网络设备安全技术(幻灯片）

用户至上用心服务网络设备安全技术基础2004年11月用户至上用心服务主要内容CiscoIOS系统安全IP访问控制技术用户至上用心服务第一部分：CiscoIOS系统安全用户认证及交互式访问网络服务管理管理服务配置路由安全其它安全措施用户至上用心服务Cisco支持的的本地登录认证方式LINE口令认证Router(config-line)#passwordxxxxRouter(config-line)#login本地用户口令认证Router(config-line)#loginlocalTacacs认证Router(config-line)#logintacacs用户至上用心服务双因素认证非AAA认证的时候使用用户名、密码的双因素身份验证方式usernamebobpassword7045802150C2Eusernamejeansecretcisco!linevty04loginlocal(loginauthenticationdefault|list-name)用户至上用心服务采用权限分级策略Router(Config)#usernameBushprivilege10passG00dPa55w0rdRouter(Config)#privilegeEXEClevel10telnetRouter(Config)#privilegeEXEClevel10showipaccess-list用户至上用心服务口令管理对用户的存储口令加密Router（config）#servicepassword-encryption对特权模式使用MD5口令加密方式Router（config）#enablesecretRouter（config）#enablepassword用户至上用心服务交互式访问控制banner信息Router(config)#bannerlogincbanner信息文本cRouter(config)#bannerexec“banner信息文本”Router(config)#aaaauthenticationbannercxxxxcRouter(config)#aaaauthenticationpassword-prompttext用户至上用心服务交互式访问尽量不要远程控制路由器，否则需要对远程访问的主机进行严格的控制。限制VTY的ip范围命令：Router(config)access-list1permithost10.17.42.135Router(config)linevty04Router(config-line)access-class1in控制VTY的空闲时间:Router(config-line)exec-timeout030用户至上用心服务交互式访问禁止反向TELNETRouter(config)#linevty04Router(config-line)#transportinputtelnetRouter(config-line)#transportoutputnone用户至上用心服务服务管理关闭finger协议Finger协议能够透露正在运行的系统进程、登录的用户名、用户空闲时间、终端的位置等敏感信息。Router(config)#noservicefingerRouter(config)#noipfinger用户至上用心服务服务管理关闭一些诊断服务端口(echo、discard、chargen)很多小服务如echo、chargen经常会被利用进行拒绝服务攻击。（type:telnetx.x.x.xchargen）Router(config)#noservicetcp-small-serversRouter(config)#noserviceudp-small-servers用户至上用心服务服务管理非电信连接的设备关闭CDP协议部分版本的IOS存在漏洞，其CDP协议会导致系统拒绝服务。在端口上关闭cdp协议：Router(config-if)#nocdpenable整个路由器上关闭cdp协议：Router(config)#nocdprunningAustin1Austin2Austin3Austin4SNMPserverAustin4,whoareyourneighbors?SorrySNMP,Ihavenoknowledgeofthat.CDPrequestsCDPrequests用户至上用心服务服务管理关闭路由器的Bootp服务Router(config)#noipbootpserver禁止从网络启动和自动从网络下载初始配置文件Router(Config)#nobootnetworkRouter(Config)#noserviceconfigAustin1Austin2Austin3Austin4BootprequestAustin1,IneedannewIOSimage.用户至上用心服务服务管理Austin1e0/0e0/1e0/2InternetProxyARPdisallowedProxyARPallowedProxyARPallowedAttackhostAttemptedspoof关闭路由器的arpproxy功能Router(config-if)#noipproxy-arp用户至上用心服务管理服务配置-SNMPcommunity的明文传输问题尽量关闭Snmp服务或设为只读：Router(config)#nosnmp-serverRouter(config)#snmp-servercommunity[key]RORouter(config)#nosnmp-serverenabletrapsRouter(config)#nosnmp-serversystem-shutdownAustin1InternetSNMPdisallowedSNMPattackhostSNMPattackhostSNMPconnectionattemptSNMPconnectionattempt用户至上用心服务管理服务配置-SNMP限制Snmp管理范围：Router(config)#access-list1permit[ipnetmask]anyRouter(config)#snmp-servercommunity[key]RO1（1为access-listnumber）用户至上用心服务管理服务配置-HTTP为什么最好关闭Httpserver服务漏洞问题用户口令明文传输问题Router(config)#noiphttpserver对http访问进行访问控制及权限管理Router（config）#access-list1permit10.17.36.130Router（config）#iphttpaccess-class1Router（config）#iphttpauthenticationaaa用户至上用心服务路由安全路由信息认证防止路由攻击用户至上用心服务邻接身份认证支持明文身份认证的路由协议：IS-ISOSPFRIP2支持MD5身份认证的路由协议：OSPFRIP2BGPEIGRP可以配置密钥链的路由协议：RIP2EIGRP用户至上用心服务OSPF路由协议的认证允许路由认证Router(Config-router)#area100authenticationRouter(Config-router)#area101authenticationmessage-digest启用明文认证Router(Config-if)#ipospfauthentication-keykey启用MD5认证Router(Config-if)#ipospfmessage-digest-key1md5routerospfkey用户至上用心服务RIP协议的安全RIP-1不支持安全认证启用RIP-2的MD5认证Router(Config)#routerripRouter(Config-router)#version2Router(Config-router)#network192.168.100.0Router(Config)#interfaceeth0/1Router(Config-if)#ipripauthenticationmodemd5Router(Config-if)#ipripanthenticationkey-chainmykeychainname用户至上用心服务其它方面的路由问题禁止IP重定向Router(config-if)#noipredirects禁止IP源路由Router(Config)#noipsource-route用户至上用心服务其它方面的路由问题禁止子网掩码响应Router(config-if)#noipmask-replyAustin2e0/0e0/1ICMPmaskrequestto16.1.1.12Austin116.1.1.12NoIPmaskrepliesInternet用户至上用心服务其它方面的路由问题Austin2e0/0Hostwithfalsifiedsourceaddresse0/1ICMPechorequeststodirectedbroadcastaddressAustin1TargetsegmentDirectedbroadcastsaredroppedInternet禁止ip直接广播转发以防范smurf攻击Router(Config)#noipdirected-broadcast用户至上用心服务路由器本身保护建议启用SSH，废弃Telnet及时的升级IOS软件为路由器的配置文件作安全备份用户至上用心服务使用SSH远程登录定义SSHKEY及其它属性cryptokeygeneratersaipsshtime-out60ipsshauthentication-retries2应用到具体接口linevty04LoginlocaltransportinputSSH用户至上用心服务IOS的升级和备份配置文件的备份建议使用FTP代替TFTPRouter(Config)#ipftpusernameBushRouter(Config)#ipftppassword4tppa55w0rdRouter#copystartup-configftp:用户至上用心服务MAC地址绑定MAC地址与IP的绑定可以实现：网络的访问控制防止非法主机的接入阻止交换网络环境下的网络监听(是否可以通过在个人主机绑定网关IP地址和MAC地址的方式阻止网络监听？)用户至上用心服务AAA认证CISCOIOS支持的本地登录的aaa认证方式：enableUsestheenablepasswordforauthenticationKrb5UsesKerberos5forauthenticationkrb5-telnetUsesKerberos5TelnetauthenticationprotocolwhenusingTelnettoconnecttotherouter.lineUsesthelinepasswordforauthenticationlocalUsesthelocalusernamedatabaseforauthenticationlocal-caseUsescase-sensitivelocalusernameauthenticationnoneUsesnoauthentication.groupradiusUsesthelistofallRADIUSserversforauthenticationgrouptacacs+UsesthelistofallTACACS+serversforauthentication用户至上用心服务AAA认证对路由器的远程登录尽量使用AAA认证方式1、EnablesAAAgloballyRouter(config)#aaanew-model2、CreateslocalauthenticationlistRouter(config)#aaaauthenticationlogin{default|li