讲师:兰青青 手 机: 13388198433 email : qingqinglan@gmail
DESCRIPTION
局域网组建与维护 ( 高级路由与交换技术 ). 讲师:兰青青 手 机: 13388198433 Email : [email protected]. 路由器安全技术. 路由器安全技术介绍. 身份认证技术 : 采用 AAA 、 LINE 、 ENABLE 等多种身份认证机制确保只有合法用户才能进入路由器系统;. 防火墙技术 : 采用 ACL 访问控制列表对数据流进行分类,确保只有合法数据可以通过路由器进行转发;并采用多种攻击检测技术防范网络攻击;. NAT 技术 : - PowerPoint PPT PresentationTRANSCRIPT
路由器安全技术
路由器安全技术介绍• 身份认证技术: 采用 AAA、 LINE、 ENABLE等多种身份认证机制确保只有合法用户才能进入路由器系统;
• 身份认证技术: 采用 AAA、 LINE、 ENABLE等多种身份认证机制确保只有合法用户才能进入路由器系统;
• 防火墙技术: 采用 ACL访问控制列表对数据流进行分类,确保只有合法数据可以通过路由器进行转发;并采用多种攻击检测技术防范网络攻击;
• 防火墙技术: 采用 ACL访问控制列表对数据流进行分类,确保只有合法数据可以通过路由器进行转发;并采用多种攻击检测技术防范网络攻击;
• NAT 技术: 对一个 IP地址用另一个 IP地址替换甚至让多个内网 IP地址公用一个公网 IP,从而让内网 IP可以访问公网服务器,并屏蔽内网地址信息;
• NAT 技术: 对一个 IP地址用另一个 IP地址替换甚至让多个内网 IP地址公用一个公网 IP,从而让内网 IP可以访问公网服务器,并屏蔽内网地址信息;
• VPN 技术: 采用 IPSec GRE、 VPDN等多种安全加密技术,确保路由器只与身份认证后的对端设备建立连接,并对传输的数据进行加密;
• VPN 技术: 采用 IPSec GRE、 VPDN等多种安全加密技术,确保路由器只与身份认证后的对端设备建立连接,并对传输的数据进行加密;
路由器身份认证体制
• 看是否有配置 line • AAA 认证
• 用户登录
• 进入 Shell
• 未配置 line• 未配置 line
• 未配置 AAA• 未配置 AAA • 已配置 line• 已配置 line
• 已配置 AAA• 已配置 AAA
• 看是否有配置 AAA
• line 认证
用户及级别设置( 1 )
■ 设置用户及相关属性:使用 user 命令来配置本地用户和相关用户权限属性。
命令 描述 配置模式user user-name password 0
password设置用户及密码。 config
user user-name nopassword设置用户在登录时无需密码验证。
config
user user-name privilege {0-15} 设置用户的授权级别。 config
※ 注意:用户分 0 - 15 级, 15 最高;只有高级别用户才能对低级别用户操作;设置用户密码时的参数 0 代表以明文输入,而不是以密文输入。
用户及级别设置( 2 )
■ 修改命令的级别: 在迈普路由器 IOS 中的每个 shell 命令都有一个默认的级别,但是可以通过命令 privilege 来修改其默认级别。 保证只有相应级别及以上的用户才有配置、查看相应命令的权限。
命令 描述 配置模式privilege MODE [level {0-15} [all |
command LINE]]修改命令的级别 config
■ 设置 enable 密码: 设置进入各个用户级别的本地 enable 密码。也可以只设置一个共通的密码( 0 代表输入明文)。若没有配置 enable 密码,则非 console 用户不能进入特权模式。
命令 描述 配置模式enable password [level {1-15}] [0] password
指定级别和密码,密码为明文。 config
用户及级别设置( 3 )
■ 设置 line 属性: 路由器支持一个 console 口用户最多 16 个 telnet 用户和 16 个 ssh 用户同时登录到设备上, line 命令可以为这些登录设置不同的认证、授权等属性。 命令 描述 配置模式
line con 0 进入 console口 line配置模式 configline vty {0-15} {0-15} 进入 telnet用户的 line配置模式 configline ssh-vty {0-15} {0-15}
进入 SSH用户的 line配置模式 config
privilege level {0-15}配置登录用户被授权的级别,默认级别为 1。
config-line
password 0 password 配置 line密码。( 0代表输入明文) config-line
login [local | authencation]
配置登录认证方式,其中 login CR 使用 line密码认证,login local 使用本地用户数据库认证,login authentication 使用 AAA认证。no login表示不需要认证就可以登录。
config-line
AAA 技术概念
AAA 是认证、授权和统计( Authentication, Authorization and Accounting )的简称。
它提供了一个用来对这三种安全功能进行配置的一致性框架。 AAA 的配置实际上是对网络安全的一种管理。
这里的网络安全主要指访问控制。包括: - 哪些用户可以访问网络服务器? - 具有访问权的用户可以得到哪些服务? - 如何对正在使用网络资源的用户进行记账?
AAA 基本原理
RemotePC
NAS
R1
R2
T1
T2
Workstation
RADIUSserver
RADIUSserver
TACACSserver
TACACSserver
NAS―― 网络接入服务器( Network Access Server )。在路由器上启动 AAA 安全服务作为 NAS 。当用户想要登录 NAS 或与 NAS 建立连接(比如拨号连接)从而获得访问其他网络的权限时, NAS 起到了验证用户的作用。
RADIUS―― 远程身份认证拨入用户服务( Remote Authentication Dial In User Service )。
Tacacs――Tacacs 是终端访问控制系统( Terminal Access Controller Access Control System )的简称。
AAA 认证相关配置■ AAA 认证简单设置命令:
命令 描述 配置模式aaa new-model *启动 AAA config
aaa authentication login *配置 AAA登陆认证 config
aaa authentication enable *配置进入特权模式认证
config
■ 配置范例:router(config-if)# aaa new-model启动 AAA 功能router(config-if)# aaa authentication login default local对登陆用户根据本地用户数据库进行身份认证
I nternet
Router
Fi rewal l
LAN
防火墙技术
内联网通常采用一定的安全措施与企业或机构外部的 Internet 用户相隔离,这个安全措施就是防火墙( firewall )。防火墙技术一般分为两类,即:
网络级防火墙 主要是用来防止整个网络出现外来非法的入侵。属于这类的有包过滤( packet filtering )和授权服务器( authorization server )。
应用级防火墙 从应用程序来进行存取控制。通常使用应用网关或委托服务器( proxy server )来区分各种应用。例如,可以只允许通过万维网的应用,而阻止 FTP 应用的通过。
访问控制列表( ACL )技术
到达的包 访问列表
获取下一条规则
规则匹配? 执行动作
还有规则? 是否允许?
默认规则允许? 允许
拒绝
丢弃
将包路由到接口
是
否
是
是
是是
否
否
否
否
迈普路由器采用的是包过滤式的防火墙技术;
包过滤式防火墙的核心就是通过访问控制列表来控制流入流出路由器的数据;
访问控制列表以 IP 包信息为基础,对 IP 源地址、 IP目标地址、协议类型及各协议的字段(如: TCP 、 UDP 的端口号, ICMP 的类型、代码, IGMP 的类型等)进行筛选;
访问列表根据过滤的内容可以分成 2类,标准访问列表和扩展访问列表;
迈普路由器采用的是包过滤式的防火墙技术;
包过滤式防火墙的核心就是通过访问控制列表来控制流入流出路由器的数据;
访问控制列表以 IP 包信息为基础,对 IP 源地址、 IP目标地址、协议类型及各协议的字段(如: TCP 、 UDP 的端口号, ICMP 的类型、代码, IGMP 的类型等)进行筛选;
访问列表根据过滤的内容可以分成 2类,标准访问列表和扩展访问列表;
标准访问列表配置实例
命令 描述router(config)# access-list 2 permit host 92.49.0.3 允许子网 92.49.0.0上的主机 IP地址
为 92.49.0.3发来的包通过router(config)# access-list 2 permit 92.48.0.0 0.0.255.255
允许子网 92.48.0.0上所有机器发来的包
router(config)# access-list 2 deny any 拒绝接收其它的包router(config)# interface ethernet 0
router(config-if-ethernet)# ip access-group 2 in 将列表 2应用于以太接口 0 入方向
建立标准访问列表 2 ,定义了三条规则,最后将标准访问列表 2 应用于以太接口 0 。 从以太接口 0 来的包中,只允许子网 92.49.0.0 上的主机 IP 地址为 92.49.0.3发来的包通过,允许子网 92.48.0.0 上所有机器发来的包,拒绝接收其它的包。
命令 描述router(config)# ip access-list standard 2
router(config-std-nacl)# no permit host 92.49.0.3 删除访问列表 2
若要删除其中一条规则时做如下操作:
扩展访问列表配置命令( 1 )
■ 定义扩展访问控制列表: 定义一个扩展访问列表,可以用数字命名,也可以是用户自定义名称,该命令将进入扩展访问列表配置模式。 no 格式是删掉某个访问列表,包含它下面的所有规则。
[no] ip access-list extended { access-list-number | access-list-name }
语法 描述extended 指定这样定义的是扩展访问列表access-list-number 扩展访问列表编号,范围 <1001-2000>
access-list-name 用字符串名字来表示访问列表
■ 规则定义: 配置一条 permit (或 deny )扩展访问列表规则, no 格式是删除指定的规则。
[no] [sequence] permit protocol source source-wildcard [operator source-port [source-port]] destination destination-wildcard [icmp-type] [igmp-type] [operator destination-port [destination-port]] [ack / fin / established / psh / rst / syn / urg] [precedence precedence] [tos tos] [log] [audit] [time-range time-range-name]
扩展访问列表配置命令( 2 )
语法 描述sequence 规则序列号permit 配置一条允许通过的扩展访问列表规则protocol 匹配的协议类型source 包来自的网络或主机,也即包的源地址。source-wildcard 应用到源地址的通配符。注意用反掩码。destination 包的目的网络或主机,也即包的目的地址。destination-wildcard 应用到目的地址的通配符。注意用反掩码。precedence 包的优先级。它可以是 0到 7之间的一个数。tos 服务类型。log 日志(可选项)operator 端口比较。可以选择以下组合之一:
eq 匹配端口、 gt 匹配大于端口、 lt 匹配下于端口、 neq 匹配不等于端口、 range 匹配端口范围、 wildcard 通配符匹配
■ 规则定义中的参数 1:
语法 描述source-port 指定源端口。可以是一个具体值,也可以是一个常用端口别名
字符串。destination-port 指定目的端口号。可以是一个具体值,也可以是一个常用端口
别名字符串。ack / fin / psh / rst / syn / urg
用于匹配 TCP的标志位。分别是:确认标志、结束标志、立即发送标志、复位标志、同步标志、紧急标志。(可选项)
established 是 TCP建立连接的标志。如果 TCP包有 ACK或 RST位置位,就会匹配。只有初始建立连接的包不会匹配。(可选项)
audit 是否对规则匹配的报文的源地址进行审计。time-range 指定规则生效的时间域time-range-name 需要绑定的时间域名字。时间域的配置参考 time-range命令remark 配置一条注释。注释规则,不会参与规则的匹配,仅仅起到规
则的注释和分隔作用。comment 注释内容
扩展访问列表配置命令( 3 )
■ 规则定义中的参数 2:
扩展访问列表配置命令( 4 )
■ 在接口上应用访问控制列表: 对于往内的访问列表,如果允许这个包,路由器软件继续处理这个包;如果拒绝这个包,防火墙软件就会扔掉这个包,并向源地址发送 ICMP 管理状态不可达的包。 对于往出的访问列表,收到并路由一个包到接口后,防火墙软件根据访问列表检测包。如果允许这个包,路由器软件就会转发这个包;如果拒绝这个包,防火墙软件就会扔掉这个包,并向源地址发送 ICMP 管理状态不可达的包。
[no] ip access-group { access-list-number | access-list-name } { in | out }
语法 描述access-list-number 访问列表的编号。它可以是一个从 1到 2000之间的数。access-list-name 访问列表的名称。in 过滤往内的包。out 过滤往出的包
防火墙的其他安全功能( 1 )
■ 伪源地址检测: 伪源地址一直是攻击者最常利用的手段,常常被使用在会话劫持、 DOS 攻击等场合,
而对于这样的报文进行检测也往往是很具有技术性的;最常规的检测是在各接口上配置接收方向的访问列表,进行包的过滤,但这种检测是相当有限的;
本次防火墙功能加强增添了此方面的其它检测机制,从这样几个角度进行:1 、接收接口是否正确,如果接收到某报文的接口根本没有到达其源地址的路由,其路
由应该取决于其它接口,该报文将被拦截;2 、从本路由器上根本找不到到达某报文源地址的路由,该报文被拦截;3 、从源地址来看,是直连路由且属于以太网,但在 ARP 表中找不到该MAC 地址与源
IP 地址的对应,很可能是欺骗,拦截该报文;4 、不是直连路由,是接口路由,如果在 ARP 表中找不到该报文的 MAC项,是不正常
的,拦截该报文;5 、如果按照源地址来看是网关路由,但 MAC 地址却不是对应的网关的物理地址,很
可能也是欺骗,拦截该报文;6 、其余的包,确定正常的或无法确定的,都放行;
命令 描述 配置模式firewall check pseudo-address
设置接口是否进行伪源检测 config
防火墙的其他安全功能( 2 )
■ 攻击检测: 根据开关检测攻击: ICMP flood 、 Smurf 、 Fraggle 、 SYN flood 、 LAND 等;几种攻击包的检测(或监控): 反攻击一向是被动的,尤其是从包检测或基于会话的数据流检测的角度来说,所能够检测出来的攻击是有限的,往往只能局限于某些拒绝服务攻击和有限的欺骗或劫持行为,而对于另外一些类型的攻击,如缓冲区溢出、口令破解、甚至利用木马或后门来保留权限等等来说,只能是系统自身加以防备减少漏洞,网络设备的包检测手段是无能为力的;这几种检测主要也是针对 DOS 攻击的:
命令 描述 配置模式ip icmp intercept icmp flood攻击检测防御 config
ip smurf intercept smurf攻击检测防御 config
ip fraggle intercept fraggle攻击检测防御 config
ip tcp intercept land land攻击检测防御 config
ip tcp intercept list syn flood攻击检测防御 config
攻击检测功能( 1 )■ ip icmp intercept : ICMP flood ,该攻击通过向目的服务器发送大量 ICMP 包,占用带宽,从而导致合
法报文无法到达目的服务器,达到攻击目的;检测时,对于路由器所保护的各服务器地址为目的地址的 ICMP 报文进行记数,一旦报文的接收频率高出正常范围,则怀疑存在攻击行为,严格控制报文的流经频率;直到频率低出范围,又开始放行;此处理方式有一定的局限性:即当拒绝过量包时也拒绝了合法的包,但在综合考虑系统自身的承受能力的前提下,此方法是最合理的,且保证了目标服务器不被淹没;此方法只能用来保护路由器后面的目标服务器,但不能保护路由器自身;
[no] ip icmp intercept list { access-list-number | access-list-name } [ maxcount ]
语法 描述access-list-number 访问列表的编号。它可以是一个从 1到 1000之间的数。access-list-name 访问列表的名称。maxcount 设定检测阀值(缺省 500),如果 1秒内收到超过 number
个送往目的主机的 ICMP包,则予以拦截;
攻击检测功能( 2 )■ ip smurf intercept : Smurf 也是一种这种类型的攻击,攻击者先使用该受害主机的地址,向一个广播地
址发送 ICMP回响请求,在此广播网络上,潜在的数以千计的计算机将会做出响应,大量响应将发送到受害主机,此攻击后果同 ICMP flood ,但比之更为隐秘;此类包可通过两种方式拦截,如果伪源地址检测能够检测出来,直接拒绝该包,另外,可打开 smurf 检测开关,如果源地址是受保护的目的服务器地址,而目的地址是一个广播地址,则拦截这样的包; smurf 自身利用的是 ICMP_ECHO 包,但考虑到其它的 ICMP请求包也将导致同样的后果,因此,将检测扩展到类型 ICMP_TSTAMP 、ICMP_IREQ 、 ICMP_MASKREQ ;
[no] ip smurf intercept list {access-list-number | access-list-name } [ masklen {number} ]
语法 描述access-list-number 访问列表的编号。它可以是一个从 1到 1000之间的数。access-list-name 访问列表的名称。masklen 目的网络掩码长度(缺省是 24)
攻击检测功能( 3 )■ ip fraggle intercept : 攻击 fraggle严格说来,是一个 smurf 的变种,它针对许多防火墙对于 ICMP 包检查比较严格的前提,不再向广播地址发 ICMP请求包,而是改为发送 UDP 包,当目的网段的计算机收到该包并检查到目的端口不可达时,将发给受害主机一个“目的端口不可达”的差错报文,大量的报文同时涌向受害主机,因而达到攻击目的;此检测与 smurf 检测大同小异,仅仅类型不同而已;
[no] ip fraggle intercept list {access-list-number | access-list-name } [ masklen {number} ]
语法 描述access-list-number 访问列表的编号。它可以是一个从 1到 1000之间的数。access-list-name 访问列表的名称。masklen 目的网络掩码长度(缺省是 24)
攻击检测功能( 4 )■ ip tcp intercept land : LAND 攻击则利用了系统的另一个弱点:许多系统不知道如何处理源地址与端口号
等同于目的地址与端口号的 SYN建连请求,导致系统紊乱或死机;因此,如果检测到了某个报文的源地址等于目的地址、源端口等于目的端口,当即扔掉这样的包。
[no] ip tcp intercept land
命令 描述land land攻击保护
攻击检测功能( 5 )■ ip tcp intercept land : LAND 攻击则利用了系统的另一个弱点:许多系统不知道如何处理源地址与端口号
等同于目的地址与端口号的 SYN建连请求,导致系统紊乱或死机;因此,如果检测到了某个报文的源地址等于目的地址、源端口等于目的端口,当即扔掉这样的包。
[no] ip tcp intercept list {access-list-number | access-list-name } [ maxcount {number} ]
语法 描述access-list-number 访问列表的编号。它可以是一个从 1到 1000之间的数。access-list-name 访问列表的名称。maxcount 设定检测阀值(缺省 1000),如果 1秒内收到超过 numbe
r个送往目的主机的 SYN包,则予以拦截;
防火墙的监控与维护■ show access-lists :显示访问列表的内容 , 当没有名称和编号时,显示所有的访问列表。show access-lists { access-list-number | access-list-name } [audit]
语法 描述access-list-number 访问列表的编号。它可以是一个从 1到 2000之间的数。access-list-name 访问列表的名称。audit 显示访问列表的审计信息。
■ show ip interface list :显示各接口上访问列表的应用。
■ clear access-list counters :清除访问列表的计数器 , 当没有名称和编号时,清除所有的访问列表的计数器。
■ debug ip packet access-list :查看访问列表的过滤处理信息来监控和维护防火墙。
