CCNA-security笔记

CCNASECURITY笔记A）命令级别：a).Privilegeexeclevel1clearline*privilegeconfigurealllevel5router”all”就是把全局配置模式下的router这个命令下面的所有命令给于5级别。如果不加all，则只有router后面的命令在5级别可以使用。意思是把原来exec下面的【包括#和下面的，不论是原来是什么级别的命令clearline*】移动到1级别去。将高级别的命令放到级别的时候也要有先后顺序的：比如：你要把router这个命令放到level1下面去，但是你没有把configureterminal放过去，你是看不到router命令的。因为路由器觉得router是在全名模式下的命令，你必须要进入全局模式下才可以敲入router.如下图：R1(config)routerR1(config)routeros1R1(config-router)network192.168.1.10.0.0.0a0虽然进入到全名模式也是这个符号，但是也要进入这种全局模式。才有router命令。b).View命令集:将命令做成一集合，然后授权给某个用户使用。控制力度更强。则此用户只能使用此命令集中的命令。Rootview比15级别更强Aaanew-modeEablesecretwang/enblepasswang配置进入到rootview下面的密码Rootview可以创建删除VIEW,但是15级别不可以。Enableview(进入rootview)Parserviewyuan(创建一个view)Secretyeslabccies配置yuan这个子view下面的密码Commandsexecincludeshowversion使用本地数据库绑定VIEW先去掉aaanew-model只是为了演示，其实一般都是用AAA做VIEW的授权UseryuanpasswordyuanUseryuanviewyuanB)CISCO路由器的加密级别0,5,6,70是不加密5是MD56是在做VPN的时候加密的6:keyconfig-keypassword-encryptwang1245passworencryptionaescryptiskmapkey0yuanadd192.168.1.1最后变成：cryptoisakmpkey6ZFSN\VVKfdcf\cBKKBLZWDgVXGDaddress192.168.1.17是开启了servicepassword-encrytionC)chatper认证不能够使用enablesecret加密1.securitypasswordsmin-length2.noservicepassword-recovery【让你无法找回running-config】就是让用户在重启的时候无法进入ROMMON下面中破解密码。3.priviligeexeclevel1clearline在ISR路由器上面有效保护IOS和configure的安全。secureboot-image[加密保护隐藏IOS]secureboot-config【加密备份配置】只有CONSOLE进入才可以no掉。6.loginblock-for10sattempt10within10s(10S内联系登入10次，在10S内谁都不可以登入了)loginon-failurelogevery10(log和trap的区别，貌似有LOG就不可以有TRAP）logindelay2loginquiet-modeaccess-classadmin（由于第一句话在10S内谁都不可以登入了，将管理员IP地址例外）ipaccess-liststandardadminpermit192.1681.1permit192.168.1.00.0.0.2558.rommonbootIOSrouter#secureboot-configrestoreflash:/secure.cfgrouter#copyflash:/secure.cfgrunning-config9.console口默认是nologin的10.在做8O21.X和AUTH-PROXY只能使用AAAauthenticationdefaultgroupradius,不能使用命名的策略。11.tcp的小服务（servicetcp-small)，可以做TCP的PING，对方时间回显，字符回来等，客户端踢掉ctrl+shift+6,x.服务器端踢掉cleartcptcb回话号（showtcpbrife)。12.主机算不算是有路由能力的设备。routeprint可以看见主机的路由表，但是不设置网关也可以上网。对于主机，如果网关的代理ARP关闭了，而且又不配网关，那么主机去往任何的非同以网段的IP地址的时候，将不会发送任何ARP请求。如果配置了网关那么将向网关请求ARP请求。配置网关设备关闭代理ARP的时候上不了网。如果网关设备开启了代理ARP的时候，那么配不配网关都无所谓，但是像家用的一些路由器是关闭了代理ARP功能的。13.IP选项源站路由，路由器默认是打开的。可以通过PING测试，可以自己填写下一条来指引数据包的流向。而且源站路由如果你知道一个做了PAT的站点的外网地址，你可以穿越PAT到达这个站点的内网地址。在你写了下一条任何路由器上面关闭的ipsource-route那么目的地将无法到达。14.servicefinger在开启的时候，可以远程telnet192.168.1.1finger等于在192.168.1.1上面showuser.15.ICMPUreachable只是在路由器发给一个地址，而下一条的地址不知道的情况下，发给自己的。如果是下下一条不知道那么自己将收不到这个Ureachable的。一般可以在边界的接口上面取消这种告警。16.terminalmonitor17.logginbuffered是将相关的告警信息保存一份到本地的内存中。可以通过showlogging查看出来。18.syslog服务器：loggingtrap消息登记logginhost192.168.1.1loggingbuffered+日志缓存区大小。19.snmp的三个组建：agenet:就是运行了agent的设备。management:server：安装了SNMP软件的PC。MIB:关于设备上面的信息数据库。mangent\server可以通过162端口getagent上面的信息。mangentment\server可以通过162setagent上面的相关参数。angent可以通过161端口在有信息的时候主动发送trap消息给server.配置:设置get/set的参数：snmpcommunityyuanro/rw(get/set设置读和写时候的关键字信息）snmp-serverhost192.168.1.1GW(在V2中是关键信息和community一样，但是在V3就是用来加密的PASSWORD）snmp-serverenabletraps20.ssh配置：ipdomainnameyuan.com,cryptokeygenratersa,linevty04,loginlocal,transportinputsshsshv2的密钥长度必须大于768长度，cryptokeygenratersamodulus1024sh21.NTP端口是UDP123，NTP在SYSLOG和PKI中非常重要。配置：clocktimezoneGMT+8clockset16:33:333jun2012ntpauthentication-key1md5120010161C7ntpauthenticatentptrusted-key1ntpmaster(服务器的配置）ntp服务器有一个特性就是它必须先自己同步自己，然后给其他设备同步。所有如果设置了NTP的ACL的话，要放开自己ntpaccess-groupserver127.0.0.1和其他向它同步的设备的IP地址。客户端配置：clocktimezoneGMT+8ntpserver192.168.1.1key1ntpauthentication-key1md5120010161C7ntpauthenticatentptrusted-key122.CAM表，就是交换机端口和本端口学习到的MAC地址的映射。常见的MAC地址攻击，就是：MAC地址防洪，MAC地址欺骗。解决方案：1.PORT-SECURITY:遵行的原则是：默认一个端口就只能有一个MAC地址存在，一个VLAN下的两个端口不能学习到同一个MAC地址。23.STP保护：ROOTGUARD:在端口下面开启，这个端口还是可以连接交换机，接的交换机也可以参与STP的选举，但是你不能选取成为ROOT,如果你成为ROOT,那么这个接口将成为一种生成树不连续状态和SHUTDOWN差不多。1.BPDUGUARD：接口下面只能接PC，如果收到BPDU的包端口将立刻SHUTDOWN。2.BPDUFILETER：如果是在全局启用，那么只对开启了PORTFAST和AUTOAGE端口生效，并且不发送任何的BUDU给下联的设备。如果从下联的设备接受了BPUD，那么PORTFAST和BPUDFILTER的特性将失效，端口将重新进入STP运算状态。如果是在某一个接口下面启用BPUDFITLER和PORTFAST那么这几接口将不发也不收任何的BPUD。但这可能会出现环路。所以BPDUFILTER和PORTFAST连用的时候说明你的接口下面一定要接主机，如果接的是交换机那么发送的BPDU在开启了FILTER接口被干掉了可能出现环路哦。比如：下图：在A,B口都启用了PORTFAST和BPDUFILTER，那么这个肯定是有环路的。3.在SPANNING-TREEPORTFAST口的接口收到任何的BUDU那么这个接口的这个一特性将丢失，重新进行STP的运算，所以开启这个特征的设备一般和BPDUFILTER接口使用。24.DHCP保护。IPDHCPSNOOPING.ipdhcpsnooping全局启用（总开关）【让交换机有智能的功能识别DHCP包，而不仅仅是基于MAC地址转发帧】ipdhcpsnoopingvlan2基于VLAN启用DHCP防护intf0/1(接DHCP服务器的接口是信任的）不信任的接口是不可以发送任何的OFFER,ACK的。ipdhcpsnoopingtrustintf0/2（接客户端的接口是不信任的）而且要限制DHCP的速度。ipdhcpsnoopinglimitrate100端口下面每秒钟只能发送一个100DHCP的包。25.ARP保护.这个是在有IPDHCPSNOOPING映射表之前的。iparpinspectionvlan2intf0/1iparpinspectiontrust,信任上连接口为TRUST。ARP是IP和MAC的对应。CAM是端口和MAC的对应。所以ARP是欺骗的是主机，CAM表欺骗的是交换机。26.SPAN：monitorsession1sourceint[vlan]f0/1+[方向]monitorsession1destinationintf0/227.VLAN-ACL即可控制VLAN之间的，也可以控制同一个VLAN中的流量。但是普通的RACL是不可以控制同一个网段内的流量的。VACL优先于RACL的。ipaccessextentyuanpermittcphost1.1.1.1host1.1.1.2eq23permittcphost1.1.1.2eq23host1.1.1.1切记这里是双向的，因为你不管是发包给其他人，还是回包给其他人都是进入VLAN的。vlanaccess-mapyuan10matchipadd10actionforwardexitvlanfilteryuanvlan-list+[你需要将这个ACL运用到哪里VLAN中]28.二层隔离：当二层隔离后，很多攻击就基本上解决了，比如ARP,DH