1、路由器的安全第1頁，共121頁，2022年，5月20日，10點54分，星期三路由器的安全配置創建有效的安全策略路由器的安全目標防止對路由器的未經授權的訪問 （保護路由器本身）防止對網絡的未經授權的訪問 （通過路由器來保護網絡）防止網絡數據竊聽防止欺騙性路由更新路由器的安全配置路由器訪問安全路由器網絡服務安全配置：訪問控制列表和過濾：路由和路由協議的安全配置日志和管理路由網絡接入服務的安全性如何防止DDoS攻擊第2頁，共121頁，2022年，5月20日，10點54分，星期三創建安全策略安全策略的性質安全策略的兩個級別部署安全策略的基礎第3頁，共121頁，2022年，5月20日，10點54分，星期

2、三安全策略的性質安全策略意味著折衷保證對用戶訪問和效率的影響最小的情況下提供最大的安全性安全策略應根據企業需要來確定由需要來支配制定安全策略安全策略的動態性根據業務、技術、資源配置的變化而變化第4頁，共121頁，2022年，5月20日，10點54分，星期三安全策略的兩個級別需求級安全策略：定義防止網絡資源遭受入侵或破壞的保護程度，并對違反安全策略的代價進行估計。實施級安全策略使用具體的技術，以預先定義的方式來實施需求級安全策略。第5頁，共121頁，2022年，5月20日，10點54分，星期三部署安全策略的基礎找出需要保護的網絡資源確定危險之處限制訪問范圍找出假設情況確定安全措施的代價考慮認為因

3、素保持有限的機密實施具有普遍性的、可調整的安全策略了解典型的網絡功能物理安全第6頁，共121頁，2022年，5月20日，10點54分，星期三路由器的安全策略路由器的安全目標 *需求級*防止對路由器的未經授權的訪問 （保護路由器本身）防止對網絡的未經授權的訪問 （通過路由器來保護網絡）防止網絡數據竊聽防止欺騙性路由更新路由器的安全配置 *實施級*路由器訪問安全路由器網絡服務安全配置：訪問控制列表和過濾：路由和路由協議的安全配置日志和管理路由網絡接入服務的安全性如何防止DDoS攻擊第7頁，共121頁，2022年，5月20日，10點54分，星期三路由器安全的原則和目標路由器安全的原則和目標防止對路由

4、器的未經授權的訪問 （保護路由器本身）防止對網絡的未經授權的訪問 （通過路由器來保護網絡）防止網絡數據竊聽防止欺騙性路由更新第8頁，共121頁，2022年，5月20日，10點54分，星期三防止對路由器的未經授權的訪問（保護路由器本身）物理安全 操作系統的安全性 路由配置文件的安全防止對網絡的未經授權的訪問（通過路由器來保護網絡） 基于tcp/ip數據包過濾原理、實行入站過濾和出站過濾允許要求的協議和服務通過拒絕有危險的協議和服務 防止網絡數據竊聽防止欺騙性路由更新路由器安全的原則和目標第9頁，共121頁，2022年，5月20日，10點54分，星期三路由器的安全配置路由器安全的原則和目標路由器的

5、安全配置 路由器訪問安全 路由器網絡服務安全配置 訪問控制列表和過濾 路由和路由協議的安全配置 日志和管理 路由網絡接入服務的安全性 如何防止DDoS攻擊第10頁，共121頁，2022年，5月20日，10點54分，星期三路由器訪問安全 物理訪問的嚴格控制物理運行環境的安全性遠程訪問控制隨時更新IOS操作系統口令安全管理交互式訪問控制第11頁，共121頁，2022年，5月20日，10點54分，星期三物理訪問的嚴格控制只有網絡管理員可以接觸路由器，由管理員負責路由器的安全性最好有門衛、管理員或電子監控設備，能夠對設備進行7*24小時的監控。同時不能使授權人員接觸路由器的過于困難。第12頁，共121

6、頁，2022年，5月20日，10點54分，星期三物理攻擊的例子（1）一個管理員或攻擊者可以通過簡單的終端或主機來連接到console口來可以通過物理接觸來達到對一個路由器完全具有管理員權限的權利具體方法做簡單的說明：當路由器重啟動的開始幾秒如果發送一個Break信號到控制臺端口，則利用口令恢復程式可以很容易控制整個系統。這樣如果一個攻擊者盡管他沒有正常的訪問權限，具有系統重啟（切斷電源或系統崩潰）和訪問控制端口（通過直連終端、Modem、終端服務器）的能力就可以控制整個系統。所以必須保證所有連結控制端口的訪問的安全性。（2）閃存 一個可以物理接觸路由器的攻擊者可以通過更換閃存的辦法，可以使路由

7、器從他的山村啟動，運行攻擊者的ios系統版本和配置。對這種攻擊的防范只能從限制物理接觸來防范。必須保證物理上的安全性。 第13頁，共121頁，2022年，5月20日，10點54分，星期三物理運行環境的安全性合適的溫度和濕度不受電磁干擾使用ups電源供電等。 第14頁，共121頁，2022年，5月20日，10點54分，星期三遠程訪問控制使用訪問控制來限制遠程管理的接入主機（從物理安全性來考慮）可能的話最好用加密的方式來保護路由器與遠程主機的通信的機密性。console和aux (輔助端口） 的安全配置路由器訪問IP限制命令：access-list 3 deny anyline vty 0 4ac

8、cess-class 3 in第15頁，共121頁，2022年，5月20日，10點54分，星期三遠程訪問控制主要區別是口令恢復的方法只能用在con口上； 在大多數情況下aux是不用的； 設置console 過期時間來保持安全性 操作：line con 0 exec-timeout 5 0禁止aux (輔助端口） 口：一般不需要 操作：line aux 0 no exec transport input none 第16頁，共121頁，2022年，5月20日，10點54分，星期三隨時更新IOS操作系統新的ios對舊版本的漏洞或bugs都會作出修復。 第17頁，共121頁，2022年，5月20日，

9、10點54分，星期三認證口令安全管理線路口令認證(從控制臺或VTY登錄的時候用）本地用戶名認證AAA（推薦方法）最好的口令處理方法是將這些口令保存在TACACS+或RADIUS 或KerBeros認證服務器上。第18頁，共121頁，2022年，5月20日，10點54分，星期三口令安全管理 線路口令認證線路口令：(從控制臺或VTY登錄的時候用）password passwordlogin有效（特權）口令設置命令：Enable secret password （ Enable password password ）本地用戶認證username routeradmin password 7 0317

10、B21895FEline vty 0 4login local第19頁，共121頁，2022年，5月20日，10點54分，星期三本地口令安全配置使用enable secret 命令 enable secret 命令用于設定進入特權EXEC模式的靜態口令。enable password和enable secret的區別enable password采用的加密算法比較弱。而enable secret命令采用的是MD5算法，這種算法很難進行破譯的。但是這種MD5算法對于字典式攻擊還是沒有辦法。使用service password-encryption（密碼加密服務）這條命令用于對存儲在配置文件中的所

11、有口令和類似數據（如CHAP）進行加密。避免當配置文件被不懷好意者看見，從而獲得這些數據的明文。但是service password-encrypation的加密算法是一個簡單的維吉尼亞加密，很容易被破譯。所以不要以為加密了就可以放心了，最好的方法就是選擇一個長的口令字，避免配置文件被外界得到。且設定enable secret和service password-encryption。第20頁，共121頁，2022年，5月20日，10點54分，星期三多級權限配置缺省條件下，Cisco IOS只有一個超級權限的口令，可以配置Cisco IOS有多達16個級別的權限及其口令。可以設置通過某個級別的口

12、令登錄的用戶只允許使用某些命令。設置步驟： 1.設置某條命令屬于某個級別，在全局設置模式下privilege mode level 級別 命令關鍵字 no privilege mode level 級別 命令關鍵字注意：Cisco IOS 可以定制0-15個級別權限。0-15級別中，數字越大，權限越高，權限高的級別繼承低權限的所有命令。2.設置某個級別的口令enable secret level 級別 口令 通過多級權限，可以根據管理要求，授予相應的工作以相應的權限。第21頁，共121頁，2022年，5月20日，10點54分，星期三TACACS認證認證配置(TACACS認證)aaa new-m

13、odelaaa authentication login default tacacs+ enableaaa authentication enable default tacacs+ enable（是否可以訪問特權級別的命令）aaa accounting exec start-stop tacacs+ip tacacs source-interface Loopback0tacacs-server key CKr3t#（對傳輸的信息進行加密）line vty 0 4login authentication default local第22頁，共121頁，2022年，5月20日，10點54分，

14、星期三交互式訪問控制登錄路由器的方法 ： 直連的控制臺終端登錄 Modem撥號登錄 支持如Telnet、rlogin、Ssh以及非基于IP的網絡協議如LAT、MOP、X.29和V.120等 的遠程網絡登錄本地的異步終端和撥號Modem用標準的TTYs。遠地的網絡連結不管采用什么協議都是虛擬的TTYs，即VTYs。 第23頁，共121頁，2022年，5月20日，10點54分，星期三控制VTY（虛擬終端）任何VTY應該僅允許指定的協議建立連結。利用transport input命令。如一個VTY只支持Telnet服務，可以如下設置 transport input telnet。 transport

15、 input ssh。僅允許的ip地址范圍可以利用ip access-class限制訪問VTY的。第24頁，共121頁，2022年，5月20日，10點54分，星期三控制VTY （虛擬終端）防止對能被利用進行Dos（拒絕服務攻擊）。這里攻擊者不必登錄進入，只要建立連結，到login提示符下就可以，消耗到所有的VTYs。好的防御方法：利用ip access-class命令限制最后一個VTYs的訪問地址，只向特定管理工作站打開。而其他的VTYs不限制，從而既保證了靈活性，也保證關鍵的管理工作不被影響。另一個方法是利用exec-timeout命令，配置VTY的超時。避免一個空閑的任務一直占用VTY。類

16、似的也可以用service tcp-keepalives-in 保證Tcp建立的連結是活動的，從而避免惡意的攻擊或遠端系統的意外崩潰導致的資源獨占。更好的保護VTY的方法是關閉所有非基于IP的訪問，且使用IPSec加密所有的遠端與路由器的連結。 第25頁，共121頁，2022年，5月20日，10點54分，星期三設置timeout設置timeout（超過這個時間無任何操作，就取消該會話）line con 0exec-timeout 5 0line aux 0exec-timeout 10 0line vty 0 4exec-timeout 5 0service tcp-keepalives-in

17、第26頁，共121頁，2022年，5月20日，10點54分，星期三路由器的安全路由器安全的原則和目標路由器的安全配置 路由器訪問安全 路由器網絡服務安全配置 訪問控制列表和過濾 路由和路由協議的安全配置 日志和管理 路由網絡接入服務的安全性 如何防止DDoS攻擊第27頁，共121頁，2022年，5月20日，10點54分，星期三路由器網絡服務安全配置 基于TCP和UDP協議的小服務 echo、chargen和discard。Finger、NTP、CDP等服務第28頁，共121頁，2022年，5月20日，10點54分，星期三基于TCP和UDP協議的小服務 這些服務很少被使用，而且容易被攻擊者利用來

18、越過包過濾機制。如echo服務，就可以被攻擊者利用它發送數據包，好像這些數據包來自路由器本身。所以最好禁止這些服務。命令：no service tcp-small-servers no service udp-small-servers第29頁，共121頁，2022年，5月20日，10點54分，星期三Finger、NTP、CDP等服務服務作用Finger服務可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險的，但是如果沒有一個很好的認證，則會影響路由器正確時間，導致日志和其他任務出錯。CDP可能被攻擊者利用獲得路由器的版本等信息，從而進行攻擊。安全配置：可以禁止上述服務。 命令：no se

19、rvice fingerno ntp enabelno cdp run (全局配置)no cdp enable (端口配置)no ip bootp server第30頁，共121頁，2022年，5月20日，10點54分，星期三以下端口服務通常可以關閉：no ip redirectsno ip directed-broadcast第31頁，共121頁，2022年，5月20日，10點54分，星期三路由器安全的原則和目標路由器的安全配置 路由器訪問安全 路由器網絡服務安全配置 訪問控制列表和過濾 路由和路由協議的安全配置 日志和管理 路由網絡接入服務的安全性 如何防止DDoS攻擊第32頁，共121頁

20、，2022年，5月20日，10點54分，星期三訪問控制列表和過濾訪問控制列表 配置原則訪問控制列表 配置 防止外部IP地址欺騙 防止外部的非法探測 保護路由器不受攻擊 阻止對關鍵端口的非法訪問 對內部網的重要服務器進行訪問限制 第33頁，共121頁，2022年，5月20日，10點54分，星期三訪問控制列表配置原則可以在網絡的任何一點進行限制，但是最好在網絡的邊界路由器上進行，因為在網絡內部是難于判斷地址偽造的。最好對接口進入的數據進行訪問控制（用ip access-group list in）。因為輸出列表過濾只保護了位于路由器后的網絡部分，而輸入列表數據過濾還保護了路由器本身不受到外界的攻擊

21、。 不僅對外部的端口進行訪問控制，還要對內部的端口進行訪問控制。因為可以防止來自內部的攻擊行為 所有向內對話應用于路由器外部接口的IN方向，所有向外對話應用于路由器外部接口的OUT方向。 第34頁，共121頁，2022年，5月20日，10點54分，星期三訪問控制列表 配置說明防止外部IP地址欺騙 防止外部的非法探測 保護路由器不受攻擊 阻止對關鍵端口的非法訪問 對內部網的重要服務器進行訪問限制 針對最新蠕蟲防范的訪問列表第35頁，共121頁，2022年，5月20日，10點54分，星期三防止外部IP地址欺騙access-list 101 deny ip 55 anyaccess-list 101

22、 deny ip 55 anyaccess-list 101 deny ip 55 any 阻止源地址為私有地址的所有通信流。access-list 101 deny ip 55 any 阻止源地址為回環地址的所有通信流。 access-list 101 deny ip 55 any 阻止源地址為多目的地址的所有通信流。 access-list 101 deny ip host any 阻止沒有列出源地址的通信流。 注：可以在外部接口的向內方向使用101過濾。 第36頁，共121頁，2022年，5月20日，10點54分，星期三防止外部的非法探測 access-list 102 deny icm

23、p any any echo 阻止用ping探測網絡。 access-list 102 deny icmp any any time-exceeded 阻止用traceroute探測網絡。 注：可在外部接口的向外方向使用102過濾。在這里主要是阻止答復輸出，不阻止探測進入。 第37頁，共121頁，2022年，5月20日，10點54分，星期三保護路由器不受攻擊 路由器:外部接口serial0的IP為， 內部接口fastethernet0的IP為 access-list 101 deny tcp any eq 23 access-list 101 deny tcp any eq 23 access

24、-list 101 deny udp any eq 161 access-list 101 deny udp any eq 161 第38頁，共121頁，2022年，5月20日，10點54分，星期三阻止對關鍵端口的非法訪問 access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 137 access-list 101 deny tcp any any eq 138 access-list 101 deny tcp any any eq 139 access-list 101 deny udp any

25、 any eq 135 access-list 101 deny udp any any eq 137 access-list 101 deny udp any any eq 138 access-list 101 deny udp any any eq 139 第39頁，共121頁，2022年，5月20日，10點54分，星期三對內部網的重要服務器進行訪問限制 允許外部用戶到Web服務器的向內連接請求。 允許Web服務器到外部用戶的向外答復。 允許外部SMTP服務器向內部郵件服務器的向內連接請求。 允許內部郵件服務器向外部SMTP服務器的向外答復。 允許內部郵件服務器向外DNS查詢。 允許到內

26、部郵件服務器的向內的DNS答復。 允許內部主機的向外TCP連接。 允許對請求主機的向內TCP答復。 第40頁，共121頁，2022年，5月20日，10點54分，星期三針對sql-slammer、Netbios_Worm.Dvldr_蠕蟲的訪問列表access-list 110 deny udp any any eq 1434access-list 110 deny tcp any any eq 445 access-list 110 deny tcp any any eq 5800access-list 110 deny tcp any any eq 5900access-list 110 d

27、eny 255 any anyaccess-list 110 deny 0 any anyaccess-list 110 permit ip any any 第41頁，共121頁，2022年，5月20日，10點54分，星期三基本訪問列表實現會話過濾使用基本的標準訪問列表和靜態擴展訪問列表實現會話過濾，可以通過在permit命令中使用關鍵字established，近似地實現會話過濾。 established關鍵字根據是否設置了ACK或RST位來過濾TCP包（設置了ACK或RST位后，說明這個包不是會話的第一個包）。-使用關鍵字established的第一種方法只適用于TCP上層協議，對其它上層協

28、議（比如UDP、ICMP等等），則要么允許所有輸入流量，要么為每個協議定義所有可能的源主機和目的主機或源端口地址和目的端口地址對（它不但是一個不可管理的任務，而且還占用了NVRAM空間）。-這種過濾標準可以作為訪問列表的一部分長期應用到接口上。第42頁，共121頁，2022年，5月20日，10點54分，星期三反射訪問列表與基本訪問列表實現會話過濾的區別使用反射訪問列表實現會話過濾反射訪問列表提供了一種真正意義的會話過濾，過濾規則相匹配（例如，除了檢查ACK和RST位外，源地址、目的地址和端口號也要被檢查），所以反射訪問列表能更有力地抵御欺詐。會話過濾使用臨時過濾器，在會話結束時，臨時過濾器被刪

29、除，這樣，就把黑客的攻擊機會縮小到了一個更小的時限窗口。第43頁，共121頁，2022年，5月20日，10點54分，星期三反射訪問列表的工作方式當一個新的IP高層會話（如TCP或UDP）從網絡內部發起、并將包傳送到外部網絡時，反射訪問列表被觸發。觸發后，反射訪問列表生成一個新的臨時入口，如果外部來的流量是這個會話的一部分，則此入口將允許它進入網絡內部，如果不是會話的一部分，則被禁止進入網絡內部。例如，如果有一個TCP包從內部網絡往外傳送，并且這個包是TCP會話的第一個包，則將產生一個新的臨時反射訪問列表入口，這個入口附加在應用于輸入流量的反射訪問列表上，并具有下述特征：此入口總是一個允許（pe

30、rmit）入口。入口指定的協議與初始輸出的TCP包的協議相同。第44頁，共121頁，2022年，5月20日，10點54分，星期三反射訪問列表的特點反射訪問列表基于上層會話信息過濾IP包。使用反射訪問列表，可以允許源自內部網絡的IP會話流量，而拒絕源自外部網絡的IP會話流量，這一任務通過反射過濾（一種會話過濾）來完成。反射訪問列表只能使用擴展的命名IP訪問列表來定義。不可以使用數字名或標準命名的IP訪問列表或使用其它協議的訪問列表來定義反射訪問列表。可以把反射訪問列表和其它標準訪問列表或靜態訪問列表結合起來使用。反射訪問列表對進入網絡的外部分組有更強的控制能力。第45頁，共121頁，2022年，

31、5月20日，10點54分，星期三反射訪問列表的特點反射訪問列表和其它訪問列表有許多相似之處。反射訪問列表包含了用于定義允許IP包規則的條件語句（入口），這些入口按次序求值，當出現一個匹配時，其它入口便不再求值。反射訪問列表也與其它類型的訪問列表存在一些重要的差異。反射訪問列表只包含臨時入口，這些入口在新的會話開始（有一個輸出包）時創建，并在會話結束時刪除。反射訪問列表自身并不直接應用到接口，而是嵌套地通過擴展命名IP訪問列表應用到接口。由于嵌套的原因，反射訪問列表的最后不存在隱含的“拒絕所有流量（Deny All Traffic）”語句。第46頁，共121頁，2022年，5月20日，10點54

32、分，星期三反射訪問列表的配置ip access-list extendedname對于外部接口：指定輸出訪問列表對于內部接口：指定輸入訪問列表permit protocol any anyreflect name timeoutseconds使用反射permit入口定義反射訪問列表，為每個IP上層協議重復這個步驟，例如，用戶既可為TCP會話、也可為UDP會話定義反射過濾。可以在多個協議中使用相同的名字。ip access-group name out或ip access-group name in對于外部接口：把擴展訪問列表應用于接口的輸出型流量對于內部接口：把擴展訪問列表應用于接口的輸入型流

33、量第47頁，共121頁，2022年，5月20日，10點54分，星期三反射訪問列表的配置evaluate name增加一個指向反射訪問列表的入口，為先前定義了名字的每個反射訪問列表都增加一個入口ip reflexive-list timeout seconds更改臨時訪問列表入口的全局超時值（沒有會話數據流后多常時間內，反射訪問列表被刪除）第48頁，共121頁，2022年，5月20日，10點54分，星期三路由器安全的原則和目標路由器的安全配置 路由器訪問安全 路由器網絡服務安全配置 訪問控制列表和過濾 路由和路由協議的安全配置 日志和管理 路由網絡接入服務的安全性 如何防止DDoS攻擊第49頁，

34、共121頁，2022年，5月20日，10點54分，星期三路由和路由協議的安全 路由的安全 防 范 Smurf攻擊 防止源路由攻擊 Icmp 重定向攻擊 防止盜用內部IP地址 防止DDoS攻擊 路由協議的安全 第50頁，共121頁，2022年，5月20日，10點54分，星期三這種攻擊方法結合使用了IP欺騙和ICMP回復方法使大量網絡傳輸充斥目標系統，引起目標系統拒絕為正常系統進行服務。攻擊的過程是這樣的：Woodlly Attacker向一個具有大量主機和因特網連接的網絡的廣播地址發送一個欺騙性Ping分組（echo 請求），這個目標網絡被稱為反彈站點，而欺騙性Ping分組的源地址就是Wooll

35、y希望攻擊的系統。這種攻擊的前提是，路由器接收到這個發送給IP廣播地址（如55）的分組后，會認為這就是廣播分組，并且把以太網廣播地址FF:FF:FF:FF:FF:FF:映射過來。這樣路由器人因特網上接收到該分組，會對本地網段中的所有主機進行廣播。第51頁，共121頁，2022年，5月20日，10點54分，星期三防范Smurf攻擊“smurf”攻擊原理：攻擊者通過不斷的發送一個源地址為非法地址的直接廣播包到攻擊的子網。從而導致子網的所有主機向這個非法地址發送響應，最終導致目的網絡的廣播風暴。 第52頁，共121頁，2022年，5月20日，10點54分，星期三第53頁，共121頁，2022年，5月

36、20日，10點54分，星期三防范Smurf攻擊阻止從你的網絡中發起的Smurf攻擊 Access-list 100 permit IP 你的網絡號 你的網絡子網掩碼 any Access-list 100 deny IP any any防止本網絡做為中間代理 如果沒有必須要向外發送廣播數據包的情況，就可以在路由器的每 個接口上設置禁止直接廣播，命令如下：no ip directed-broadcast邊界路由器上使用以下命令： ip verify unicast reverse-path 讓路由器對具有相反路徑的ICMP欺騙數據包進行校驗，丟棄那些沒有路徑存在的包。 第54頁，共121頁，20

37、22年，5月20日，10點54分，星期三Icmp 重定向攻擊Icmp 重定向攻擊也是一種常用的路由攻擊方法。攻擊者通過發送錯誤的重定向信息給末端主機，從而導致末端主機的錯誤路由。將本應送到正確目標的信息重定向到它們指定的設備，從而獲得有用信息 禁止外部用戶使用ICMP重定向的命令如下： interface serial0 no ip redirects 第55頁，共121頁，2022年，5月20日，10點54分，星期三防止外部源路由欺騙 源路由選擇是指使用數據鏈路層信息來為數據報進行路由選擇。該技術跨越了網絡層的路由信息，使入侵者可以為內部網的數據報指定一個非法的路由，這樣原本應該送到合法目的

38、地的數據報就會被送到入侵者指定的地址。 禁止使用源路由的命令如下： no ip source-route 第56頁，共121頁，2022年，5月20日，10點54分，星期三防止盜用內部IP地址 攻擊者可能會盜用內部IP地址進行非法訪問。針對這一問題，可以利用Cisco路由器的ARP命令將固定IP地址綁定到某一MAC地址之上。具體命令如下： arp 固定IP地址 MAC地址 arpa 第57頁，共121頁，2022年，5月20日，10點54分，星期三路由協議的安全路由鄰接認證RIP協議的漏洞和防范措施BGP協議的漏洞和防范措施OSPF 協議的漏洞和防范措施第58頁，共121頁，2022年，5月2

39、0日，10點54分，星期三鄰接認證的必要性沒有鄰接認證的危險：未授權的或故意的惡意路由更新可能危害網絡通信的安全性。如果一個非友好的團體轉移或者分析網絡中的通信流，就會造成安全問題。例如，未經授權的路由器可以發送假的路由更新信息，使你的路由器確信向一個不正確的目的地發送數據流。這種轉移的通信可以用來進行分析，以掌握網絡組織的機密信息，或者僅僅給組織機構的有效通信造成混亂。鄰接認證的優點：無論何時在鄰接路由器之間交換路由更新信息時，都將進行鄰接認證。確保路由器從可靠的來源接收到可以依賴的路由信息，防止路由更新欺詐。第59頁，共121頁，2022年，5月20日，10點54分，星期三鄰接認證工作原理

40、與工作方式工作原理：當在路由器上配置了鄰接認證時，該路由器對其收到的每個路由更新包的來源都要進行認證。認證過程通過交換認證密鑰或消息摘要（有時稱為口令）完成，該密鑰對于發送路由器和接收路由器都是已知的。認證方式明文文本認證消息摘要算法版本5（MD5）認證。 這兩種認證形式的工作方式完全相同。第60頁，共121頁，2022年，5月20日，10點54分，星期三明文文本認證明文文本認證方式：每臺參予鄰接認證的路由器必須共享一個認證密鑰。該密鑰是在配置每個路由器時指定的。有些協議可以指定多個密鑰；每個密鑰必須使用一個密鑰號標識認證過程：步驟1 某個路由器向鄰接的路由器發送帶密鑰及該密鑰對應的密鑰號的路

41、由更新。在只能有唯一一個密鑰的協議中，密鑰號總是零。步驟2 接收（鄰接）路由器檢查收到的密鑰，與存儲在自身存儲器內的密鑰比較，看是否相同。步驟3 如果兩個密鑰匹配，則接收路由器接受路由更新包。如果不匹配，則拒絕路由更新包。下述協議使用明文文本認證：DRP服務代理協議 IS-IS協議l OSPF協議RIP協議版本2第61頁，共121頁，2022年，5月20日，10點54分，星期三MD5認證認證方式：路由器使用MD5算法產生該密鑰的一條消息摘要（也叫做散列）。然后發送消息摘要，而不是密鑰本身。確保在信息傳輸期間，沒有人能夠在線路上窺視并掌握密鑰。MD5認證過程與明文文本認證的過程相同。下述協議使用

42、MD5認證：OSPF協議 RIP協議版本2BGP協議IP增強的IGRP協議第62頁，共121頁，2022年，5月20日，10點54分，星期三使用鄰接認證的協議使用鄰接認證的協議鄰接認證可以配置下述路由協議：邊界網關協議（BGP，Border Gateway Protocol） DRP服務器代理協議(DRP Server Agent) 中間系統對中間系統協議（IS-IS，Intermediate System-to-Intermediate System）IP增強的內部網關路由協議（IGRP,IP Enhanced Interior Gateway RoutingProtocol） 開放的最短路

43、徑優先協議（OSPF，Open Shortest Path First） 第二版路由信息協議（RIP，Routing Information Protocol version 2第63頁，共121頁，2022年，5月20日，10點54分，星期三RIP協議的基本特點 基于距離矢量的路由協議，其所有路由基于(hop)跳數來衡量。RIP是作為一種內部網關協議(interior gateway protocol)，即在自治系統內部執行路由功能。外部網關路由協議(exterior gateway protocol)，如邊緣網關協議（BGP），在不同的自治系統間進行路由。RIP協議對大型網絡來說不是一個好

44、的選擇，因為它只支持15跳，RIP協議能和其他路由協議共同工作，依照Cisco，RIP 協議經常用來與OSPF協議相關聯. 第64頁，共121頁，2022年，5月20日，10點54分，星期三RIP協議的漏洞和脆弱點RIPv1 天生就有不安全因素，因為它沒有使用認證機制并使用不可靠的UDP協議進行傳輸。 RIP信息包可以很容易的偽造.RIPv2的分組格式中包含了一個選項可以設置16個字符的明文密碼字符串(表示可很容的被嗅探到)或者MD5簽字。雖然RIP信息包可以很容易的偽造，但在RIPv2中你使用了MD5簽字將會使欺騙的操作難度大大提高。 RIP更新提交的路由可以通過其他路由協議重新分配，這樣如

45、果一攻擊者能通過RIP來欺騙路由到網絡，然后再通過其他協議如OSPF或者不用驗證的BGP協議來重新分配路由，這樣攻擊的范圍將可能擴大。 第65頁，共121頁，2022年，5月20日，10點54分，星期三RIP協議的探測一個測試者或者攻擊者可以通過探測520 UDP端口來判斷是否使用RIP，你可以使用熟悉的工具如nmap來進行測試，如下所示，這個端口打開了并沒有使用任何訪問控制聯合任意類型的過濾： roottest# nmap -sU -p 520 -v router.ip.address.2 interesting ports on (router.ip.address.2): Port St

46、ate Service 520/udp open route 第66頁，共121頁，2022年，5月20日，10點54分，星期三攻擊的方式有些工具組合可以比較容易的進行RIP欺騙攻擊攻擊，這些工具是使用rprobe來獲得遠程網絡RIP路由表，使用標準的tcpdump或者其他嗅探工具來查看路由表，srip來偽造RIP信息包(v1或者v2)， 再用fragrouter重定向路由來通過我們控制的主機，并使用類似dsniff的工具來最后收集一些通信中的明文密碼。 第67頁，共121頁，2022年，5月20日，10點54分，星期三防范措施建議：采用RIPv2（具有MD5安全機制）代替RIPv1協議；使用

47、MD5認證的OSPF來提高安全性。 第68頁，共121頁，2022年，5月20日，10點54分，星期三BGP是Exterior Gateway Protocol (EGP，外部網關協議)BGP協議執行自主系統之間的路由，BGP4是最近的流行標準。BGP使用幾種消息類型，最重要的消息是UPDATE消息類型，這個消息包含了路由表的更新信息， 全球INTERNET大部分依靠BGP第69頁，共121頁，2022年，5月20日，10點54分，星期三BGP協議相關的漏洞和防范措施 u 由于BGP使用了TCP的傳輸方式，它就會使BGP引起不少關于TCP方面的問題，如很普遍的SYN Flood攻擊，序列號預測

48、，一般拒絕服務攻擊等。 u 部分BGP的實現默認情況下沒有使用任何的認證機制，而有些可能存在和RIP同樣的問題就是使用了明文密碼。這樣假如認證方案不夠強壯的話，攻擊者發送UPDATE信息來修改路由表的遠程攻擊的機會就會增加許多，導致進一步的破壞擴大。 u BGP也可以傳播偽造的路由信息，如果攻擊者能夠從一協議如RIP中修改或者插入路由信息并由BGP重新分配。這個缺陷是存在與信任模塊中而不是其協議本身。第70頁，共121頁，2022年，5月20日，10點54分，星期三BGP協議相關的漏洞和防范措施BGP使用TCP 179端口來進行通信，因此nmap必須探測TCP 179端口來判斷BGP的存在。

49、roottest# nmap -sS -p 179 -v router.ip.address.2 Interesting ports on (router.ip.address.2): Port State Service 179/tcp open bgp -一個開放的BGP端口，更容易被攻擊 roottest# nmap -sS -n -p 179 router.ip.address.6 Interesting ports on (router.ip.address.6): Port State Service 179/tcp filtered bgp BGP端口被過濾了，對攻擊有一定的抵抗

50、力。 第71頁，共121頁，2022年，5月20日，10點54分，星期三BGP協議相關的漏洞和防范措施建議：要使BGP更安全，你最好對端口179采用訪問列表控制，使用MD5認證。第72頁，共121頁，2022年，5月20日，10點54分，星期三OSPF是動態連接狀態路由協議，其保持整個網絡的一個動態的路由表并使用這個表來判斷網絡間的最短路徑；OSPF是內部使用連接狀態路由協議，協議通過向同層結點發送連接狀態信息（LSA）工作，當路由器接收到這些信息時，它就可以根據SPF算法計算出到每個結點的最短路了。；一旦路由器接受到Hello信息包，它就開始同步自己的數據庫和其他路由一樣；第73頁，共121

51、頁，2022年，5月20日，10點54分，星期三 OSPF可以被配置成：沒有認證機制；使用明文密碼認證；MD5； 這樣如果攻擊者能獲得一定程度的訪問，如他們可以使用如dsniff等工具來監視OSPF信息包和或者明文密碼，這個攻擊者可以運行divert socket或者其他可能的各種類型ARP欺騙工具來重定向通信。安全建議配置成MD5認證 第74頁，共121頁，2022年，5月20日，10點54分，星期三OSPF認證需要KEY的交換，每次路由器必須來回傳遞這個KEY來認證自己和嘗試傳遞OSPF消息， 路由器的HELLO信息包在默認配置下是每10秒在路由器之間傳遞，這樣就給攻擊者比較的大機會來竊聽

52、這個KEY，如果攻擊者能竊聽網絡并獲得這個KEY的話，OSPF信息包就可能被偽造，更嚴重的會盲目重定向這些被偽造的OSPF信息包。當然這些攻擊少之又少，不只是其難度，重要的是因為還有其他更容易的安全漏洞可以利用，誰不先捏軟柿子.第75頁，共121頁，2022年，5月20日，10點54分，星期三OSPF使用協議類型89，因此你可以使用nmap協議掃描來判斷OSPF，除非網絡通過配置訪問列表來不響應這些類型的查詢。如下所示： roottest# nmap -sO -router.ip.address.252 Interesting protocols on (router.ip.address.2

53、52): Protocol State Name 89 open ospfigp 第76頁，共121頁，2022年，5月20日，10點54分，星期三路由器安全的原則和目標路由器的安全配置 路由器訪問安全 路由器網絡服務安全配置： 訪問控制列表和過濾： 路由和路由協議的安全配置 日志和管理 路由網絡接入服務的安全性 如何防止DDoS攻擊第77頁，共121頁，2022年，5月20日，10點54分，星期三第78頁，共121頁，2022年，5月20日，10點54分，星期三Cisco路由器支持如下的日志AAA日志：主要收集關于用戶撥入連結、登錄、Http訪問、權限變化等。這些日志用TACACS+或RAD

54、IUS協議送到認證服務器并本地保存下來。這些可以用aaa accouting實現。Snmp trap 日志：發送系統狀態的改變到Snmp 管理工作站。系統日志：根據配置記錄大量的系統事件。并可以將這些日志發送到下列地方：控制臺端口（缺省的情況下）Syslog 服務器 TTYs或VTYs本地的日志緩存。第79頁，共121頁，2022年，5月20日，10點54分，星期三是否指定日志服務器 描述：可以將UNIX 主機或者win主機配置日志服務來集中收集日志 操作：logging $(SYSLOG HOST)定義本地日志緩存大小 描述：定義內部日志緩存大小 本地日子緩存大小為：LOG BUFFER S

55、IZE： 操作：logging buffered $(LOG BUFFER SIZE)是否需要console 口紀錄關鍵消息 描述：定義是否從console 口來記錄關鍵消息 操作：logging console critical遠端日志的級別 描述：定義是否給日志服務器發送陷阱消息 操作：logging trap informational 第80頁，共121頁，2022年，5月20日，10點54分，星期三路由管理服務安全配置 許多的用戶利用協議來管理路由器SNMPSNMPV1SNMPV2Http。第81頁，共121頁，2022年，5月20日，10點54分，星期三Cisco 路由器SNMP管

56、理公用字符串漏洞 Cisco 路由器在默認情況下有一個危害極大的漏洞，即采用SNMP兩個公用字符串，“public”為讀字符串，“private”為寫字符串，其實這就是Cisco 路由器的SNMP管理的讀和寫口令。利用這兩個口令可以獲得該路由的幾乎一切信息，有的Cisco 路由器還允許 “private”下載和上傳該路由器的配置文件；這個可寫字符串還可以斷開路由器網卡的連接，更改登錄口令。 第82頁，共121頁，2022年，5月20日，10點54分，星期三SNMP協議安全管理SNMPV1（1）如果你不使用SNMP來管理Cisco設備，就禁止此服務。no snmp-server（2）如果必須要求

57、使用此服務，必須更改缺省管理關鍵字。請設置通信串為一個比較難猜測的字符串，并限制對其的訪問。 ACL規則限定只能從合適的主機或網絡接受訪問所在設備的SNMP請求。Access-l 101 permit udp 55any eq 161 log使能只讀（RO）SNMP的能力snmp-server community secret RO SNMPV2 基于Keyed-MD5的認證方式snmp-server party Digest Authentication第83頁，共121頁，2022年，5月20日，10點54分，星期三Http管理服務安全配置Http最近的路由器操作系統支持Http協議進行遠

58、端配置和監視。這使得用Http進行管理相當危險。（1）在網絡上發送明文（2）Http沒有有效的基于挑戰或一次性的口令保護。如果選擇使用Http進行管理，最好用（1）ip http access-class命令限定訪問地址 （2）用ip http authentication命令配置認證。最好的http認證選擇是利用TACACS+或RADIUS服務器。 第84頁，共121頁，2022年，5月20日，10點54分，星期三是否存在Cisco IOS Web配置接口安全認證被繞過的情況IOS 是Cisco公司開發的路由器固件。IOS支持很多Cisoco設備(包括路由器和交換機)。在Cisco IOS

59、11.3開始的版本存在一個安全問題，如果它開放了web管理接口，將允許任意遠程攻擊者獲取該設備的完全的管理權限。攻擊者只需要構造一個如下的URL:http:/destIP/level/xx/exec/.這里的xx是一個從16-99之間的整數。對于不同的設備，這個數值可能是不同的，但是攻擊者僅需要測試84次即可找到正確的數值。這個問題可能導致遠程用戶獲取完全的管理權限，并進一步對網絡進行滲透，也可能造成拒絕服務攻擊漏洞。第85頁，共121頁，2022年，5月20日，10點54分，星期三檢查是否存在Cisco 675 路由器 Web管理拒絕服務漏洞Cisco 675 DSL Router 有一個漏

60、洞，這個漏洞使得遠程攻擊者可以進行拒絕服務攻擊，要想它繼續進行正常操作就需要關閉電源進行硬重啟。如果它啟用了基于 Web 的遠程管理功能，遠程攻擊者可以用telnet 進行連接，再提交一個簡單的畸形的 HTTP GET 請求。一旦連接成功，提交 GET ? n n 這樣的命令， telnet 會話將中斷，同時，路由器將崩潰。要使它繼續進行正常操作就需要關閉電源進行硬重啟。可能這個系列（673, 675e, 676, 677和 678）的其它路由器也有這個漏洞。關閉Web的遠程管理功能，使用如下命令：# set web disabled# write# reboot第86頁，共121頁，2022