《路由器的安全》PPT课件.ppt

《《路由器的安全》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《路由器的安全》PPT课件.ppt（121页珍藏版）》请在三一办公上搜索。

1、路由器的安全配置2004年4月21日,路由器的安全配置,创建有效的安全策略路由器的安全目标防止对路由器的未经授权的访问（保护路由器本身）防止对网络的未经授权的访问（通过路由器来保护网络）防止网络数据窃听防止欺骗性路由更新路由器的安全配置路由器访问安全路由器网络服务安全配置：访问控制列表和过滤：路由和路由协议的安全配置日志和管理路由网络接入服务的安全性如何防止DDoS攻击,创建安全策略安全策略的性质安全策略的两个级别部署安全策略的基础,安全策略的性质,安全策略意味着折衷保证对用户访问和效率的影响最小的情况下提供最大的安全性安全策略应根据企业需要来确定由需要来支配制定安全策略安全策略的动态性根据业

2、务、技术、资源配置的变化而变化,安全策略的两个级别,需求级安全策略：定义防止网络资源遭受入侵或破坏的保护程度，并对违反安全策略的代价进行估计。实施级安全策略使用具体的技术，以预先定义的方式来实施需求级安全策略。,部署安全策略的基础,找出需要保护的网络资源确定危险之处限制访问范围找出假设情况确定安全措施的代价考虑认为因素保持有限的机密实施具有普遍性的、可调整的安全策略了解典型的网络功能物理安全,路由器的安全策略,路由器的安全目标*需求级*防止对路由器的未经授权的访问（保护路由器本身）防止对网络的未经授权的访问（通过路由器来保护网络）防止网络数据窃听防止欺骗性路由更新路由器的安全配置*实施级*路由

3、器访问安全路由器网络服务安全配置：访问控制列表和过滤：路由和路由协议的安全配置日志和管理路由网络接入服务的安全性如何防止DDoS攻击,路由器安全的原则和目标,路由器安全的原则和目标防止对路由器的未经授权的访问（保护路由器本身）防止对网络的未经授权的访问（通过路由器来保护网络）防止网络数据窃听防止欺骗性路由更新,防止对路由器的未经授权的访问（保护路由器本身）物理安全 操作系统的安全性 路由配置文件的安全防止对网络的未经授权的访问（通过路由器来保护网络）基于tcp/ip数据包过滤原理、实行入站过滤和出站过滤允许要求的协议和服务通过拒绝有危险的协议和服务 防止网络数据窃听防止欺骗性路由更新,路由器安

4、全的原则和目标,路由器的安全配置,路由器安全的原则和目标路由器的安全配置 路由器访问安全 路由器网络服务安全配置 访问控制列表和过滤 路由和路由协议的安全配置 日志和管理 路由网络接入服务的安全性 如何防止DDoS攻击,路由器访问安全,物理访问的严格控制物理运行环境的安全性远程访问控制随时更新IOS操作系统口令安全管理交互式访问控制,物理访问的严格控制,只有网络管理员可以接触路由器，由管理员负责路由器的安全性最好有门卫、管理员或电子监控设备，能够对设备进行7*24小时的监控。同时不能使授权人员接触路由器的过于困难。,物理攻击的例子,（1）一个管理员或攻击者可以通过简单的终端或主机来连接到con

5、sole口来可以通过物理接触来达到对一个路由器完全具有管理员权限的权利具体方法做简单的说明：当路由器重启动的开始几秒如果发送一个Break信号到控制台端口，则利用口令恢复程式可以很容易控制整个系统。这样如果一个攻击者尽管他没有正常的访问权限，具有系统重启（切断电源或系统崩溃）和访问控制端口（通过直连终端、Modem、终端服务器）的能力就可以控制整个系统。所以必须保证所有连结控制端口的访问的安全性。（2）闪存 一个可以物理接触路由器的攻击者可以通过更换闪存的办法，可以使路由器从他的山村启动，运行攻击者的ios系统版本和配置。对这种攻击的防范只能从限制物理接触来防范。必须保证物理上的安全性。,物理

6、运行环境的安全性,合适的温度和湿度不受电磁干扰使用ups电源供电等。,远程访问控制,使用访问控制来限制远程管理的接入主机（从物理安全性来考虑）可能的话最好用加密的方式来保护路由器与远程主机的通信的机密性。console和aux(辅助端口）的安全配置路由器访问IP限制命令：access-list 3 deny anyline vty 0 4access-class 3 in,远程访问控制,主要区别是口令恢复的方法只能用在con口上；在大多数情况下aux是不用的；设置console 过期时间来保持安全性 操作：line con 0 exec-timeout 5 0禁止aux(辅助端口）口：一般不需

7、要 操作：line aux 0 no exec transport input none,随时更新IOS操作系统,新的ios对旧版本的漏洞或bugs都会作出修复。http:/,认证口令安全管理,线路口令认证(从控制台或VTY登录的时候用）本地用户名认证AAA（推荐方法）最好的口令处理方法是将这些口令保存在TACACS+或RADIUS 或KerBeros认证服务器上。,口令安全管理,线路口令认证线路口令：(从控制台或VTY登录的时候用）password passwordlogin有效（特权）口令设置命令：Enable secret password（Enable password passwor

8、d）本地用户认证username routeradmin password 7 0317B21895FEline vty 0 4login local,本地口令安全配置,使用enable secret 命令 enable secret 命令用于设定进入特权EXEC模式的静态口令。enable password和enable secret的区别enable password采用的加密算法比较弱。而enable secret命令采用的是MD5算法，这种算法很难进行破译的。但是这种MD5算法对于字典式攻击还是没有办法。使用service password-encryption（密码加密服务）这条命令

9、用于对存储在配置文件中的所有口令和类似数据（如CHAP）进行加密。避免当配置文件被不怀好意者看见，从而获得这些数据的明文。但是service password-encrypation的加密算法是一个简单的维吉尼亚加密，很容易被破译。所以不要以为加密了就可以放心了，最好的方法就是选择一个长的口令字，避免配置文件被外界得到。且设定enable secret和service password-encryption。,多级权限配置,缺省条件下，Cisco IOS只有一个超级权限的口令，可以配置Cisco IOS有多达16个级别的权限及其口令。可以设置通过某个级别的口令登录的用户只允许使用某些命令。设置

10、步骤：1.设置某条命令属于某个级别，在全局设置模式下privilege mode level 级别 命令关键字 no privilege mode level 级别 命令关键字注意：Cisco IOS 可以定制0-15个级别权限。0-15级别中，数字越大，权限越高，权限高的级别继承低权限的所有命令。2.设置某个级别的口令enable secret level 级别 口令 通过多级权限，可以根据管理要求，授予相应的工作以相应的权限。,TACACS认证认证配置,(TACACS认证)aaa new-modelaaa authentication login default tacacs+enable

11、aaa authentication enable default tacacs+enable（是否可以访问特权级别的命令）aaa accounting exec start-stop tacacs+ip tacacs source-interface Loopback0tacacstacacstacacs-server key CKr3t#（对传输的信息进行加密）line vty 0 4login authentication default local,交互式访问控制,登录路由器的方法：直连的控制台终端登录 Modem拨号登录 支持如Telnet、rlogin、Ssh以及非基于IP的网络协

12、议如LAT、MOP、X.29和V.120等 的远程网络登录本地的异步终端和拨号Modem用标准的TTYs。远地的网络连结不管采用什么协议都是虚拟的TTYs，即VTYs。,控制VTY（虚拟终端）,任何VTY应该仅允许指定的协议建立连结。利用transport input命令。如一个VTY只支持Telnet服务，可以如下设置 transport input telnet。transport input ssh。仅允许的ip地址范围可以利用ip access-class限制访问VTY的。,控制VTY（虚拟终端）,防止对能被利用进行Dos（拒绝服务攻击）。这里攻击者不必登录进入，只要建立连结，到log

13、in提示符下就可以，消耗到所有的VTYs。好的防御方法：利用ip access-class命令限制最后一个VTYs的访问地址，只向特定管理工作站打开。而其他的VTYs不限制，从而既保证了灵活性，也保证关键的管理工作不被影响。另一个方法是利用exec-timeout命令，配置VTY的超时。避免一个空闲的任务一直占用VTY。类似的也可以用service tcp-keepalives-in 保证Tcp建立的连结是活动的，从而避免恶意的攻击或远端系统的意外崩溃导致的资源独占。更好的保护VTY的方法是关闭所有非基于IP的访问，且使用IPSec加密所有的远端与路由器的连结。,设置timeout,设置tim

14、eout（超过这个时间无任何操作，就取消该会话）line con 0exec-timeout 5 0line aux 0exec-timeout 10 0line vty 0 4exec-timeout 5 0service tcp-keepalives-in,路由器的安全,路由器安全的原则和目标路由器的安全配置 路由器访问安全 路由器网络服务安全配置 访问控制列表和过滤 路由和路由协议的安全配置 日志和管理 路由网络接入服务的安全性 如何防止DDoS攻击,路由器网络服务安全配置,基于TCP和UDP协议的小服务 echo、chargen和discard。Finger、NTP、CDP等服务,基于

15、TCP和UDP协议的小服务,这些服务很少被使用，而且容易被攻击者利用来越过包过滤机制。如echo服务，就可以被攻击者利用它发送数据包，好像这些数据包来自路由器本身。所以最好禁止这些服务。命令：no service tcp-small-servers no service udp-small-servers,Finger、NTP、CDP等服务,服务作用Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错。CDP可能被攻击者利用获得路由器的版本等信息，从而进行攻击。安全配置：可以禁止上述服务。命令：no

16、 service fingerno ntp enabelno cdp run(全局配置)no cdp enable(端口配置)no ip bootp server,以下端口服务通常可以关闭：no ip redirectsno ip directed-broadcast,路由器安全的原则和目标路由器的安全配置 路由器访问安全 路由器网络服务安全配置 访问控制列表和过滤 路由和路由协议的安全配置 日志和管理 路由网络接入服务的安全性 如何防止DDoS攻击,访问控制列表和过滤,访问控制列表 配置原则访问控制列表 配置 防止外部IP地址欺骗 防止外部的非法探测 保护路由器不受攻击 阻止对关键端口的非法

17、访问 对内部网的重要服务器进行访问限制,访问控制列表配置原则,可以在网络的任何一点进行限制，但是最好在网络的边界路由器上进行，因为在网络内部是难于判断地址伪造的。最好对接口进入的数据进行访问控制（用ip access-group list in）。因为输出列表过滤只保护了位于路由器后的网络部分，而输入列表数据过滤还保护了路由器本身不受到外界的攻击。不仅对外部的端口进行访问控制，还要对内部的端口进行访问控制。因为可以防止来自内部的攻击行为 所有向内对话应用于路由器外部接口的IN方向，所有向外对话应用于路由器外部接口的OUT方向。,访问控制列表 配置说明,防止外部IP地址欺骗 防止外部的非法探测

18、保护路由器不受攻击 阻止对关键端口的非法访问 对内部网的重要服务器进行访问限制 针对最新蠕虫防范的访问列表,防止外部IP地址欺骗,access-list 101 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.0.255.255 any 阻止源地址为私有地址的所有通信流。access-list 101 deny ip 127.0.0.0 0.255.255.255 any 阻止源地址为回环地址的所有通

19、信流。access-list 101 deny ip 224.0.0.0 7.255.255.255 any 阻止源地址为多目的地址的所有通信流。access-list 101 deny ip host 0.0.0.0 any 阻止没有列出源地址的通信流。注：可以在外部接口的向内方向使用101过滤。,防止外部的非法探测,access-list 102 deny icmp any any echo 阻止用ping探测网络。access-list 102 deny icmp any any time-exceeded 阻止用traceroute探测网络。注：可在外部接口的向外方向使用102过滤。在

20、这里主要是阻止答复输出，不阻止探测进入。,保护路由器不受攻击,路由器:外部接口serial0的IP为，内部接口fastethernet0的IP为200.200.100.1 access-list 101 deny tcp any 200.200.200.1 0.0.0.0 eq 23 access-list 101 deny tcp any 200.200.100.1 0.0.0.0 eq 23 access-list 101 deny udp any 200.200.200.1 0.0.0.0 eq 161 access-list 101 deny udp any 200.200.100.1

21、 0.0.0.0 eq 161,阻止对关键端口的非法访问,access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 137 access-list 101 deny tcp any any eq 138 access-list 101 deny tcp any any eq 139 access-list 101 deny udp any any eq 135 access-list 101 deny udp any any eq 137 access-list 101 deny udp any an

22、y eq 138 access-list 101 deny udp any any eq 139,对内部网的重要服务器进行访问限制,允许外部用户到Web服务器的向内连接请求。允许Web服务器到外部用户的向外答复。允许外部SMTP服务器向内部邮件服务器的向内连接请求。允许内部邮件服务器向外部SMTP服务器的向外答复。允许内部邮件服务器向外DNS查询。允许到内部邮件服务器的向内的DNS答复。允许内部主机的向外TCP连接。允许对请求主机的向内TCP答复。,针对sql-slammer、Netbios_Worm.Dvldr_蠕虫的访问列表,access-list 110 deny udp any any

23、 eq 1434access-list 110 deny tcp any any eq 445 access-list 110 deny tcp any any eq 5800access-list 110 deny tcp any any eq 5900access-list 110 deny 255 any anyaccess-list 110 deny 0 any anyaccess-list 110 permit ip any any,基本访问列表实现会话过滤,使用基本的标准访问列表和静态扩展访问列表实现会话过滤，可以通过在permit命令中使用关键字established，近似地实现

24、会话过滤。established关键字根据是否设置了ACK或RST位来过滤TCP包（设置了ACK或RST位后，说明这个包不是会话的第一个包）。-使用关键字established的第一种方法只适用于TCP上层协议，对其它上层协议（比如UDP、ICMP等等），则要么允许所有输入流量，要么为每个协议定义所有可能的源主机和目的主机或源端口地址和目的端口地址对（它不但是一个不可管理的任务，而且还占用了NVRAM空间）。-这种过滤标准可以作为访问列表的一部分长期应用到接口上。,反射访问列表与基本访问列表实现会话过滤的区别,使用反射访问列表实现会话过滤反射访问列表提供了一种真正意义的会话过滤，过滤规则相匹配

25、（例如，除了检查ACK和RST位外，源地址、目的地址和端口号也要被检查），所以反射访问列表能更有力地抵御欺诈。会话过滤使用临时过滤器，在会话结束时，临时过滤器被删除，这样，就把黑客的攻击机会缩小到了一个更小的时限窗口。,反射访问列表的工作方式,当一个新的IP高层会话（如TCP或UDP）从网络内部发起、并将包传送到外部网络时，反射访问列表被触发。触发后，反射访问列表生成一个新的临时入口，如果外部来的流量是这个会话的一部分，则此入口将允许它进入网络内部，如果不是会话的一部分，则被禁止进入网络内部。例如，如果有一个TCP包从内部网络往外传送，并且这个包是TCP会话的第一个包，则将产生一个新的临时反射

26、访问列表入口，这个入口附加在应用于输入流量的反射访问列表上，并具有下述特征：此入口总是一个允许（permit）入口。入口指定的协议与初始输出的TCP包的协议相同。,反射访问列表的特点,反射访问列表基于上层会话信息过滤IP包。使用反射访问列表，可以允许源自内部网络的IP会话流量，而拒绝源自外部网络的IP会话流量，这一任务通过反射过滤（一种会话过滤）来完成。反射访问列表只能使用扩展的命名IP访问列表来定义。不可以使用数字名或标准命名的IP访问列表或使用其它协议的访问列表来定义反射访问列表。可以把反射访问列表和其它标准访问列表或静态访问列表结合起来使用。反射访问列表对进入网络的外部分组有更强的控制能

27、力。,反射访问列表的特点,反射访问列表和其它访问列表有许多相似之处。反射访问列表包含了用于定义允许IP包规则的条件语句（入口），这些入口按次序求值，当出现一个匹配时，其它入口便不再求值。反射访问列表也与其它类型的访问列表存在一些重要的差异。反射访问列表只包含临时入口，这些入口在新的会话开始（有一个输出包）时创建，并在会话结束时删除。反射访问列表自身并不直接应用到接口，而是嵌套地通过扩展命名IP访问列表应用到接口。由于嵌套的原因，反射访问列表的最后不存在隐含的“拒绝所有流量（Deny All Traffic）”语句。,反射访问列表的配置,ip access-list extendedname对于

28、外部接口：指定输出访问列表对于内部接口：指定输入访问列表permit protocol any anyreflect name timeoutseconds使用反射permit入口定义反射访问列表，为每个IP上层协议重复这个步骤，例如，用户既可为TCP会话、也可为UDP会话定义反射过滤。可以在多个协议中使用相同的名字。ip access-group name out或ip access-group name in对于外部接口：把扩展访问列表应用于接口的输出型流量对于内部接口：把扩展访问列表应用于接口的输入型流量,反射访问列表的配置,evaluate name增加一个指向反射访问列表的入口，为先

29、前定义了名字的每个反射访问列表都增加一个入口ip reflexive-list timeout seconds更改临时访问列表入口的全局超时值（没有会话数据流后多常时间内，反射访问列表被删除）,路由器安全的原则和目标路由器的安全配置 路由器访问安全 路由器网络服务安全配置 访问控制列表和过滤 路由和路由协议的安全配置 日志和管理 路由网络接入服务的安全性 如何防止DDoS攻击,路由和路由协议的安全,路由的安全 防 范 Smurf攻击 防止源路由攻击 Icmp 重定向攻击 防止盗用内部IP地址 防止DDoS攻击 路由协议的安全,这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目

30、标系统，引起目标系统拒绝为正常系统进行服务。攻击的过程是这样的：Woodlly Attacker向一个具有大量主机和因特网连接的网络的广播地址发送一个欺骗性Ping分组（echo 请求），这个目标网络被称为反弹站点，而欺骗性Ping分组的源地址就是Woolly希望攻击的系统。这种攻击的前提是，路由器接收到这个发送给IP广播地址（如）的分组后，会认为这就是广播分组，并且把以太网广播地址FF:FF:FF:FF:FF:FF:映射过来。这样路由器人因特网上接收到该分组，会对本地网段中的所有主机进行广播。,防范Smurf攻击,“smurf”攻击原理：攻击者通过不断的发送一个源地址为非法地址的直接广播包到

31、攻击的子网。从而导致子网的所有主机向这个非法地址发送响应，最终导致目的网络的广播风暴。,防范Smurf攻击,阻止从你的网络中发起的Smurf攻击 Access-list 100 permit IP 你的网络号 你的网络子网掩码 any Access-list 100 deny IP any any防止本网络做为中间代理 如果没有必须要向外发送广播数据包的情况，就可以在路由器的每 个接口上设置禁止直接广播，命令如下：no ip directed-broadcast边界路由器上使用以下命令：ip verify unicast reverse-path 让路由器对具有相反路径的ICMP欺骗数据包进行

32、校验，丢弃那些没有路径存在的包。,Icmp 重定向攻击,Icmp 重定向攻击也是一种常用的路由攻击方法。攻击者通过发送错误的重定向信息给末端主机，从而导致末端主机的错误路由。将本应送到正确目标的信息重定向到它们指定的设备，从而获得有用信息 禁止外部用户使用ICMP重定向的命令如下：interface serial0 no ip redirects,防止外部源路由欺骗,源路由选择是指使用数据链路层信息来为数据报进行路由选择。该技术跨越了网络层的路由信息，使入侵者可以为内部网的数据报指定一个非法的路由，这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。禁止使用源路由的命令如下：no i

33、p source-route,防止盗用内部IP地址,攻击者可能会盗用内部IP地址进行非法访问。针对这一问题，可以利用Cisco路由器的ARP命令将固定IP地址绑定到某一MAC地址之上。具体命令如下：arp 固定IP地址 MAC地址 arpa,路由协议的安全,路由邻接认证RIP协议的漏洞和防范措施BGP协议的漏洞和防范措施OSPF 协议的漏洞和防范措施,邻接认证的必要性,没有邻接认证的危险：未授权的或故意的恶意路由更新可能危害网络通信的安全性。如果一个非友好的团体转移或者分析网络中的通信流，就会造成安全问题。例如，未经授权的路由器可以发送假的路由更新信息，使你的路由器确信向一个不正确的目的地发送

34、数据流。这种转移的通信可以用来进行分析，以掌握网络组织的机密信息，或者仅仅给组织机构的有效通信造成混乱。邻接认证的优点：无论何时在邻接路由器之间交换路由更新信息时，都将进行邻接认证。确保路由器从可靠的来源接收到可以依赖的路由信息，防止路由更新欺诈。,邻接认证工作原理与工作方式,工作原理：当在路由器上配置了邻接认证时，该路由器对其收到的每个路由更新包的来源都要进行认证。认证过程通过交换认证密钥或消息摘要（有时称为口令）完成，该密钥对于发送路由器和接收路由器都是已知的。认证方式明文文本认证消息摘要算法版本5（MD5）认证。这两种认证形式的工作方式完全相同。,明文文本认证,明文文本认证方式：每台参予

35、邻接认证的路由器必须共享一个认证密钥。该密钥是在配置每个路由器时指定的。有些协议可以指定多个密钥；每个密钥必须使用一个密钥号标识认证过程：步骤1 某个路由器向邻接的路由器发送带密钥及该密钥对应的密钥号的路由更新。在只能有唯一一个密钥的协议中，密钥号总是零。步骤2 接收（邻接）路由器检查收到的密钥，与存储在自身存储器内的密钥比较，看是否相同。步骤3 如果两个密钥匹配，则接收路由器接受路由更新包。如果不匹配，则拒绝路由更新包。下述协议使用明文文本认证：DRP服务代理协议 IS-IS协议l OSPF协议RIP协议版本2,MD5认证,认证方式：路由器使用MD5算法产生该密钥的一条消息摘要（也叫做散列）

36、。然后发送消息摘要，而不是密钥本身。确保在信息传输期间，没有人能够在线路上窥视并掌握密钥。MD5认证过程与明文文本认证的过程相同。下述协议使用MD5认证：OSPF协议 RIP协议版本2BGP协议IP增强的IGRP协议,使用邻接认证的协议,使用邻接认证的协议邻接认证可以配置下述路由协议：边界网关协议（BGP，Border Gateway Protocol）DRP服务器代理协议(DRP Server Agent)中间系统对中间系统协议（IS-IS，Intermediate System-to-Intermediate System）IP增强的内部网关路由协议（IGRP,IP Enhanced In

37、terior Gateway RoutingProtocol）开放的最短路径优先协议（OSPF，Open Shortest Path First）第二版路由信息协议（RIP，Routing Information Protocol version 2,RIP协议的基本特点,基于距离矢量的路由协议，其所有路由基于(hop)跳数来衡量。RIP是作为一种内部网关协议(interior gateway protocol)，即在自治系统内部执行路由功能。外部网关路由协议(exterior gateway protocol)，如边缘网关协议（BGP），在不同的自治系统间进行路由。RIP协议对大型网络来说不

38、是一个好的选择，因为它只支持15跳，RIP协议能和其他路由协议共同工作，依照Cisco，RIP 协议经常用来与OSPF协议相关联.,RIP协议的漏洞和脆弱点,RIPv1 天生就有不安全因素，因为它没有使用认证机制并使用不可靠的UDP协议进行传输。RIP信息包可以很容易的伪造.RIPv2的分组格式中包含了一个选项可以设置16个字符的明文密码字符串(表示可很容的被嗅探到)或者MD5签字。虽然RIP信息包可以很容易的伪造，但在RIPv2中你使用了MD5签字将会使欺骗的操作难度大大提高。RIP更新提交的路由可以通过其他路由协议重新分配，这样如果一攻击者能通过RIP来欺骗路由到网络，然后再通过其他协议如

39、OSPF或者不用验证的BGP协议来重新分配路由，这样攻击的范围将可能扩大。,RIP协议的探测,一个测试者或者攻击者可以通过探测520 UDP端口来判断是否使用RIP，你可以使用熟悉的工具如nmap来进行测试，如下所示，这个端口打开了并没有使用任何访问控制联合任意类型的过滤：roottest#nmap-sU-p 520-v router.ip.address.2 interesting ports on(router.ip.address.2):Port State Service 520/udp open route,攻击的方式,有些工具组合可以比较容易的进行RIP欺骗攻击攻击，这些工具是使用

40、rprobe来获得远程网络RIP路由表，使用标准的tcpdump或者其他嗅探工具来查看路由表，srip来伪造RIP信息包(v1或者v2)，再用fragrouter重定向路由来通过我们控制的主机，并使用类似dsniff的工具来最后收集一些通信中的明文密码。,防范措施,建议：采用RIPv2（具有MD5安全机制）代替RIPv1协议；使用MD5认证的OSPF来提高安全性。,BGP是Exterior Gateway Protocol(EGP，外部网关协议),BGP协议执行自主系统之间的路由，BGP4是最近的流行标准。BGP使用几种消息类型，最重要的消息是UPDATE消息类型，这个消息包含了路由表的更新信

41、息，全球INTERNET大部分依靠BGP,BGP协议相关的漏洞和防范措施,u 由于BGP使用了TCP的传输方式，它就会使BGP引起不少关于TCP方面的问题，如很普遍的SYN Flood攻击，序列号预测，一般拒绝服务攻击等。u 部分BGP的实现默认情况下没有使用任何的认证机制，而有些可能存在和RIP同样的问题就是使用了明文密码。这样假如认证方案不够强壮的话，攻击者发送UPDATE信息来修改路由表的远程攻击的机会就会增加许多，导致进一步的破坏扩大。u BGP也可以传播伪造的路由信息，如果攻击者能够从一协议如RIP中修改或者插入路由信息并由BGP重新分配。这个缺陷是存在与信任模块中而不是其协议本身。

42、,BGP协议相关的漏洞和防范措施,BGP使用TCP 179端口来进行通信，因此nmap必须探测TCP 179端口来判断BGP的存在。roottest#nmap-sS-p 179-v router.ip.address.2 Interesting ports on(router.ip.address.2):Port State Service 179/tcp open bgp-一个开放的BGP端口，更容易被攻击 roottest#nmap-sS-n-p 179 router.ip.address.6 Interesting ports on(router.ip.address.6):Port S

43、tate Service 179/tcp filtered bgp BGP端口被过滤了，对攻击有一定的抵抗力。,BGP协议相关的漏洞和防范措施,建议：要使BGP更安全，你最好对端口179采用访问列表控制，使用MD5认证。,OSPF是动态连接状态路由协议，其保持整个网络的一个动态的路由表并使用这个表来判断网络间的最短路径；OSPF是内部使用连接状态路由协议，协议通过向同层结点发送连接状态信息（LSA）工作，当路由器接收到这些信息时，它就可以根据SPF算法计算出到每个结点的最短路了。；一旦路由器接受到Hello信息包，它就开始同步自己的数据库和其他路由一样；,OSPF可以被配置成：没有认证机制；使

44、用明文密码认证；MD5；这样如果攻击者能获得一定程度的访问，如他们可以使用如dsniff等工具来监视OSPF信息包和或者明文密码，这个攻击者可以运行divert socket或者其他可能的各种类型ARP欺骗工具来重定向通信。安全建议配置成MD5认证,OSPF认证需要KEY的交换，每次路由器必须来回传递这个KEY来认证自己和尝试传递OSPF消息，路由器的HELLO信息包在默认配置下是每10秒在路由器之间传递，这样就给攻击者比较的大机会来窃听这个KEY，如果攻击者能窃听网络并获得这个KEY的话，OSPF信息包就可能被伪造，更严重的会盲目重定向这些被伪造的OSPF信息包。当然这些攻击少之又少，不只是

45、其难度，重要的是因为还有其他更容易的安全漏洞可以利用，谁不先捏软柿子.,OSPF使用协议类型89，因此你可以使用nmap协议扫描来判断OSPF，除非网络通过配置访问列表来不响应这些类型的查询。如下所示：roottest#nmap-sO-router.ip.address.252 Interesting protocols on(router.ip.address.252):Protocol State Name 89 open ospfigp,路由器安全的原则和目标路由器的安全配置 路由器访问安全 路由器网络服务安全配置：访问控制列表和过滤：路由和路由协议的安全配置 日志和管理 路由网络接入服

46、务的安全性 如何防止DDoS攻击,Cisco路由器支持如下的日志,AAA日志：主要收集关于用户拨入连结、登录、Http访问、权限变化等。这些日志用TACACS+或RADIUS协议送到认证服务器并本地保存下来。这些可以用aaa accouting实现。Snmp trap 日志：发送系统状态的改变到Snmp 管理工作站。系统日志：根据配置记录大量的系统事件。并可以将这些日志发送到下列地方：控制台端口（缺省的情况下）Syslog 服务器 TTYs或VTYs本地的日志缓存。,是否指定日志服务器 描述：可以将UNIX 主机或者win主机配置日志服务来集中收集日志 操作：logging$(SYSLOG H

47、OST)定义本地日志缓存大小 描述：定义内部日志缓存大小 本地日子缓存大小为：LOG BUFFER SIZE：操作：logging buffered$(LOG BUFFER SIZE)是否需要console 口纪录关键消息 描述：定义是否从console 口来记录关键消息 操作：logging console critical远端日志的级别 描述：定义是否给日志服务器发送陷阱消息 操作：logging trap informational,路由管理服务安全配置,许多的用户利用协议来管理路由器SNMPSNMPV1SNMPV2Http。,Cisco 路由器SNMP管理公用字符串漏洞,Cisco 路

48、由器在默认情况下有一个危害极大的漏洞，即采用SNMP两个公用字符串，“public”为读字符串，“private”为写字符串，其实这就是Cisco 路由器的SNMP管理的读和写口令。利用这两个口令可以获得该路由的几乎一切信息，有的Cisco 路由器还允许“private”下载和上传该路由器的配置文件；这个可写字符串还可以断开路由器网卡的连接，更改登录口令。,SNMP协议安全管理,SNMPV1（1）如果你不使用SNMP来管理Cisco设备，就禁止此服务。no snmp-server（2）如果必须要求使用此服务，必须更改缺省管理关键字。请设置通信串为一个比较难猜测的字符串，并限制对其的访问。ACL

49、规则限定只能从合适的主机或网络接受访问所在设备的SNMP请求。Access-l 101 permit udp 10.10.2.0 0.255.255.255any eq 161 log使能只读（RO）SNMP的能力snmp-server community secret RO SNMPV2 基于Keyed-MD5的认证方式snmp-server party Digest Authentication,Http管理服务安全配置,Http最近的路由器操作系统支持Http协议进行远端配置和监视。这使得用Http进行管理相当危险。（1）在网络上发送明文（2）Http没有有效的基于挑战或一次性的口令保护

50、。如果选择使用Http进行管理，最好用（1）ip http access-class命令限定访问地址（2）用ip http authentication命令配置认证。最好的http认证选择是利用TACACS+或RADIUS服务器。,是否存在Cisco IOS Web配置接口安全认证被绕过的情况,检查是否存在Cisco 675 路由器 Web管理拒绝服务漏洞,防止窃听,加密管理协议：ssh登录、SNMPV2管理协议OTP（一次性口令）：SecureID/ToKen,S/KeyIPSec封装所有管理协议：telnet,SNMP,HTTP,审计,SNMP认证失败信息，与路由器连接信息：Trap系统操