在边界路由器上的ACL过滤

一、过滤Bogons网段

bogon网段不会出现在Internet上. 包括下列地址:

  • RFC 1918定义的私有地址
  • Loopback 口地址(127.0.0.0/8).
  • IANA 保留的地址.
  • 多播地址 (224.0.0.0/4).
  • 学术研究用地址 (240.0.0.0/4).
  • DHCP 本地私有地址 (169.254.0.0/16). This is what your PC uses if it cannot find a DHCP server from which to acquire its addressing information. 

这些地址不在互联网上的路由表中出现,黑客经常使用这些地址用来发起DOS攻击,或是IP欺骗等

二、防止TCP SYN洪水攻击

TCP SYN 洪水攻击是DoS攻击的一种,黑客通常用真实地址或者假冒的源地址发送TCP SYN报文到服务器,使服务器挂起所有的TCP请求,耗尽服务器的资源

三、过滤smurf-fraggle攻击

接口上启用广播直播(ip directed-broadcast),可能会引起ICMP的smurf,或者UDP的fraggle攻击

边界路由器到内网的接口开启了ip directed-broadcast,黑客在Internet上假冒内网服务器的源地址200.1.2.1,目标地址为内网的200.1.1.0/24网段,当边界路由器收到请求后,通过广播地址255.255.255.255转发ICMP请求到内网200.1.1.0中,用户收到请求后,通过单播进行相应,发送ICMP回响到服务器200.1.2.1,无疑会增加网络的负担,如果中间有几百个用户,可能会造成服务器无法处理或者网络资源耗尽

你可以使用下面的方法来防止smurf-fraggle攻击:

  • Shut down networks with amplifiers.
  • 关闭接口的广播直播(接口上no ip directed-broadcast )
  • 在进口或出口上过滤广播直播地址
  • 通过CAR启用流量限制,虽然不能防止攻击,但是能够限制ICMP或UDP请求回响消耗的网络带宽
  • 使用IP单播反向路径检测(unicast reverse-path forwarding)来防止IP地址欺骗

四、防止简单的扫描攻击

黑客在进行实施攻击之前,一般会通过扫描收集用户的信息,一般简单的扫描是通过基于ICMP消息的ping或者tranceroute进行的,因此我们必须限制哪些ICMP类型能够进入或者离开我们的网络

关闭路由器不需要的服务

在边界路由器上关闭不安全和不需要的服务,这里假设路由器有Ethernet0和Ethernet1端口 

Router(config)#  no cdp run//关闭CDP协议,CDP使用多播地址,能够发现对端路由器的Hostname,硬件设备类型,IOS版本,三层接口地址,发送CDP多播的地址

Router(config)#  no service tcp-small-servers
Router(config)#  no service udp-small-servers//关闭TCP和UDP的一些无用的小服务,这些小服务的端口小于19,通常用在以前的UNIX环境中,如chargen,daytime等

Router(config)#  no service finger//finger通常用在UNIX中,用来确定谁登陆到设备上:telnet 192.168.1.254 finger

Router(config)#  no ip finger//关闭对于finger查询的应答
Router(config)#  no ip identd//关闭用户认证服务,一个设备发送一个请求到Ident接口(TCP 113), 目标会回答一个身份识别,如host名称或者设备名称
Router(config)#  no ip source-route//关闭IP源路由,通过源路由,能够在IP包头中指定数据包实际要经过的路径
Router(config)#  no ftp-server enable//关闭FTP服务
Router(config)#  no ip http server//关闭HTTP路由器登陆服务
Router(config)#  no ip http secure-server//关闭HTTPS路由器登陆服务

Router(config)#  no snmp-server community public RO
Router(config)#  no snmp-server community private RW
Router(config)#  no snmp-server enable traps
Router(config)#  no snmp-server system-shutdown
Router(config)#  no snmp-server trap-auth
Router(config)#  no snmp-server//关闭SNMP服务

Router(config)#  no ip domain-lookup//关闭DNS域名查找
Router(config)#  no ip bootp server//bootp服务通常用在无盘站中,为主机申请IP地址
Router(config)#  no service dhcp//关闭DHCP服务
Router(config)#  no service pad//pad服务一般用在X.25网络中为远端站点提供可靠连接
Router(config)#  no boot network//关闭路由器通过TFTP加载IOS启动
Router(config)#  no service config//关闭路由器加载IOS成功后通过TFTP加载配置文件

密码学的基本概念

为路由器申请证书

在申请证书前,必须先配置时间,域名,和hostname,DNS必须配置,也能配置静态DNS映射

Router(config)# clock timezone name offset
Router(config)#exit
Router# clock set hh:mm:ss day month year
Router(config)#
hostname router_name
Router(config)#ip domain-name domain_name
Router(config)#ip host CA_server's_name CA_server's_IP_address

生成Public and Private 密钥对

  1. routername(config)# crypt key gen rsa.
  2. 输入密钥的大小,默认是512

删除路由器上已保存的证书信息,并配置路由器申请新的证书

  1. routername(config)#no crypt ca identity CA_server's_name          按Y确认
  2. routername(config)# crypt ca identity CA_server's_name   12.2.8(T)以后是crypto ca trustpoint CA_server's_name
  3. routername(ca-identity)#primary   指定主要CA服务器,如果你路由器上配置了指定了超过一个CA服务器
  4. routername(ca-identity)#enrollment http-proxy  HTTP_server's_name port_#  如果你是通过代理服务器访问CA的话,这里指定代理服务器
  5. routername(ca-identity)# enrollment url http://URLHostName/certsrv/mscep/mscep.dll 指定CA服务器的enrollment Web pages (也叫做Certificate Services Web pages)的URL

配置微软CA服务器+SCEP

配置微软CA服务器

CA安装使用注意事项:

  1. 操作系统必须是windows2000 server或windows 2003
  2. 安装前,系统系统必须先安装IIS服务。– 进入控制面板,进入添加或删除程序,点“添加/删除Windows组件”,弹出组件向导界面,双击“应用程序服务”,进入应用服务程序界面,勾选“Internet 信息服务”点击确定,放入windows2003/windows2000server安装盘,按提示完成IIS安装。
  3. 安装前先把计算机加入域中。
  4. 在IIS中启用Active Server Pages (ASP)。

实施ARP欺骗

私人文章,登录状态下方可查看。

Cisco 交换机 dot1x 访问控制的配置

Cisco ACS支持dot1x交换机端口认证,通过PPP的Extensible Authentication Protocol over LAN (EAPOL)协议,只允许经过认证的接口的流量通过

一、首先配置ACS服务器端

1.在Interface Configuration下选择RADIUS(IETF)

2.在[064]Tunnel-Type, [065]Tunnel-Medium-Type, [081]Tunnel-Private-Group-ID前打钩,启用这三个RADIUS属性

3.进入Group Setup中选择0:Default Group,点击Edit Settings

4.下拉到IETF RADIUS Attributes

5.将前面配置的三个RADIUS属性配置为如图所示,注意,第二个Tag的值要改成0,代表这个Tag不生效

  • [064]Tunnel-Type的TAG1的值为“VLAN”
  • [065]Tunnel-Medium-Type的TAG1的值为“802”
  • [081]Tunnel-Private-Group-ID的值为你要分配的进行用户认证的VLAN name

注意:如果Tunnel-Private-Group-ID的值,与交换机上进行认证的接口的VLAN name不相同,那么授权(authorized)将会不成功

Cisco ACS UCP的安装

UCP(User Cahngeable Passwords)是ACS的一个组件,在一台Web服务器上安装好UCP之后,用户便能通过访问UCP,自行修改ACS数据库里用户的密码,此外为了保证修改的密码在网络上传输的安全性,UCP支持SSL协议,对数据包进行加密

一、在ACS服务器上进行设置

1.在Interface Configuration中选择Advanced Options,在Distributed System Settings选项上打钩

四川地震灾区考察笔记 (转一篇文章)

 Miyamoto先生是一位抗震结构专家,在汶川地震发生后立即带领一个结构工程师团队奔赴灾区,调查地震对建筑物造成的破坏。他们是来自国外的第一批考察灾区的工程师。这篇考察笔记完全是按照整个行程的时间顺序进行记录的,也就是原文标题中 chronicle 一词的含义。笔记的内容可以说是难得的第一手资料,我不知道对于专业人士是否有所帮助,但至少能够向大家普及一些有关建筑抗震的知识。

笔记中多次提到垮塌的校舍,这些校舍对孩子们的伤害极大地震撼了作者。从作者的记述来看,这些倒塌的校舍几乎都是砖墙承重、使用预制混凝土楼板的混合结构建筑。这种结构形式的抗震能力如何,我相信只要正经学过结构工程的人都应该有清晰的认识。当年为祸唐山的就是这种类型的房屋,抗震规范中也专门对这种建筑提出了针对性的措施。然而,正如作者在笔记中所写的,同样的悲剧一次又一次地发生。不仅在中国,在世界其他地方也是如此。

从笔记的记述来看,由于采用了这样的结构形式,再加上门窗开口多对结构的削弱,校舍的垮塌有其必然性。当前社会环境下,人们自然而然地联想到“豆腐渣”当然不乏合理性,但更重要的是应该从根源上消除产生这种建筑类型的机会。揪出几头硕鼠当然是聊胜于无的安慰,但是将视野放开、亡羊补牢才是我们更应该全力投入的工作。借用Miyamoto先生的话:“我们必须在世界范围内加固这种危险的建筑,……如果我们这么做了,在此牺牲的 55000多条人命才不会白白付出。”"

CATALYST交换机密码恢复大全

CATALYST交换机密码恢复大全

一.基于CatOS的CATALYST 1200,1400,2901,2902,2926T/F,2926GS/L,2948G,2980G,4000,5000,5500,6000与6500密码恢复:

关掉交换机电源,等待片刻再打开.当出现密码提示符后,接下来要做的事情,就是在30秒内完成一些步骤:

  1. 回车(相当于输入空密码).
  2. 进入enable mode(enable命令别说你不会).
  3. 回车,继续玩空密码.
  4. 修改密码(set password和set enablepass命令).
  5. 回车,相当于输入旧密码(如果在这时候收到提示信息说"sorry password incorrect",抱歉,你动作太慢了,超过30秒了,把上述步骤重新做1次,动作快点).
  6. 设置更为安全的密码(set password和set enablepass命令).完工.
分页:[«]1[2][3][4][5][6][7][8][»]

日历

<< 2008-7 >>

Sun

Mon

Tue

Wed

Thu

Fri

Sat

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

控制面板

最近发表

Search

站点统计

  • 文章总数:77
  • 评论总数:4
  • 浏览总数:3449
  • 留言总数:1

网站收藏

图标汇集

  • 酷站目录,免费收录各类优秀网站
  • RainbowSoft Studio Z-Blog
  • 本站支持WAP访问
  • 订阅本站的 ATOM 1.0 新闻聚合
  • 订阅本站的 RSS 2.0 新闻聚合

Powered By Z-Blog 1.8 Spirit Build 80722

Copyright 2007-2008 John Winning`s WebSite. All Rights Reserved.