一、 網絡結構及安全脆弱性
為了使設備配置簡單或易于用戶使用,Router或Switch初始狀態并沒有配置安全措施,所以網絡具有許多安全脆弱性,因此網絡中常面臨如下威脅:
1. DDOS攻擊
2. 非法授權訪問攻擊。
口令過于簡單,口令長期不變,口令明文創送,缺乏強認證機制。
3.IP地址欺騙攻擊
….
利用Cisco Router和Switch可以有效防止上述攻擊。
二、保護路由器
2.1 防止來自其它各省、市用戶Ddos攻擊
最大的威脅:Ddos, hacker控制其他主機,共同向Router訪問提供的某種服務,導致Router利用率升高。
Ddos是最容易實施的攻擊手段,不要求黑客有高深的網絡知識就可以做到。
如SMURF DDOS 攻擊就是用最簡單的命令ping做到的。利用IP 地址欺騙,結合ping就可以實現DDOS攻擊。
防范措施:
應關閉某些缺省狀態下開啟的服務,以節省內存并防止安全破壞行為/攻擊
Router(config-t)#no service finger
Router(config-t)#no service pad
Router(config-t)#no service udp-small-servers
Router(config-t)#no service tcp-small-servers
Router(config-t)#no ip http server
Router(config-t)#no service ftp
Router(config-t)#no ip bootp server
|
以上均已經配置。
防止ICMP-flooging攻擊
Router(config-t)#int e0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
Router(config-t)#int s0
Router(config-if)#no ip redirects
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip proxy-arp
|
以上均已經配置。
除非在特別要求情況下,應關閉源路由:
Router(config-t)#no ip source-route
以上均已經配置。
禁止用CDP發現鄰近的cisco設備、型號和軟件版本
Router(config-t)#no cdp run
Router(config-t)#int s0
Router(config-if)#no cdp enable
|
如果使用works2000網管軟件,則不需要此項操作
此項未配置。
使用CEF轉發算法,防止小包利用fast cache轉發算法帶來的Router內存耗盡、CPU利用率升高。
Router(config-t)#ip cef
2.2 防止非法授權訪問
通過單向算法對 “enable secret”密碼進行加密
Router(config-t)#enable secret
Router(config-t)#no enable password
Router(config-t)#service password-encryption
?vty端口的缺省空閑超時為10分0秒
Router(config-t)#line vty 0 4
Router(config-line)#exec-timeout 10 0 |
應該控制到VTY的接入,不應使之處于打開狀態;Console應僅作為最后的管理手段:
如只允許130.9.1.130 Host 能夠用Telnet訪問.
access-list 110 permit ip 130.9.1.130 0.0.0.0 130.1.1.254 0.0.0.0 log
line vty 0 4
access-class 101 in
exec-timeout 5 0 |
2.3 使用基于用戶名和口令的強認證方法
Router(config-t)#username admin pass 5 434535e2
Router(config-t)#aaa new-model
Router(config-t)#radius-server host 130.1.1.1 key key-string
Router(config-t)#aaa authentication login neteng group radius local
Router(config-t)#line vty 0 4
Router(config-line)#login authen neteng |
三、保護網絡
3.1防止IP地址欺騙
黑客經常冒充地稅局內部網IP地址,獲得一定的訪問權限。
在省地稅局和各地市的WAN Router上配置:
防止IP地址欺騙--使用基于unicast RPF(逆向路徑轉發)
包發送到某個接口,檢查包的IP地址是否與CEF表中到達此IP地址的最佳路由是從此接口轉發,若是,轉發,否則,丟棄。
Router(config-t)#ip cef
Router(config-t)#interface e0
Router(config-if)# ip verify unicast reverse-path 101
Router(config-t)#access-list 101 permit ip any any log
|
注意:通過log日志可以看到內部網絡中哪些用戶試圖進行IP地址欺騙。
此項已配置。
防止IP地址欺騙配置訪問列表
防止外部進行對內部進行IP地址
Router(config-t)#access-list 190 deny ip 130.9.0.0 0.0.255.255 any
Router(config-t)#access-list 190 permit ip any any
Router(config-t)#int s4/1/1.1
Router(config-if)# ip access-group 190 in
|
防止內部對外部進行IP地址欺騙
Router(config-t)#access-list 199 permit ip 130.9.0.0 0.0.255.255 any
Router(config-t)#int f4/1/0
Router(config-if)# ip access-group 199 in
|
四、保護服務器
對于地稅局內部的某些Server,如果它不向各地提供服務可以在總局核心Cisco Router上配置空路由。
ip route 130.1.1.1 255.255.255.255.0 null
在WAN Router上配置CBAC,cisco狀態防火墻,防止Sync Flood攻擊
hr(config)#int s0/0
hr(config-if)#ip access-group 100 in
hr(config)#int f0/0
hr(config-if)#ip inspect insp1 in
hr(config)#ip inspect audit-trial
hr(config)#ip inspect name insp1 tcp
hr(config)#ip inspect max-incomplete high 350
hr(config)#ip inspect max-incomplete low 240
hr(config)#ip audit
hr(config)#access-list 100 permit tcp any 130.1.1.2 eq 80
|
在WAN Router 上配置IDS入侵檢測系統
hr(config)#ip audit name audit1 info action alarm
hr(config)#ip audit name audit1 attack action alarm drop
reset
hr(config)#ip audit audit1 notify log
hr(config)#int s0/0
hr(config)#ip audit audit1 in
|
五、網絡運行監視
配置syslog server,將日志信息發送到syslog server上
Syslog Server紀錄Router的平時運行產生的一些事件,如廣域口的up, down
, OSPF Neighbour的建立或斷開等,它對統計Router的運行狀態、流量的一些狀態,電信鏈路的穩定有非常重要的意義,用以指導對網絡的改進。
Router(config-t)#logg on
Router(config-t)#logg 172.5.5.5
Router(config-t)#logg facility local6
|
