第05讲 网络安全new

网络平安1学习目标知识目标掌握各种密码的配置命令掌握SSH连接的配置掌握RIP2、EIGRP、OSPF身份验证的配置掌握配置文件和IOS文件的备份、恢复和更新掌握路由器密码的恢复方法2保护Cisco路由器31、路由器平安的重要性4路由器遭到攻击后带来的平安隐患：访问控制遭到破坏会暴露网络配置的详细信息，从而可以借此攻击其它网络组件。路由表遭到破坏会降低网络性能、拒绝网络通信效劳并暴露敏感数据。错误配置的路由器流量过滤器会暴露内部网络组件，致使其被扫描到以及被攻击，并使攻击者更容易避开检测。5要确保网络平安，第一步是为网络边界上的路由器提供平安保护。保护路由器平安需从以下方面着手：物理平安随时更新路由器IOS备份路由器配置和IOS禁用未使用端口和效劳62、对路由器应用CiscoIOS平安功能保护路由器的步骤：步骤1.管理路由器平安〔密码设置〕※步骤2.保护对路由器的远程管理访问〔telnet、SSH〕※步骤3.使用日志记录路由器的活动〔用于审计〕步骤4.保护易受攻击的路由器效劳和接口〔禁用不用的端口和效劳〕步骤5.保护路由协议〔身份验证〕※步骤6.控制并过滤网络流量〔ACL〕※7步骤1.管理路由器平安为路由器设置密码保护路由器的密码——加密包括：enable密码、console登录和VTY密码、usernamepassword密码明文密码、加密密码〔7类方案的简单加密、5类方案的复杂加密〕命令：servicepassword-encryption〔7类加密方案〕enablesecret<password>〔5类加密方案，平安性更高〕username<username>password<password>〔5类加密方案〕username<username>secret<password>〔7类加密方案〕securitypasswordsmin-length〔设置密码最小长度〕8输入命令：enablesecretciscousernamezhangsanpasswordzhangsan输出结果：enablesecret5$1$mERr$M8hiclNzJMod27zv5MBjW.usernamezhangsanpassword0zhangsan再输入命令：Servicepassword-encryption输出结果：enablesecret5$1$mERr$M8hiclNzJMod27zv5MBjW.〔不变〕usernamezhangsanpassword7083B444F071E16161C〔变〕9步骤2.保护对路由器的远程管理访问远程访问方式：telnet方式、SSH方式远程访问要解决的问题：身份验证、数据的加密传输、访问控制默认情况下，cisco路由器不允许远程登录telnet方式明文传输数据、SSH方式加密传输数据相关命令：linevty04/password<password>/loginexec-timeout<value>transportinputall|none|telnet|ssh10通过VTY线路实现对路由器的平安访问在客户端安装SSH客户端软件，如PuTTY、TeraTerm、SecureCRT等将R2配置为SSH效劳器11例1：从R2上通过ssh方式远程连接到R1，实现对R1的远程访问。分析：将R1配置成SSH效劳器端，R2作为SSH客户端。配置SSH效劳器端(R1)的步骤：定义主机名〔hostnameR1〕建立域名〔ipdomain-nameabc〕生成RSA非对称密钥〔cryptokeygeneratersa〕配置本地身份验证和vty登录〔包括设置enable密码〕〔可选〕配置SSH超时和身份验证重试次数12配置本地身份验证和vty登录enablesecretciscousernameiloveyousecret123456linevty04notransportinputtransportinputsshloginlocal〔可选〕配置SSH超时和身份验证重试次数ipsshtime-out15〔超时15秒〕ipsshauthentication-retries2〔身份验证次数为2〕R2作为ssh客户端，可在特权模式下执行命令：

ssh-l<username><sshserverIP>以ssh方式远程连接到R1。13保护易受攻击的路由器效劳和接口禁用不用的端口和效劳，可提升网络的平安性。14路由器默认启用了很多效劳和端口，要禁用多项效劳或端口，就需要配置相应的命令，比较麻烦。可用平安配置命令来配置所有的平安:autosecure命令〔特权模式下执行〕：ciscoIOS提供的路由器平安自动配置命令。用交互方式完成平安配置。15Router#autosecure ---AutoSecureConfiguration---***AutoSecureconfigurationenhancesthesecurityoftherouter,butitwillnotmakeitabsolutelyresistanttoallsecurityattacks***AutoSecurewillmodifytheconfigurationofyourdevice.Allconfigurationchangeswillbeshown.Foradetailedexplanationofhowtheconfigurationchangesenhancesecurityandanypossiblesideeffects,pleaserefertoCiscoforAutosecuredocumentation.Atanypromptyoumayenter'?'forhelp.Usectrl-ctoabortthissessionatanyprompt.GatheringinformationabouttherouterforAutoSecureIsthisrouterconnectedtointernet?[no]:yEnterthenumberofinterfacesfacingtheinternet[1]:1InterfaceIP-AddressOK?MethodStatusProtocolFastEthernet0/0unassignedYESmanualadministrativelydowndown可根据一系列提示，输入相应的值。16步骤5.保护路由器之间传播的路由信息路由系统遭受攻击的方式有两种：对等点断开路由信息被篡改路由信息被篡改会造成如下后果：1.流量被重定向，形成路由环路2.流量被重定向到不平安的链路上，被人监控3.流量被重定向，然后被丢弃17流量被重定向，形成路由环路18路由选择协议身份验证：RIP2、EIGRP、OSPF支持简单身份验证和MD5身份验证；MD5(消息摘要算法5)身份验证平安性更高。认证系统包括三个组件：1.加密算法2.加密算法中使用的密钥，只在相互验证数据包的路由器之间共享3.数据包自身所包含的内容19身份验证过程20例2：配置RIP2身份验证。保护RIP2更新的步骤：阻止RIP路由更新传播阻止非法接收RIP更新R421阻止RIP路由更新传播：目的是为了防止入侵者在网络上侦听其无权接收的更新。可强制将路由器上的所有接口设置为被动模式，然后仅启用发送RIP更新所需的接口。处于被动模式下的接口只接收更新，但不发送更新。在路由配置模式下，使用命令：passive-interfacedefault〔所有接口被动模式〕nopassive-interface<接口名>〔指定接口发送路由更新〕22阻止非法接收RIP路由更新：在路由器上创立密钥链〔其中包含加密密钥〕。在接口上配置MD5身份验证，MD5算法根据密钥链和路由更新生成唯一的签名。交换身份验证密钥的路由器必须配置相同的密钥字符串。23查看RIP的运行情况：用debugiprip查看是否通过了身份验证。用showiproute查看是否收到了路由更新数据。24例3：配置EIGRP身份验证。保护EIGRP更新的步骤：1.创立密钥。2.接口启用MD5身份验证。25例4：配置OSPF身份验证。保护OSPF更新的步骤：1.创立密钥。2.启用MD5身份验证。26保护路由器文件27路由器文件：IOS映像文件配置文件文件管理：保存〔备份〕更新或升级恢复路由器文件：IOS映像文件配置文件Startup-configRunning-config28例1：查看路由器的文件系统，获知文件系统的类型和权限。Showfilesystems：默认文件系统29常见的文件系统有：Flash主要包括：IOS文件、SDM文件等Nvram主要包括：启动配置文件startup-configSystem〔即内存〕主要包括：运行配置文件running-configTftp主要存放：IOS、startup-config等30例2：显示默认文件系统〔即flash〕中的文件。映像文件31IOS文件的表示形式：32文件的保存、备份、升级、恢复命令：copy源URL目标URL源URL目标URL作用flash:tftp:备份IOS文件tftp:flash:升级或恢复IOS文件[system:]running-config[nvram:]startup-config将当前的运行配置文件保存到启动配置文件中[system:]running-configtftp:备份当前的运行配置文件tftp:[nvram:]startup-config恢复启动配置文件33例3：备份R1上的IOS映像文件。步骤：搭建TFTP效劳器，并确保R1与TFTP效劳器的连通性；在R1上执行命令：copyflash:tftp:

Fa0/034例4：升级〔或更新〕R1上的IOS映像文件。步骤：搭建TFTP效劳器，并确保R1与TFTP效劳器的连通性；确保R1上有足够的存储空间：showflash:在R1上执行命令：copytftp:flash:Fa0/0说明：在路由器上更改CiscoIOS映像之前，需要完成以下任务：确定更新所需的内存大小，必要时可安装额外的内存。〔showversion〕设置并测试管理员主机与路由器之间的文件传输能力。方案何时停机执行路由器更新，一般选在下班时间。35例5：通过TFTP效劳恢复R1上的IOS映像文件。由于某种原因，R1上的IOS文件被破坏，使得R1无法正常启动而进入ROMmon模式。36要恢复IOS，可采取以下步骤：37连接设备。管理机通过console口连接R1，TFTP效劳器通过第一个以太网端口〔如fa0/0〕连接到R1，并设置TFTP效劳器的IP地址，如。在R1上配置如下变量：在rommon提示符下执行命令：tftpdnld重启系统：reset38——通过设置配置登记码例7：恢复R1的特权密码。准备设备访问NVRAM如果忘记了路由器的enable密码，可通过以下步骤恢复。跳过启动配置重设密码如何跳过？为何要访问NVRAM？设置密码用什么命令？——保存有配置信息39第一步：准备设备通过console口连到路由器，并建立一个终端会话；在用户执行模式〔Router>〕输入：Showversion命令，记录配置登记码。重启路由器，并在启动的60秒内按终端键盘上的Break键，进入ROMmon模式；Router#showversion

CiscoIOSSoftware,1841Software(C1841-ADVIPSERVICESK9-M),Version12.4(15)T1,RELEASESOFTWARE(fc2)SystemreturnedtoROMbypower-onSystemimagefileis"flash:c1841-advipservicesk9-mz.124-15.T1.bin“Configurationregisteris0x210240第二步：跳过启动配置在ROMmon模式下输入命令：confreg0x2142〔让路由器跳过启动配置〕输入命令：reset〔路由器重启〕；在每个设置问题后输入no或按CTRL-C跳过初始设置在Router>下输入命令：enable〔进入特权模式〕41第三步：访问NVRAM执行命令：copystartup-configrunning-config将包含有密码的启动配置文件复制到内存中。用showrunning-config命令查看密码，如果是加密的那么需重设密码。42第四步：重设密码重