網(wǎng)絡(luò)管理與維護(hù)技術(shù)-10第10章-網(wǎng)絡(luò)設(shè)備安全

1、主編 蘇英如 中國水利水電出版社 l本章重點(diǎn) 物理安全 口令管理 SNMP及其安全配置 HTTP管理方式安全管理 終端訪問控制方式 設(shè)備安全策略 l工作環(huán)境安全 網(wǎng)絡(luò)設(shè)備安裝環(huán)境須從設(shè)備的安全與 穩(wěn)定運(yùn)行方面考慮：防盜、防火、防靜電、 適當(dāng)?shù)耐L(fēng)和可控制的環(huán)境溫度；確保設(shè) 備有一個良好的電磁兼容工作環(huán)境。只有 滿足這些基本要求，設(shè)備才能正常、穩(wěn)定、 可靠、高效運(yùn)行。 l物理防范 設(shè)備Console口具有特殊權(quán)限，攻擊 者如果物理接觸設(shè)備后，實(shí)施“口令修復(fù) 流程”，登錄設(shè)備，就可以完全控制設(shè)備。 為此必須保障設(shè)備安放環(huán)境的封閉性，以 保障設(shè)備端口的物理安全。 l 網(wǎng)絡(luò)設(shè)備中secret和enab

2、le口令的權(quán)限 類似于計算機(jī)系統(tǒng)的administrator，擁有 對設(shè)備的最高控制權(quán)，在對設(shè)備訪問和配 置過程中可以使用本地口令驗(yàn)證、針對不 同的端口指定不同的認(rèn)證方法，并對不同 權(quán)限的管理人員賦予不同口令，同時對不 同的權(quán)限級別賦予對操作命令的運(yùn)行權(quán)限。 l通過執(zhí)行service password-encryption啟用口令加密服務(wù)： 3640(config)#service password-encryption 3640#show running-config . enable secret 5 $1$fy6O$ymDQtD2Yo8nD2zpd3cK0B1 enable passwo

3、rd 7 094F471A1A0A line con 0 password 7 045804080E254147 line aux 0 line vty 0 4 password 7 110A1016141D login . enable secret用MD5加密方式來加密口令， enable secret 優(yōu)先級高于enable password， enable password 以明文顯示口令； 兩者所設(shè)口令不能相同并且當(dāng)兩者均已設(shè)置時只有 enable secret口令起作用，enable password口令自動失效。 service password-encryption命令采用了可

4、逆的弱加密方 式，加密后的密碼可以通過一些工具進(jìn)行逆向破解， enable secret采用md5方式加密，安全性較強(qiáng)，在建立用 戶與口令時建議用username / secret取代username / password（IOS12.2(8)T后可以用secret對username的密 碼做MD5加密）。 網(wǎng)絡(luò)設(shè)備自身提供了多級口令：常規(guī)模式口令、 特權(quán)模式口令、配置模式口令、console控制口連接口 令、ssh訪問口令等等，網(wǎng)絡(luò)設(shè)備運(yùn)行在復(fù)雜的網(wǎng)絡(luò)中 難免會遭受各種無意或刻意的攻擊，如果多臺設(shè)備采用 同一口令，則當(dāng)網(wǎng)絡(luò)中某一臺設(shè)備被非法侵入，所有設(shè) 備口令將暴露無遺，這會對整個網(wǎng)絡(luò)和設(shè)備

5、的安全造成 極大威脅，嚴(yán)重時令網(wǎng)絡(luò)設(shè)備配置文件被非法修改甚至 惡意刪除，導(dǎo)致整個網(wǎng)絡(luò)癱瘓，并且網(wǎng)絡(luò)管理人員不能 通過正常方式登錄和管理被攻擊過的網(wǎng)絡(luò)設(shè)備，因此在 設(shè)置口令時必須做到設(shè)備口令多樣化、多級化，禁止口 令的同一化、同級化。 默認(rèn)情況下利用設(shè)備加電重啟期間的BREAK方式 可以進(jìn)入ROMMON監(jiān)聽模式進(jìn)行口令恢復(fù)。任何人只 要物理接觸到設(shè)備就可以使用這個方法達(dá)到重設(shè)口令非 法進(jìn)去侵入的目的。通過no service password-recovery命 令來關(guān)閉ROMMON監(jiān)聽模式，避免由此帶來的安全隱 患。 3640(config)#no service password-recov

6、ery 禁用禁用ROMMON。 3640(config)#service password-recovery 啟用啟用ROMMON，Cisco未公開的兩條命令，必須手工完未公開的兩條命令，必須手工完 整鍵入后才可以執(zhí)行。整鍵入后才可以執(zhí)行。 . 3640(config)#no service password-recovery l禁止把管理口令泄漏給任何人，如果已經(jīng)發(fā) 生口令的泄漏，一定要及時修改原口令。 l及時回收臨時口令，通過設(shè)置臨時密碼的方 式進(jìn)行遠(yuǎn)程維護(hù)后，及時回收口令停止臨時賬 戶對設(shè)備的訪問權(quán)限。 l修改默認(rèn)配置，拒絕空口令訪問設(shè)備，并對 口令加密。尤其注意一定要對console禁

7、止空口 令訪問。 合理限制設(shè)備人員的數(shù)量，通過嚴(yán)格的訪問級別設(shè)置不同級別管理員 的權(quán)限；通過訪問控制表阻止非授權(quán)IP地址對網(wǎng)絡(luò)設(shè)備的訪問，采用訪問 控制表控制后即使非授權(quán)人員知道了管理口令也會因使用的IP未經(jīng)授權(quán)而 被拒絕登錄設(shè)備；合理設(shè)置會話超時時間，在管理人員離開終端一段時間 或靜止一段時間后自動關(guān)閉會話，斷開對話連接，避免身邊非授權(quán)人員登 錄設(shè)備進(jìn)行操作。 Router#show privilege 查看權(quán)限信息。 Router#show user 查看終端登錄用戶。 Router#clear line vty 0 斷開vty 0的連接（aux、tty、console、vty操作類似）。

8、 Router#disconnect ip-address 斷開懷疑或沒有授權(quán)許可的用戶的對話。 Router(config)#line console 0 Router(config-line)#exec-timeout 6 30 修改console會話時間為6分鐘30秒，設(shè)備默認(rèn)配置的會話超時時間為10分鐘。 SNMP簡介 lSimple Network Management Protocol,簡單網(wǎng)管協(xié)議是一種被廣泛應(yīng)用在網(wǎng)絡(luò)設(shè)備監(jiān) 控、配置方面的應(yīng)用協(xié)議，最初版本由于批量存取機(jī)制的限制所致的對大塊數(shù)據(jù)存 取效率低、安全機(jī)制不可靠、不支持TCP/IP協(xié)議之外的其他網(wǎng)絡(luò)協(xié)議、沒有提供 ma

9、nager與manager之間通信的機(jī)制等因素，造成SNMP只能適用集中式管理而不能 對設(shè)備進(jìn)行分布式管理、只能對網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)測而不能對網(wǎng)絡(luò)本身進(jìn)行監(jiān)測。 lSNMP的改進(jìn)版本（1991年11月）RMON(RemoteNetworkMonitoring)MIB,使SNMP 在對網(wǎng)絡(luò)設(shè)備進(jìn)行管理的同時還能收集局域網(wǎng)和互聯(lián)網(wǎng)上的數(shù)據(jù)流量等信息。到 1993年SNMPv2面世（原SNMP被稱為SNMPv1），SNMPv2提供了一次存取大量數(shù) 據(jù)的能力，大幅度的提高了效率，增加了manager間的信息交換機(jī)制，開始支持分 布式管理結(jié)構(gòu)：由中間（intermediate）manager分擔(dān)主manag

10、er的任務(wù)，增加了遠(yuǎn)程 站點(diǎn)的局部自主性；OSI、Appletalk、IPX等多協(xié)議網(wǎng)絡(luò)環(huán)境下的運(yùn)行得到了支持 （默認(rèn)網(wǎng)絡(luò)協(xié)議仍是UDP）。同時又提供了驗(yàn)證機(jī)制、加密機(jī)制、時間同步機(jī)制， 在安全性上較SNMPv1也有了很大的提高。 l2002年3月SNMPv3被定為互聯(lián)網(wǎng)一項(xiàng)標(biāo)準(zhǔn)，此版本在SNMPv2的基礎(chǔ)之上增加、完 善了安全和管理機(jī)制，通過簡明的方式實(shí)現(xiàn)了加密和驗(yàn)證功能；采用了新的SNMP 擴(kuò)展框架， 使管理者能在多種操作環(huán)境下可以根據(jù)需要對模塊和算法進(jìn)行增加和 替換，它的多種安全處理模塊不但保持了SNMPv1和SNMPv2易于理解、易于實(shí)現(xiàn) 特點(diǎn)，而且還彌補(bǔ)了前兩個版本安全方面的不足，實(shí)

11、現(xiàn)了對復(fù)雜網(wǎng)絡(luò)的管理。 SNMP的community用于限制不同的被授權(quán)管理者對設(shè)備相關(guān)信息的讀取和寫入的操作 許多設(shè)備的SNMP community出廠默認(rèn)被設(shè)置為“Public”和“Private”，在配置時要修改這些 默 認(rèn)值，使用自定義的community，防止非授權(quán)者得到網(wǎng)絡(luò)設(shè)備的信息配置。 SNMP配置 Cisco#config terminal Cisco(config)#snmp-server community wlglwh ro 配置只讀字符串為“wlglwh”。 Cisco(config)#snmp-server community wlglwhw rw 配置讀寫字符串為

12、“wlglwhw”。 Cisco(config)#snmp-server enable traps 啟用陷阱將所有類型SNMP Trap發(fā)送出去。 Cisco(config)#snmp-server host version 2c trpser 指定SNMP Trap的接收者為（網(wǎng)管服務(wù)器），SNMP使用2c版本，發(fā)送Trap時采用 trpser作為字串。 Cisco(config)#snmp-server trap-source loopback0 指定SNMP Trap的發(fā)送源地址為loopback0（配置這條命令前要配置loopback0地址，否

13、則命令 配置不成功）。 Cisco#write terminal Cisco#show running . snmp-server community wlglwh RO snmp-server community wlglwhw RW snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps casa snmp-server enable traps isdn call-inform

14、ation snmp-server enable traps isdn layer2 snmp-server enable traps isdn chan-not-avail snmp-server enable traps isdn ietf snmp-server enable traps hsrp snmp-server enable traps config snmp-server enable traps entity snmp-server enable traps envmon snmp-server enable traps ds0-busyout snmp-server en

15、able traps ds1-loopback snmp-server enable traps bgp snmp-server enable traps ipmulticast snmp-server enable traps msdp snmp-server enable traps rsvp snmp-server enable traps frame-relay snmp-server enable traps rtr snmp-server enable traps syslog snmp-server enable traps dlsw snmp-server enable tra

16、ps dial snmp-server enable traps dsp card-status snmp-server enable traps voice poor-qov snmp-server enable traps xgcp snmp-server host version 2c trpser . 目前大多網(wǎng)絡(luò)設(shè)備允許用戶以圖形化的方 式，通過設(shè)備內(nèi)置的HTTP服務(wù)對設(shè)備進(jìn)行管理 和配置，盡管這種傻瓜式的管理方式可以避免 命令行方式下輸入不便的弊端，使對設(shè)備的管 理和配置工作變得更加便捷，但是卻給設(shè)備的 安全帶來了一些威脅：如果允許通過HTTP訪問 管理設(shè)備，

17、此時通過網(wǎng)絡(luò)設(shè)備的瀏覽器接口對 網(wǎng)絡(luò)設(shè)備實(shí)施監(jiān)視，可以嗅探到用戶名和口令 等設(shè)備信息，甚至可以對設(shè)備的配置進(jìn)行更改， 達(dá)到破壞或者入侵的目的。因此，在關(guān)鍵設(shè)備 中，從安全角度出發(fā)不推薦采用這種方式對網(wǎng) 絡(luò)設(shè)備進(jìn)行管理和配置。 l設(shè)備內(nèi)置的http服務(wù)默認(rèn)是關(guān)閉的。使用ip http server命令來開啟HTTP服，開啟服 務(wù)的同時最好采用AAA服務(wù)器、TACAC服務(wù)器等一些獨(dú)立的身份驗(yàn)證方法或通過 訪問控制表來限制通過HTTP進(jìn)行連接的用戶，只允許經(jīng)過授權(quán)的用戶可以遠(yuǎn)程連 接登錄、管理設(shè)備，來進(jìn)一步降低因?yàn)椴捎胔ttp服務(wù)對設(shè)備帶來的安全風(fēng)險。 l3524#configure termina

18、l l3524(config)#ip http server l開啟http服務(wù)。 l3524(config)#ip http port 8080 l指定HTTP服務(wù)端口為8080 （一般的取值范圍為0-65535，建議優(yōu)先選用1024- 65535）。 l3524(config)#ip http secure-server l啟用HTTPS安全連接（部分版本不支持此命令，對支持此命令的設(shè)備最好開啟https 服務(wù)而不使用http服務(wù)）。 l3524(config)#ip http authentication local l設(shè)置驗(yàn)證方式為本地驗(yàn)證。 l3524(config)#usernam

19、e cisco privilege 15 password 0 cisco l創(chuàng)建本地用戶：用戶名cisco和口令cisco 訪問級別15 口令不加密。 l通過IE瀏覽器進(jìn)入http管理系統(tǒng)，如圖10-4-1、圖10-4-2 網(wǎng)絡(luò)管理人員通過終端訪問在遠(yuǎn)程對設(shè)備進(jìn)行管 理和配置時應(yīng)采用一些安全配置和安全策略來限制非 授權(quán)對網(wǎng)絡(luò)設(shè)備的訪問，最大限度避免可能來自網(wǎng)絡(luò) 內(nèi)部或外部的惡意攻擊和入侵。 方 式不 同 點(diǎn)命令行要點(diǎn) Telnet 一種明文傳輸協(xié) 議，賬戶名稱與口令 在傳輸過程中以明文 方式傳送，通過使用 網(wǎng)絡(luò)嗅探工具能輕而 易舉地竊取網(wǎng)絡(luò)設(shè)備 中明文傳輸?shù)膸裘?稱與口令，這對于設(shè) 備和網(wǎng)

20、絡(luò)的安全是一 個巨大的威脅 3640#configure terminal 3640(config)#line vty 0 4 3640 (config-line)#transport input telnet 使用遠(yuǎn) 程終端對 設(shè)備進(jìn)行 配置和管 理之前， 要確保已 經(jīng)開啟被 管設(shè)備上 的Telnet或 SSH服務(wù) SSH 以MD5加密方式 傳輸數(shù)據(jù)，同時采用 了基于口令的安全認(rèn) 證和基于密鑰的安全 認(rèn)證兩種方式，SSH 可以有效避免“中間 人”方式的攻擊，還 能夠防止DNS和IP欺 騙，傳輸?shù)臄?shù)據(jù)經(jīng)過 壓縮后傳送，大大加 快了傳輸速度。管理 設(shè)備時應(yīng)盡量采用 SSH方式。 3640#con

21、figure terminal 3640(config)#line vty 0 4 3640(config-line)#transport input SSH 在設(shè)備上配置安全策略，只允許指定 的管理人員在指定的主機(jī)對網(wǎng)絡(luò)設(shè)備進(jìn)行 訪問、管理和配置，能在一定程度上提高 網(wǎng)絡(luò)設(shè)備的安全性 。 在端口線路上應(yīng)用訪問控制表，限 制訪問范圍、設(shè)置連接會話的超時時間 。 虛擬終 端配置 Router(config)#line vty 0 4Router(config-line)#exec- timeout 1 20 設(shè)置會話超時時間為1分20秒 Router(config-line)#access- c

22、lass 1 in 將訪問列表應(yīng)用到虛擬終端線 路上 注： in可以遠(yuǎn)程登錄進(jìn)入到這 臺設(shè)備，out表示當(dāng)用戶已登 錄到網(wǎng)絡(luò)設(shè)備內(nèi)部時還可以通 過此會話遠(yuǎn)程登錄到何處 輔助接 口配置 Router(config)#line console 0 控制臺 接口配 置 Router(config-line)#access-class 1 in Switch(config)#ip http port 8080 Switch(config)#access-list 1 permit host Switch(config)#ip http server Switch(config)

23、#ip http access-class 1 修改端口號為修改端口號為8080 通過訪問控制表只允許通過訪問控制表只允許IP地址為地址為的主機(jī)可以通過的主機(jī)可以通過 Web控制臺對交換機(jī)進(jìn)行訪問（在支持控制臺對交換機(jī)進(jìn)行訪問（在支持https的設(shè)備上應(yīng)當(dāng)啟的設(shè)備上應(yīng)當(dāng)啟 用用https（ip http secure-server）服務(wù)）服務(wù) 命令格式： privillege mode level level level-command Switch(config)#privilege configure level 2 copy run start Switch(con

24、fig)#privilege configure level 2 ping Switch(config)#privilege configure level 2 show run Switch(config)#enable secret level 2 abcd123 創(chuàng)建一個權(quán)限級別為2、在全局配置模式下能執(zhí)行copy run start、 ping和show run命令并設(shè)定級別2的使能口令為“abcd123”。 由于設(shè)備軟件的漏洞、配置錯誤等原 因，致使一些服務(wù)對設(shè)備和網(wǎng)絡(luò)的安全帶 來影響，因此要定期更新設(shè)備的軟件系統(tǒng) IOS、關(guān)閉不必要和不需要的網(wǎng)絡(luò)服務(wù)、 使設(shè)備運(yùn)行服務(wù)盡量保持最小化

25、： lRouter(Config)#no ip http server l禁用HTTP服務(wù) lRouter(Config)#no cdp run l禁用CDP協(xié)議 lRouter(Config-if)#no cdp enable l禁用某端口的CDP協(xié)議 lRouter(Config)#no service tcp-small-servers l禁用TCP Small服務(wù) lRouter(Config)#no service udp-samll-servers l禁用UDP Small服務(wù) lRouter(Config)#no ip finger lRouter(Config)#no serv

26、ice finger l禁用Finger服務(wù) lRouter(Config)#no ip bootp server l禁用BOOTP服務(wù) lRouter(Config)#no boot network lRouter(Config)#no servic config l禁用從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件 lRouter(Config)#no ip source-route l禁用IP Source Routing（防止源路由欺騙攻擊） lRouter(Config-if)#no ip proxy-arp l禁用 ARP-Proxy服務(wù)，路由器默認(rèn)情況下是開啟的 lRouter(Conf

27、ig-if)#no ip directed-broadcast l禁用IP Directed Broadcast lRouter(Config-if)#no ip unreacheables lRouter(Config-if)#no ip redirects lRouter(Config-if)#no ip mask-reply l禁用ICMP協(xié)議的IP Unreachables，Redirects，Mask Replies lRouter(Config)#no snmp-server community public Ro lRouter(Config)#no snmp-server co

28、mmunity admin RW lRouter(Config)#no snmp-server enable traps lRouter(Config)#no snmp-server system-shutdown lRouter(Config)#no snmp-server trap-anth lRouter(Config)#no snmp-server lRouter(Config)#end l禁用SNMP協(xié)議服務(wù) lRouter(Config)#no ip domain-lookup l禁用DNS服務(wù) lRouter(Config)#interface Serial 1 lRouter(

29、Config-if)#shutdown l關(guān)閉不使用的端口 l1以cisco3640為例配置預(yù)防DDOS攻擊策略： l3640(Config)#ip cef l啟用CEF l3640(Config)#interface fastEthernet 0/0 l3640(config-if)#ip verify unicast reverse-path l在邊界路由器端口啟用 ip verfy unicast reverse-path （檢查經(jīng)過路由器的每一個數(shù)據(jù)包，如CEF路由表中沒有該數(shù)據(jù)包源IP地址的路由，路由器把該數(shù)據(jù)包做為丟棄處 理從而實(shí)現(xiàn)阻止SMURF攻擊和其它基于IP地址偽裝的攻擊（如

30、ip spoolingip欺騙）。 l3640 (Config)#router ospf 100 l3640 (Config-router)#passive-interface fastEthernet 0/0 lOSPF中禁止端口0/3接收和轉(zhuǎn)發(fā)路由信息建，議對于不需要路由的端口，啟用passive-interface。 l3640(Config)#access-list 10 deny 55 l3640(Config)#access-list 10 permit any l3640(Config)#router ospf 100 l3640(Conf

31、ig-router)#distribute-list 10 in l3640(Config-router)#distribute-list 10 out l啟用訪問列表過濾一些垃圾和惡意路由信息,控制網(wǎng)絡(luò)的垃圾信息流。禁止路由器接收更新網(wǎng)絡(luò)的路由信息 l3640 (Config) #no ip source-route l關(guān)閉源路由,防止路由攻擊 l對于處于邊界的路由器，則需要屏蔽以下地址段/8全網(wǎng)絡(luò)地址； /8；/16， DHCP自定義地址； /20， /16； 20.20.

32、20.0/24， /23SUN公司測試地址； /4不用的組播地址的IP數(shù)據(jù)包： l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 de

33、ny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 15.2

34、55.255.255 any log l3640(Config)#access-list 120 deny ip 55 any log l3640(Config)#access-list 120 deny ip 55 any log l用訪問控制表控制定義屬于內(nèi)部網(wǎng)絡(luò)要流出的地址，如： l3640(Config)#access-list 121 permit ip 55 any l3640(Config)#access-list 121 deny ip any any log l3

35、640(Config)#access-list 122 deny ip 55 any l3640(Config)#access-list 122 permit ip any any log l3640(Config)#interface fastEthernet 0/1 l3640(Config-if)#description lan l3640(Config-if)#ip address 54 l3640(Config-if)#ip access-group 121 in l3640(Config)#in

36、terface fastEthernet 0/0 l3640(Config-if)#description wan l3640(Config-if)#ip address 60.10.xx.xx 52 l3640(Config-if)#ip access-group 120 in l3640(Config-if)#ip access-group 121 out l3640(Config-if)#ip access-group 122 in l2路由器的接口上設(shè)置no ip directed-broadcast 拒絕smurf攻擊，來控制直接廣播風(fēng)暴的產(chǎn)生，前提是全局已

37、經(jīng)啟用no ip directed-broadcast。 l3限制數(shù)據(jù)包流量速率 lrate-limit out put accees-group xx Bits per second Normal burst bytes Maximum burst bytes conform-action set-prec-transmit （0-7） exceed-action set-prec-transmit （0-7） laccees-group xx是訪問列表標(biāo)號，Bits per second承諾接入速率， Normal burst bytes 正常突變速率，Maximum burst byte

38、s最大突變速率， conform-action 后邊跟遵從條 件時的動作，set-prec-transmit （0-7）exceed-action 后邊跟超越條件時的動作。 例如： l3640(Config)#interface fastEthernet 0/1 l3640(Config-if)#rate-limit output access-group 2010 3000000 512000 786000 conform-action transmit exceed-action drop 3640(Config)#access-list 2010 permit icmp any any echo-reply l限制icmp數(shù)據(jù)包流量速率 l3640#show interfaces fastEthernet 0/1 rate-limit l查看rate-limit配置 lSYN數(shù)據(jù)包流量速率可參照icmp進(jìn)行配置 l4將設(shè)備日志信息發(fā)往日志服務(wù)器，以便查看設(shè)備運(yùn)行情況和用戶登錄操作情況： l3640#conf t3640(config)#logging on3640(config)#logging 指定ip為的主機(jī)最為日志服務(wù)器（3cdaemo