邊界路由器安全設(shè)定筆記-創(chuàng)新互聯(lián)

R1(conf)# no cdp run  #在邊界路由器上關(guān)閉CDP協(xié)議,防止非法用戶通過CDP檢測內(nèi)部網(wǎng)絡(luò)

創(chuàng)新互聯(lián)建站堅持“要么做到,要么別承諾”的工作理念,服務(wù)領(lǐng)域包括:成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù),滿足客戶于互聯(lián)網(wǎng)時代的陽高網(wǎng)站設(shè)計、移動媒體設(shè)計的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴!

R1(conf)# no service tcp-small-service  #echo 17; chargen 19; daytime 13;

R1(conf)# no service udp-small-service #關(guān)閉低端口服務(wù),如防止***發(fā)送流量灌水到chargen服務(wù)端口,占用CPU資源,防止DoS***

R1(conf)# no ip finger  #關(guān)閉FINGER,防止***通過finger檢查路由器登錄的用戶

R1(conf)# no ip identd #identD允許遠程設(shè)備為了識別目的查詢的一個TCP端口,端口號為113;

R1(conf)# no ip source-route #關(guān)閉IP源路,防止***利用IP源由選擇路由來繞過防火墻;

R1(conf)# no ftp-server enable #關(guān)閉FTP-SERVER功能,防止***在路由器上建立FTP服務(wù)器;

R1(conf)# no ip bootp server #防止***通過路由器作為Boot啟動;

R1(conf)# no service pad #PAD(packet assembler/disassemble)用于X.25網(wǎng)絡(luò)

R1(conf)# no boot network #禁止通過路由器作為TFTP啟動

R1(conf)# no service config # 關(guān)閉服務(wù)器設(shè)定

R1(conf)# no ip proxy-arp #有一種情況下,不應(yīng)該關(guān)閉ARP代理:當路由器端遠程接入IPSec ×××連接時,當?shù)卦O(shè)備要通過×××遠程防問客戶端,路由器響應(yīng)來自本地設(shè)備的arp請求,這種情況下要打開APR代理功能;

R1(conf)# no ip directed-broadcast #Dos***利用廣播定向功能向特定的網(wǎng)絡(luò)或是子網(wǎng)進行洪水***;

R1(conf)# no ip unreachable #***使用DoS***來使路由器生成ICMP不可達消息;

R1(conf)# no ip redirect #***可能利用ip重定向方法,讓路由產(chǎn)生環(huán)路由,造成網(wǎng)絡(luò)癱瘓;

R1(conf)# no ip mask-reply #利用子網(wǎng)消息請求功能,***可進行定向廣播DoS***子網(wǎng);

--------------------------------------------------------------------------------------

ACL參數(shù)說明:

  • precedence :過濾特定的優(yōu)先級別,范圍為0到7級別。IP數(shù)據(jù)包頭通常為服務(wù)質(zhì)量保證(Quality of Service, Qos)和隊列的目的進行流量分類。

  • dscp:過濾IP數(shù)據(jù)包頭中的區(qū)分服務(wù)代碼(Differentiated Services Code Point,DSCP)值進行過濾;

  • tos: 過濾IP數(shù)據(jù)包頭中的服務(wù)類型域,用于QoS實施

  • log: 用于記錄控制吧、內(nèi)部緩存或是系統(tǒng)日志,被記錄內(nèi)容包括有TCP、UDP或是ICMP,記錄源端口號和目的端口號等;

  • log-input: 記錄的信息包括接收到的數(shù)據(jù)包的輸入接口和數(shù)據(jù)包中的第二層源地址;

ACL例子:

  • access-list 100 permit tcp any host 200.1.1.2 eq 25        # 任何流量都可以發(fā)送E-mail流量到200.1.1.2

  • access-list 100 permit tcp any eq 25 host 200.1.1.2 established  #內(nèi)部E-mail 服務(wù)器發(fā)送郵件到外部服務(wù)器,并接收回復。established是用戶發(fā)送到去的TCP流量將允許返回,但此參數(shù)在邊界路由器上會產(chǎn)生有一漏洞,即是***可以利用返回數(shù)據(jù)的ACK \ FIN \ PSH \ RST \ SYS等TCP標記位進行修改并進行***;

  • 在接口下利用ip accounting access-violations 進行IP 統(tǒng)計

--------------------------------------------------------------------------------------

  • 使用PAM和ACL來限制CBAC審查

     R1(config)# ip port-map http port 8080 list 1

    R1(config)#access-list permit 192.168.100.2

   R1(config)# ip port-map http port 8090 list 2

    R1(config)#access-list permit 192.168.100.3

--------------------------------------------------------------------------------------

  • 使用ACL來處理TCP SYN洪水***

     R1(config)# ip access-list extended tcp-syn-flood

     R1(config-ext-nacl)# permit tcp any 200.1.1.0 0.0.0.255 establised

     R1(config-ext-nacl)# permit tcp any host 200.1.1.11 eq 25

     R1(config-ext-acl)# deny ip any any

     R1(config)# interface g0/1

     R1(config-if)# ip access-group tcp-syn-flood in

     此例ACL不能阻止E-mail服務(wù)器TCP SYN洪水***,要結(jié)合CBAC審查;

--------------------------------------------------------------------------------------

* 使用ACL來阻塞Smurf和Fraggle,Smurf為icmp回聲(echo)的Dos***,F(xiàn)raggle是使用UDP回聲進行***

     R1(config)# ip access-list extended Smurf-fraggle

     R1(config-ext-nacl)# deny icmp any any echo

     R1(config-ext-nacl)# deny icmp any any echo-reply

     R1(config-ext-nacl)# deny udp any any echo

     R1(config-ext-nacl)# deny udp any any echo-reply

     R1(config-ext-acl)# deny ip any any

    R1(config)# interface g0/1

     R1(config-if)# ip access-group Smurf-fraggle in

     R1(config-if)# ip access-group Smurf-fraggle out

--------------------------------------------------------------------------------------

  •  過濾icmp、traceroute、RPC、SQL

     R1(config)# ip access-list extended ICMP-IN-OUT

     R1(config-ext-nacl)# deny icmp any any echo

     R1(config-ext-nacl)# deny icmp any any redirect

     R1(config-ext-nacl)# deny icmp any any mask-request

     R1(config-ext-nacl)# permit icmp any host 200.1.1.5 echo-reply

     R1(config-ext-nacl)# deny icmp any any echo-reply

     R1(config-ext-nacl)# permit icmp any 200.1.1.0 0.0.0.255

     R1(config-ext-nacl)# deny udp any any range 32400 34400  #過濾Traceroute

R1(config-ext-nacl)# deny tcp any any eq 514     #過濾RPC

    R1(config-ext-nacl)# deny udp any any eq 1434    #過濾SQL

    R1(config-ext-nacl)# deny tcp  any any eq 1433    #過濾SQL

    R1(config-ext-nacl)# deny tcp  any any eq 445     #過濾SMB

   R1(config-ext-acl)# deny ip any any

     R1(config)# interface g0/1

     R1(config-if)# ip access-group CMP-IN-OUT in

     R1(config-if)# ip access-group CMP-IN-OUT out

--------------------------------------------------------------------------------------

  •  過濾Trinoo

     R1(config)# ip access-list extended trinoo

     R1(config-ext-nacl)# deny tcp any any eq 1524

     R1(config-ext-nacl)# deny tcp any any eq 1524

     R1(config-ext-nacl)# deny udp any any eq 1524

     R1(config-ext-nacl)# deny tcp any any eq 27665

     R1(config-ext-nacl)# deny tcp any any  eq 27665

     R1(config-ext-nacl)# deny tcp any any eq 31335

     R1(config-ext-nacl)# deny tcp any  any  eq 31335

     R1(config-ext-acl)# deny ip any any

     R1(config)# interface g0/1

     R1(config-if)# ip access-group trinoo in

     R1(config-if)# ip access-group trinoo  out

--------------------------------------------------------------------------------------

  •  過濾DCOM連接,***利用微軟的RPC代碼的缺陷進行***。微軟在分布式對像模塊(Distributed Component Object Module,DCOM)中發(fā)現(xiàn)漏洞。DCOM使用的端口是 135 139 445

     R1(config)# ip access-list extended Deny_RPC

     R1(config-ext-nacl)# deny tcp any any eq 135

     R1(config-ext-nacl)# deny udp  any any  eq 135

     R1(config-ext-nacl)# deny tcp any any eq 139

     R1(config-ext-nacl)# deny udp any any eq 139

     R1(config-ext-nacl)# deny tcp any  any eq 445

     R1(config-ext-nacl)# deny udp any any eq 445

    R1(config-ext-nacl)# deny udp any any eq 593

     R1(config-ext-nacl)# deny udp any any eq 4444

     R1(config-ext-nacl)# permit ip any any

     R1(config)# interface g0/1

     R1(config-if)# ip access-group Deny_RPC in

--------------------------------------------------------------------------------------

  •  使用CBAC來阻止DoS***

   R1(config)#  ip inspect tcp synwait-time 20

   R1(config)#  ip inspect tcp idle-time 60

   R1(config)#  ip inspect udp idle-time 20

   R1(config)#  ip inspect max-incomplete high 400

   R1(config)#  ip inspect max-incomplete low 300

   R1(config)#  ip inspect one-minute high 600

   R1(config)#  ip inspect one-minute low 500

   R1(config)#  ip inspect tcp max-incomplete host 300 block-time 0

  •  設(shè)置一個簡單的CBAC的審查配置

    R1(config)# ip access-list extended extended_acl

    R1(config-ext-nacl)# deny tcp any any log

    R1(config-ext-nacl)# deny udp any any log

   R1(config-ext-nacl)# deny icmp any any log

    R1(config-ext-nacl)# permit ip any any

   R1(config)# ip inspect name cbac-example tcp

   R1(config)# ip inspect name cbac-example udp

   R1(config)# ip inspect name cbac-example icmp

    R1(config)# interface g0/1

    R1(config-if)# ip access-group extended_acl

    R1(config-if)# ipinspect cbac-example in

--------------------------------------------------------------------------------------

  •  使用CBAC來阻止DoS***

   R1(config)#  ip inspect tcp synwait-time 20

   R1(config)#  ip inspect tcp idle-time 60

   R1(config)#  ip inspect udp idle-time 20

   R1(config)#  ip inspect max-incomplete high 400

   R1(config)#  ip inspect max-incomplete low 300

   R1(config)#  ip inspect one-minute high 600

   R1(config)#  ip inspect one-minute low 500

   R1(config)#  ip inspect tcp max-incomplete host 300 block-time 0

--------------------------------------------------------------------------------------

  •  使用TCP截取來保護區(qū)內(nèi)部服務(wù)器

   R1(config)#  access-list 100 tcp permit tcp any host 192.168.1.1 eq 80

   R1(config)#  access-list 100 tcp permit tcp any host 192.168.1.2 eq25

   R1(config)#  ip tcp intercept list 100

   R1(config)#  ip tcp intercept mode watch

   R1(config)# ip tcp intercept watch-timeout 20

   R1(config)#  ip tcp intercept connection-time 120

   R1(config)#  ip tcp intercept max-incomplete high 600

   R1(config)#  ip tcp intercept min-incomplete low 500

   R1(config)#  ip tcp intercept one-minute high 800

   R1(config)#  ip tcp intercept one-minute low 600

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享題目:邊界路由器安全設(shè)定筆記-創(chuàng)新互聯(lián)
網(wǎng)頁地址:http://bm7419.com/article10/ddhcgo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供靜態(tài)網(wǎng)站、企業(yè)網(wǎng)站制作、面包屑導航、網(wǎng)站導航微信公眾號、虛擬主機

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站托管運營