期四RIP协议的基本特点

基于距离矢量的路由协议，其所有路由基于(hop)跳数来衡量。RIP是作为一种内部网关协议(interiorgatewayprotocol)，即在自治系统内部执行路由功能。外部网关路由协议(exteriorgatewayprotocol)，如边缘网关协议（BGP），在不同的自治系统间进行路由。RIP协议对大型网络来说不是一个好的选择，因为它只支持15跳，RIP协议能和其他路由协议共同工作，依照Cisco，RIP协议经常用来与OSPF协议相关联.第64页，共121页，2023年，2月20日，星期四RIP协议的漏洞和脆弱点RIPv1天生就有不安全因素，因为它没有使用认证机制并使用不可靠的UDP协议进行传输。RIP信息包可以很容易的伪造.RIPv2的分组格式中包含了一个选项可以设置16个字符的明文密码字符串(表示可很容的被嗅探到)或者MD5签字。虽然RIP信息包可以很容易的伪造，但在RIPv2中你使用了MD5签字将会使欺骗的操作难度大大提高。RIP更新提交的路由可以通过其他路由协议重新分配，这样如果一攻击者能通过RIP来欺骗路由到网络，然后再通过其他协议如OSPF或者不用验证的BGP协议来重新分配路由，这样攻击的范围将可能扩大。

第65页，共121页，2023年，2月20日，星期四RIP协议的探测一个测试者或者攻击者可以通过探测520UDP端口来判断是否使用RIP，你可以使用熟悉的工具如nmap来进行测试，如下所示，这个端口打开了并没有使用任何访问控制联合任意类型的过滤：

[root@test]#nmap-sU-p520-vrouter.ip.address.2interestingportson(router.ip.address..2):PortStateService520/udpopenroute第66页，共121页，2023年，2月20日，星期四攻击的方式有些工具组合可以比较容易的进行RIP欺骗攻击攻击，这些工具是使用rprobe来获得远程网络RIP路由表，使用标准的tcpdump或者其他嗅探工具来查看路由表，srip来伪造RIP信息包(v1或者v2)，

再用fragrouter重定向路由来通过我们控制的主机，并使用类似dsniff的工具来最后收集一些通信中的明文密码。

第67页，共121页，2023年，2月20日，星期四防范措施建议：采用RIPv2（具有MD5安全机制）代替RIPv1协议；使用MD5认证的OSPF来提高安全性。

第68页，共121页，2023年，2月20日，星期四BGP是ExteriorGatewayProtocol(EGP，外部网关协议)BGP协议执行自主系统之间的路由，BGP4是最近的流行标准。BGP使用几种消息类型，最重要的消息是UPDATE消息类型，这个消息包含了路由表的更新信息，全球INTERNET大部分依靠BGP第69页，共121页，2023年，2月20日，星期四BGP协议相关的漏洞和防范措施

u

由于BGP使用了TCP的传输方式，它就会使BGP引起不少关于TCP方面的问题，如很普遍的SYNFlood攻击，序列号预测，一般拒绝服务攻击等。

u

部分BGP的实现默认情况下没有使用任何的认证机制，而有些可能存在和RIP同样的问题就是使用了明文密码。这样假如认证方案不够强壮的话，攻击者发送UPDATE信息来修改路由表的远程攻击的机会就会增加许多，导致进一步的破坏扩大。

u

BGP也可以传播伪造的路由信息，如果攻击者能够从一协议如RIP中修改或者插入路由信息并由BGP重新分配。这个缺陷是存在与信任模块中而不是其协议本身。第70页，共121页，2023年，2月20日，星期四BGP协议相关的漏洞和防范措施BGP使用TCP179端口来进行通信，因此nmap必须探测TCP179端口来判断BGP的存在。

[root@test]#nmap-sS-p179-vrouter.ip.address.2Interestingportson(router.ip.address..2):PortStateService179/tcpopenbgp

-一个开放的BGP端口，更容易被攻击

[root@test]#nmap-sS-n-p179router.ip.address.6Interestingportson(router.ip.address.6):PortStateService179/tcpfilteredbgp

BGP端口被过滤了，对攻击有一定的抵抗力。

第71页，共121页，2023年，2月20日，星期四BGP协议相关的漏洞和防范措施建议：要使BGP更安全，你最好对端口179采用访问列表控制，使用MD5认证。第72页，共121页，2023年，2月20日，星期四OSPF是动态连接状态路由协议，其保持整个网络的一个动态的路由表并使用这个表来判断网络间的最短路径；OSPF是内部使用连接状态路由协议，协议通过向同层结点发送连接状态信息（LSA）工作，当路由器接收到这些信息时，它就可以根据SPF算法计算出到每个结点的最短路了。；一旦路由器接受到Hello信息包，它就开始同步自己的数据库和其他路由一样；第73页，共121页，2023年，2月20日，星期四OSPF可以被配置成：没有认证机制；使用明文密码认证；MD5；这样如果攻击者能获得一定程度的访问，如他们可以使用如dsniff等工具来监视OSPF信息包和或者明文密码，这个攻击者可以运行divertsocket或者其他可能的各种类型ARP欺骗工具来重定向通信。安全建议配置成MD5认证

第74页，共121页，2023年，2月20日，星期四OSPF认证需要KEY的交换，每次路由器必须来回传递这个KEY来认证自己和尝试传递OSPF消息，路由器的HELLO信息包在默认配置下是每10秒在路由器之间传递，这样就给攻击者比较的大机会来窃听这个KEY，如果攻击者能窃听网络并获得这个KEY的话，OSPF信息包就可能被伪造，更严重的会盲目重定向这些被伪造的OSPF信息包。当然这些攻击少之又少，不只是其难度，重要的是因为还有其他更容易的安全漏洞可以利用，谁不先捏软柿子.第75页，共121页，2023年，2月20日，星期四OSPF使用协议类型89，因此你可以使用nmap协议扫描来判断OSPF，除非网络通过配置访问列表来不响应这些类型的查询。如下所示：

root@test]#nmap-sO-router.ip.address.252Interestingprotocolson(router.ip.address.252):ProtocolStateName89openospfigp第76页，共121页，2023年，2月20日，星期四路由器安全的原则和目标 路由器的安全配置 路由器访问安全 路由器网络服务安全配置： 访问控制列表和过滤： 路由和路由协议的安全配置

日志和管理

路由网络接入服务的安全性 如何防止DDoS攻击第77页，共121页，2023年，2月20日，星期四第78页，共121页，2023年，2月20日，星期四Cisco路由器支持如下的日志

AAA日志：主要收集关于用户拨入连结、登录、Http访问、权限变化等。这些日志用TACACS+或RADIUS协议送到认证服务器并本地保存下来。这些可以用aaaaccouting实现。Snmptrap日志：发送系统状态的改变到Snmp管理工作站。系统日志：根据配置记录大量的系统事件。并可以将这些日志发送到下列地方：控制台端口（缺省的情况下）Syslog服务器TTYs或VTYs本地的日志缓存。第79页，共121页，2023年，2月20日，星期四是否指定日志服务器描述：可以将UNIX主机或者win主机配置日志服务来集中收集日志操作：logging$(SYSLOGHOST)

定义本地日志缓存大小描述：定义内部日志缓存大小本地日子缓存大小为：LOGBUFFERSIZE：

操作：loggingbuffered$(LOGBUFFERSIZE)

是否需要console口纪录关键消息描述：定义是否从console口来记录关键消息操作：loggingconsolecritical

远端日志的级别描述：定义是否给日志服务器发送陷阱消息操作：loggingtrapinformational第80页，共121页，2023年，2月20日，星期四路由管理服务安全配置

许多的用户利用协议来管理路由器SNMPSNMPV1SNMPV2Http。第81页，共121页，2023年，2月20日，星期四Cisco路由器SNMP管理公用字符串漏洞

Cisco路由器在默认情况下有一个危害极大的漏洞，即采用SNMP两个公用字符串，“public”为读字符串，“private”为写字符串，其实这就是Cisco路由器的SNMP管理的读和写口令。利用这两个口令可以获得该路由的几乎一切信息，有的Cisco路由器还允许“private”下载和上传该路由器的配置文件；这个可写字符串还可以断开路由器网卡的连接，更改登录口令。

第82页，共121页，2023年，2月20日，星期四SNMP协议安全管理SNMPV1（1）如果你不使用SNMP来管理Cisco设备，就禁止此服务。nosnmp-server（2）如果必须要求使用此服务，必须更改缺省管理关键字。请设置通信串为一个比较难猜测的字符串，并限制对其的访问。

ACL规则限定只能从合适的主机或网络接受访问所在设备的SNMP请求。Access-l101permitudp55\anyeq161log使能只读（RO）SNMP的能力snmp-servercommunitysecretRO

SNMPV2基于Keyed-MD5的认证方式snmp-serverpartyDigestAuthentication第83页，共121页，2023年，2月20日，星期四Http管理服务安全配置Http最近的路由器操作系统支持Http协议进行远端配置和监视。这使得用Http进行管理相当危险。（1）在网络上发送明文（2）Http没有有效的基于挑战或一次性的口令保护。如果选择使用Http进行管理，最好用（1）iphttpaccess-class命令限定访问地址（2）用iphttpauthentication命令配置认证。最好的http认证选择是利用TACACS+或RADIUS服务器。

第84页，共121页，2023年，2月20日，星期四是否存在CiscoIOSWeb配置接口安全认证被绕过的情况

IOS是Cisco公司开发的路由器固件。IOS支持很多Cisoco设备(包括路由器和交换机)。在CiscoIOS11.3开始的版本存在一个安全问题，如果它开放了web管理接口，将允许任意远程攻击者获取该设备的完全的管理权限。攻击者只需要构造一个如下的URL:http://destIP/level/xx/exec/....这里的xx是一个从16-99之间的整数。对于不同的设备，这个数值可能是不同的，但是攻击者仅需要测试84次即可找到正确的数值。这个问题可能导致远程用户获取完全的管理权限，并进一步对网络进行渗透，也可能造成拒绝服务攻击漏洞。

第85页，共121页，2023年，2月20日，星期四检查是否存在Cisco675路由器Web管理拒绝服务漏洞

Cisco675DSLRouter有一个漏洞，这个漏洞使得远程攻击者可以进行拒绝服务攻击，要想它继续进行正常操作就需要关闭电源进行硬重启。如果它启用了基于Web的远程管理功能，远程攻击者可以用telnet进行连接，再提交一个简单的畸形的HTTPGET请求。一旦连接成功，提交"GET?\n\n"这样的命令，telnet会话将中断，同时，路由器将崩溃。要使它继续进行正常操作就需要关闭电源进行硬重启。可能这个系列（673,675e,676,677和678）的其它路由器也有这个漏洞。关闭Web的远程管理功能，使用如下命令：#setwebdisabled#write#reboot

第86页，共121页，2023年，2月20日，星期四第87页，共121页，2023年，2月20日，星期四防止窃听加密管理协议：ssh登录、SNMPV2管理协议OTP（一次性口令）：SecureID/ToKen,S/KeyIPSec封装所有管理协议：telnet,SNMP,HTTP第88页，共121页，2023年，2月20日，星期四审计SNMP认证失败信息，与路由器连接信息：Trap系统操作日志：systemlogging违反访问控制链表的流量第89页，共121页，2023年，2月20日，星期四路由器安全的原则和目标 路由器的安全配置 路由器访问安全 路由器网络服务安全配置： 访问控制列表和过滤： 路由和路由协议的安全配置 日志和管理

路由网络访问服务的安全性

如何防止DDoS攻击第90页，共121页，2023年，2月20日，星期四AAA（身份认证、授权和统计）身份认证、授权和统计网络安全服务提供了一种主要机制，通过它来设置路由器或访问服务器上的访问控制。控制哪些人可以访问网络服务器以及他们在访问时可以使用哪些服务的一种手段，记录用户访问的服务以及消耗的网络资源数量。AAA是一种体系结构，各模块主要功能：身份认证：提供识别用户的方法。授权： 为远程访问控制提供方法，限制对用户的有效服务。统计：提供收集和发送用于计帐、审计、制作报表的安全服务器信息的方法如果路由器正在充当网络访问服务器，AAA是在网络访问服务器和RADIUS、TACACS+或Kerberos等安全服务器之间建立通信的方法。第91页，共121页，2023年，2月20日，星期四身份认证要设置在注册时进行AAA认证，使用全局配置命令aaaauthenticationlogin。认证方法：enable使用有效口令进行认证krb5使用Kerberos5进行认证line使用线路口令进行认证local使用本地用户名数据库进行认证none不进行认证radius使用RADIUS进行认证tacacs+使用TACACS+进行认证

第92页，共121页，2023年，2月20日，星期四授权AAA授权可以限制对用户的有效服务。AAA授权类型网络授权——适用于网络连接，包括PPP、SLIP或ARA连接。EXEC授权——适用于与用户EXEC终端对话相关的属性。命令授权——适用于用户发出的EXEC模式命令。命令授权试图为所有具有指定特权级别的EXEC模式命令授权，包括全局配置命令。第93页，共121页，2023年，2月20日，星期四六种授权方法TACACS+授权方法——网络访问服务器与TACACS+安全后台程序交换授权信息。TACACS+授权通过给合适的用户连上属性值（AV）对来给用户定义指定的权限。If-Authenticated授权方法——只要用户已经成功地进行了认证，则允许该用户访问所要求的功能。None授权方法——网络访问服务器不要求授权信息；该线路/接口不执行授权操作。Local授权方法——路由器查询使用username命令定义的本地数据库，为用户授予指定的权限。通过本地数据库只能控制有限的一组功能。RADIUS授权方法——网络访问服务器要求从RADIUS安全服务器得到授权信息。RADIUS授权通过给用户分配适宜的属性来给用户定义指定的权限，KerberosInstanceMap（Kerberos实例映射）授权方法——网络访问服务器使用由kerberos实例映射定义的实例来授权。方法列表与请求的授权类型相关联。

第94页，共121页，2023年，2月20日，星期四记帐功能记帐功能可以跟踪用户访问的服务，同时可以跟踪他们消耗的网络资源数量。当激活AAA记帐功能时，网络访问服务器以记帐记录的形式向TACACS+或RADIUS安全服务器（依赖于所实现的安全方法）报告用户的活动。第95页，共121页，2023年，2月20日，星期四记帐功能CiscoIOS软件支持下述两种记帐方法：TACACS+记帐——网络访问服务器以记帐记录的形式向TACACS+安全服务器报告用户的活动。每条记帐记录都包含了记帐AV对（属性值对，Attribute-ValuePair），并存储在安全服务器上。RADIUS记帐——网络访问服务器以记帐记录的形式向RADIUS安全服务器报告用户的活动。每条记帐记录都包含了记帐AV对，并存储在安全服务器上。第96页，共121页，2023年，2月20日，星期四记帐功能记帐方法列表专用于所要求的记帐类型。AAA支持五种类型的记帐：Network记帐——给所有PPP、SLIP或ARAP会话提供信息，包括包及字节计数。EXEC记帐——提供有关网络访问服务器的用户EXEC终端会话的信息。Commands记帐——应用于用户发出的EXEC模式命令。命令授权试图给所有具有指定特权级别的EXEC模式命令授权，包括全局配置命令。Connection记帐——提供有关从网络访问服务器发出的所有出站连接的信息，如Telnet、局域传输（LAT）、TN3270、包重装/拆分（PAD）和远程登录。System记帐——提供有关系统级别事件的信息。第97页，共121页，2023年，2月20日，星期四AAA配置过程概览步骤：1.使用全局配置命令aaanew-model开启AAA。2.如果决定使用分离的安全服务器，则配置安全协议参数，如RADIUS，TACACS+或Kerberos。3.使用命令aaaauthentication定义用于认证的方法列表。4.如果需要的话，把该方法列表应用到某个具体的接口或线路上。5.使用命令aaaauthorization进行授权配置（可选）。6.使用命令aaaaccounting进行记帐配置（可选）。第98页，共121页，2023年，2月20日，星期四AAA配置示例激活AAA访问控制aaanew-model用户登录时默认起用Tacacs+做AAA认证aaaauthenticationlogindefaulttacacs+由TACACS+服务器授权运行EXECaaaauthorizationexectacacs+由TACACS+服务器授权与网络相关的服务请求。aaaauthorizationnetworktacacs+

第99页，共121页，2023年，2月20日，星期四AAA配置示例为EXEC会话运行记帐.进程开始和结束时发通告给TACACS+服务器。aaaaccountingexecstart-stoptacacs+为与网络相关的服务需求运行记帐包括SLIP,PPP,PPPNCPs,ARAP等.在进程开始和结束时发通告给TACACS+服务器。aaaaccountingnetworkstart-stoptacacs+指定Tacacs服务器地址tacacs-serverhost第100页，共121页，2023年，2月20日，星期四路由器安全的原则和目标 路由器的安全配置 路由器访问安全 路由器网络服务安全配置： 访问控制列表和过滤： 路由和路由协议的安全配置 日志和管理 路由网络接入服务的安全性

如何防止DDoS攻击第101页，共121页，2023年，2月20日，星期四如何防止DDoS攻击使用ipverfyunicastreverse-path网络接口命令使用访问控制列表（ACL）过滤RFC1918中列出的所有地址使用访问控制列表（ACL）过滤进出报文使用CAR（ControlAccessRate）限制ICMP数据包流量速率

设置SYN数据包流量速率

合理的流量管理

第102页，共121页，2023年，2月20日，星期四使用ipverfyunicastreverse-path网络接口命令

这个功能检查每一个经过路由器的数据包。在路由器的CEF（CiscoExpressForwarding）表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为的数据包，如果CEF路由表中没有为IP地址提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。

单一地址反向传输路径转发（UnicastReversePathForwarding）在ISP（局端）实现阻止SMURF攻击和其它基于IP地址伪装的攻击。

第103页，共121页，2023年，2月20日，星期四使用访问控制列表（ACL）过滤RFC1918中列出的所有地址

interfacexyipaccess-group101inaccess-list101denyip55anyaccess-list101denyip55anyaccess-list101denyip55anyaccess-list101permitipanyany第104页，共121页，2023年，2月20日，星期四使用访问控制列表（ACL）过滤进出报文

{ISP中心}--ISP端边界路由器--客户端边界路由器--{客户端网络}

ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。ISP端边界路由器的访问控制列表（ACL）例子：

access-list190permitip{客户端网络}{客户端网络掩码}any

access-list190denyipanyany[log]

interface{内部网络接口}{网络接口号}ipaccess-group190in

第105页，共121页，2023年，2月20日，星期四使用访问控制列表（ACL）过滤进出报文以下是客户端边界路由器的ACL例子：

access-list187denyip{客户端网络}{客户端网络掩码}anyaccess-list187permitipanyanyaccess-list188permitip{客户端网络}{客户端网络掩码}anyaccess-list188denyipanyanyinterface{外部网络接口}{网络接口号}ipaccess-group187in（入站过滤）ipaccess-group188out（出站过滤）

第106页，共121页，2023年，2月20日，星期四使用CAR（ControlAccessRate）限制ICMP数据包流量速率

interfacexyrate-limitoutputaccess-group20203000000512000786000conform-actiontransmitexceed-actiondropaccess-list2020permiticmpanyanyecho-reply第107页，共121页，2023年，2月20日，星期四设置SYN数据包流量速率

interface{int}rate-limitoutputaccess-group15345000000100000100000conform-actiontransmitexceed-actiondroprate-limitoutputaccess-group1521000000100000100000conform-actiontransmitexceed-actiondropaccess-list152permittcpanyhosteqwwwaccess-list153permittcpanyhosteqwwwestablished在实现应用中需要进行必要的修改，替换：

45000000为最大连接带宽

1000000为SYNflood流量速率的30%到50%之间的数值。

burstnormal（正常突变）和burstmax（最大突变）两个速率为正确的数值。

注意，如果突变速率设置超过30%，可能会丢失许多合法的SYN数据包。使用"showinterfacesrate-limit"命令查看该网络接口的正常和过度速率，能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。

第108页，共121页，2023年，2月20日，星期四目前大多数的Dos攻击都是通过发送大量的无用包，从而占用路由器和带宽的资源，导致网络和设备过载，这种攻击也称为“洪泛攻击”。对于这种攻击的防范首先要明确瓶颈在哪里。例如：如果攻击导致线路阻塞，则在线路的源路由节点进行过滤可以有效的防止，但是在线路的目的路由端进行过滤，就没有什么效果第109页，共121页，2023年，2月20日，星期四1．

网络保护：利用路由器的Qos功能来分担负载来防止一些洪泛攻击。方式:WFQ，CAR，GTS等。b但是要注意的是每种方式的应用不同。如WFQ防止ping攻击比SYN攻击更有效。所以要正确选择方式，才能有效的防止攻击。第110页，共121页，2023年，2月20日，星期四2．

路由器本身保护：

采用CEF交换模式而不是传统的路由表Cache方式因为采用CEF方式，对于出现的新目的地不需要构筑路由Cache入口。所以这种方式对于SYN攻击能够更好的防止（因为SYN攻击用的是随机的源地址）使用schedulerinterval或schedulerallocate。因为当大量的数据包要路由器快速转发情况下，可能路由器花费大量的时间处理网络接口的中断，导致其他的任务无法正常工作。为了避免这种情况，可以使用schedulerinterval或schedulerallocate命令路由器在规定的时间间隔内停止处理中断去处理其他事件。这种方式的副作用很小，不会影响网络的正常传输。

设定缺省路由到空设备（iproutenull0255）这个设置可以很好抛弃掉不可达的目的地值得数据包，增加路由器的性能。第111页，共121页，2023年，2月20日，星期四Cisco快速转发（CiscoExpressForwar