第3章 保护网络基础设施的安全
1、使用口令加密
A、“Service passWord-encrption”命令
加密后,假如使用SHOW那么会看到
enable password 7 14141B180F0B
......
B、“Enable secret”命令
这种方式会比前一种更安全些
加密后,假如使用SHOW那么会看到
enable secret 5 $1$6cWV$inD7guHPL1D3ZmdX08MMS
2、细调线路参数
router(config)#line console 0
router(config-line)#exec-timeout 2 30
3、设置多个特权级别
答应一个网络工程师使用所有的命令,但只给系统治理员分配命令级别2,即系统监视和测试命令(ping,show,debug)
router(config)#privilege exec level 2 show startup-config
router(config)#privilege exec level 2 debug ip rip
router(config)#privilege exec level 2 ping
router(config)#enble secret level 2 2kdo40d
假如系统治理员要进入,那么使用下面语句:
routerenable level
4、设置设备标识(banner)消息
5、控制Telnet访问
访问控制列表21给位于IP地址10.1.14
router(config)#Access-list 21 permit 10.1.1.4
router(config)#line vty 0 4
router(config-line)#access-class 21 in
6、控制SNMP访问
router(config)#snmp-server community secure ro
路由器到路由器的通信安全
1、明文认证
2、MD5认证
用MD5为EIGRP配置路由认证的例子:
!Router A
ip authentication mode eigrp 1 md5
ip authentication mode key-chain eigrp 1 cbobw
key chain chbobw
key 1
key-string 0987654321
accept-lifetime infinite
send-lifetime Jan 01 2001 infinite
key 2
key-string 1234567890
accept-lifetime infinite
send-lifetime Jan 01 2001 infinite
exit
!
router eigrp 200
network 10.1.1.0
network 10.1.2.0
!router B
ip authentication mode eigrp 1 md5
ip authentication mode key-chain eigrp 1 cpw
key chain cpw
key 1
key-string 0987654321
accept-lifetime infinite
send-lifetime 04:00:00 Jan 01 2001
04:00:00 Jan 01 2002
key 2
key-string 1234567890
accept-lifetime infinite
send-lifetime Jan 01 2001 infinite
exit
router eigrp 200
network 10.2.1.0
network 10.2.2.0
保护路由器的配置文件安全
1、限制通过SNMP所访问的TFTP服务器
命令行:snmp-server tftp-server-list number 其中“number”参数是访问控制列表号,限制TFTP服务器通过SNMP在服务器中配置访问列表的文件拷贝。
2、用过滤器控制数据流
用访问控制列表抑制路由更新中的网络通告
router(config)#access-list deny 10.1.2.0 0.0.0.255
router(config)#access-list 45 permit any any
router(config)#router eigrp 200
router(config-router)#distribute-list 45 out serial0
保护以太网交换机的治理访问
1、以太交换机的端口安全
命令行:
Console(enable)set port security 3/1 enable 01-02-03-04-05-06
Console(enable)set port security 3/2 enable
Console
Console(enable)show port 3
2、以太网交换机的访问安全
命令行:向IP答应列表中增加IP地址并检验配置
Console(enable)set ip permit 172.16.1.11
Consoleset ip permit 172.16.11.0 255.255.255.0
Consoleset ip permit enable
Consoleshow ip permit
第四章
分析CISCO AAA安全技术
1、AAA安全架构
包含三个组件:
A、认证 B、授权 C、审计
AAA和访问数据流
A、AAA和字符模式的数据流
受AAA保护的产生字符模式数据流的线路类型
AUX(辅助端口)
CONSOLE(控制台端口)
TTY(异步口)
VTY(虚拟终端口)
B、受AAA保护的产生包模式数据流的协议
PPP协议
ARAP协议
NASI协议
第四章 分析CISCO AAA安全技术
4、5 AAA 安全服务器
1、采用本地安全数据库的AAA
2、采用远程安全数据库的AAA
CISCO 网络设备支持三种以上的安全服务器协议:TACACS+、RADIUS和Kerberos
。其中TACACS+和RADIUS是用于网络接入服务器、路由器和防火墙AAA的主要安全服务器协议。CiscoSecure ACS产品系列来支持TACACS+和RADIUS协议
第五章 配置网络接入服务器使用AAA安全特性
NAS AAA配置步骤
步骤1、保护特权可执行(EXEC)和配置模式
步骤2、在NAS上全局性地启用AAA
步骤3、配置AAA认证原型
步骤4、配置AAA授权
步骤5、配置AAA审计选项
步骤6、调试所做的配置
第六章 配置CiscoSecure ACS和TACACS+/RADIUS
用于Windows NT的CiscoSecure ACS
安装CSNT
步骤1、配置NT服务器
步骤2、检验连通性
步骤3、通过WEB浏览器配置CSNT
步骤4、为AAA配置其他设备
用于UNIX的CiscoSecure ACS
165页 CSNT配置例子
第七章 配置CISCO边界路由器
边界安全主要是采用一个边界路由器在安全的网络与不安全网络之间建立起一个分界点。
边界路由器的特性
特 性 脆弱点 描 述
TCP/IP服务控制 侦察,拒绝服务(DOS),非授权访问 通用命令和接口命令可以提供安全保护
路由通告控制 数据操纵 静态路由、路由通告控制以及对等路由认证可 以防止重路由(rerouting)攻击
包过滤 数据操纵、非授权访问,DOS 利用标准的访问控制列表和扩展的IP访问控制 列表来过滤输入和输出数据流
限制速率 DOS 对ICMP和SYN风暴攻击进行控制
TCP拦截 DOS 对SYN风暴攻击进行控制
网络层加密 数据操纵、侦察 CET和IPsec协议可以帮助确保边界数据的完整 性和保密性
网络地址翻译 数据操纵 NAT可以隐藏内部编址方案并能简化重新编址
端口地址翻译 数据操纵 PAT可以隐藏内部编址方案并扩展有限的注册IP 地址的使用
“Lock-and-Key”(动态) 非授权访问 提供额外的用户访问安全控制
访问控制列表
防火墙特性集 非授权访问 为CISCO路由器提供了丰富的防火墙额外特性
事件日志 数据操纵 帮助为检测和分析攻击类型提供跟踪数据
DOS攻击防护
1、关闭所有不必要的IP服务,在所有接口上使用命令“no ip directed-broadcast”以防止边界路由器变成DOS攻击的广播放大器
2、采用访问控制列表对所有的入流量进行过滤,滤除源地址为私有和保留地址的数据包。
3、采用承诺访问速率(committed access rate CAR)对ICMP数据包风暴进行限速
4、对SYN包进行速率进行限制
配置边界事件记录
service timestamps log datetime msec
service timestamps debug datetime msec
logging trap informational
logging source-interface fastethernet 0
logging 192.168.1.10
logging on
本例中,日志被发往PIX防火墙全局地址192.168.1.10
那么还有几个与边界路由器同样重要的概念:
1、停火区,以及“脏”停火区之前的区别
2、堡垒主机
3、防火墙
194页边界路由器的配置样例
