SECUR 学习笔记

eSECUR—642-501

第二章 安全的基本原理

概要：

Ø目标

Ø网络安全的需要

Ø网络攻击的分类

Ø网络安全策略

Ø管理协议和功能

Ø总结

目标：

1、描述网络安全的需要

2、描述四种类型的网络威胁

3、描述通常的攻击方法和技术

4、推荐的减少攻击的方法和技术

5、完整的安全策略的组成部分

6、通用的管理协议所固有的问题

一、 网络安全的需要

E-business，internet-enabled business提高了企业的效率和利润，更多的用户和程序使得网络需要扩展，面临巨大的安全威胁。因此“安全”在今天网络中扮演重要角色。

Closed-network 连接到已知站点，没有连接到public network，可以认为是比较安全。

Today-network 连接到公用站点public/internet，因此安全变的非常重要。

威胁的能力：黑客发现更多弱点/工具使用更简单/可下载的黑客程序/无需专业知识/固有的程序使用不当→（过去20年中，安全威胁大幅度增加）

改变安全角色：E-business

communitation and businessing in unsafe environment

network delopment and implementation required a security policy(first)

政府和法律：GLB/GSR act/HIPAA

二、 网络攻击的分类

分为4类：有组织的威胁：具有专业的黑客进行恶意攻击

无组织的威胁：脚本小子的攻击

外部威胁：有组织的和无组织的都属于外部威胁

内部威胁：来自现有员工和前员工的攻击，60%-80%来自内部

特定的攻击类型：

packet sniffers

Ip weakness

Password attacks

Denial of service(DOS)/Distributed denial of service (DDOS)

Man-in-the-middle attacks

Application layer attacks

Trust exploitation

Port redirection

Virus

Trojan horse

Operator error

1、 packet sniffers

（1）是软件程序，通过网卡使用混合模式来扑获数据包（扑获明文传输的文件）。

传输信息在明文方式的协议有：Telnet, Ftp ,Snmp ,Pop等。

（2）必须工作在相同的冲突域。

（3）两种主要类型：通用目的的和特定目的。

安全隐患：对多个系统和应用程序通常使用一个密码。

减轻packet sniffer攻击的手段：

authentication：强有力的验证，比如OTP（one-time password--------first option）

Switched infrastructure：减少了攻击的力度

Antisniffer tools：

Cryptography：IpSec SSL SSH

2、 Ip spoofing

（1）使用内部地址或授权的外部地址，取得信任，进行攻击。

（2）限制到将恶意的数据或命令注入已存在的网络数据流中，更改路由表指向伪装的地址。

减轻ip spoofing攻击的手段：

access-list (ACL)----最通用的方法，外部地址是信任的，该方法无效。只对内部地址是信任的有效。

RFC 2827 filtering---阻止没有源地址的外出流量，ISP可以实现。

Additional authentation-----OTP/Cryptographic

3、 DOS（denial of service）

（1）消耗系统资源，使某种服务不可用

（2）需要很小的努力就可以执行

（3）最难消除---利用了协议本身的弱点和native traffic

（4） DDOS---udp/tcp syn flooding---不同的源到同一目标或不同目标

减轻DOS攻击的手段：

Antispoof features-----RFC2827

Anti-dos features----limit half-open connection—ipsec

Traffic rate limiting----icmp limit---ICMP-based attack is common

4、 password attack

（1）使用许多方法：brute-force/Trojan horse/ip spoofing/packet sniffer

（2） Dictionary cracking/brute-force computing------l0phtcrack

减轻password attack攻击的手段：

不允许在多个系统上使用相同的密码

不成功后失效帐户

不使用简单的密码

使用强壮密码---至少8位算是安全---包括大小写字母，数字和特殊符号等。

5、 man-in-the-middle

（1）需要访问到穿过网络的数据包

（2）通过packet sniffer/routing and transport protocol实现。

（3）可能的攻击有：窃取信息，偷听会话，流量分析，DOS，扰乱信息，加入信息。

减轻man-in-the-middle攻击的手段：

最有效的方式是：encryption----ipsec—cipher text

6、 application layer attack

（1）采用已知的弱点—如协议的弱点：FTP Send mail http 等

（2） Trojan horse 制作副本

（3） 80端口/HTML/web browser----------java applets and ActiveX

减轻application layer attack的手段：

查看系统日志

订阅公开的弱点

保持最新的补丁更新

IDS入侵检测

7、 network reconnaissance

（1） DNS queries

（2） Ping sweeps

（3） Port Scan

（4）通过公开的程序和信息去学习远端目标网络的信息

减轻network reconnaissance的手段

关掉icmp-echo和icmp-reply

IDS检测可以及时通知管理员

8、 trust exploitation

（1）几个信任的模式存在：如windows的 active directory and domains，和Linux/Unix的NSF and NIS+等

减轻trust exploitation攻击的手段：

防火墙外的系统不能被内部的系统完全信任

限制到特定的协议

9、 port redirection

（1）是信任采用攻击的一种形式

（2）采用适当的信任方式可以减轻

（3）反病毒软件和基于主机的IDS可以检测，并阻止该种行为

10、 unauthorized access

（1）不是特定类型的攻击，在现代网络中存在，初始于内部和外部

（2）设置防火墙，消除黑客的访问能力

11、 virus and Trojan horse

virus是一种恶意代码执行不希望的功能

Trojan horse是被写到整个程序里

通过反病毒软件来消除

三、 网络安全策略

1、什么是安全策略？

RFC定义：形式语法，定义了谁能访问到组织的技术和信息财产。

未来陈述：基本文档，企业如何使用和保护自己的网络资源。

2、安全策略包含的内容：

statement of authority and scope

acceptable use policy

identification and authentication policy

internet use policy

campus access policy

remote access policy

incident handing procedure

四、 管理协议和功能

1、配置管理推荐：使用Ipsec SSH SSL或其他验证加密协议；

ACL配置管理的设备进行连接；

RFC2827过滤，减少伪装管理主机的机会

2、 SNMP：使用TCP/UDP端口号161/162

发送community string在明文方式

如果是RW，可以对设备进行配置

推荐采用Read-only，采用ACL，只允许适当机器

3、 Logging：syslog发送采用明文方式，使用UDP端口514

没有检查机制，检查在传输过程中是否被改动过

推荐使用IPSEC隧道进行加密传输

防火墙外的设备访问时，采用RFC2827过滤

建立ACL

4、 TFTP：使用TCP/UDP的69端口

IPSEC进行加密传输

5、 NTP：同步设备的时钟，对数字认证很重要

使用TCP/UDP的123端口

推荐采用NTP3以上版本，具有加密功能

采用ACL

第三章 基本的CISCO路由器安全

概要：

Ø目标

Ø安全CISCO路由器的安装

Ø安全CISCO路由器的管理访问

Ø介绍AAA

Ø在CISCO周边路由器上配置AAA

Ø总结

Ø实验

目标：

1、描述如何保护CISCO路由器的物理安装安全

2、安全CISCO路由器的管理访问

3、使用本地数据库对周边路由器进行配置

4、使用Debug工具进行AAA测试

一、 安全CISCO路由器的安装

几个主要的威胁：

硬件威胁：关键设备必须位于机房或配线间。锁定房间，不允许经过窗户，天花板，地板等进入，安全记录所有登陆。

环境威胁：温度和湿度控制，具有远程监视和报警系统，远离静电和磁场。

电压威胁：为关键的设备安装UPS系统，为关键设备安装备用发电机系统，规划维护方案，安装filtered power,在关键设备安装冗余电源，远程监视各参数。

维护威胁：所有设备线缆做标签，走线方式要正确，进行静电处理，离开时退出管理接口。

二、 安全CISCO的管理访问

（1）终端连接到路由的CONSOLE口，终端可以是安装仿真软件的亚终端PC，其他方式如Telnet SNMP都可以进行管理和配置。

系统密码可以存放于本地，也可以存放于AAA服务器上，如CSACS

（2）密码创建原则：密码长度为1-25，可以是文字数字，大小写字母，密码的第一个字符不能是数字，可以包含空格，但首空格将忽略，密码要经常更新。

（3）初始配置对话框：包含enable password /enable secret /telnet password

配置enable secret密码：(config)#enable secret password 基于MD5

配置CONSOLE密码：(config)#line console 0

(config-line)#login

(config-line)#password xxxx (clear text)----show running

配置VTY密码：(config)#line vty 0 4

(config-line)#login

(config-line)#password xxxx

(config-line)#access-class 30 in------ACL

配置AUX密码：(config)#line aux 0

(config-line)#login

(config-line)#password xxxx

(config-line)#speed 9600

(config-line)#modem inout

(config-line)#flowcontrol hardware

(config-line)#transport input all

配置密码加密服务：(config)#service password-encryption ---------7,不如MD5安全

设置超时值：（config-line）#exec-timeout 分钟秒默认是10分钟 2-3

设置特权层：(config)#privilege mode level level command

level-1:-----------user-level access

level2-14----------customized for user-level privilege

level-15-----------for enable command

配置banner message：(config)#banner { exec|incoming|motd|login|slip-ppp}message

安全SNMP访问：（config）#snmp-server community string rw ro number

(config)#snmp-server enable traps

(config)#snmp-server host

三、介绍AAA

authentication

authorization

accounting and auditing

（1）实现CISCO的AAA：本地安全数据库和远程运行AAA协议的服务器

（2）实现AAA的几个方式：使用本身的AAA（本地数据库）；

Cisco secure ACS

Cisco secure ACS Appliance

（3）本地认证的特点：工作于小型网络，使用本地安全数据库来认证，用户名和密码存放于路由器上，不需要外部的数据库，缺点是不容易扩展。

（4） AAA认证服务器：TACACS+ RADIUS

（5）验证的几个常见方法：no username and password

username and password(static)

username and password(aging)

OTP------S/K

Token card and soft tokens---something you have ,something you know

Token card的两种方法：time-based challenge-response

（6） PAP/CHAP/MS-CHAP

五、 配置AAA

访问类型访问模式访问端口 AAA命令元素

远程管理访问 character(line/enable mode) vty tty cty aux login exec enable

arap

远程网络访问 packet(interface mode) async group-async ppp network

BRI PRI arap

（1）配置周边路由器的过程：

安全EXEC模式

启用AAA

配置AAA验证列表

配置AAA授权

配置AAA审计

验证配置

（2）起用AAA：aaa new-model

username xxx password xxx -----防止被锁

aaa authentication login default local

（3） DEBUG命令：debug aaa authentication

Debug aaa authorization

Debug aaa accounting

第四章 CISCO路由器网络的高级AAA安全

概要：

Ø目标

ØCisco Secure ACS介绍

ØCisco Secure ACS for windows NT/2000介绍

ØCisco Secure ACS for Unix介绍

ØCisco Secrue ACS Appliance

Ø安装CSACS for windows NT/2000

Ø管理排错CSACS for Windows NT/2000

ØTACACS+的概要和配置

Ø验证TACACS+的配置

ØRADIUS的配置概要

ØKerberos的概要

Ø总结

目标：

1、描述CSACS 3.0 for Windows NT/2000的特性和结构

2、配置CSACS3.0 For Windows NT/2000，执行AAA功能

3、描述CSACS 2.3 for Unix的特性和结构

4、描述CSACS Appliance的特性和结构

5、配置周边路由器使用TACACS+，并起用AAA功能

一、 Cisco Secure ACS的介绍

（一） CSACS for windows NT/2000

1、对网络设备如ROUTER/PIX/VPN3000/NAS提供AAA服务

2、集中管理和审记，并管理交换机和路由器

3、快速的管理用户，并可以对一个组的用户进行统一管理

4、支持通用的数据库

5、使用TACACS+和RADIUS协议

6、可以验证通用的Token server

7、支持PAP/CHAP/MS-CHAP

新加入的主要特性：

（1）802.1X支持

（2）EAP-MD5/EAP-TLS支持

（3）命令验证集支持Command authentication set

（4） MS-CHAPV2支持，MS-CHAP password aging支持

新加入的次要特性：

（1）每用户的访问列表per-user acl

（2）共享的网络访问控制：shared NAR

（3） NAR wildcards支持

（4）多设备每AAA配置支持

（5）多LDAP支持

（6）支持用户定义的RADIUS VSR（厂商特定属性）

常见特性：

（1）同时支持TACACS+和RADIUS

（2） Windows NT/2000数据库的支持

（3）支持外在的数据库token server /NDS/ACS数据库

（4）支持PAP/CHAP/MS-CHAP/LEAP/EAP-CHAP/EAP-TLS/ARAP

（5）支持网络访问服务器回拨，增加安全性。

CSACS for windows的管理特性：

（1）浏览器接口方便管理----CSAdmin

（2）查看连接的用户logged-in user

（3）创建单独的TACACS+和RADIUS的CSV文件

CSACS for windows分布系统的特性：

（1）验证转发

（2） fallback on failed connection

（3） remote and centralized accounting

CSACS for windows外部数据库支持：

（1） Windows NT/2000 user database

（2） LDAP

（3） NDS

（4） ODBC

（5） LEAP proxy RADIUS Servers

（6） AXENT token server

（7） Safeword token server

（8） RSA SecureID token server

（9） ActiveCard token server

（10） CRYPTOCard token server

（11） Vasco token server

（12） Generic RADIUS token server

CSACS数据库管理特性：

两个工具：Database Replication

Remote Database Management System(RDBMS)

CSUtil.exe 允许数据库的备份和恢复

数据库的复制和备份不是一回事

ODBC定义：支持兼容的数据库，如microsoft Acess Oracle

CSAccupdate进行处理更新

CSACS for Windows NT/2000的结构：

可以提供AAA服务到多个NAS

包含5个服务模块，每个模块可以单独启用或停止，通过控制面板或浏览器接口

管理服务模块---CSAdmin

验证和授权服务模块----CSAuth---数据库管理员

TACACS+和RADIUS模块----CSTacacs/CSRadius

日志服务模块----Cslog

CSDBSynch服务模块

CSMonitor服务模块

（二） Cisco Secure ACS for UNIX

支持TACACS+ RADIUS

支持Oracle Sybase Sql anywhere

web-based 管理

（三） Cisco Secure ACS Appliance

1、支持相同的AAA

2、使用WIN2000的坚硬版本

3、 DELL PowerEdge

4、使用串口1，失效以下端口：串口2，鼠标口，键盘口，视频口，并口

5、使用WIN2000内核

6、遇到故障时候自动重新启动

7、只有必要的服务运行

8、失效IIS服务

9、使用FTP进行备份和恢复

10、文件和打印共享失效

二、 安装CSACS

只支持HTML，IE5。0以上版本，Netscape 4.76以上。

http://127.0.0.1:2002/

http://<ip address>:2002/

http://<ip hostname>:2002/

三、 管理和排错CSACS

user setup

Group setup

Shared profile component

Network configuration

System configuration

Interface configuration

Administration control

External User Database

Reports and Activity

四、 TACACS+的概要和配置

1、 TCP传输

2、支持AAA结构

3、链路加密

4、支持PAP/CHAP/MS-CHAP

5、每用户的访问列表

6、自动命令支持

7、支持回呼

8、三种版本：TACACS/XTACACS/TACACS+

(config)#tacacs-server key xxxx

(config)#tacacs-server host xxxx

(config)#tacacs-server host xxxx key xxxx

五、 RADIUS的概要和配置

使用UDP协议

加密密码部分

TACACS+和RADIUS的比较

AAA分离合并验证和授权

TCP协议 UDP协议

CHAP双向 CHAP单向

多种协议支持不支持ARA/NetBeui

加密整个数据报加密密码部分

审记受限审记扩展

第五章 CISCO路由器危险降低

目标：

1、禁止未使用的服务和接口

2、描述不同的访问列表的区别

3、建立标准和扩展访问列表

4、使用访问列表降低通常的威胁

5、实现Syslog日志

一、 使用路由器安全网络

独立的周边路由器---------将小型企业网络连接到INTERNET

周边路由器和防火墙-----中小企业使用，防火墙放在路由后边，路由做屏障。

周边路由器和集成防火墙---适合小—中型企业（合成了防火墙的特性）

周边路由器/防火墙/内部路由器----中大企业----内部路由器通常被交换机代替。

二、 禁止未使用的路由服务和接口

Bootp server：允许一个路由器作为Bootp server，默认是打开的。

CDP：发现邻居设备的信息，端口，地址和平台，默认是打开的。

Classless routing behavior：没有默认路由，转发到超网路由，默认是打开的。

Configuration auto-loading：从服务器自动下载配置文件，默认是关闭的。

DNS：255.255.255.255 默认是打开的。

Finger：显示目前的用户的详细列表，包括位置，连接号，空闲时间等，端口号79，默认是打开的。

Http Server：通过浏览器来进行修改配置，默认是打开的

Ip directed broadcast：<12.0 是打开的，>=12.0是关闭的，DOS攻击

Ip mask reply：响应消息中包含接口的IP地址的掩码，默认是关闭的。

Ip redirects：路由器通过相同的接口重新发包。默认是打开的。

Ip source routing：发送者控制该包发到指定地点。默认是打开的。

Ip unreachable notification：通知不正确数据把的发送方。默认是打开的。

NTP service：可作为时钟服务器，默认是打开的。

Proxy ARP：作为2层地址解析，默认是打开的

SNMP：默认是打开的，响应远程的SNMP请求。

Tcp small servers：<11.3打开，.>=11.3关闭，可以用来诊断故障

Udp small servers：<11.3打开，.>=11.3关闭，可以用来诊断故障

*****************************************************************************

1、禁止bootp server

该功能使得bootp client从bootp server上下载IOS软件

(config)#no ip http server

2、禁止CDP server

运行在数据连路层，发现CISCO的所有设备，和SNMP配合使用，可进行攻击。

(config)#no cdp run

(config-if)#no cdp enable

3、禁止ip classless routing service

使数据报转向最好的超网路由

(config)#no ip classless

4、禁止configuration auto-loading service

从服务器下载startup-config文件

(config)#no boot network 路径

(config)#no boot network tftp://xxx/xxx/111.cfg

(config)#no boot network ftp://username:password@loacation/dirctory/filename

(config)#no boot network rcp://username@location/directory/filename

(config)#no service config

5、禁止DNS服务

发送请求到广播地址255.255.255.255

(config)#ip name-server server1 server2 server3……..server6

(config)#no ip domain-lookup

6、禁止Finger服务

发现哪个用户连到了设备

(config)#no ip finger

(config)#no service finger

7、禁止http server

远程管理和配置，密码发送在明文方式

(config)#no ip http server

如果要使用，确保：设置了密码，使用AAA，设置适当访问列表，使用syslog

8、禁止ip directed broadcast

可以发起DOS攻击，通过发送ICMP包，使得网络的主机响应请求。

(config-if)#no ip directed-broadcast

9、禁止Ip mask reply

通过ICMP响应可以获得接口IP的mask

(config-if)#no ip mask-reply

10、禁止ip redirect

使得一个终端点以特点的路由做其路径发送的特定目标，正常情况下，一个路由器只发送重定向消息到他所在的网络的主机。可以过滤进来的ICMP的重定向消息。

(config-if)#no ip redirect

11、禁止ip source routing

使得数据报的发送者控制路径到目标地址

(config)#no ip source-route

12、禁止ip unreachable message

黑客可使用icmp unreachable message 勾画出网络拓扑

(config-if)#no ip unreachable

13、禁止NTP服务

(config-if)#ntp disable

如果要使用NTP，建议采用以下方案：采用信任的时间源，采用适当的认证，采用访问列表。

14、禁止proxy arp

使路由器使得不同网段的接口象在同一段一样，黑客可以通过该功能伪装信任的主机。

(config-if)#no ip proxy-arp

15、禁止SNMP

(config)#no snmp-server community public ro

(config)#no snmp-server community config rw

(config)#snmp-server community $%$nms ro 60-à访问列表号

(config)#no snmp-server enable traps

(config)#no snmp-server system-shutdown

(config)#no snmp-server

16、禁止small server

提供了echo chargen,daytime and discard功能11.3以前是打开的11.3和以后版本是关闭的。

(config)#no service tcp-small-servers

(config)#no service udp-small-servers

17、禁止未使用的接口

(config-if)#shutdown

(config-if)#no shutdown

三、 介绍到CISCO的访问列表ACL

（一）访问列表的标识

访问列表号：标准访问列表号范围：1-99 1300-1999

扩展访问列表号范围：100-199 2000-2699

访问列表名字：11.2以上IOS版本使用，名字可以是文字或数字，不能含有空格和标点符号，必须以字母为开头。

（二）访问列表的基本类型

标准访问列表：基于源地址进行过滤

扩展访问列表：基于几个属性：包括源地址，目标地址；源TCP/UDP端口号，目标TCP/UDP端口号；协议，ICMP/IGMP等消息类型

（三）标准访问列表的格式

1、以列表号格式

access-list access-list-number deny|permit source source-wildcard

如果没有指定source-wildcard默认的是0.0.0.0

access-list 10 permit 10.1.1.1 0.0.0.0

access-list 10 permit 10.1.1.1

最后一行有隐含的deny all语句

any=====0.0.0.0 255.255.255.255

host====0.0.0.0

log起用日志功能。

2、以名字命名的格式

(config)#ip access-list standard access-list-name

(config-std-nacl)#deny|permit source source-wildcard

（四）扩展访问列表的格式

1、列表号格式

access-list access-list-nameber {permit|deny} {protocol-num|protocol-keyword} {source source-wildcard|any|host}{source-port}{destination destination-wildcard|any|host}{destination-port}[established|log|log-input]

2、名字格式

(config)#ip access-list extended access-list-name

(config-ext-nacl)# {permit|deny} {protocol-num|protocol-keyword} {source source-wildcard|any|host}{source-port}{destination destination-wildcard|any|host}{destination-port}[established|log|log-input]

icmp-type------0-255

icmp-message------icmp echo

precedence-------0-7

remark-------100个字符

（五）访问列表注释

remark

(config)#access-list 102 remark Allow Traffic To File Server

最多100个字符进行注释

（六）部署访问列表的基本规则

1、花时间在纸张上写出访问列表

2、设置一个部署系统，容易的进行copy和paste，作为ASCII文本文件存放。

3、先对访问列表进行测试。

（七）访问列表方向过滤

inbound---------进入路由器的数据

outbound-------离开路由器的数据

（八）应用访问列表到路由器的接口

(config-if)#ip access-group {access-list-number|access-list-name} {in |out}

（九）显示访问列表

show access-list {access-list-number|access-list-name}

show ip interface 查看接口上是否有访问列表

（十）起用Turbo ACL（编译自动化）

(config)#access-list compiled

#show access-list compiled

消除了CPU处理ACL的负担和等待时间。

（十一）增强型的访问列表

1、动态访问列表（lock and key）：验证后临时使用，关闭后消除该列表

2、 Time-based：基于每天或每周

3、反身的（relflexive）--安全单个频道

4、 CBAC----安全多个频道，基于上层信息

5、有几个需要注意的地方：隐含的拒绝

标准访问列表的局限性

语法顺序，从上到下，重要的放顶部

特定详细的语法放在最上边

方向过滤问题

添加语法

特定包的过滤---路由信息

扩展访问列表防在源位置

标准访问列表放在接近目标的地方

四、 使用访问列表减少安全的威胁

禁止未使用的端口，服务，和协议

限制访问到端口，服务，和协议

五、 过滤路由器的服务流量

1、 Telnet服务的过滤

(config)#access-list 90 permit host 192.1.1.1 log

(config)#access-list 90 permit host 172.1.1.1 log

(config)#access-list 90 deny any log

(config)#line vty 0 4

(config-line)#access-class 90 in

2、 SNMP服务的过滤

(config)#access-list 80 permit host 10.1.1.1

(config)#snmp-server community &*snmp ro 80

3、 OSPF服务的过滤

(config)#access-list 90 deny 162.10.0.0 0.0. 255.255

(config)#access-list 90 permit any

(config)#router ospf 1

(config-router)#distribute-list 90 out

六、 过滤路由器的网络流量

(config)#ip tcp intercept list 100

用来确定源地址是否可到达的外部地址

smurf attack

(config)#access-list 101 deny ip any host 162.1.1.255 log

(config)#no ip directed-broadcast具有同样的功能。

七、 DDOS的减轻

TRIN00----tcp 27665 udp 31335 udp 27444

Stacheldraht-------tcp 16660 tcp 65000

TrinityV3-------tcp 33270 tcp 39168

Subseven------tcp 6711-6712 tcp 6776 tcp 6669 tcp 2222 tcp 7000

八、 实现Syslog loggin

Console

Terminal line

Memory buffers

SNMP traps

Syslog------syslog server

Syslog client

CISCO serutiy lever：

0 emergencies

1 Alerts

2 Critical

3 Errors

4 Warnings

5 Notification

6 Informational

7 Debugging

Syslog Router Comman：

(config)#logging [hostname|ip-address]

(config)#logging trap level

(config)#logging facility facility-type(local0-local7)

(config)#logging source-interface interface-type interface-number

(config)#logging on

第六章 CISCO IOS防火墙CBAC配置

目标：

1、定义CISCO IOS防火墙

2、介绍CBAC及配置，包括全局时间值和端口到应用程序的映射PAM，定义审查规则，并将规则应用到路由的端口

3、测试并验证CBAC的配置

一、 介绍到CISCO IOS防火墙

CISCO IOS Fire具有防火墙的功能，提供了CBAC，认证代理和入侵检测。

更具有灵活性，可以提供到应用层的过滤。动态的每用户的认证和授权。

结合Ipsec，L2TP，Qos提供完美的VPN解决方案。

1、 CBAC：提供了安全的，每程序的安全访问控制，通过查看源和目标地址增强了TCP/UDP使用周知端口的安全性。比如E-MAIL，FTP等。

2、认证代理：可以创建动态的，每用户的认证和授权的特定安全策略。每用户的策略可以动态的从TACACS+和RADIUS服务器上下载到路由器。也就是说特定的策略跟随用户。

3、入侵检测：可以实时的发现内部和外部的攻击威胁。

（一） CBAC

可以过滤基于应用层信息的TCP/UDP的包。在ACL创建临时的会话连接。

可以阻止SYN flooding，可以对包的序列号及速率进行检测，是否超出特许的范围。超出则删除。对DOS攻击特别有效。

1、如果没有被ACL拒绝，则会被CBAC进行检查

2、允许或拒绝特定的TCP/UDP的流量包

3、一个状态表维护会话的信息

4、 ACL动态的创建和删除

5、可以保护受DOS攻击

（二）认证代理

基于用户创建安全策略，以前是基于IP地址或单个策略应用的组用户或子网。配置文件跟随用户，认证代理与其他安全特性，如Ipsec NAT VPN client software兼容。

1、基于HTTP认证

2、经过TACACS+和RADIUS协议提供动态的，每用户的认证和授权。

（三）入侵检测

带有防火墙功能支持的中高端路由器提供了入侵检测功能。提供了59种常见的攻击类型。

1、作为在线检测探测器

2、当数据报匹配特征时，有三个动作：Alarm：警告消息发送到syslog server

Drop：扔掉数据报

Reset：重置并结束会话

3、标识了59种常见攻击

二、 CBAC（context-based access control）

（一） ACL的缺点：

1、通过源地址，目标地址，源端口，目标端口进行过滤

2、端口永远打开，使得流量通过

3、不能工作在应用层。一般在网络层，传输层。

（二） CBAC的工作原理

1、对配置了inbound ACL的接口，如果数据报（第一个）通过，则会被CBAC进行检查。

2、CBAC仅仅检查控制信道的连接，数据信道不检查。如FTP。

3、通过设置超时值等，来查看半打开的连接数量和速率，如超出，则删除会话，控制半打开连接的数量，拒绝了DOS攻击。

4、动态创建ACL，----状态数据库

（三）支持的协议

支持：TCP(single channel) Java

UDP(single channel) RSTP

FTP SQL*NET

TFTP H.323

SMTP Microsoft NetShow

RPC StreamWorks

Microsoft RPC VDOlive

UNIX R-command

（四）报警和审核跟踪

1、形成实时的报警，跟踪信息发送到syslog server

2、基于应用程序协议创建报警和审核跟踪。

（五） CBAC的配置

1、起用报警和审核跟踪

(config)#ip inspect audit-trail

(config)#no ipspect alert-off

三、 设置global timeout and thresholds

1、(config)#ip inspect tcp synwait-time seconds

指定一个TCP连接到连接状态建立的等待时间，默认是30秒

2、(config)#ip inspect tcp finwait-time seconds

指定退出会话前等待FIN交换完成的时间，默认是5秒

3、(config)#ip inspect tcp idle-time seconds

设置TCP的空闲时间，默认是3600秒

4、(config)#ip inspect udp idle-time seconds

设置UDP的空闲时间，默认是30秒

5、(config)#ip inspect dns-timeout seconds

设置DNS会话的时间，默认是5秒

6、全局的半打开连接的限制

(config)#ip inspect max-implete high number 高于该数量开始删除 500

(config)#ip inspect max-implete low number 低于该数量停止删除 400

半打开连接，对TCP，是3次握手没有完成，对UDP，没有收到回程数据。

(config)#ip inspect one-minute high number 500

(config)#ip inspect one-minute high number 400

(config)#ip inspect tcp max-implete host number block-time seconds

相同的目标主机存在的半打开的连接

如果block-time为0，删除旧连接，接受新连接请求

如果block-time为>0，所有的半连接被删除，新连接将被拒绝，直到block-time到期。

默认HOST为50，范围1-250 block-time默认为0

四、 PAM（port-to-application mapping）

1、针对网络服务和应用程序，自定义TCP/UDP的端口号。

支持到主机和子网的映射，-------使用标准访问列表

system-defined信息不能删除或改变。

(config)#ip port-map appl-name port port-number

映射端口号到应用程序

(config)#iaccess-list permit acl-number ip-address ip port-map app-name port por-number list acl-number

映射端口号到应用程序到特定的主机

(config)#iaccess-list permit acl-number ip-address wild-card ip port-map app-name port por-number list acl-number

映射端口号到应用程序到特定的网络

2、显示PAM配置

#show ip port-map

#show ip port-map app-name

#show ip port-map port port-number

五、 定义审查规则

(config)#ip inspect name inspect-name protocol [alert{on|off}][audit-trail{on|off}][timeout seconds]

六、 定义Java的审查规则

(config)#ip inspect name inspect-name http java-list acl-num [alert{on|off}][audit-trail{on|off}][timeout seconds]

注意，CBAC不能阻止加密后压缩的JAVA Applets

七、 审查RPC应用程序规则

(config)#ip inspect name inspect-name rpc program-number number [wait-time minutes] [alert{on|off}][audit-trail{on|off}][timeout seconds]

八、 定义STMP审查规则

(config)#ip inspect name inspect-name smtp [alert{on|off}][audit-trail{on|off}][timeout seconds]

九、 IP包的分段规则

(config)#ip inspect name inspect-name fragment max number timeout seconds

十、 应用规则到接口

(config-if)#ip inspect inspect-name in|out

十一、测试和验证

#show ip inspect name inspect-name

#show ip inspect config

#show ip inspect interface

#show ip inspect all

#show ip inspect session[detail]

(config)#no ip inspect----删除所有全局值，会话，动态列表，CBAC的配置。

#debug ip inspect 命令

第七章 CISCO IOS防火墙认证代理

目标：

1、定义CISCO IOS防火墙认证代理

2、描述如何通过CISCO IOS 防火墙进行用户的认证

3、描述认证代理技术是如何工作的

4、命名被CISCO IOS 防火墙支持的AAA协议

5、在CISCO IOS 防火墙上进行配置AAA

一、 介绍CISCO IOS防火墙认证代理

1、应用安全策略是基于每用户的。

2、配置文件跟随用户。

3、认证代理特性也CISCO的其他安全特性，如Ipsec,CBAC,VPN Client software,NAT等兼容。

4、工作在任何接口的inbound和outbound方向

5、基于HTTP的验证

6、 AAA的Accounting不支持

7、通过TACACS+和RADIUS协议提供了动态的，每用户的认证和授权。

（一）认证代理的是如何操作的

初始HTTP会话的时候，会触发认证代理，如果存在该用户的条目入口信息，不会提示，否则提示输入密码和用户名。动态的创建进方向和出方向的ACL。如果认证失败，必须等2分钟后再初始HTTP会话。

创建IDLE时间值，超出该值，删除用户的配置文件和动态的ACL，必须触发另个HTTP会话，原来的会话被锁定。

（二）支持的AAA服务器

CISCO IOS防火墙代理支持以下的协议和服务器：

TACACS+支持：

CSACS for Windows NT/2000

CSACS for UNIX

TACACS+ freeware

RADIUS支持：

CSACS for Windows NT/2000

CSACS for UNIX

Lucent

Other standard RADIUS Servers

（三）配置任务

Task1:config AAA server (CSACS)

Task2:config AAA on the router

---Eable AAA

---Specify AAA procotol

---Define AAA server

---Allow AAA traffic

---Enable the router’s HTTP server for AAA

Task3:Authentication the proxy configuration on the router

------set the default idle time

------Create and apply the authentication proxy rules

Task4:Verify the configuration

二、 AAA 服务器的配置

Proxyacl#1=permit tcp any any

Pri-level=15

**对所有的用户都必须是15

**源地址为any

**必须为permit

其格式为：

proxyacl#n=permit protocol any any|host ip-address|wildcard [eq au-service]

priv-lvl=15

三、 AAA的配置

1、启用AAA

(config)#aaa new-model

(config)#no aaa new-model

2、指定认证协议

(config)# aaa authentication login default group metod1[metod2]

metod为TACACS+、RADIUS或两者。

3、指定授权协议

(config)#aaa authentication auth-proxy default group metod1 [metod2]

4、定义TACACS+服务器和KEY

(config)#tacacs-server host ip-address

(config)#tacacs-server key string

密钥必须和CSACS上的一致。

5、定义RADIUS服务器和KEY

(config)#radius-server host ip-address

(config)#radius-server key string

密钥必须和CSACS上的一致

5、允许AAA流量到路由器

源地址为AAA服务器，目标地址为AAA服务器所在的接口地址。

(config)#access-list 101 permit tcp host 10.0.0.3 eq tacacs host 10.1.1.1

(config)#access-list 101 permit udp host 10.0.0.3 eq 1645 host 10.1.1.1

(config)#access-list 101 permit icmp any any

(config)#access-list 101 deny ip any any

(config)#interface Ethernet 0/0

(config-if)#ip access-group 101 in

6、为AAA启用路由器的HTTP服务器

(config)#ip http server

(config)#ip http authentication aaa—使HTTP服务器使用AAA认证

四、 认证代理配置

1、设置默认的IDLE时间

(config)#ip auth-proxy auth-cache-time min

默认是60分钟

2、定义和应用认证代理规则

(config)#ip auth-proxy name auth-proxy-name http [auth-cache-time min]

名字最多16个文字数字组合

(config-if)#ip auth-proxy auth-proxy-name

3、认证代理关联ACL

(config)#ip auth-proxy name auth-proxy-name http list std-acl-num

五、 测试和验证配置

#show ip auth-proxy cache

#show ip auth-proxy configuration

#show ip auth-proxy statistics

#debug ip auth-proxy

清除认证代理的CACHE

(config)#clear ip auth-proxy cache *|ip-address

第八章 CISCO IOS 防火墙入侵检测系统

目标：

1、描述CISCO IOS防火墙的特性

2、 2中类型的特征实现

3、可用的响应选项

4、初始IDS路由器

5、配置，失效和排除特征

6、配置和引用审核规则

7、验证IDS配置

8、添加IDS路由器到Syslog server

一、 CISCO IOS IDS的介绍

Cisco secure IDS Sensors------IDS 4200系列

Cisco secure Intrusion Detector Director-----对位于本地/远端的Sensors进行检测。

Syslog server

1、需要考虑的问题

内存的使用和性能的影响

特征更新的覆盖率

2、特征的实现

Atomic：原子的特征，单个包的特征，不需要内存的分配

Compound：符合的特征，多个包的特征，需要内存分配维持会话。

3、响应的选项

Alarm-----发送警告信息到Sensors ,syslog server ,console

Reset-----重设会话信息发送到两端

Drop----扔掉数据报

二、 初始化路由器的IDS

1、设置通告类型

(config)#ip audit notify {nr-dirctor|log}

nr-director发送消息在PostOffice格式到Dirctor和Sensors

log发送消息在syslog格式到Console和Syslog server

2、设置受保护的网络

(config)#ip audit protected ip-address [to ip-address]

3、设置通告队列的大小

(config)#ip audit po max-events num-of-events

设置队列中保存的最大警告数量

默认是100个，如果警告满了，会丢失基于FIFO策略

每个警告使用32K内存

三、 配置，失效和排除特征

1、配置邮件攻击spam attack

(config)#ip audit smtp spam num-of-recipients

默认是250个

2、失效特征

(config)#ip audit signature sig-id disable

3、通过主机和网络排除特征

(config)#ip audit signature sig-id list acl-num

(config)#access-list acl-num deny host ip-address wildcard

四、 创建和应用审核规则

1、设置信息和攻击的默认行为

(config)#ip audit info action [alarm][drop][reset]

(config)#ip audit attack action [alarm][drop][reset]

2、创建和应用IDS审核

(config)#ip audit name audit-name {info|attack}[action[alarm][drop][reset]]

(config-if)#ip audit audit-name in|out

3、创建IDS规则排除地址

(config)#ip audit name audit-name {info|attack}list acl-num[action[alarm][drop][reset]]

(config)#access-list 90 deny host 10.1.1.1

(config)#access-list 90 permit any

五、 验证配置

#show ip audit config

#show ip audit interface

#show ip audit statistics

#show ip audit debug

#clear ip audit config

#clear ip audit statistics

失效IDS

消除IDS的配置

释放资源

#debug ip audit

第九章 使用CISCO路由器组建Ipsec VPN

目标：

1、描述两种类型的VPN方案

2、描述CISCO VPN路由器产品线

3、 CISCO VPN路由器所支持的Ipsec和其他开放的标准协议

4、 Ipsec技术的主要组成部分

5、 Ipsec的工作过程和原理

6、使用预共享公钥配置IKE

7、使用预共享公钥配置Ipsec

8、验证IKE和Ipsec的配置

9、解释Ipsec手动配置和RSA加密随机数的问题

一、 启用CISCO路由器的Secure VPN

VPN----vritual private network 提供了加密的安全的可靠性连接。

在private network和public network之间提供了加密的连接。

两种基于路由器的VPN网络：

remote access network：移动用户，家庭电话用户，商业合作伙伴，使得连接到本地的ISP即可，节省开支。---------拨号网络的改进。

site-to-site：端到端的连接，启动了新的服务，如QOS，多协议，扩展性，可靠性等。

1、 CISCO VPN 路由器的产品定位

SOHO/teleworker------cisco 800

Small branch--------cisco 1700

Enterprise branch--------cisco 1760

Large branch-------cisco 3600/cisco 3725

Enterprise headquarters------cisco 3745

大型企业网络环境中，采用了 Cisco 7100/7200/7400

Catalyst switch Ipsec service module

2、硬件加密加速器

中小型：AIM-VPN/BP（base performance）------for all cisco 2600

AIM----advanced integration module

AIM-VPN/EP(enhanced performance)-----for all cisco 2600----à2650

AIM-VPN/HP(high performance)-----for all cisco 3600/3745

NM-VPN/MP(mide performance)---for cisco 3620/3640

大型：VAM(vpn acceleration module)

ISM(integration service module)

ISA(integration service adapter

Ipsec service module-------8000/1.9G

二、 Ipsec的概要

1、工作在网络层，提供两个Ipsec设备之间的加密，如PIX防火墙，CISCO路由器，VPN连接器，及其他Ipsec设备。

2、是开放标准，不依赖算法和密钥技术

3、提供数据的机密性，完整性，原始认证和抗重放保护。抗重放功能通过sequence number和sliding windows来确认数据报是否被复制，sliding windows之前的sequence number被认为是迟的或复制的，将被扔掉。

（一）数据的机密性（加密）

1、加密的类型

symmetric：对称的，本端和远端使用相同的密钥加密和解密。

asymmetric：非对称的，本端使用一个密钥加密，远端使用另一个密钥解密。

2、 DH key的交换

DES/3DES/HMAC-MD5/HMAC-SHA1需要对称的共享公钥进行解密和加密。

获取公钥最简单的方法是DH public key exchange，DH交换工作在不安全的信道上。不过不是问题，因为只有得到公钥和私钥才可以生成共享密钥。

公钥加密系统包含两个KEY系统：公钥（DH交换的）和私钥（原有方）

公钥和私钥计算生成---------共享密钥

DH交换算法：DH1到DH7，其中DH1为768，DH2为1024，DH5为1536

CISCO的VPN客户支持DH1、2、5。

DES/3DES支持DH1、2

无线VPN客户支持DH7，椭圆型算法，减少了生成密钥的时间。

3、 RSA加密

RSA使用非对称的密钥进行加密和解密。

本地和远端生成两个密钥：private key / public key

保留私钥，交换公钥

本端使用远端公钥和RSA算法加密消息，生成密文。主要用在数字签名。

4、加密算法

安全程度依赖Key的长度值。

（１）ＤＥＳ加密算法：ＩＢＭ发明，５６位算法，为对称的加密系统

（２）６４位加密算法，处理每个块３次，每次使用独立的５６位算法，实现了双倍加密，为对称的加密系统。

（３）ＡＥＳ（advanced encrption system）：更安全，３种不同的Ｋey长度为：１２８、１９２、２５６位。

（４）ＲＳＡ：非对称加密系统，ＫＥＹ长度为512/768/1024甚至更大，Ipsec不使用ＲＳＡ进行加密。在ＩＫＥ阶段使用ＲＳＡ加密。

（二）数据的完整性

散列算法hash保证了数据的完整性，两端的hash一致，表示没被修改。

１、ＨＭＡＣ（hash message authention code）：将消息和共享密钥进行hash，得到hash值，通过网络发送，远端接受后,将收到的消息与共享密钥进行重新hash，得到的结果一致，表示数据没有被修改过。

２、ＨＭＡＣ算法：

ＨＭＡＣ－ＭＤ５：128位共享密钥

ＨＭＡＣ－ＳＨＡ－１：160位共享密钥，比HMAC-MD5更安全。

（三）原始认证

数字签名：私钥进行散列加密，与信息一同发往远端，远端根据自己的公钥进行解密，如匹配，证明是合法的。

有两种通用的数字签名算法：ＲＳＡ　and DSA（Directory system agent）

1、对等验证模式：

ＶＰＮ隧道的对端设备必须被验证，在通讯建立之前。

有３中认证方式：pre-shared key：手动建立

　　　　　　　　RSA signatures：用数字认证交换验证对方

　　　　　　　　RSA encrypted nonces：加密的随机数交换验证对方

（１） pre-shared key

相同的预共享密钥在Ipsec的两方建立，预共享密钥与信息组合一起形成认证密钥。认证密钥和设备信息发送到对方网络通过hash算法。（hash_I），如果远端创建相同的hash,则本端被认证。

Ipsec的每一方都必须手动创建pre-shared key，容易配置，但不好扩展。

（２） RSA signatures

形成的hash值经过使用本端私钥加密――――>数字签名，远端使用公钥进行解密（

公钥在digital certificate中），形成hash_L,自己也形成hash_R,如果两个相同，则本端被远端认证成功。

注意：认证是双向认证。

（３） RSA encrypted nonces

随机数认证密钥和设备信息通过hash，发送到远端，比较值，匹配，验证成功。

三、 Ipsec协议结构

Ipsec是个开放的框架结构，主要有两个框架协议：

ＡＨ（authentication header）：适合不需要保证机密性的情况，提供了数据的完整性和验证，不提供机密性。传输在明文方式

ＥＳＰ（encapsulating security payload）：提供了数据的机密性，完整性和验证，传输在密文方式。

1、ＡＨ协议：

（１）确保了数据的完整性

（２）提供了初始认证

（３）使用keyed-hash算法

（４）不提供机密性

（５）提供了抗回放保护

IP header +AH+data（ＡＨ＝IP header+data+key经过hash形成）

ＡＨ支持HMAC-MD5和HMAC-SHA-1算法。

２、ＥＳＰ协议：

（１）确保了数据机密性

（２）提供了数据的完整性

（３）数据的原始认证

（４）抗回放保护

如果验证结合加密，发送时先加密后严正，接受时，先验证后解密。

在原有ip header+data前和后添加了esp header 和esp trailer

新的ip header加入到验证后的数据报的前边

New ip header ESP HDR IP HDR DATA ESP Trailer ESP Auth

encrypted

authenticated

３、模式的使用：

　　　　ＥＳＰ和ＡＨ可以操作在２种模式

　　　　传输模式：该模式保护了数据包的payload部分，高层协议，不保护Ipheader部分，传输模式使用在两个主机之间。只提供安全到高层协议

　　　　隧道模式：生成新的ＩＰ头，添加到加密的数据包前，隧道两端的设备可以是pix防火墙，ＶＰＮ连接器，ＶＰＮ路由器，安全网关。在目标不是主机，而是ＶＰＮ网关的时候使用该模式。

IP-in-IP

Gateway-to-Gateway

４、Ipsec协议的框架结构

Ipsec protocols ESP AH

Encryption DES 3DES AES

Authentication MD5 SHA

Diffie-Hellman DH1 DH2

四、 Ipsec是如何工作的（５个步骤）

１、触发流量――――确定ＶＰＮ要保护的流量

２、 IKE阶段1―――VPN设备协商IKE策略，建立安全信道

３、 IKE阶段2―――VPN设备协商Ipsec策略，保护Ipsec数据

４、数据传输―――应用安全策略，传输数据

５、隧道终止

（一） setup1------interesting traffic

确定需要保护的数据,

apply Ipsec bypass Ipsec send data in clear text

（二） setup2---IKE phase1

存在两种模式：main mode

aggressive mode

main mode有３个交换过程

（１） firt exchange

算法和hash用来安全通信，进行协商

（２） second exchange

DH交换生成共享密钥

（３） third exchange

查看没端的标识

１、ＩＫＥ转换集

　　　　Point-to-point：１个ＩＫＥ

　　　　Hub-and-spoke：多个ＩＫＥ

２、ＤＨ密钥交换

　　　　交换公钥

３、验证对端标识

　　　　pre-shared key

RSA signatures

RSA encrypted nonces

（三） IKE Phase 2

协商Ipsec参数，建立Ipsec SA,周期的重新协商Ipsec SA

只有一个模式叫Quick mode

１、 Ipsec转换集

在Ｑuik mode交换转换集

２、ＳＡ（security associations）

　ＳＰＤ：安全策略数据库，包括验证和加密算法，ＫＥＹ的生存时间，传输模式，目标地址。

ＳＡＤ：ＳＡ数据库，包括ＳＡ目标地址，ＳＰＩ号，ＩＰsec协议

ＳＰＩ：安全参数索引

３、 SA lifetime

（四） setup 4-----Ipsec session

（五） setup5-----tunnel termination

SA lifetime到期，数量超出范围，清除配置

posted on 2005-05-06 08:51 cunshen 阅读(2865) 评论(1) 收藏举报

刷新页面返回顶部

Mr.Chan

导航

公告

SECUR 学习笔记