提高企業網絡互聯繫統安全運行與管理維護
1.1場景描述
1.1.1 學習目的
通過學習,能夠獨立完成整個企業網裏面所涉及到的所有的常用技術。
1.1.2 學習要求
掌握:配置網絡設備的安全管理。
掌握:配置訪問控制列表。
掌握:配置安全路由協議。
掌握:身份認證和准入機制。
掌握:配置虛擬專用網。
1.1.3 學習重點和難點
1.學習重點
配置安全管理路由器和路由器:重點講解登錄的密碼不是特權密碼。網絡設備的登錄認證是如何實現的。
配置訪問控制的能力:理解什麼是線路訪問。如何控制不同的線路訪問驗證。
配置安全路由協議:理解各種路由協議之間是如何安全通信的。
配置虛擬專用網:掌握配置站點到站點的虛擬專用網的方法。
實施身份驗證與網絡接入控制:掌握各種身份驗證的方法和使用場合。
2.學習難點
配置訪問控制能力:區分各種控制技術的使用場合。
安全路由協議:理解路由協議之間是如何安全通信的。
1.2 知識準備
1.2.1 ACL概述
訪問控制列表(Access Control List,ACL)是路由器和交換機接口的指令列表,用來控制端口進出的數據包。ACL適用於所有的被路由協議,如IP、IPX、AppleTalk等。這張表中包含了匹配關係、條件和查詢語句,表只是一個框架結構,其目的是爲了對某種訪問進行控制。
信息點間通信,內外網絡的通信都是企業網絡中必不可少的業務需求,但是爲了保證內網的安全性,需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源,從而達到對訪問進行控制的目的。簡而言之,ACL可以過濾網絡中的流量,控制訪問的一種網絡技術手段。
ACL的定義也是基於每一種協議的。如果路由器接口配置成爲支持三種協議(IP、AppleTalk以及IPX)的情況,那麼,用戶必須定義三種ACL來分別控制這三種協議的數據包。
1.2.2 RIP
作爲距離矢量路由協議,RIP使用距離矢量來決定最優路徑,具體來講,就是提供跳數(hop count)作爲尺度來衡量路由距離。跳數(hop count)是一個報文從本節點到目的節點中途經的中轉次數,也就是一個包到達目標所必須經過的路由器的數目。
RIP路由表中的每一項都包含了最終目的地址、到目的節點的路徑中的下一跳節點(next hop)等信息。下一跳指的是本網上的報文欲通過本網絡節點到達目的節點,如不能直接送達,則本節點應把此報文送到某個中轉站點,此中轉站點稱爲下一跳,這一中轉過程叫“跳”(hop)。
如果到相同目標有兩個不等速或不同帶寬的路由器,但跳數相同,則RIP認爲兩個路由是等距離的。RIP最多支持的跳數爲15,即在源和目的網間所要經過的最多路由器的數目爲15,跳數16表示不可達。這樣,對於超過15跳的大網絡來說,RIP就有侷限性。
RIP通過廣播UDP(使用端口520)報文來交換路由信息,缺省情況下,路由器每隔30秒向與它相連的網絡廣播自己的路由表,接到廣播的路由器將收到的信息添加至自身的路由表中。每個路由器都如此廣播,最終網絡上所有的路由器都會得知全部的路由信息。
廣播更新的路由信息每經過一個路由器,就增加一個跳數。如果廣播信息經過多個路由器到達,那麼具有最低跳數的路徑就是被選中的路徑。如果首選的路徑不能正常工作,那麼其他具有次低跳數的路徑(備份路徑)將被啓用。
1.2.3 OSPF
OSPF是一類Interior Gateway Protocol(內部網關協議IGP),用於屬於單個自治體系(AS)的路由器之間的路由選擇。OSPF 採用鏈路狀態技術,路由器互相發送直接相連的鏈路信息和它所擁有的到其它路由器的鏈路信息。
每個 OSPF 路由器維護相同自治系統拓撲結構的數據庫。從這個數據庫裏,構造出最短路徑樹來計算出路由表。當拓撲結構發生變化時,OSPF 能迅速重新計算出路徑,而只產生少量的路由協議流量。OSPF 支持開銷的多路徑。區域路由選擇功能使添加路由選擇保護和降低路由選擇協議流量均成爲可能。此外,所有的 OSPF 路由選擇協議的交換都是經過驗證的
1.2.4 AAA
AAA系統的簡稱:
l 認證(Authentication):驗證用戶的身份與可使用的網絡服務;
l 授權(Authorization):依據認證結果開放網絡服務給用戶;
l 計帳(Accounting):記錄用戶對各種網絡服務的用量,並提供給計費系統。
AAA-----身份驗證 (Authentication)、授權 (Authorization)和統計 (Accounting)Cisco開發的一個提供網絡安全的系統。奏見authentication。authorization和accounting
常用的AAA協議是Radius,參見RFC 2865,RFC 2866。
另外還有 HWTACACS協議(Huawei Terminal Access Controller Access Control System)協議。HWTACACS是華爲對TACACS進行了擴展的協議
1.3 注意事項
1、訪問控制列表在一個接口的一個方向上只能應用一次;
2、身份驗證技術一個網絡中只需配置一種;
1.4 操作步驟
1.4.1 安全管理和維護路由設備
第一步:創建路由器RA和RB的管理密碼
由於路由器RA和RB在網絡中的安全級別比較高所以在這裏不僅設置了密碼驗證登錄,而且針對遠程telnet連接還設置了SSH加密登錄驗證。
RA(config)#enable secrect level 15 ruijie
RA(config)#username ruijie password star
RA(config)#line con 0
RA(config-line)#login local
RA(config-line)#exit
RA(config)#enable services ssh-server
RA(config)#ip ssh version 2
RA(config)#ip ssh authentication-retries 3
RA(config)#line vty 0 4
RA(config-line)#login local
RA(config-line)#exit
RA(config)#
RB(config)#enable secrect level 15 ruijie
RB(config)#username ruijie password star
RB(config)#line con 0
RB(config-line)#login local
RB(config-line)#exit
RB(config)#
RB(config)#enable services ssh-server
RB(config)#ip ssh version 2
RB(config)#ip ssh authentication-retries 3
RB(config)#line vty 0 4
RB(config-line)#login local
RB(config-line)#exit
RB(config)#
第二步:創建路由器RC和RD的管理密碼
路由器RC和RD的安全性級別比較低,所以這裏沒有使用SSH加密登錄驗證。
RC(config)#enable secrect level 15 ruijie
RC(config)#username ruijie password star
RC(config)#line vty 0 4
RC(config-line)#login local
RC(config-line)#exit
RC(config)#line con 0
RC(config-line)#login local
RC(config-line)#exit
RC(config)#
RD(config)#enable secrect level 15 ruijie
RD(config)#username ruijie password star
RD(config)#line vty 0 4
RD(config-line)#login local
RD(config-line)#exit
RD(config)#line con 0
RD(config-line)#login local
RD(config-line)#exit
RD(config)#
1.4.2 配置訪問控制的能力
第一步:在路由器RA配置時間ACL
一般來講,工作時間所有用戶都是可以訪問公司服務器的。過了工作時間就不允許訪問,以此來防止在下班時間人員比較少的時候,某些人做一些非法訪問的事情。
RA(config)#time-range off-work
RA(config-time-range)#periodic weekdays 09:00 to 18:00
RA(config-time-range)#exit
RA(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any time-range off-work
RA(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 any time-range off-work
RA(config)#interface fastethernet 0/0
RA(config-if-range)#ip access-group 100 out
RA(config-if-range)#exit
RA(config)#
第二步:在路由器RA配置標準ACL
爲了避免公司內部服務器可能被侵入或中毒,導致***利用服務器發送非法數據包以及登錄其他受服務器信任的設備。我們在連接服務器的路由器接口上應用標準訪問控制列表。用於只允許服務器以服務期的ip地址進行通信。
RA(config)#access-list 10 permit host 172.16.1.1
RA(config)#interface fastethernet 0/0
RA(config-if)#ip access-group 10 in
RA(config-if)#exit
RA(config)#
第三步:在路由器RA配置專家ACL
配置允許銷售部訪問服務器的WEB服務和FTP服務。允許其它主機訪問服務器的DNS服務。其他服務不允許訪問。同時允許客戶端之間互相訪問。
RA(config)#expert access-list extended allow-server
RA(config-exp-nacl)#permit tcp 192.168.1.0 0.0.0.255 any host 172.16.1.1 host 000e.000e.000e eq 80
RA(config-exp-nacl)#permit tcp 192.168.1.0 0.0.0.255 any host 172.16.1.1 host 000e.000e.000e eq 20
RA(config-exp-nacl)#permit tcp 192.168.1.0 0.0.0.255 any host 172.16.1.1 host 000e.000e.000e eq 21
RA(config-exp-nacl)#permit udp 192.168.1.0 0.0.0.255 any host 172.16.1.1 host 000e.000e.000e eq 53
RA(config-exp-nacl)#permit ip 192.168.1.0 0.0.0.255 any 192.168.2.0 0.0.0.255 any
RA(config-exp-nacl)#exit
RA(config)#interface fastethernet 0/1
RA(config-if)#expert access-group allow-server in
RA(config-if-range)#exit
RA(config)#
第四步:在路由器RA和RB配置擴展ACL
在邊界路由器上,通常我們都會在外口的in方向上明確的拒絕一些已知的***端口或者病毒端口。用來防禦基本的安全威脅。
RA(config)#access-list 110 deny tcp any any eq 139
RA(config)#access-list 110 deny tcp any any eq 135
RA(config)#access-list 110 deny tcp any any eq 445
RA(config)#access-list 110 deny tcp any any eq 2222
RA(config)#access-list 110 permit ip any any
RA(config)#interface fastethernet 0/2
RA(config-if)#ip access-group 110 in
RA(config-if)#exit
RA(config)#
RB(config)# access-list 110 deny tcp any any eq 139
RB(config)# access-list 110 deny tcp any any eq 135
RB(config)# access-list 110 deny tcp any any eq 445
RB(config)# access-list 110 deny tcp any any eq 2222
RB(config)#access-list 110 permit ip any any
RB(config)#interface fastethernet 0/2
RB(config-if)#ip access-group 110 in
RB(config-if)#exit
RB(config)#
1.4.3 配置安全路由協議
第一步:在路由器RA\RB\RC\RD上啓用動態路由協議
RA(config)#interface fastethernet f0/0
RA(config-if)#ip address 172.16.1.2 255.255.255.0
RA(config-if)#no shut
RA(config-if)#exit
RA(config)#interface fastethernet f0/1
RA(config-if)#ip address 192.168.3.2 255.255.255.0
RA(config-if)#no shut
RA(config-if)#exit
RA(config)#interface fastethernet f0/2
RA(config-if)#ip address 192.168.5.1 255.255.255.0
RA(config-if)#no shut
RA(config-if)#exit
RA(config)#router ospf 10
RA(config-router)#network 192.168.3.0 0.0.0.255 area 0
RA(config-router)#network 192.168.5.0 0.0.0.255 area 0
RA(config-router)#network 172.16.1.0 0.0.0.255 area 0
RA(config-router)#exit
RA(config)#
RB(config)#interface fastethernet f0/1
RB(config-if)#ip address 192.168.4.2 255.255.255.0
RB(config-if)#no shut
RB(config-if)#exit
RB(config)#interface fastethernet f0/2
RB(config-if)#ip address 192.168.5.2 255.255.255.0
RB(config-if)#no shut
RB(config-if)#exit
RB(config)#router ospf 10
RB(config-router)#network 192.168.4.0 0.0.0.255 area 0
RB(config-router)#network 192.168.5.0 0.0.0.255 area 0
RB(config-router)#exit
RB(config)#
RC(config)#interface fastethernet f0/1
RC(config-if)#ip address 192.168.3.1 255.255.255.0
RC(config-if)#no shut
RC(config-if)#exit
RC(config)#interface fastethernet f0/2
RC(config-if)#ip address 192.168.1.254 255.255.255.0
RC(config-if)#no shut
RC(config-if)#exit
RC(config)#router ospf 10
RC(config-router)#network 192.168.3.0 0.0.0.255 area 0
RC(config-router)#network 192.168.1.0 0.0.0.255 area 0
RC(config-router)#exit
RC(config)#
RD(config)#interface fastethernet f0/1
RD(config-if)#ip address 192.168.4.1 255.255.255.0
RD(config-if)#no shut
RD(config-if)#exit
RD(config)#interface fastethernet f0/2
RD(config-if)#ip address 192.168.2.254 255.255.255.0
RD(config-if)#no shut
RD(config-if)#exit
RD(config)#router ospf 10
RD(config-router)#network 192.168.2.0 0.0.0.255 area 0
RD(config-router)#network 192.168.4.0 0.0.0.255 area 0
RD(config-router)#exit
RD(config)#
第二步:在路由器RA\RB\RC\RD上開啓路由協議認證
增加了認證的路由協議更加安全,避免網絡中不法分子捕獲並拆分數據包已獲得網絡拓撲信息。
RA(config)#interface fastethernet 0/1
RA(config-if)#ip ospf authentication message-digest
RA(config-if)#ip ospf message-digest-key 1 md5 ruijie
RA(config-if)#exit
RA(config)#
RC(config)#interface fastethernet 0/1
RC(config-if)#ip ospf authentication message-digest
RC(config-if)#ip ospf message-digest-key 1 md5 ruijie
RC(config-if)#exit
RC(config)#
RB(config)#interface fastethernet 0/1
RB(config-if)#ip ospf authentication message-digest
RB(config-if)#ip ospf message-digest-key 1 md5 ruijie
RB(config-if)#exit
RB(config)#
RD(config)#interface fastethernet 0/1
RD(config-if)#ip ospf authentication message-digest
RD(config-if)#ip ospf message-digest-key 1 md5 ruijie
RD(config-if)#exit
RD(config)#
1.4.4 實施身份驗證與網絡接入控制
第一步:在路由器RC和RD配置AAA及802.1x服務
RC(config)#aaa new-model
RC(config)#radius-server host 172.16.1.1
RC(config)#radius-server key ruijiekey
RC(config)#aaa authentication dot1x ruijielist group radius
RC(config)#
RD(config)#aaa new-model
RD(config)#radius-server host 172.16.1.1
RD(config)#radius-server key ruijiekey
RD(config)#aaa authentication dot1x ruijielist group radius
RD(config)#
第二步:配置RADIUS服務器
在服務器上配置客戶端用於登錄網絡所使用的用戶名和密碼。此處如果是多個用戶名和密碼。重複步驟創建即可。
圖13-1 添加用戶
配置NAS路由器上面配置的密鑰。路由器上的密鑰要和這裏配置的一樣,否則不能認證通過。
圖13-2 配置密鑰
1.4.5 配置虛擬專用網
第一步:在路由器RA上配置***功能
通過配置虛擬專用網,可以實現跨廣域網通信的目的。並且通信的雙方都不必爲廣域網的安全擔憂。這一切完全由***來承擔並完成。
RA(config)#access-list 110 permit ip 192.168.1.0 0.0.0.255 any
RA(config)#access-list 110 permit ip 192.168.3.0 0.0.0.255 any
RA(config)#access-list 110 permit ip 172.16.1.0 0.0.0.255 any
RA(config)#crypto isakmp policy 110
RA(config-isakmp)#authentication pre-share
RA(config-isakmp)#hash md5
RA(config-isakmp)#exit
RA(config)#crypto isakmp key 0 ruijie address 192.168.5.2
RA(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac
RA(cfg-crypto-trans)#mode tunnel
RA(cfg-crypto-trans)#exit
RA(config)#crypto map ***-set 100 ipsec-isakmp
RA(config-crypto-map)#set peer 192.168.5.2
RA(config-crypto-map)#set transform-set ***1
RA(config-crypto-map)#match address 110
RA(config-crypto-map)#exit
RA(config)#interface fastethernet 0/2
RA(config-if)#ip address 192.168.5.1 255.255.255.0
RA(config-if)#crypto map ***-set
RA(config-if)#exit
RA(config)#interface fastethernet 0/1
RA(config-if)#ip address 192.168.3.2 255.255.255.0
RA(config-if)#exit
RA(config)#interface fastethernet 1/1
RA(config-if)#ip address 172.16.1.2 255.255.255.0
RA(config-if)#exit
RA(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.2
RA(config)#
第二步:在路由器RB上配置***功能
***的另一段RB的配置基本上與RA相同。要注意的是內網和外網地址要互換。***的對方地址也要互換。
RB(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 any
RB(config)#access-list 110 permit ip 192.168.4.0 0.0.0.255 any
RB(config)#crypto isakmp policy 110
RB(config-isakmp)#authentication pre-share
RB(config-isakmp)#hash md5
RB(config-isakmp)#exit
RB(config)#crypto isakmp key 0 ruijie address 192.168.5.1
RB(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac
RB(cfg-crypto-trans)#mode tunnel
RB(cfg-crypto-trans)#exit
RB(config)#crypto map ***-set 100 ipsec-isakmp
RB(config-crypto-map)#set peer 192.168.5.1
RB(config-crypto-map)#set transform-set ***1
RB(config-crypto-map)#match address 110
RB(config-crypto-map)#exit
RB(config)#interface fastethernet 0/2
RB(config-if)#ip address 192.168.5.2 255.255.255.0
RB(config-if)#crypto map ***-set
RB(config-if)#exit
RB(config)#interface fastethernet 0/1
RB(config-if)#ip address 192.168.4.2 255.255.255.0
RB(config-if)#exit
RB(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.1
RB(config)#
1.5 拓展知識
1.5.1正確放置ACL
ACL通過過濾數據包並且丟棄不希望抵達目的地的數據包來控制通信流量。然而,網絡能否有效地減少不必要的通信流量,這還要取決於網絡管理員把ACL放置在哪個地方。
假設在的一個運行TCP/IP協議的網絡環境中,網絡只想拒絕從RouterA的T0接口連接的網絡到RouterD的E1接口連接的網絡的訪問,即禁止從網絡1到網絡2的訪問。
根據減少不必要通信流量的通行準則,網管員應該儘可能地把ACL放置在靠近被拒絕的通信流量的來源處,即RouterA上。如果網管員使用標準ACL來進行網絡流量限制,因爲標準ACL只能檢查源IP地址,所以實際執行情況爲:凡是檢查到源IP地址和網絡1匹配的數據包將會被丟掉,即網絡1到網絡2、網絡3和網絡4的訪問都將被禁止。由此可見,這個ACL控制方法不能達到網管員的目的。同理,將ACL放在RouterB和RouterC上也存在同樣的問題。只有將ACL放在連接目標網絡的RouterD上(E0接口),網絡才能準確實現網管員的目標。由此可以得出一個結論: 標準ACL要儘量靠近目的端。
網管員如果使用擴展ACL來進行上述控制,則完全可以把ACL放在RouterA上,因爲擴展ACL能控制源地址(網絡1),也能控制目的地址(網絡2),這樣從網絡1到網絡2訪問的數據包在RouterA上就被丟棄,不會傳到RouterB、RouterC和RouterD上,從而減少不必要的網絡流量。因此,我們可以得出另一個結論:擴展ACL要儘量靠近源端。
1.5.2 RIP解決路由環路的方法
在最初開發RIP的時候就發現路由環路的問題,所以已經在RIPv1和 RIPv2中集成了幾種防止環路的機制:
最大跳數:當一個路由條目作爲副本發送出去的時候就會自加1跳,跳數最大爲16跳,16跳意味着此網絡永不可達了。
l 水平分割:路由器不會把從某個接口學習到的路由再從該接口廣播或者組播的方式發送出去。
l 帶毒性反轉的水平分割:路由器從某些接口學習到的路由有可能從該接口發送出去,只是這些被路由已經具有毒性,即跳數都爲16跳。
l 抑制定時器:當路由表中的某個條目所指網絡消失時,路由器並不會立刻的刪除該條目,而是嚴格按照我們前面所介紹的計時器時間現將條目設置爲無效並掛起,在到達240秒時才刪除該條目,這麼做的目的是爲了儘可能利用這個時間等待發生改變的網絡恢復。
l 觸發更新:因網絡拓撲發生變化導致路由表發生改變時,路由器立刻產生更新通告給直連鄰居,不再需要等待30秒的更新週期,這樣做是爲了將網絡拓撲的改變立刻通告給其他鄰居路由器。
以上就是RIP產生環路的問題和解決方法。
1.5.3 RADIUS基本工作原理
用戶接入NAS,NAS向RADIUS服務器使用Access-Require數據包提交用戶信息,包括用戶名、密碼等相關信息,其中用戶密碼是經過MD5加密的,雙方使用共享密鑰,這個密鑰不經過網絡傳播;RADIUS服務器對用戶名和密碼的合法性進行檢驗,必要時可以提出一個Challenge,要求進一步對用戶認證,也可以對NAS進行類似的認證;如果合法,給NAS返回Access-Accept數據包,允許用戶進行下一步工作,否則返回Access-Reject數據包,拒絕用戶訪問;如果允許訪問,NAS向RADIUS服務器提出計費請求Account- Require,RADIUS服務器響應Account-Accept,對用戶的計費開始,同時用戶可以進行自己的相關操作。
RADIUS還支持代理和漫遊功能。簡單地說,代理就是一臺服務器,可以作爲其他RADIUS服務器的代理,負責轉發RADIUS認證和計費數據包。所謂漫遊功能,就是代理的一個具體實現,這樣可以讓用戶通過本來和其無關的RADIUS服務器進行認證,用戶到非歸屬運營商所在地也可以得到服務,也可以實現虛擬運營。
RADIUS服務器和NAS服務器通過UDP協議進行通信,RADIUS服務器的1812端口負責認證,1813端口負責計費工作。採用UDP的基本考慮是因爲NAS和RADIUS服務器大多在同一個局域網中,使用UDP更加快捷方便,而且UDP是無連接的,會減輕RADIUS的壓力,也更安全。
RADIUS協議還規定了重傳機制。如果NAS向某個RADIUS服務器提交請求沒有收到返回信息,那麼可以要求備份RADIUS服務器重傳。由於有多個備份RADIUS服務器,因此NAS進行重傳的時候,可以採用輪詢的方法。如果備份RADIUS服務器的密鑰和以前RADIUS服務器的密鑰不同,則需要重新進行認證。