1、互联网结构存漏洞
BGP(Border Gateway Protocol)是一种在自治系统之间动态交换路由信息的路由协议。一个自治系统的经典定义是在一个管理机构控制之下的一组路由器,它使用IGP和普通度量值向其他自治系统转发报文。
舒哈德(美国明尼苏达大学的马克斯·舒哈德)的新攻击方法利用互联网的结构来攻击其自身。在网络上,每分钟都有许多节点脱机,但我们不会注意到,因为网络会绕过它们。它能做到这一点是因为组成互联网的那些较小的网络也就是人们所知的“自治系统” 通过路由器互相通讯。当一个通讯路线发生改变,附近的路由器会通过一个所谓的“边界网关协议”(BGP)系统向其附近的路由器发出通知。这些路由器又接着向其他邻近路由器发出通知,最后将新路径的情况发布到整个互联网。 此前发现的一种攻击方法叫作ZMW攻击,它是通过扰乱BGP,使两个路由器之间的连接显示为脱机,从而切断这两个路由器之间的连接。舒哈德和他的同事们研究出了如何将这种方法扩大到整个互联网,并模拟了其效果。
这种攻击需要一个巨大的“僵尸网络”一个由被木马感染的计算机组成的网络。舒哈德估计25万台这样的电脑将足以摧毁互联网。僵尸网络经常被用来发动分布式拒绝服务(DDoS)攻击,这种攻击方式通过让网络服务器流量超载而使其死机。
2、Ospf欺骗攻击
1)OSPF恶意欺骗攻击介绍
OSPF恶意欺骗攻击(ospf spoof)
分析:黑客在运行OSPF路由协议的网络内开启sniffer软件,嗅探OSPF的hello包。如果OSPF网络没有进行加密传输或者只进行了明文传输,那么黑客可以看到你OSPF的区域号和key,黑客就可以使用电脑内的虚拟路由器来加入这个OSPF网络从而获取内部网络的路由条目,也可以自己从发布需要的路由条目到OSPF网络中。
条件:攻击者必须在OSPF的网络内。
防范:将OSPF路由协议行加密传输。
OSPF恶意欺骗攻击安全加固
每个OSPF接口都可以设置一个认证口令,路由器使用该口令向网段中的其它路由器发送OSPF信息。认证口令,或称为密码,在路由器之间必须是相同的。使用口令产生一段认证数据,存放在OSPF包头中。密码最多支持8个字符。可以用下列语法
设置OSPF认证:
Router(config-if)#ip ospf authentication-key password
密码设置好后,必须启动认证:
Router(config-router)#area area-number authentication
3、禁用CDP协议
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#cdp run
Router1(config)#interface FastEthernet0/0
Router1(config-if)#no cdp enable
Router1(config-if)#end
Router1#
注释:为了安全可以在边界设备上禁止CDP
注释:CDP(Cisco Discovery Protocol)是思科专有的协议,用于发现相连的思科设备,帮助了解网络拓朴,缺省是启用的,使用show cdp neighbor detail 命令可以查看相连设备的详细信息
4、启用路由器HTTPS 访问
目的:通过加密方式的HTTP协议(HTTPS)访问路由器
Core#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Core(config)#ip http secure-server
Core(config)#ip http authentication local
Core(config)#end
Core#
注释:建议先用no ip http server 命令关闭非加密的HTTP 访问,然后开启安全的访问,同时可以使用ip http secure-port 8080 命令来更改访问端口
5、设置用户名密码
目的:为每个单独的人员设置不同的用户名和密码
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#username cmcc sercet cmcc.net
Router1(config)#username cmcc privilege 10
Router1(config)#privilege exec level 10 show ip route
Router1(config)#privilege exec level 1 show ip
Router1(config)#privilege exec level 1 show
6、配置日志服务器
目的:配置日志服务器集中管理设备信息
Enter configuration commands, one per line. End with CNTL/Z
Router(config)# logging on
Router(config)# logging trap information
Router(config)# logging 192.168.0.100
Router(config)# logging facility local6
Router(config)# logging source-interface loopback0
Router(config)# exit
7、使用SSH 登录
安全性分析:对于没有加密而直接使用IP协议,如TLENET实现的登陆,由于账号口令都是明文传送,很容易被网络上的监听设备,如SNIFFER,通过协议监听与分析直接获取登陆的账号口令信息,从而造成巨大的安全风险。改为SSH方式后,账号口令是通过密文发送的,因此安全性大大增强。
配置主机名和域名
router# config t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)# hostname Router
Router(config)# ip domain-name Router.domain-name
配置访问控制列表
Router(config)# no access-list 12
Router(config)# access-list 12 permit host 192.168.0.200
Router(config)#line vty 0 4
Router(config-line)# access-class 12 in
Router(config-line)# exit
配置账号和连接超时
Router(config)# username normaluser sercet 3d-zirc0nia
Router(config)# username normaluser privilege 1
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# exec-timeout 5 0
生成rsa密钥对
Router(config)# crypto key generate rsa
The name for the keys will be: Router.domain-name
Choose the size of the key modulus in the range of 360 to
2048 for your General Purpose Keys. Choosing a key modulus
greater than 512 may take a few minutes.
How many bits in the modulus [512]: 2048
Generating RSA Keys ...
[OK]
配置仅允许ssh远程登录
Router(config)# line vty 0 4
Router(config-line)# transport input ssh
Router(config-line)# exit
Router(config)#
注释:使用show crypto key mypubkey rsa命令检查一下是否生成了RSA 密钥
8、安全的使用SNMP进行网络管理
SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取通行字符串。未经授权的人员可以捕获社区名称,以获取有关网络资源的重要信息。所以,要求安全的使用SNMP进行网络管理。
9、STP安全配置
分析:攻击者可以发送BPDU引起根桥的变化,从而获得非法的数据并造成网络的震荡。
防范1:在接入层交换机端口启用BPDU GuardSpanning-tree portfast bpdugurad
防范2:在核心层交换机端口启用Root Guard Spanning-tree guard root
10、安全域划分和管理原则
