边界安全
说是边界安全,实际上是不准确的,因为网络安全符合短板效应,攻击者可能会从底层往上攻击,也可能从网络的任何一个角落发起攻击。所以说安全是个整体是个系统,每个组成网络的组件都要协同防护,才能将风险降到最低。
一,访问控制列表
在安全的范畴内,访问控制列表一般有两个作用:过滤出入站的流量,匹配某些特殊流量以备查看。
一个入站的例子:
ip access-list extended EXTERNAL_SECURITY_ACL
permit ip 0.0.0.0 0.255.255.255 any
permit ip 127.0.0.0 0.255.255.255 any
permit ip 240.0.0.0 15.255.255.255 any
permit ip host 255.255.255.255 any
permit ip 224.0.0.0 31.255.255.255 any
permit ip 128.0.0.0 0.0.255.255 any
permit ip 191.255.0.0 0.0.255.255 any
permit ip 223.255.255.0 0.0.0.255 any
干掉除单播的各种播
deny icmp any any echo-reply
deny icmp any any unreachable
deny icmp any any echo
deny icmp any any time-exceeded
permit icmp any any
允许icmp的回应,超时 不可达 echo,剩下的icmp全干掉
deny udp host 128.105.39.11 any eq ntp
deny udp host 148.167.132.201 any eq ntp
deny udp host 128.101.101.101 any eq ntp
deny udp host 204.34.198.40 any eq ntp
deny udp host 192.43.244.18 any eq ntp
deny udp host 192.5.41.41 any eq ntp
deny udp host 192.5.41.40 any eq ntp
deny udp host 192.5.41.209 any eq ntp
permit udp any any eq ntp
允许一些良性的ntp,剩下的ntp服务全干掉
deny udp any any
deny tcp any any
deny gre any any
deny esp any any
permit ip any any
除了传输层端到端的协议和GRE,ESP这两种vpn的安全载荷。。ip层统统干掉!! 干掉!!
deny udp any eq domain any
deny udp any any eq domain
deny udp any eq ntp any
deny udp any any eq ntp
deny udp any eq snmp any
deny udp any any eq snmp
deny udp any eq 167 any
deny udp any any eq 167
deny udp any eq snmptrap any
deny udp any any eq snmptrap
deny udp any eq isakmp any
deny udp any any eq isakmp
deny udp any eq non500-isakmp any
deny udp any any eq non500-isakmp
deny udp any eq syslog host X.X.X.X
deny udp any host X.X.X.X eq syslog
permit udp any any
udp的除了域名解析,ntp,snmp,snmptrap,isakmp,167号端口,某个syslog服务器。剩下的统统干掉。。干掉!!
class-map match-all EXTERNAL_SECURITY_CLASS
match access-group name EXTERNAL_SECURITY_ACL
policy-map SPECTRANET_TRAFFIC_POLICING_MAP
class EXTERNAL_SECURITY_CLASS
drop
调用!!!!!!!!!!!!
然后再出站的例子:
ip access-list extended OUTBOUND_PRIVATE_ACL
permit ip 0.0.0.0 0.255.255.255 any
permit ip 127.0.0.0 0.255.255.255 any
permit ip host 127.0.0.1 any
permit ip 224.0.0.0 15.255.255.255 any
permit ip host 255.255.255.255 any
permit ip 192.168.0.0 0.0.255.255 any
permit ip 10.0.0.0 0.255.255.255 any
permit ip 172.16.0.0 0.15.255.255 any
deny ip any any
在ip里干掉各种广播 组播 及私有地址,剩下的允许~
class-map match-all OUTBOUND_PRIVATE_CLASS
match access-group name OUTBOUND_PRIVATE_ACL
policy-map OUTBOUND_POLICING_MAP
class OUTBOUND_PRIVATE_CLASS
drop
再调用到接口·~
查看DoS攻击的:
access-list 100 permit icmp any any eq echo
检查是否有icmp smurf攻击
access-list 100 permit tcp any any syn
检查是否有任何类型的tcp syn攻击
access-list 100 permit tcp any any fragment
access-list 100 permit udp any any fragment
access-list 100 permit ip any any fragment
是否有分片攻击
show access-list 100
二,设备安全
1.设备加固
指登入设备需输入密码,有两种登入设备的方式console和telnet:
console推荐使用username+service password-encryption
telnet推荐使用ssh协议和访问列表控制访问
2.cdp
cdp可能会被黑客或网管软件利用查看cisco设备重要信息:no cdp run
3.tcp/udp低端口服务(已过时)
默认禁用,未被禁用:no service tcp-small-servers no service udp-small-servers
4.finger
利用finger可以查看当前用户列表,禁用:no ip finger
5.identd
利用identd可以让路由器对自己验证,可作为侦查工具。:no ip identd
6.dhcp和bootp
如果不需要这两个服务,可以no ip bootp server 和 no service dhcp 相当于禁用UDP 67号端口
7.tftp
默认关闭,手动:no tftp-server flash:[filename]
8.自动加载设备配置项
会直接从网络中的服务器上自动加载设备配置,配置文件肯能会被未授权的人查看。no service config no boot network
9.ip源路由功能
ip源路由功能允许主机指定一条路由来穿越网络而不是按照网络设备的路由表来转发。会被黑客利用。no ip source-route
10.代理ARP
路由器会通过代理ARP代替其他主机响应入站的ARP请求。no ip proxy-arp 是否该禁用该功能是个很复杂的问题,禁用前需慎重考虑
11.无故ARP
设备主动提供ARP广播,包含主机ip地址和路由器mac。no ip gratuitous-arp
12.icmp不可达
no ip unreachables
13.ip定向广播
no ip dircted-broadcast
14.ip 掩码应答
对icmp掩码请求的响应 no ip mask-reply
15.http
cisco ios 可以通过web页面进行管理,禁用 no ip http server ,亦可利用访问列表限制访问:ip http access-class [acl号] 也可以通过ip http authentication 来通过AAA进行认证
三,交换机安全特性
1.风暴控制
可在全局模式下storm-control [广播|单播|组播]来启用或禁用风暴控制,亦可使用storm-control action [shutdown|trap]来定义发现风暴后的行为
2.私有vlan
私有vlan需开启杂合端口,在杂合端口下可定义孤立端口和团体端口,杂合端口下的孤立,团体之间不能互访,不同团体之间不能互访(除非跨越三层设备),在同一团体下的vlan可以互访。
配置之前要将vtp设置成透明模式。配置:
步骤1:建立主私有vlan和辅助私有vlan
vlan 10
private-vlan primary 主vlan
vlan 20
private-vlan community团体vlan
vlan 30
private-vlan isolated 孤立vlan
步骤2:将辅助vlan关联到主vlan
vlan10
private-vlan association 20,30
步骤3:将辅助vlan映射进SVI接口
int vlan 10
private-vlan mapping add 20,30
步骤4:把二层端口配置成辅助端口,然后和主vlan和辅助vlan关联
int f0/1
sw mo private-vlan host
sw private-vlan host-association 10 20
int f0/2
sw mo private-vlan host
sw private-vlan host-association 10 30
步骤5:将二层端口配置成杂合端口,并分别把它和主vlan和辅助vlan关联
int f0/10
sw mo private-vlan promiscuous
sw private-vlan mapping 10 20,30
3.端口阻塞
当交换机找不到对映的mac地址时就会泛洪,但有些端口不希望收到这种泛洪。可以定义接口拒绝接受组播和单播 switchport block multicast switchport block unicast
4.端口安全
端口安全采用限制未知mac地址的方法保护端口安全,有三种模式静态动态和sticky 静态是端口上手动指定 动态是通过交换机mac获得一次只有效一次,sticky是结合上两种动态获得 并一直有效
配置:int f0/1
sw mo acc
sw port-security 开启端口安全功能
sw port-security mac-add XXXX.XXXX.XXXX 静态指定mac
sw port-security mac-add sticky sticky方式
如接收到未知mac也可定义处理方式 , 方式有:保护(丢包)限制(丢包并记录)关闭(关闭端口)
5.交换机访问控制列表
交换机的访问控制列表一般有下面四种:
(1)路由器ACL:用在SVI上过滤流量的,跟路由器差不多
(2)端口ACL:跟路由器ACL差不多,只不过是用在端口上的
(3)vlan ACL(VACL又称vlan map):vacl是用来对流量进行过滤的,它靠硬件来处理的,完 全不会影响网络性能。例:
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit any
vlan access-map mymap 10
match ip add 1
action dorp
vlan access-map mymap 20
match ip add 2
action forward
vlan filter mymap vlan-list 5-10
(4)macvlan
又称以太网vlan,用来过滤某个vlan或物理接口中的非ip流量。
mac access-list extended [ ]
deny any any aarp
permit any any
int f0/1
mac access-group [ ] in
过滤掉了appletalk解析协议
6.生成树特性
(1)BPDU防护:保护portfast不收到BPDU,全局:spanning-tree portfast bpduguard default ,接口:spanning-tree portfast bpduguard enable
(2)根防护:根防护把二层端口设置成指定,一旦接入的设备成为根桥,将阻塞该端口。 spanning-tree guard root
(3)etherchannel防护:当etherchannel两端不匹配时,端口将被阻塞。spanning-tree guard misconfig
(4)环路防护:是指根端口和替代端口不会变成指定端口:spanning-tree loopguard default
7.DHCPsnooping
用于隔离非法的dhcp 服务器。可在端口或vlan下使用,用法:
int f0/1
ip dhcp snooping trust
ip dhcp snooping limit rate 100
ip dhcp snooping vlan 5
ip dhcp snooping
ip dhcp snooping information option
8.ip源地址防护
通过dhcp绑定表或手动绑定的ip源地址来对ip流量过滤,要和dhcp snooping共同使用
int f0/1
ip verify source port-security
9.DAI(动态ARP监控)
DAI把ip到mac地址绑定映射关系存进DHCP snooping绑定表中,并在转发之前对其核实。
int f0/1
ip arp inspection trust
exit
ip arp inspection vlan 5-10
10.为入站的ARP限速
运行DAI后可以在接口上使用ip arp inspection limit来限速
四,IOS防火墙
cisco ios 防火墙特性是集成在ios内的状态化监控的防火墙软件,它由以下几个子系统组成:
1.CBAC(基于上下文的访问控制)
CBAC类似于传统防火墙,可以针对不同的应用层协议来过滤tcp udp数据包,它的原则是放行所有信任区域穿越防火墙去往不信任区域的流量。
操纵步骤:(1).配置访问列表和监控规则
例:ip access-list 100 permit tcp host [hostname] eq http
ip access-list 100 deny ip any any
ip inspect name [name] http
ip inspect name [name] ftp
ip inspect name [name] smtp
ip inspect name [name] tcp
ip inspect name [name] udp
(2).在接口上应用(假设需要监控的是内部接口)
int f0/1
ip inspect [hostname] in
ip access-group 100 out
(3).验证
show ip inspect [int/all]
show ip inspect session
show ip access list
2.ios防火墙增强特性多非ip流量,http监控功能可以监视此类流量
(2)电子邮件监控功能 ip inspect name [name]{smtp/esmtp}
(3)防火墙acl旁路,没有应用防火墙acl旁路,要经历三个步骤,入站acl,出站acl,防火墙回话表。运用防火墙acl旁路只需要经过防火墙回话检查,可以提高数据包穿透防火墙的性能
(4)透明ios防火墙,可以同时工作在二三层
五,cisco 防火墙
思科防火墙主要有pix和asa两个系列,pix已经逐步淘汰,主流是asa。硬件防火墙和软件防火墙主要的区别是操作系统不同,硬件防火墙的系统是专门为防火墙功能开发的,所以更加坚固漏洞更少。
asa防火墙有两种模式,路由模式和透明模式。路由模式是让防火墙成为一个三层设备,可以实现路由协议和nat。透明模式是类似于交换机的状态,但同时可以提供自适应的防火墙功能,而且透明模式易于隐藏自己,不被发现。
asa防火墙自带状态化监控和应用层监控,支持多虚拟防火墙,冗余接口,负载均衡和vpn。
asa防火墙的配置这里就不多说了,有兴趣可以参考《Cisco ASA、PIX与FWSM防火墙手册》
说是边界安全,实际上是不准确的,因为网络安全符合短板效应,攻击者可能会从底层往上攻击,也可能从网络的任何一个角落发起攻击。所以说安全是个整体是个系统,每个组成网络的组件都要协同防护,才能将风险降到最低。
一,访问控制列表
在安全的范畴内,访问控制列表一般有两个作用:过滤出入站的流量,匹配某些特殊流量以备查看。
一个入站的例子:
ip access-list extended EXTERNAL_SECURITY_ACL
permit ip 0.0.0.0 0.255.255.255 any
permit ip 127.0.0.0 0.255.255.255 any
permit ip 240.0.0.0 15.255.255.255 any
permit ip host 255.255.255.255 any
permit ip 224.0.0.0 31.255.255.255 any
permit ip 128.0.0.0 0.0.255.255 any
permit ip 191.255.0.0 0.0.255.255 any
permit ip 223.255.255.0 0.0.0.255 any
干掉除单播的各种播
deny icmp any any echo-reply
deny icmp any any unreachable
deny icmp any any echo
deny icmp any any time-exceeded
permit icmp any any
允许icmp的回应,超时 不可达 echo,剩下的icmp全干掉
deny udp host 128.105.39.11 any eq ntp
deny udp host 148.167.132.201 any eq ntp
deny udp host 128.101.101.101 any eq ntp
deny udp host 204.34.198.40 any eq ntp
deny udp host 192.43.244.18 any eq ntp
deny udp host 192.5.41.41 any eq ntp
deny udp host 192.5.41.40 any eq ntp
deny udp host 192.5.41.209 any eq ntp
permit udp any any eq ntp
允许一些良性的ntp,剩下的ntp服务全干掉
deny udp any any
deny tcp any any
deny gre any any
deny esp any any
permit ip any any
除了传输层端到端的协议和GRE,ESP这两种vpn的安全载荷。。ip层统统干掉!! 干掉!!
deny udp any eq domain any
deny udp any any eq domain
deny udp any eq ntp any
deny udp any any eq ntp
deny udp any eq snmp any
deny udp any any eq snmp
deny udp any eq 167 any
deny udp any any eq 167
deny udp any eq snmptrap any
deny udp any any eq snmptrap
deny udp any eq isakmp any
deny udp any any eq isakmp
deny udp any eq non500-isakmp any
deny udp any any eq non500-isakmp
deny udp any eq syslog host X.X.X.X
deny udp any host X.X.X.X eq syslog
permit udp any any
udp的除了域名解析,ntp,snmp,snmptrap,isakmp,167号端口,某个syslog服务器。剩下的统统干掉。。干掉!!
class-map match-all EXTERNAL_SECURITY_CLASS
match access-group name EXTERNAL_SECURITY_ACL
policy-map SPECTRANET_TRAFFIC_POLICING_MAP
class EXTERNAL_SECURITY_CLASS
drop
调用!!!!!!!!!!!!
然后再出站的例子:
ip access-list extended OUTBOUND_PRIVATE_ACL
permit ip 0.0.0.0 0.255.255.255 any
permit ip 127.0.0.0 0.255.255.255 any
permit ip host 127.0.0.1 any
permit ip 224.0.0.0 15.255.255.255 any
permit ip host 255.255.255.255 any
permit ip 192.168.0.0 0.0.255.255 any
permit ip 10.0.0.0 0.255.255.255 any
permit ip 172.16.0.0 0.15.255.255 any
deny ip any any
在ip里干掉各种广播 组播 及私有地址,剩下的允许~
class-map match-all OUTBOUND_PRIVATE_CLASS
match access-group name OUTBOUND_PRIVATE_ACL
policy-map OUTBOUND_POLICING_MAP
class OUTBOUND_PRIVATE_CLASS
drop
再调用到接口·~
查看DoS攻击的:
access-list 100 permit icmp any any eq echo
检查是否有icmp smurf攻击
access-list 100 permit tcp any any syn
检查是否有任何类型的tcp syn攻击
access-list 100 permit tcp any any fragment
access-list 100 permit udp any any fragment
access-list 100 permit ip any any fragment
是否有分片攻击
show access-list 100
二,设备安全
1.设备加固
指登入设备需输入密码,有两种登入设备的方式console和telnet:
console推荐使用username+service password-encryption
telnet推荐使用ssh协议和访问列表控制访问
2.cdp
cdp可能会被黑客或网管软件利用查看cisco设备重要信息:no cdp run
3.tcp/udp低端口服务(已过时)
默认禁用,未被禁用:no service tcp-small-servers no service udp-small-servers
4.finger
利用finger可以查看当前用户列表,禁用:no ip finger
5.identd
利用identd可以让路由器对自己验证,可作为侦查工具。:no ip identd
6.dhcp和bootp
如果不需要这两个服务,可以no ip bootp server 和 no service dhcp 相当于禁用UDP 67号端口
7.tftp
默认关闭,手动:no tftp-server flash:[filename]
8.自动加载设备配置项
会直接从网络中的服务器上自动加载设备配置,配置文件肯能会被未授权的人查看。no service config no boot network
9.ip源路由功能
ip源路由功能允许主机指定一条路由来穿越网络而不是按照网络设备的路由表来转发。会被黑客利用。no ip source-route
10.代理ARP
路由器会通过代理ARP代替其他主机响应入站的ARP请求。no ip proxy-arp 是否该禁用该功能是个很复杂的问题,禁用前需慎重考虑
11.无故ARP
设备主动提供ARP广播,包含主机ip地址和路由器mac。no ip gratuitous-arp
12.icmp不可达
no ip unreachables
13.ip定向广播
no ip dircted-broadcast
14.ip 掩码应答
对icmp掩码请求的响应 no ip mask-reply
15.http
cisco ios 可以通过web页面进行管理,禁用 no ip http server ,亦可利用访问列表限制访问:ip http access-class [acl号] 也可以通过ip http authentication 来通过AAA进行认证
三,交换机安全特性
1.风暴控制
可在全局模式下storm-control [广播|单播|组播]来启用或禁用风暴控制,亦可使用storm-control action [shutdown|trap]来定义发现风暴后的行为
2.私有vlan
私有vlan需开启杂合端口,在杂合端口下可定义孤立端口和团体端口,杂合端口下的孤立,团体之间不能互访,不同团体之间不能互访(除非跨越三层设备),在同一团体下的vlan可以互访。
配置之前要将vtp设置成透明模式。配置:
步骤1:建立主私有vlan和辅助私有vlan
vlan 10
private-vlan primary 主vlan
vlan 20
private-vlan community团体vlan
vlan 30
private-vlan isolated 孤立vlan
步骤2:将辅助vlan关联到主vlan
vlan10
private-vlan association 20,30
步骤3:将辅助vlan映射进SVI接口
int vlan 10
private-vlan mapping add 20,30
步骤4:把二层端口配置成辅助端口,然后和主vlan和辅助vlan关联
int f0/1
sw mo private-vlan host
sw private-vlan host-association 10 20
int f0/2
sw mo private-vlan host
sw private-vlan host-association 10 30
步骤5:将二层端口配置成杂合端口,并分别把它和主vlan和辅助vlan关联
int f0/10
sw mo private-vlan promiscuous
sw private-vlan mapping 10 20,30
3.端口阻塞
当交换机找不到对映的mac地址时就会泛洪,但有些端口不希望收到这种泛洪。可以定义接口拒绝接受组播和单播 switchport block multicast switchport block unicast
4.端口安全
端口安全采用限制未知mac地址的方法保护端口安全,有三种模式静态动态和sticky 静态是端口上手动指定 动态是通过交换机mac获得一次只有效一次,sticky是结合上两种动态获得 并一直有效
配置:int f0/1
sw mo acc
sw port-security 开启端口安全功能
sw port-security mac-add XXXX.XXXX.XXXX 静态指定mac
sw port-security mac-add sticky sticky方式
如接收到未知mac也可定义处理方式 , 方式有:保护(丢包)限制(丢包并记录)关闭(关闭端口)
5.交换机访问控制列表
交换机的访问控制列表一般有下面四种:
(1)路由器ACL:用在SVI上过滤流量的,跟路由器差不多
(2)端口ACL:跟路由器ACL差不多,只不过是用在端口上的
(3)vlan ACL(VACL又称vlan map):vacl是用来对流量进行过滤的,它靠硬件来处理的,完 全不会影响网络性能。例:
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit any
vlan access-map mymap 10
match ip add 1
action dorp
vlan access-map mymap 20
match ip add 2
action forward
vlan filter mymap vlan-list 5-10
(4)macvlan
又称以太网vlan,用来过滤某个vlan或物理接口中的非ip流量。
mac access-list extended [ ]
deny any any aarp
permit any any
int f0/1
mac access-group [ ] in
过滤掉了appletalk解析协议
6.生成树特性
(1)BPDU防护:保护portfast不收到BPDU,全局:spanning-tree portfast bpduguard default ,接口:spanning-tree portfast bpduguard enable
(2)根防护:根防护把二层端口设置成指定,一旦接入的设备成为根桥,将阻塞该端口。 spanning-tree guard root
(3)etherchannel防护:当etherchannel两端不匹配时,端口将被阻塞。spanning-tree guard misconfig
(4)环路防护:是指根端口和替代端口不会变成指定端口:spanning-tree loopguard default
7.DHCPsnooping
用于隔离非法的dhcp 服务器。可在端口或vlan下使用,用法:
int f0/1
ip dhcp snooping trust
ip dhcp snooping limit rate 100
ip dhcp snooping vlan 5
ip dhcp snooping
ip dhcp snooping information option
8.ip源地址防护
通过dhcp绑定表或手动绑定的ip源地址来对ip流量过滤,要和dhcp snooping共同使用
int f0/1
ip verify source port-security
9.DAI(动态ARP监控)
DAI把ip到mac地址绑定映射关系存进DHCP snooping绑定表中,并在转发之前对其核实。
int f0/1
ip arp inspection trust
exit
ip arp inspection vlan 5-10
10.为入站的ARP限速
运行DAI后可以在接口上使用ip arp inspection limit来限速
四,IOS防火墙
cisco ios 防火墙特性是集成在ios内的状态化监控的防火墙软件,它由以下几个子系统组成:
1.CBAC(基于上下文的访问控制)
CBAC类似于传统防火墙,可以针对不同的应用层协议来过滤tcp udp数据包,它的原则是放行所有信任区域穿越防火墙去往不信任区域的流量。
操纵步骤:(1).配置访问列表和监控规则
例:ip access-list 100 permit tcp host [hostname] eq http
ip access-list 100 deny ip any any
ip inspect name [name] http
ip inspect name [name] ftp
ip inspect name [name] smtp
ip inspect name [name] tcp
ip inspect name [name] udp
(2).在接口上应用(假设需要监控的是内部接口)
int f0/1
ip inspect [hostname] in
ip access-group 100 out
(3).验证
show ip inspect [int/all]
show ip inspect session
show ip access list
2.ios防火墙增强特性多非ip流量,http监控功能可以监视此类流量
(2)电子邮件监控功能 ip inspect name [name]{smtp/esmtp}
(3)防火墙acl旁路,没有应用防火墙acl旁路,要经历三个步骤,入站acl,出站acl,防火墙回话表。运用防火墙acl旁路只需要经过防火墙回话检查,可以提高数据包穿透防火墙的性能
(4)透明ios防火墙,可以同时工作在二三层
五,cisco 防火墙
思科防火墙主要有pix和asa两个系列,pix已经逐步淘汰,主流是asa。硬件防火墙和软件防火墙主要的区别是操作系统不同,硬件防火墙的系统是专门为防火墙功能开发的,所以更加坚固漏洞更少。
asa防火墙有两种模式,路由模式和透明模式。路由模式是让防火墙成为一个三层设备,可以实现路由协议和nat。透明模式是类似于交换机的状态,但同时可以提供自适应的防火墙功能,而且透明模式易于隐藏自己,不被发现。
asa防火墙自带状态化监控和应用层监控,支持多虚拟防火墙,冗余接口,负载均衡和vpn。
asa防火墙的配置这里就不多说了,有兴趣可以参考《Cisco ASA、PIX与FWSM防火墙手册》
