网络工程师交换试验手册附录4：网络路由器安全配置手册

网络工程师交换试验手册附录4：网络路由器安全配置手册

安全威胁类型：

网络命令、PING扫描、端口扫描 侦察⎫

非授权访问⎫

资源过载型拒绝服务攻击（表一） 拒绝服务（DOS）⎫

带外数据型拒绝服务攻击（表二）

其他拒绝服务攻击（分布式拒绝服务攻击DDOS、电子邮件炸弹、缓冲区溢出、恶意applet、CPU独占）

数据操纵⎫ IP欺骗（IP Spooling）

会话重放和劫持（Hijacking）

重路由（Rerouting）

否认（Repudianton）

（表一）

类型描述防范措施

Ping flood 向一台主机发送大量ICMP回声请求包将边界路由器设置为拒绝响应ICMP回声请求包半开（half-open）syn攻击向端口发起大量不完整TCP会话连接请求，导致宕机使用TCP拦截，lock-and-key,IDC检测

数据包风暴发送大量的UDP包使用cisco PIX上的syn flooding 保护功能

（表二）

类型描述防范措施

过大的数据包（死亡ping）修改ip包头中的长度大于实际包长，导致接收系统崩溃过滤ICMP数据包

重叠的数据包（winnuke.c）对已建立的连接发送带外数据，导致目标重起或停止（典型的对NETBIOS,端口137）如果不需要关闭NETBIOS

分片（teardrop.c）利用一些TCP/IP的IP分片组装代码实施中的漏洞，导致内存缓冲区溢出在边界路由器上扔掉来自外部的被分片了的IP包

IP源地址欺骗（land.c）导致计算机产生对自身的TCP连接，陷入死循环在路由器或主机上过滤掉虚假源地址IP包

畸形包头（UDP炸弹）制造一些包头中长度不正确的UDP包，导致一些主机出现内核混乱根据CERT 建议列表在主机上安装操作系统补丁

保护管理接口的安全

设置控制台（Console）口令：⎫

router(config)#line console 0

router(config-line)#login

router(config-line)#password cisco_psw1

设置vty（Telnet）口令：⎫

router(config)#line vty 0 4

router(config-line)#login

router(config-line)#password cisco_psw2

设置特权模式一般口令：⎫

router(config)#enable password cisco_psw3

设置特权模式秘密口令：⎫

router(config)#enable secret cisco_psw4

”service⎫ password-encryption”命令：将口令以一种加密的方式存储在路由器的配置文件中，以致在

“Show config”中不可见。

路由器限定具体的某台主机拥有”telnet”访问的权限：

router(config)# access-list 21 permit 10.1.1.4

router(config)#line vty 0 4

router(config-line)#access-class 21 in

管理员只能在10.1.1.4上用Telnet访问路由器

CISCO访问列表类型：

标准访问列表：只允许过滤源地址，功能十分有限⎫

access-list [list-number] [permit|deny] [source address] [wildcard-mask] [log]

有三个关键字host、any、log适用此列表,host和any分别适用单个主机和所有主机

access-list 1 permit 192.168.11.0 0.0.0.255 log

access-list 1 deny host 192.168.0.5

access-list 1 permit any

扩展访问列表：允许过滤源地址、目的地址、协议、端口、上层应用数据⎫

access-list [list-number] [permit|deny] [protocol] [protocol keyword] [sourece address] [source-wildcard] [source port] [destination address] [destination-wildcard] [destination port] [log] [options]

access-list 101 pemit tcp any host 198.78.46.8 eq smtp

access-list 101 pemit ip 196.2.22.0 0.0.0.255 host 198.78.46.8

标准或扩展列表定义好以后，必须用“ip access-group [list-number] [in|out]”应用到端口上

标准的命名IP访问列表：⎫

ip access-list standard name

ip access-list standard test-name

permit 196.2.20.0 0.0.0.255

permit 196.2.12.0 0.0.0.255

ip access-group test-name out

定义和应用的格式与标准列表不同，其他用法和标准列表相同

扩展的命名IP访问列表：⎫

ip access-list extended name

ip access-list extended sever-security

permit tcp any host 202.32..5.69 eq 21

ip access-group sever-security out

定义和应用的格式与扩展列表不同，其他用法和扩展列表相同

动态访问表（lock-and-key）：⎫

例一：两个以太网接口E0：198.78.46.0，E1：205.131.175.0；服务器198.78.46.12；希望任何用户都能访问198.78.46.12服务器，并允许205.131.175.0的网络能HTTP和FTP访问INTERNET。username test password cisco

!

interface serial0

ip address 175.10.1.1 255.255.255.0

ip access-group 100 in

!

access-list 100 permit tcp any host 175.10.1.1 eq telnet

access-list 100 permit udp any eq 53 205.131.175.0 0.0.0.255 gt 1023

access-list 100 permit tcp any eq www 205.131.175.0 0.0.0.255 gt 1023 established