第章网络设备安全课件.ppt

1、l 本章重点 物理安全 口令管理 SNMP及其安全配置 HTTP管理方式安全管理 终端访问控制方式 设备安全策略l工作环境安全 网络设备安装环境须从设备的安全与稳定运行方面考虑：防盗、防火、防静电、适当的通风和可控制的环境温度；确保设备有一个良好的电磁兼容工作环境。只有满足这些基本要求，设备才能正常、稳定、可靠、高效运行。l物理防范 设备Console口具有特殊权限，攻击者如果物理接触设备后，实施“口令修复流程”，登录设备，就可以完全控制设备。为此必须保障设备安放环境的封闭性，以保障设备端口的物理安全。l 网络设备中secret和enable口令的权限类似于计算机系统的administrato

2、r，拥有对设备的最高控制权，在对设备访问和配置过程中可以使用本地口令验证、针对不同的端口指定不同的认证方法，并对不同权限的管理人员赋予不同口令，同时对不同的权限级别赋予对操作命令的运行权限。l通过执行service password-encryption启用口令加密服务：3640(config)#service password-encryption 3640#show running-config .enable secret 5$1$fy6O$ymDQtD2Yo8nD2zpd3cK0B1enable password 7 094F471A1A0Aline con 0 password 7

3、045804080E254147line aux 0line vty 0 4 password 7 110A1016141D login.enable secret用MD5加密方式来加密口令，enable secret 优先级高于enable password，enable password 以明文显示口令；两者所设口令不能相同并且当两者均已设置时只有enable secret口令起作用，enable password口令自动失效。service password-encryption命令采用了可逆的弱加密方式，加密后的密码可以通过一些工具进行逆向破解，enable secret采用md5方式

4、加密，安全性较强，在建立用户与口令时建议用username/secret取代username/password（IOS12.2(8)T后可以用secret对username的密码做MD5加密）。网络设备自身提供了多级口令：常规模式口令、特权模式口令、配置模式口令、console控制口连接口令、ssh访问口令等等，网络设备运行在复杂的网络中难免会遭受各种无意或刻意的攻击，如果多台设备采用同一口令，则当网络中某一台设备被非法侵入，所有设备口令将暴露无遗，这会对整个网络和设备的安全造成极大威胁，严重时令网络设备配置文件被非法修改甚至恶意删除，导致整个网络瘫痪，并且网络管理人员不能通过正常方式登录和管

5、理被攻击过的网络设备，因此在设置口令时必须做到设备口令多样化、多级化，禁止口令的同一化、同级化。默认情况下利用设备加电重启期间的BREAK方式可以进入ROMMON监听模式进行口令恢复。任何人只要物理接触到设备就可以使用这个方法达到重设口令非法进去侵入的目的。通过no service password-recovery命令来关闭ROMMON监听模式，避免由此带来的安全隐患。3640(config)#no service password-recovery 禁用禁用ROMMON。3640(config)#service password-recovery 启用启用ROMMON，Cisco未公开的两

6、条命令，必须手工完未公开的两条命令，必须手工完整键入后才可以执行。整键入后才可以执行。.3640(config)#no service password-recoveryl禁止把管理口令泄漏给任何人，如果已经发生口令的泄漏，一定要及时修改原口令。l及时回收临时口令，通过设置临时密码的方式进行远程维护后，及时回收口令停止临时账户对设备的访问权限。l修改默认配置，拒绝空口令访问设备，并对口令加密。尤其注意一定要对console禁止空口令访问。合理限制设备人员的数量，通过严格的访问级别设置不同级别管理员 的权限；通过访问控制表阻止非授权IP地址对网络设备的访问，采用访问控制表控制后即使非授权人员知道

7、了管理口令也会因使用的IP未经授权而被拒绝登录设备；合理设置会话超时时间，在管理人员离开终端一段时间或静止一段时间后自动关闭会话，断开对话连接，避免身边非授权人员登录设备进行操作。Router#show privilege查看权限信息。Router#show user查看终端登录用户。Router#clear line vty 0断开vty 0的连接（aux、tty、console、vty操作类似）。Router#disconnect ip-address断开怀疑或没有授权许可的用户的对话。Router(config)#line console 0 Router(config-line)#ex

8、ec-timeout 6 30修改console会话时间为6分钟30秒，设备默认配置的会话超时时间为10分钟。SNMP简介 lSimple Network Management Protocol,简单网管协议是一种被广泛应用在网络设备监控、配置方面的应用协议，最初版本由于批量存取机制的限制所致的对大块数据存取效率低、安全机制不可靠、不支持TCP/IP协议之外的其他网络协议、没有提供manager与manager之间通信的机制等因素，造成SNMP只能适用集中式管理而不能对设备进行分布式管理、只能对网络设备进行监测而不能对网络本身进行监测。lSNMP的改进版本（1991年11月）RMON(Remo

9、teNetworkMonitoring)MIB,使SNMP在对网络设备进行管理的同时还能收集局域网和互联网上的数据流量等信息。到1993年SNMPv2面世（原SNMP被称为SNMPv1），SNMPv2提供了一次存取大量数据的能力，大幅度的提高了效率，增加了manager间的信息交换机制，开始支持分布式管理结构：由中间（intermediate）manager分担主manager的任务，增加了远程站点的局部自主性；OSI、Appletalk、IPX等多协议网络环境下的运行得到了支持（默认网络协议仍是UDP）。同时又提供了验证机制、加密机制、时间同步机制，在安全性上较SNMPv1也有了很大的提高。

10、l2002年3月SNMPv3被定为互联网一项标准，此版本在SNMPv2的基础之上增加、完善了安全和管理机制，通过简明的方式实现了加密和验证功能；采用了新的SNMP扩展框架，使管理者能在多种操作环境下可以根据需要对模块和算法进行增加和替换，它的多种安全处理模块不但保持了SNMPv1和SNMPv2易于理解、易于实现特点，而且还弥补了前两个版本安全方面的不足，实现了对复杂网络的管理。SNMP的community用于限制不同的被授权管理者对设备相关信息的读取和写入的操作 许多设备的SNMP community出厂默认被设置为“Public”和“Private”，在配置时要修改这些默认值，使用自定义的c

11、ommunity，防止非授权者得到网络设备的信息配置。SNMP配置Cisco#config terminal Cisco(config)#snmp-server community wlglwh ro 配置只读字符串为“wlglwh”。Cisco(config)#snmp-server community wlglwhw rw 配置读写字符串为“wlglwhw”。Cisco(config)#snmp-server enable traps 启用陷阱将所有类型SNMP Trap发送出去。Cisco(config)#snmp-server host 10.10.11.1 version 2c tr

12、pser 指定SNMP Trap的接收者为10.10.11.1（网管服务器），SNMP使用2c版本，发送Trap时采用trpser作为字串。Cisco(config)#snmp-server trap-source loopback0 指定SNMP Trap的发送源地址为loopback0（配置这条命令前要配置loopback0地址，否则命令配置不成功）。Cisco#write terminal Cisco#show running.snmp-server community wlglwh ROsnmp-server community wlglwhw RWsnmp-server enable

13、 traps snmp authentication linkdown linkup coldstart warmstartsnmp-server enable traps ttysnmp-server enable traps casasnmp-server enable traps isdn call-informationsnmp-server enable traps isdn layer2snmp-server enable traps isdn chan-not-availsnmp-server enable traps isdn ietfsnmp-server enable tr

14、aps hsrpsnmp-server enable traps configsnmp-server enable traps entitysnmp-server enable traps envmonsnmp-server enable traps ds0-busyoutsnmp-server enable traps ds1-loopbacksnmp-server enable traps bgpsnmp-server enable traps ipmulticastsnmp-server enable traps msdpsnmp-server enable traps rsvpsnmp

15、-server enable traps frame-relaysnmp-server enable traps rtrsnmp-server enable traps syslogsnmp-server enable traps dlswsnmp-server enable traps dialsnmp-server enable traps dsp card-statussnmp-server enable traps voice poor-qovsnmp-server enable traps xgcpsnmp-server host 10.10.11.1 version 2c trps

16、er.目前大多网络设备允许用户以图形化的方式，通过设备内置的HTTP服务对设备进行管理和配置，尽管这种傻瓜式的管理方式可以避免命令行方式下输入不便的弊端，使对设备的管理和配置工作变得更加便捷，但是却给设备的安全带来了一些威胁：如果允许通过HTTP访问管理设备，此时通过网络设备的浏览器接口对网络设备实施监视，可以嗅探到用户名和口令等设备信息，甚至可以对设备的配置进行更改，达到破坏或者入侵的目的。因此，在关键设备中，从安全角度出发不推荐采用这种方式对网络设备进行管理和配置。l设备内置的http服务默认是关闭的。使用ip http server命令来开启HTTP服，开启服务的同时最好采用AAA服务器

17、、TACAC服务器等一些独立的身份验证方法或通过访问控制表来限制通过HTTP进行连接的用户，只允许经过授权的用户可以远程连接登录、管理设备，来进一步降低因为采用http服务对设备带来的安全风险。l3524#configure terminall3524(config)#ip http serverl开启http服务。l3524(config)#ip http port 8080l指定HTTP服务端口为8080（一般的取值范围为0-65535，建议优先选用1024-65535）。l3524(config)#ip http secure-serverl启用HTTPS安全连接（部分版本不支持此命令，

18、对支持此命令的设备最好开启https服务而不使用http服务）。l3524(config)#ip http authentication locall设置验证方式为本地验证。l3524(config)#username cisco privilege 15 password 0 cisco l创建本地用户：用户名cisco和口令cisco 访问级别15 口令不加密。l通过IE浏览器进入http管理系统，如图10-4-1、图10-4-2 网络管理人员通过终端访问在远程对设备进行管理和配置时应采用一些安全配置和安全策略来限制非授权对网络设备的访问，最大限度避免可能来自网络内部或外部的恶意攻击和入侵

19、。方 式不 同 点命令行要点Telnet 一种明文传输协议，账户名称与口令在传输过程中以明文方式传送，通过使用网络嗅探工具能轻而易举地窃取网络设备中明文传输的帐户名称与口令，这对于设备和网络的安全是一个巨大的威胁3640#configure terminal 3640(config)#line vty 0 4 3640(config-line)#transport input telnet 使用远程终端对设备进行配置和管理之前，要确保已经开启被管设备上的Telnet或SSH服务 SSH 以MD5加密方式传输数据，同时采用了基于口令的安全认证和基于密钥的安全认证两种方式，SSH可以有效避免“中间

20、人”方式的攻击，还能够防止DNS和IP欺骗，传输的数据经过压缩后传送，大大加快了传输速度。管理设备时应尽量采用SSH方式。3640#configure terminal3640(config)#line vty 0 4 3640(config-line)#transport input SSH 在设备上配置安全策略，只允许指定的管理人员在指定的主机对网络设备进行访问、管理和配置，能在一定程度上提高网络设备的安全性。在端口线路上应用访问控制表，限制访问范围、设置连接会话的超时时间。虚拟终端配置Router(config)#line vty 0 4Router(config-line)#exec-

21、timeout 1 20设置会话超时时间为1分20秒Router(config-line)#access-class 1 in将访问列表应用到虚拟终端线路上注：in可以远程登录进入到这台设备，out表示当用户已登录到网络设备内部时还可以通过此会话远程登录到何处辅助接口配置 Router(config)#line console 0控制台接口配置 Router(config-line)#access-class 1 inSwitch(config)#ip http port 8080 Switch(config)#access-list 1 permit host 192.168.1.1 Swi

22、tch(config)#ip http server Switch(config)#ip http access-class 1 修改端口号为修改端口号为8080 通过访问控制表只允许通过访问控制表只允许IP地址为地址为192.168.1.1的主机可以通过的主机可以通过 Web控制台对交换机进行访问（在支持控制台对交换机进行访问（在支持https的设备上应当启的设备上应当启 用用https（ip http secure-server）服务）服务 命令格式：privillege mode level level level-commandSwitch(config)#privilege conf

23、igure level 2 copy run startSwitch(config)#privilege configure level 2 pingSwitch(config)#privilege configure level 2 show runSwitch(config)#enable secret level 2 abcd123创建一个权限级别为2、在全局配置模式下能执行copy run start、ping和show run命令并设定级别2的使能口令为“abcd123”。由于设备软件的漏洞、配置错误等原因，致使一些服务对设备和网络的安全带来影响，因此要定期更新设备的软件系统IOS、

24、关闭不必要和不需要的网络服务、使设备运行服务尽量保持最小化：lRouter(Config)#no ip http serverl禁用HTTP服务lRouter(Config)#no cdp run l禁用CDP协议lRouter(Config-if)#no cdp enablel禁用某端口的CDP协议lRouter(Config)#no service tcp-small-serversl禁用TCP Small服务lRouter(Config)#no service udp-samll-serversl禁用UDP Small服务lRouter(Config)#no ip fingerlRout

25、er(Config)#no service fingerl禁用Finger服务lRouter(Config)#no ip bootp server l禁用BOOTP服务lRouter(Config)#no boot network lRouter(Config)#no servic config l禁用从网络启动和自动从网络下载初始配置文件lRouter(Config)#no ip source-route l禁用IP Source Routing（防止源路由欺骗攻击）lRouter(Config-if)#no ip proxy-arpl禁用 ARP-Proxy服务，路由器默认情况下是开启的l

26、Router(Config-if)#no ip directed-broadcastl禁用IP Directed BroadcastlRouter(Config-if)#no ip unreacheableslRouter(Config-if)#no ip redirectslRouter(Config-if)#no ip mask-replyl禁用ICMP协议的IP Unreachables，Redirects，Mask ReplieslRouter(Config)#no snmp-server community public RolRouter(Config)#no snmp-serve

27、r community admin RWlRouter(Config)#no snmp-server enable trapslRouter(Config)#no snmp-server system-shutdownlRouter(Config)#no snmp-server trap-anthlRouter(Config)#no snmp-serverlRouter(Config)#endl禁用SNMP协议服务lRouter(Config)#no ip domain-lookupl禁用DNS服务lRouter(Config)#interface Serial 1lRouter(Config

28、-if)#shutdownl关闭不使用的端口l1以cisco3640为例配置预防DDOS攻击策略：l3640(Config)#ip cefl启用CEFl3640(Config)#interface fastEthernet 0/0l3640(config-if)#ip verify unicast reverse-path l在边界路由器端口启用 ip verfy unicast reverse-path（检查经过路由器的每一个数据包，如CEF路由表中没有该数据包源IP地址的路由，路由器把该数据包做为丢弃处理从而实现阻止SMURF攻击和其它基于IP地址伪装的攻击（如ip spoolingip欺

29、骗）。l3640(Config)#router ospf 100l3640(Config-router)#passive-interface fastEthernet 0/0lOSPF中禁止端口0/3接收和转发路由信息建，议对于不需要路由的端口，启用passive-interface。l3640(Config)#access-list 10 deny 192.168.11.0 0.0.0.255l3640(Config)#access-list 10 permit anyl3640(Config)#router ospf 100l3640(Config-router)#distribute-l

30、ist 10 inl3640(Config-router)#distribute-list 10 outl启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。禁止路由器接收更新192.168.11.0网络的路由信息l3640(Config)#no ip source-routel关闭源路由,防止路由攻击l对于处于边界的路由器，则需要屏蔽以下地址段0.0.0.0/8全网络地址；10.0.0.0/8；169.254.0.0/16，DHCP自定义地址；172.16.0.0/20，192.168.0.0/16；20.20.20.0/24，204.152.64.0/23SUN公司测试地址；22

31、4.0.0.0/4不用的组播地址的IP数据包：l3640(Config)#access-list 120 deny ip 0.0.0.0 0.255.255.255 any logl3640(Config)#access-list 120 deny ip 10.0.0.0 0.255.255.255 any logl3640(Config)#access-list 120 deny ip 169.254.0.0 0.0.255.255 any logl3640(Config)#access-list 120 deny ip 172.16.0.0 0.15.255.255 any logl364

32、0(Config)#access-list 120 deny ip 192.168.0.0 0.0.255.255 any logl3640(Config)#access-list 120 deny ip 127.0.0.0 0.255.255.255 any logl3640(Config)#access-list 120 deny ip 169.254.0.0 0.0.255.255 any logl3640(Config)#access-list 120 deny ip 224.0.0.0 15.255.255.255 any logl3640(Config)#access-list 1

33、20 deny ip 20.20.20.0 0.0.0.255 any logl3640(Config)#access-list 120 deny ip 204.152.64.0 0.0.2.255 any logl用访问控制表控制定义属于内部网络要流出的地址，如：l3640(Config)#access-list 121 permit ip 192.168.0.0 0.0.0.255 anyl3640(Config)#access-list 121 deny ip any any logl3640(Config)#access-list 122 deny ip 192.168.0.0 0.0

34、.0.255 anyl3640(Config)#access-list 122 permit ip any any logl3640(Config)#interface fastEthernet 0/1l3640(Config-if)#description lanl3640(Config-if)#ip address 192.168.0.254 255.255.255.0l3640(Config-if)#ip access-group 121 inl3640(Config)#interface fastEthernet 0/0l3640(Config-if)#description wanl

35、3640(Config-if)#ip address 60.10.xx.xx 255.255.255.252l3640(Config-if)#ip access-group 120 inl3640(Config-if)#ip access-group 121 outl3640(Config-if)#ip access-group 122 inl2路由器的接口上设置no ip directed-broadcast 拒绝smurf攻击，来控制直接广播风暴的产生，前提是全局已经启用no ip directed-broadcast。l3限制数据包流量速率lrate-limit out put acce

36、es-group xx Bits per second Normal burst bytes Maximum burst bytes conform-action set-prec-transmit（0-7）exceed-action set-prec-transmit（0-7）laccees-group xx是访问列表标号，Bits per second承诺接入速率，Normal burst bytes 正常突变速率，Maximum burst bytes最大突变速率，conform-action 后边跟遵从条件时的动作，set-prec-transmit（0-7）exceed-action

37、 后边跟超越条件时的动作。例如：l3640(Config)#interface fastEthernet 0/1 l3640(Config-if)#rate-limit output access-group 2010 3000000 512000 786000 conform-action transmit exceed-action drop 3640(Config)#access-list 2010 permit icmp any any echo-replyl限制icmp数据包流量速率l3640#show interfaces fastEthernet 0/1 rate-limitl查

38、看rate-limit配置lSYN数据包流量速率可参照icmp进行配置l4将设备日志信息发往日志服务器，以便查看设备运行情况和用户登录操作情况：l3640#conf t3640(config)#logging on3640(config)#logging 10.11.11.2 指定ip为10.11.11.2的主机最为日志服务器（3cdaemon；Kiwi_Syslogd）l3640(config)#logging facility local1 本地设备标识为 local0-local7l3640(config)#logging trap errors 日志记录级别：Logging sever

39、ity level alerts Immediate action needed (severity=1)critical Critical conditions (severity=2)debugging Debugging messages (severity=7)emergencies System is unusable (severity=0)errors Error conditions (severity=3)informational Informational messages (severity=6)notifications Normal but significant

40、conditions (severity=5)warnings Warning conditions (severity=4)l3640(config)#logging source-interface fastEthernet 0/1 日志信息通过哪个端口发送到日志服务器上（这个接口必须要与你的日志服务器可以通信）l3640(config)#service timestamps log datetime localtime 每条日志的前面显示出这条日志发生时的时间，如果不打这条命令的话，输出来的日志是没有时间标记的，分析起来就不方便l 网络设备的安全是整个网络安全的基础，设备安全配置是保证数

41、据稳定、高效、安全传输的最基本条件，设备物理安全、口令安全、SNMP协议、设备访问控制方式及设备安全策略配置都是设备安全的因素。l cisco设备配置模式包括全局用户特权接口等。全局模式下的Privilege级别分为15级，可以根据用户的不同需求制定管理员级别，定义不同级别可以执行的命令。使用加密命令对设备的各种口令进行加密处理，确保口令的安全。l 对设备各种接口的访问权限要做到精确控制，通过访问控制表对源ip、目标ip、源ip端口、目标ip端口等进行控制。首先定义符合需求的访问控制表，然后应用到相应的端口，特别要注意数据流的方向，也就是in和out的方向不要搞混。l 关闭不需要的、不必要的服务，使网络设备服务最小化，既能减少由于设备软件的漏洞带来的安全威胁，又能使设备节省更多的资源来处理所需要的服务，使设备数据处理效率得以提高。l 设备软件系统的bug是不可避免的，所以要对设备的软件版本做到及时的更新与升级，尽量减少由于设备软件系统的bug引起的各种非法入侵和攻击。l 通过部署安全策略严格、精确限制对设备的访问权；禁用必需之外的各种服务；在设备上配置防毒、防攻击策略并及时更新策略；启用设备日志记录功能等，都是保障设备安全的必要方式和有效方法。