计算机网络安全管理（第2版）下ppt

计算机网络安全管理,葛秀慧等 编著,高等学校计算机科学与技术教材,总目录,第1章 网络安全管理基础,第2章 加密技术,第3章 Windows NT网络操作系统的安全管理,第4章 Windows 操作系统的安全管理,第5章 Linux网络操作系统的安全管理,第6章 电子邮件的安全管理,第7章 计算机病毒,第8章 防火墙安全管理,第9章 电子商务网站的安全,第6章 路由器安全管理,6.1 路由器安全概述,6.2 AAA与RADIUS协议原理及配置,6.3 访问控制列表配置,6.4 IPSec与IKE技术与配置,在目前的网络体系中，路由器是多种网络互联的重要设备，因为路由器一般位于防火墙之外，是边界网络的前沿，所以路由器的安全管理成为了第一道防线。在默认情况下，路由器访问密码存储在固定位置，用第一章讲到的sniffer嗅探器很容易获得登录名和密码，从而使路由器完全受到攻击者控制，从而入侵整个路由器管理的网络。目前的路由器种类繁多，优质的路由器都有自己丰富的安全机制，一般都内置了入侵检测系统，但还进一步需要网络管理员配置相应的安全策略及进行相应的管理。在这一章中，针对路由器使用最多的AAA（验证、授权和审计）、访问控制技术和数据加密和防伪和数据加密技术（VPN技术）进行系统介绍，使管理员有章可循，路由器平台很多，国内应用最多的主要有思科公司的IOS平台和华为公司的VRP平台两大阵营，本章以华为的VRP的安全配置命令为例进行介绍。,针对网络存在的各种安全隐患，路由器必须具有的安全特性包括：身份认证、访问控制、信息隐藏、数据加密和防伪、安全管理、可靠性和线路安全。可靠性要求主要针对故障恢复、负载能力和主设备运行故障时，备份自动接替工作。负载分担主要指网络流量增大时，备份链路承担部分主用链路的工作，线路安全指的是线路本身的安全性，用于防止非法用户利用线路进行访问。网络安全身份认证包括：访问路由器时的身份认证、Console登陆配置、Telnet登陆配置 、SNMP登陆配置、Modem远程配置、对其它路由的身份认证、直接相连的邻居路由器配置、逻辑连接的对等体配置、路由信息的身份认证、防伪造路由信息的侵入安全特性。,6.2 AAA与RADIUS协议原理及配置,AAA是Authentication（认证）、Authorization（授权）和 Accounting（计费）的简称。它提供对用户进行认证、授权和计费三种安全功能。AAA一般采用客户/服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。具体如下： · 认证（Authentication）：认证用户是否可以获得访问权，确定哪些用户可以访问网络。 · 授权（Authorization）：授权用户可以使用哪些服务。 · 计费（Accounting）：记录用户使用网络资源的情况。 实现AAA功能可以在本地进行，也可以由AAA服务器在远程进行。记费功能由于占用系统资源大通常都使用AAA服务器实现。对于用户数量大的情况，验证和授权也应该使用AAA服务器。AAA服务器与网络设备的通信有标准的协议，日前比较流行的是RADIUS协议。 提供AAA支持的服务包括：PPP的PAP和CHAP（验证用)、通过telnet登陆到路由器、以及通过各种方式(如console口，aux口等)进入到路由器进行配置的操作和FTP即通过ftp登陆到路由器的用户。,1、验证 用户名、口令验证：包括PPP的PAP验证、用户的CHAP验证、EXEC用户验证、FTP拥护验证和拨号的PPP用户可以进行号码验证。 2、授权 服务类型授权包括一个用户授权提供的服务。可以是PPP、EXEC、FTP中的一种或几种。回呼号码对PPP回呼用户可以设定回呼号码。隧道属性配置L2TP的隧道属性。验证、授权可以在本地进行，也可以在RADIUS服务器进行。但对一个应用服务的验证和授权应使用相同的方法，可以使验证、授权均在本地进行，也可以使用RADIUS服务器。 RADIUS是远程认证拨号用户服务（Remote Authentication Dial-In User Service）的简称，最初由 Livingston Enterprise公司开发，作为一种分布式的客户机/服务器系统，能提供 AAA功能。RADIUS技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）,RADIUS服务器对用户的认证过程通常需要利用 NAS等设备的代理认证功能，RADIUS客户端和 RADIUS服务器之间通过共享密钥认证相互间交互的消息，用户密码采用密文方式在网络上传输，增强了安全性。 RADIUS协议合并了认证和授权过程，即响应报文中携带了授权信息。 RADIUS的基本消息交互流程如下：,RADIUS实现AAA的流程如下：,6.2.2 AAA与RADIUS协议配置方法,首次使用AAA，经常发生配置了用户而验证不通过的情况。这实际上是由于没有学会灵活使用aaa accounting-scheme optional的原因。这种情况不是验证不通过，而是计费失败，切断了用户。 因为开始使用的时候启用AAA，这时缺省使用本地验证。而本地验证也是需要计费的，由于没有配置RADIUS服务器，造成计费失败，而因为没有配置aaaaccounting-scheme optional，在计费失败时就断开用户，因此用户不能成功上网。 aaa accounting-scheme optional的作用是在计费失败时允许用户继续使用网络。因此在只验证不了计费的情况下，一定要注意配置aaa accounting-scheme optional命令。 AAA的配置包含如下几个主要步骤： 1首先应该能够使用AAA，因为在默认情况下是禁止使用AAA。在系统视图下进行下列配置，操作命令为： AAA aaa enable 禁止AAA undo aaa enable,2. 配置认证方案 ·如果配置通过 FTP、Telnet登录到路由器，以及通过各种终端服务方式（如 Console口、Aux口等）进入到路由器进行配置的操作的Login用户认证方案，在系统视图下操作命令如下： aaa authentication-scheme login default | scheme-name method1 | template server-template-name method2 删除AAA的Login认证方案或恢复 undo aaa authentication-scheme login default | scheme-name 其中，method1为认证方法，可以有以下 5种情况： none ，local，radius，radius none，radius local。method2只能为 local或 none。,6.2.3 AAA和RADIUS显示与调试,在完成上述配置后，在所有视图下执行 display命令可以显示配置后AAA和 RADIUS的运行情况，通过查看显示信息认证配置的效果。执行 debugging命令可对 AAA和 RADIUS进行调试。 显示在线用户情况 display aaa user 查看本地用户数据库 display local-user 打开 AAA事件调试开关 debugging aaa event 关闭 AAA事件调试开关 undo debugging aaa event 打开 AAA原语调试开关 debugging aaa primitive 关闭 AAA原语调试开关 undo debugging aaa primitive 打开 RADIUS报文调试开关 debugging radius packet 关闭 RADIUS报文调试开关 undo debugging radius packet,6.2.4 AAA和RADIUS典型配置举例,1.对PPP用户采用RADIUS服务器进行认证、计费 组网需求 RADIUS服务器 129.7.66.66作为主认证和计费服务器， RADIUS服务器 129.7.66.67作为备用认证服务器和计费服务器，认证端口号默认为 1812，计费端口号默认为 1813。 组网图,配置步骤 配置 RouterA # 启动 AAA。 Quidway aaa enable # 配置 PPP用户的缺省认证方案。 Quidway aaa authentication-scheme ppp default radius # 配置 RADIUS服务器 IP地址和端口。 Quidway radius server 129.7.66.66 auth-primary acct-primary Quidway radius server 129.7.66.67 # 配置 RADIUS服务器密钥、重传次数、超时定时器时间长度及计费选项。 Quidway radius shared-key this-is-my-secret Quidway radius retry 2 Quidway aaa accounting-scheme ppp default radius Quidway radius timer response-timeout 5 # 配置 Serial0/0/0口应用认证方案。 Router-Serial0/0/0 ppp authentication-mode chap scheme default,2对FTP用户采用RADIUS服务器进行认证 组网需求对 FTP用户先用 RADIUS服务器进行认证，如果没有响应，则不认证。认证服务器使用129.7.66.66，无备用服务器，端口号为默认值1812。 组网图同上 配置步骤 # 启动 AAA。 Quidway aaa enable # 配置 Login用户的缺省认证方案。 Quidway aaa authentication-scheme login default radius none # 配置 RADIUS服务器 IP地址和端口，使用默认端口号。 Quidway radius server 129.7.66.66 # 配置RADIUS服务器密钥、重传次数、超时定时器时间长度及RADIUS服务器down掉后的恢复时间。 Quidway radius shared-key this-is-my-secret Quidway radius retry 4 Quidway radius timer response-timeout 2 Quidway radius timer quiet 1 # 启动 FTP服务器。 Quidway ftp-server enable,6.3访问控制列表配置,访问控制列表(Access Control List，ACL)为网络设备提供基本的服务安全性。对某类服务而言，安全管理员首先应该考虑该服务是否有必要运行在当前环境中。如果有必要，又有哪些用户能够享用该服务。如果该服务不必要，则应当禁止该服务。因为运行这个不必要的服务，不仅会浪费网络等资源，而且会给当前的网络环境带来安全隐患。如果是部分用户需要，则应当为该服务规划权限，禁止无权限的用户使用该服务。如果某类服务仅仅在网络内部需要，则还需尽力避免该服务被网络外部访问。同样，如果某类服务仅在网络外部是必须的，则管理员还应将该服务限制在网络外部。对于某些服务来说，即使用户能使用该服务，安全管理员也应该能监管该服务的使用情况，比如控制某服务只能在某段时间内使用，对该服务的使用量进行统计等等。在使用访问控制列表之前，安全管理员必须非常清楚当前网络环境的安全规划，和潜在的安全问题。例如在企业网内部，管理员必须清楚部门A、部门B能够访问的服务器内容，