安全威胁类型:
ü侦察
ð网络命令、PING扫描、端口扫描
ü非授权访问
ü拒绝服务(DOS)ð资源过载型拒绝服务攻击(表一)
ð带外数据型拒绝服务攻击(表二)
ð其他拒绝服务攻击(分布式拒绝服务攻击DDOS、电子邮件炸弹、缓冲区溢出、恶意applet、CPU独占)
ü数据操纵
ðIP欺骗(IP Spooling)
ð会话重放和劫持(Hijacking)
ð重路由(Rerouting)
ð否认(Repudianton)
保护管理接口的安全
ü设置控制台(Console)口令:router(config)#line
console
0
router(config-line)#login
router(config-line)#password
cisco_psw1
ü设置vty(Telnet)口令:
router(config)#line
vty
0
4
router(config-line)#login
router(config-line)#password
cisco_psw2
ü设置特权模式一般口令:
router(config)#enable
password
cisco_psw3
设置特权模式秘密口令:
router(config)#enable
secret cisco_psw4
ü”service
password-encryption”命令:将口令以一种加密的方式存储在路由器的配置文件中,以致在“Show
config”中不可见。
Ö路由器限定具体的某台主机拥有”telnet”访问的权限:
router(config)# access-list 21 permit 10.1.1.4
router(config)#line vty 0 4
router(config-line)#access-class 21 in
Ö 管理员只能在10.1.1.4上用Telnet访问路由器
ØCISCO访问列表类型:
ü标准访问列表:只允许过滤源地址,功能十分有限
access-list [list-number] [permit|deny] [source address] [wildcard-mask] [log]
Ö有三个关键字host、any、log适用此列表,host和any分别适用单个主机和所有主机
ð access-list 1 permit 192.168.11.0 0.0.0.255 log
ð access-list 1 deny host 192.168.0.5
ð access-list 1
permit any
ü扩展访问列表:允许过滤源地址、目的地址、协议、端口、上层应用数据
access-list [list-number] [permit|deny] [protocol] [protocol keyword] [sourece address] [source-wildcard]
[source port] [destination address] [destination-wildcard] [destination port] [log] [options]
ðaccess-list 101 pemit tcp any host 198.78.46.8
eq smtp
ðaccess-list 101 pemit ip 196.2.22.0
0.0.0.255 host 198.78.46.8
Ö标准或扩展列表定义好以后,必须用“ip access-group [list-number] [in|out]”应用到端口上
ü标准的命名IP访问列表:
ip access-list
standard
name
ðip access-list standard
test-name
ðpermit 196.2.20.0
0.0.0.255
ðpermit 196.2.12.0
0.0.0.255
ðip access-group test-name out
Ö定义和应用的格式与标准列表不同,其他用法和标准列表相同
ü扩展的命名IP访问列表:
ip access-list
extended
name
ðip access-list extended
sever-security
ðpermit tcp any host 202.32..5.69
eq 21
ðip access-group sever-security out
Ö定义和应用的格式与扩展列表不同,其他用法和扩展列表相同
ü动态访问表(lock-and-key):
ð 例一:两个以太网接口E0:198.78.46.0,E1:205.131.175.0;服务器198.78.46.12;希望任何用户都能访问198.78.46.12服务器,并允许205.131.175.0的网络能HTTP和FTP访问INTERNET。
username test password cisco
!
interface serial0
ip address 175.10.1.1 255.255.255.0
ip access-group 100 in
!
access-list 100 permit tcp any host 175.10.1.1 eq telnet
access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023
access-list 100 permit tcp any eq www 205.131.175.0 0.0.0.255 gt 1023 established
access-list 100 permit tcp any eq 21 205.131.175.0 0.0.0.255 gy 1023 established
access-list 100 dynamic test timeout 180 permit ip any host 198.78.46.12 log
!
logging buffered 64000
!
line vty 0 2
login local
autocommand access-enable host timeout 10
line vty 3 4
login local
rotary 1
Ö通常的访问列表,如果想开启一个访问列表让授权用户在不信任端访问内部资源的话,那么这个访问通道将会永久有效直到删除,以致带来巨大的安全漏洞;动态访问列表解决这个问题,它提供了一个用户名和密码的认证方式,避免了不信任端的用户非法侵入。
Ö必需步骤:
1、创建user和password
2、创建Telnet连接,如果不允许此连接就不能在访问表中创建动态的访问表项。
3、配置动态访问列表项和其它访问列表项
4、必须在line vty下配置“Autocommand”,一般在“line vty 0 2”下。
5、必须在line vty 下配置“rotary 1”
6、将动态和一般访问列表应用到接口:ip access-group
list-number in|out
ü基于时间的访问列表:
interface ethernet0
ip access-group 101 in
Time-range allow-http
Absolute start 7:00 1 June 2000 end 17:00 31 December 2000
Periodic weekends 7:00 to 17:00
!
ip access-list 101 permit tcp any any eq 80
allow-http!
Ö必需步骤:
1、定义时间范围:(具体参数见表三)
time-range time-range-name
absolute
[start time date] [end time date]
periodic days-of-the -week hh:mm to [days-of-the-week]hh:mm
2、定义访问列表并应用时间范围名称,以及将列表应用到接口
absolute是用于定义全面的时间范围,在一个“time-range”中,只能有一个absolute,但可以有多个Periodic定义具体的时间范围
ü自反访问列表:
ð自反访问列表在路由器的一边创建IP流量的动态开启,该过程是基于来自路由器另一边的会话进行的。它必须是基于扩展的IP命名访问列表。作用类似于一般访问列表中的“established”参数,它可创建一个动态的临时的相反方向的访问列表
ð自反访问列表创建语句:
1使用一条permit语句创建一个扩展ip命名访问列表,并在每个permit语句中使用reflect关键字,用以表明访问表中使用一个自反向开启表项。格式:permit protocol source destination reflect name [timeout seconds]。
2、使用evaluate语句将终止包含一条或多条自反向表项的扩展ip命名访问列表。格式:evaluate name
3、使用ip reflexive-list timeout 命令改变临时自反访问表表项的全局超时缺省值。格式:ip reflexive-list timeout seconds
ð解决方案一:
interface serial 0
ip access-group outfilter out
ip access-group infilter in
!
ip access-list extended outfilter
permit tcp any any eq 80 reflect my-packets timeout 240
permit tcp any any eq 23 reflect my-packets timeout 60
permit udp any any eq 53 reflect my-packets timeout 180
ip access-list extended infilter evaluate my-packets
ð解决方案二:
interface serial 0
ip access-group infilter0 in
ip access-group outfilter0 out
!
ip reflexive-list timeout 180
!
ip access-list extended infilter0
evaluate my-packets0
!
ip access-list extended outfilter0
permit tcp any any eq 23 reflect my-packets0
permit udp any any eq 53 reflect my-packets0
permit tcp any any eq 80 reflect my-packets0
!
interface serial 1
ip access-group infilter1 in
ip access-group outfilter1 out
!
ip access-list extended infilter1
permit icmp any host 205.131.175.12 echo request
permit tcp any host 205.131.175.12 eq 80
evaluate my-packets1
!
ip access-list extended outfilter1
permit tcp any any eq 23 reflet my-packets1
permit udp any any eq 53 reflect my-packets1
permit tcp any any eq 80 reflect my-packets1
Ö一般在一个向外的 扩展ip命名访问列表中定义合适的方向语句。这样就可以使临时开启表项出现在向内的方向上
ü基于上下文的访问控制:
Ø
用过滤器控制数据流
ü抑制路由使它不在路由更新中被广播出去
router(config)# access-list 45 deny
10.1.2.0
0.0.0.255
router(config)# access-list 45 permit
any
any
router(config-line)#router eigrp 200
router(config-router)#distribute-list
45
out
serial0
&O
