网络工程师交换试验手册附录4：网络路由器安全配置手册.docVIP

网络工程师交换试验手册附录4：网络路由器安全配置手册安全威胁类型：网络命令、PING扫描、端口扫描(侦察??(非授权访问(资源过载型拒绝服务攻击（表一）(拒绝服务（DOS）(带外数据型拒绝服务攻击（表二）(其他拒绝服务攻击（分布式拒绝服务攻击DDOS、电子邮件炸弹、缓冲区溢出、恶意applet、CPU独占）(数据操纵?( IP欺骗（IP(?? ??? Spooling）会话重放和劫持（Hijacking）(重路由（Rerouting）(否认（Repudianton）(（表一）类型 描述 防范措施Ping flood 向一台主机发送大量ICMP回声请求包 将边界路由器设置为拒绝响应ICMP回声请求包半开（half-open）syn攻击 向端口发起大量不完整TCP会话连接请求，导致宕机 使用TCP拦截，lock-and-key,IDC检测数据包风暴 发送大量的UDP包 使用cisco PIX上的syn flooding 保护功能（表二）类型 描述 防范措施过大的数据包（死亡ping） 修改ip包头中的长度大于实际包长，导致接收系统崩溃 过滤ICMP数据包重叠的数据包（winnuke.c） 对已建立的连接发送带外数据，导致目标重起或停止（典型的对NETBIOS,端口137） 如果不需要关闭NETBIOS分片（teardrop.c） 利用一些TCP/IP的IP分片组装代码实施中的漏洞，导致内存缓冲区溢出 在边界路由器上扔掉来自外部的被分片了的IP包IP源地址欺骗（land.c） 导致计算机产生对自身的TCP连接，陷入死循环 在路由器或主机上过滤掉虚假源地址IP包畸形包头（UDP炸弹） 制造一些包头中长度不正确的UDP包，导致一些主机出现内核混乱 根据CERT建议列表在主机上安装操作系统补丁保护管理接口的安全设置控制台（Console）口令：(router(config)#line??console? ?0router(config-line)#loginrouter(config-line)#password??cisco_psw1设置vty（Telnet）口令：(router(config)#line??vty??0??4router(config-line)#loginrouter(config-line)#password??cisco_psw2设置特权模式一般口令：(router(config)#enable??password??cisco_psw3设置特权模式秘密口令：(router(config)#enable??secret cisco_psw4”service?( ?password-encryption”命令：将口令以一种加密的方式存储在路由器的配置文件中，以致在“Show??config”中不可见。路由器限定具体的某台主机拥有”telnet”访问的权限：router(config)# access-list 21 permit router(config)#line vty 0 4router(config-line)#access-class 21 in管理员只能在上用Telnet访问路由器CISCO访问列表类型：标准访问列表：只允许过滤源地址，功能十分有限(access-list [list-number] [permit|deny] [source address] [wildcard-mask] [log]有三个关键字host、any、log适用此列表,host和any分别适用单个主机和所有主机 access-list 1 permit( 55 log access-list 1 deny host (( access-list 1??permit any扩展访问列表：允许过滤源地址、目的地址、协议、端口、上层应用数据(access-list [list-number] [permit|deny] [protocol] [protocol keyword] [sourece address] [source-wildcard] [source port] [destination address] [destination-wildcard] [destination port] [log] [options]access-list 101 pemit tcp any host( ??eq smtpaccess-list 101 pemit ip ??55 host( 标准或扩展列表定义好以后，必须用“ip access-group [list-number] [in|out]”应用到端口上标准的命