收藏
下载资源

计算机网络信息安全理论与实践教程第19章

上传人:aa****6 文档编号:54847729 上传时间:2018-09-20 格式:PPT 页数:75 大小:537.51KB
返回 下载 相关 举报
计算机网络信息安全理论与实践教程第19章_第1页
第1页 / 共75页
计算机网络信息安全理论与实践教程第19章_第2页
第2页 / 共75页
计算机网络信息安全理论与实践教程第19章_第3页
第3页 / 共75页
计算机网络信息安全理论与实践教程第19章_第4页
第4页 / 共75页
计算机网络信息安全理论与实践教程第19章_第5页
第5页 / 共75页
点击查看更多>>
资源描述

《计算机网络信息安全理论与实践教程第19章》由会员分享,可在线阅读,更多相关《计算机网络信息安全理论与实践教程第19章(75页珍藏版)》请在金锄头文库上搜索。

1、第19章网络路由设备安全,19.1 路由器安全概述 19.2 路由器物理安全 19.3 路由器访问安全 19.4 路由器的网络服务安全 19.5 路由信息及协议安全 19.6 路由器审计和管理 19.7 路由器安全测试方法与工具 19.8 路由器安全管理增强技术方法 19.9 Cisco路由器常见漏洞与解决方法 19.10 本 章 小 结 本章思考与练习,19.1 路由器安全概述,19.1.1 路由器安全威胁路由器不仅是实现网络通信的主要设备之一,而且也是关系到全网安全的设备之一,它的安全性、健壮性将直接影响到网络的可用性。无论是攻击者发动DoS、DDoS攻击,还是网络蠕虫爆发,负责在网络之间

2、进行数据通信的路由器往往会首当其冲地受到冲击,并最终瘫痪,导致所连接的网络不可用。,19.1.2 路由器安全结构,图19-1 路由器安全层次图,1路由器的物理安全层路由器的最内层是物理安全。如果攻击者可以对物理层进行访问,那么任何路由器都能被攻击并受到损害。因此,物理访问必须得到严格控制以保证整个路由器的安全。大多数的路由器提供一个或者多个直接连接,通常称为“控制台”或者“控制”端口,这些端口通常提供特殊的控制路由器的方法。路由器的安全策略应该对使用这些端口的时间和地点定义相应的规则。,2路由器的核心静态配置层该层的安全主要是路由器OS软件和管理配置的安全。在这个层中,存储重要的配置信息,包括

3、接口地址、用户名和密码以及对路由器的访问控制设置等。如果一个攻击者能够危害到这层安全,那么路由器更外的两层的控制就难以得到保护。因此,网络管理员通常要有明确的安全规则来严格控制访问这个层。,3路由器的动态配置层在这个层上,路由器的安全主要表现为路由表和其他的动态信息安全。其他的动态信息包括接口状态、ARP表和审计日志。如果一个攻击者可以危害到路由器的动态配置,那么路由器的最外层也会受到侵害。,4路由器的通信服务层该层是路由器的最外层,在这一层上,路由器负责处理网络通信流量转发控制。网络安全策略一般包括这个层,例如识别所允许的协议和服务,通信访问控制等。,19.1.3 路由器安全策略1路由器的物

4、理安全(1) 指派谁将被授权安装、卸载和移动路由器。(2) 指派谁将被授权进行维护。(3) 指派谁将被授权进行路由器的物理连接。(4) 定义对布置的控制和对控制台的使用以及其他的直接访问端口连接。(5) 定义在路由器受到物理损坏时的恢复过程或者出现路由器被篡改配置后的恢复过程。,2路由器的核心静态配置层(1) 指派谁将被授权通过控制台或者其他的直接访问端口连接登录到路由器。(2) 指派谁将被授权在路由器上具有管理特权。(3) 定义对路由器的静态配置进行更改的过程和实践方法(比如日志书、变更记录、复查过程)。(4) 定义用户/登录口令,管理或者特权口令的口令策略。(5) 指派谁将被授权远程登录到

5、路由器。(6) 指派哪些协议、过程以及网络被允许远程登录到路由器。,(7) 定义在路由器的动态、静态配置被危害时的恢复过程和负责进行恢复的人员的身份。(8) 定义路由器的审计日志策略,包括勾画出日志的管理实践方法和过程以及日志的复查职责。(9) 指派使用自动远程管理和监视工具的过程和限制(比如SNMP)。(10) 概述检测出对路由器本身攻击的反应过程和指导方法。(11) 定义对长期加密密钥的密钥管理策略(如果有的话)。,3动态配置层(1) 标识出可以在路由器上实施的动态配置服务以及可以访问这些服务的网络。(2) 标识出将被使用的路由协议以及每个会引入的安全功能。(3) 指派设置或者自动维护路由

6、器时钟的机制和策略(比如手动设置、NTP)。(4) 标识出当和其他的网络建立VPN 通道时授权使用的密钥协议和加密算法。,(5) 网络服务安全。(6) 列举对每一个接口或者连接而言(比如进入和流出),路由器被允许进行或者过滤掉的协议、端口和服务,并标识出可以对它们进行授权的过程以及授权人。(7) 描述和外部服务提供者进行互动的安全过程和角色以及维护技术。,4受到危害时的反应(1) 列举出在网络危害事件发生时将通报的个人和组织。(2) 定义一个针对网络的攻击被成功实施后的反应过程、反应权威及目标,包括保存证据的规定和通报法律执行部门的规定。,19.2 路由器物理安全,路由器的物理安全是其他安全的

7、基础。除了管理员以外,其他人不能随便接近路由器。如果攻击者物理上能接触到路由器,则攻击者通过断电重启,实施“密码修复流程”,进而登录路由器,就可以完全控制路由器。,此外,路由器的物理安全还需要考虑温度、湿度等环境条件,路由器设备要做到防震、防电磁干扰、防雷、防电源波动。国标GB 4943信息技术设备的安全、GB 9254信息技术设备的无线电骚扰限值以及邮电部YD 282邮电通信设备可靠性通用试验方法、YD/T 755与电信网电气连接的设备安全原则等标准中对此有明确的规定。,19.3 路由器访问安全,19.3.1 本地访问安全路由器访问有两种类型:本地访问和远程访问。本地访问的一般过程是使用一个

8、哑终端或者一个桌面电脑直接连接到路由器的某个控制端口。为了进一步严格控制CON端口的访问,应使用路由器的访问控制列表限制对CON端口的访问。例如,限制特定的主机才能访问路由器,配置信息如下:Router(Config)#Access-list 1 permit 192.168.0.1,Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login local Router(Config-line)#Exec-timeoute 5 0 Router(Config-line)#

9、access-class 1 in Router(Config-line)#end,19.3.2 远程访问安全远程访问路由器一般是通过路由器自身提供的网络服务来实现的,例如telnet、SNMP、WEB服务或拨号服务。虽然远程访问路由器有利于网络管理,但是在远程访问的过程中,远程通信时的信息是明文,因而,攻击者能够监听到远程访问路由器的信息,例如路由器的口令。网络管理员为增强远程访问安全性,一般采取以下安全措施:(1) 建立一条专用的网络,用于管理路由器设备,如图19-2所示。,图19-2 建立专用的网络用于管理路由器设备示意图,(2) 将管理主机和路由器之间的全部通信进行加密,例如使用SSH

10、替换Telnet。(3) 在路由器设置包过滤规则,只允许管理主机远程访问路由器。例如以下的路由器配置可以做到只允许IP地址是14.2.9.1和14.2.6.6的主机有权访问路由器的telnet服务: Central (config) # access-list 99 permit 14.2.9.1 log Central (config) # access-list 99 permit 14.2.6.6 log Central (config) # access-list 99 deny any log Central (config) # line vty 0 4,Central (conf

11、ig-line) # access-class 99 in Central (config-line) #exec-timeout 5 0 Central (config-line) # login local Central (config-line) # transport input telnet Central (config-line) # exec Central (config-line) # end Central #,19.4 路由器的网络服务安全,路由器自身提供许多网络服务,例如Telnet、Finger、HTTP等。这些服务虽然给管理带来了方便,但是也留下了安全隐患。为了

12、增强路由器的安全,一般让路由器尽量不提供网络服务,或者是关闭危险的网络服务,或者是限制网络服务范围。下面是一些关闭路由器危险的网络服务操作方法:(1) 禁止CDP(Cisco Discovery Protocol):Router(Config)#no cdp runRouter(Config-if)# no cdp enable,(2) 禁止其他的TCP、UDP Small服务: Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers (3) 禁止finger服务: Ro

13、uter(Config)# no ip finger Router(Config)# no service finger,(4) 建议禁止HTTP服务:Router(Config)# no ip http server 如果启用了HTTP服务,则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。如: Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10 Router(Config)#

14、 access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http server Router(Config)# exit,(5) 禁止BOOTP服务: Router(Config)# no ip bootp server (6) 禁止从网络启动和自动从网络下载初始配置文件: Router(Config)# no boot network Router(Config)# no servi

15、c config (7) 禁止IP Source Routing: Router(Config)# no ip source-route,(8) 建议如果不需要ARP-Proxy服务则禁止它(路由器默认是开启的):Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp(9) 明确的禁止IP Directed Broadcast:Router(Config)# no ip directed-broadcast(10) 禁止IP Classless:Router(Config)# no ip classless,(11)

16、禁止ICMP协议的IP Unreachables,Redirects,Mask Replies: Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply,(12) 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置,或者需要访问列表来过滤。如: Router(Config)# no snmp-server community public Ro Router(Config)# no snmp-server comm

17、unity admin RW Router(Config)# no access-list 70 Router(Config)# access-list 70 deny anyRouter(Config)# snmp-server community MoreHardPublic Ro 70,Router(Config)# no snmp-server enable traps Router(Config)# no snmp-server system-shutdown Router(Config)# no snmp-server trap-anth Router(Config)# no snmp-server Router(Config)# end,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号