【文档说明】计算机网络信息安全理论与实践教程第19章-课件.ppt，共(75)页，537.521 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-77023.html

以下为本文档部分文字说明：

第19章网络路由设备安全第19章网络路由设备安全19.1路由器安全概述19.2路由器物理安全19.3路由器访问安全19.4路由器的网络服务安全19.5路由信息及协议安全19.6路由器审计和管理19.7路由器安全测试方法与工具19.8路由器安全管理增强技术方法1

9.9Cisco路由器常见漏洞与解决方法19.10本章小结本章思考与练习第19章网络路由设备安全19.1路由器安全概述19.1.1路由器安全威胁路由器不仅是实现网络通信的主要设备之一，而且也是关系到全网安全的设备之一

，它的安全性、健壮性将直接影响到网络的可用性。无论是攻击者发动DoS、DDoS攻击，还是网络蠕虫爆发，负责在网络之间进行数据通信的路由器往往会首当其冲地受到冲击，并最终瘫痪，导致所连接的网络不可用。第19章网络路由设备安全19.1.2路由器安全结构图19-1路由器安全层次图路由器的物理完整

性路由器的安全层次路由器的核心静态配置路由器的动态配置和状态路由器的通信服务相应的访问·物理访问·电气访问·管理性访问·软件升级·路由协议·管理协议·对路由器服务的网络访问第19章网络路由设备安全1．路由器的物理安全层路由器的最内层是物理安全。如果攻

击者可以对物理层进行访问，那么任何路由器都能被攻击并受到损害。因此，物理访问必须得到严格控制以保证整个路由器的安全。大多数的路由器提供一个或者多个直接连接，通常称为“控制台”或者“控制”端口，这些端口通常提供特殊的控制路由器的

方法。路由器的安全策略应该对使用这些端口的时间和地点定义相应的规则。第19章网络路由设备安全2．路由器的核心静态配置层该层的安全主要是路由器OS软件和管理配置的安全。在这个层中，存储重要的配置信息，包括接口地址、用户名和密码以及对路由器的访问控制设置等。如

果一个攻击者能够危害到这层安全，那么路由器更外的两层的控制就难以得到保护。因此，网络管理员通常要有明确的安全规则来严格控制访问这个层。第19章网络路由设备安全3．路由器的动态配置层在这个层上，路由器的

安全主要表现为路由表和其他的动态信息安全。其他的动态信息包括接口状态、ARP表和审计日志。如果一个攻击者可以危害到路由器的动态配置，那么路由器的最外层也会受到侵害。第19章网络路由设备安全4．路由器的通信服务层该层是路由器的最外层

，在这一层上，路由器负责处理网络通信流量转发控制。网络安全策略一般包括这个层，例如识别所允许的协议和服务，通信访问控制等。第19章网络路由设备安全19.1.3路由器安全策略1．路由器的物理安全(1)指派谁将被授权安装、卸载和移动路由器。(2)指派谁将被授权进行维护。(3)

指派谁将被授权进行路由器的物理连接。(4)定义对布置的控制和对控制台的使用以及其他的直接访问端口连接。(5)定义在路由器受到物理损坏时的恢复过程或者出现路由器被篡改配置后的恢复过程。第19章网络路由设备安全2．路由器的核心静态配置层(1)指派谁将被授权通过控制台或者其他的直接访问端口连接

登录到路由器。(2)指派谁将被授权在路由器上具有管理特权。(3)定义对路由器的静态配置进行更改的过程和实践方法(比如日志书、变更记录、复查过程)。(4)定义用户/登录口令，管理或者特权口令的口令策略。(5)指派谁将被授权远程登录

到路由器。(6)指派哪些协议、过程以及网络被允许远程登录到路由器。第19章网络路由设备安全(7)定义在路由器的动态、静态配置被危害时的恢复过程和负责进行恢复的人员的身份。(8)定义路由器的审计日志策略，包括勾画出日志的管理实践方法和过程以及日志的复查职责。(9)指派使用自动远程管理和监视工具的

过程和限制(比如SNMP)。(10)概述检测出对路由器本身攻击的反应过程和指导方法。(11)定义对长期加密密钥的密钥管理策略(如果有的话)。第19章网络路由设备安全3．动态配置层(1)标识出可以在路由器

上实施的动态配置服务以及可以访问这些服务的网络。(2)标识出将被使用的路由协议以及每个会引入的安全功能。(3)指派设置或者自动维护路由器时钟的机制和策略(比如手动设置、NTP)。(4)标识出当和其他的网络建立VPN通道时授权使用的密钥协议和加密算法。第19章网络路由设

备安全(5)网络服务安全。(6)列举对每一个接口或者连接而言(比如进入和流出)，路由器被允许进行或者过滤掉的协议、端口和服务，并标识出可以对它们进行授权的过程以及授权人。(7)描述和外部服务提供者进行互动的安全过程和角色以及维护技术。第19

章网络路由设备安全4．受到危害时的反应(1)列举出在网络危害事件发生时将通报的个人和组织。(2)定义一个针对网络的攻击被成功实施后的反应过程、反应权威及目标，包括保存证据的规定和通报法律执行部门的规定。第19章网络路由设备安全19.2路由器物理安全路由器的物理安

全是其他安全的基础。除了管理员以外，其他人不能随便接近路由器。如果攻击者物理上能接触到路由器，则攻击者通过断电重启，实施“密码修复流程”，进而登录路由器，就可以完全控制路由器。第19章网络路由设备安全此外，路由器的物理安全还需要考虑温度、湿度等环境条件，路由器

设备要做到防震、防电磁干扰、防雷、防电源波动。国标GB4943《信息技术设备的安全》、GB9254《信息技术设备的无线电骚扰限值》以及邮电部YD282《邮电通信设备可靠性通用试验方法》、YD/T755《与电信网电气连接的设备安全原则》等标准中对此有明

确的规定。第19章网络路由设备安全19.3路由器访问安全19.3.1本地访问安全路由器访问有两种类型：本地访问和远程访问。本地访问的一般过程是使用一个哑终端或者一个桌面电脑直接连接到路由器的某个控制端口。为了进一步严格控制CON端口的

访问，应使用路由器的访问控制列表限制对CON端口的访问。例如，限制特定的主机才能访问路由器，配置信息如下：Router(Config)#Access-list1permit192.168.0.1第19章网络路由设备安全Router(Config)#linecon0Router(

Config-line)#TransportinputnoneRouter(Config-line)#LoginlocalRouter(Config-line)#Exec-timeoute50Router(

Config-line)#access-class1inRouter(Config-line)#end第19章网络路由设备安全19.3.2远程访问安全远程访问路由器一般是通过路由器自身提供的网络服务来实现的，例如telnet、SNMP、WEB服务或拨号服务。虽然远程访问路由器

有利于网络管理，但是在远程访问的过程中，远程通信时的信息是明文，因而，攻击者能够监听到远程访问路由器的信息，例如路由器的口令。网络管理员为增强远程访问安全性，一般采取以下安全措施：(1)建立一条专用的网络，用于管理路由器设备，如图19-2所示。第19章网络路由设备安全图19

-2建立专用的网络用于管理路由器设备示意图RouterRouterFirewallManagementLANLoggingHostAdministrationHostInternetLAN1LAN2第19章网络路由

设备安全(2)将管理主机和路由器之间的全部通信进行加密，例如使用SSH替换Telnet。(3)在路由器设置包过滤规则，只允许管理主机远程访问路由器。例如以下的路由器配置可以做到只允许IP地址是14.2.9.1和14.2.6.6的主机有权访问路由器的te

lnet服务：Central(config)#access-list99permit14.2.9.1logCentral(config)#access-list99permit14.2.6.6logCentral(config)#access-list99denyany

logCentral(config)#linevty04第19章网络路由设备安全Central(config-line)#access-class99inCentral(config-line)#exec-timeout50Central(config-

line)#loginlocalCentral(config-line)#transportinputtelnetCentral(config-line)#execCentral(config-line)#endCentral#第19章网络路由设备安全1

9.4路由器的网络服务安全路由器自身提供许多网络服务，例如Telnet、Finger、HTTP等。这些服务虽然给管理带来了方便，但是也留下了安全隐患。为了增强路由器的安全，一般让路由器尽量不提供网络服务，或者是关闭危险的网络服务，

或者是限制网络服务范围。下面是一些关闭路由器危险的网络服务操作方法:(1)禁止CDP(CiscoDiscoveryProtocol)：Router(Config)#nocdprunRouter(Config-if)#nocdpenable第19章网络路由设备安

全(2)禁止其他的TCP、UDPSmall服务：Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers(3)禁止finger服务：Router(Config)#noipfingerRo

uter(Config)#noservicefinger第19章网络路由设备安全(4)建议禁止HTTP服务：Router(Config)#noiphttpserver如果启用了HTTP服务，则需要对其进行安全配置：设置用户名和密码

；采用访问列表进行控制。如：Router(Config)#usernameBluShinprivilege10G00dPa55w0rdRouter(Config)#iphttpauthlocalRouter(Config)#noaccess-list

10Router(Config)#access-list10permit192.168.0.1Router(Config)#access-list10denyanyRouter(Config)#iphttpacc

ess-class10Router(Config)#iphttpserverRouter(Config)#exit第19章网络路由设备安全(5)禁止BOOTP服务：Router(Config)#noipbootpserver(6)禁止从网络启动和自动从网络下载初始配置文件：

Router(Config)#nobootnetworkRouter(Config)#noservicconfig(7)禁止IPSourceRouting：Router(Config)#noipsource-route第19章网络路由设备安全(8)建议如果不需要ARP-Proxy服务则禁止它(路

由器默认是开启的)：Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp(9)明确的禁止IPDirectedBroadcast：Router(Config)#noipdir

ected-broadcast(10)禁止IPClassless：Router(Config)#noipclassless第19章网络路由设备安全(11)禁止ICMP协议的IPUnreachables，Redirects，MaskReplies：Router(Conf

ig-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply第19章网络路由设备安全(12)

建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置，或者需要访问列表来过滤。如：Router(Config)#nosnmp-servercommunitypublicRoRouter(Config)#nosnmp-servercommun

ityadminRWRouter(Config)#noaccess-list70Router(Config)#access-list70denyanyRouter(Config)#snmp-servercommunityMoreHardPublicRo70第19章网络

路由设备安全Router(Config)#nosnmp-serverenabletrapsRouter(Config)#nosnmp-serversystem-shutdownRouter(Config)#nosnmp-server

trap-anthRouter(Config)#nosnmp-serverRouter(Config)#end第19章网络路由设备安全(13)如果没必要则禁止WINS和DNS服务：Router(Config)#noipdomain-lookup如

果需要则配置：Router(Config)#hostnameRouterRouter(Config)#ipname-server202.102.134.96第19章网络路由设备安全(14)明确禁止不使用的端口：

Router(Config)#interfaceeth0/3Router(Config)#shutdown第19章网络路由设备安全19.5路由信息及协议安全为保证路由协议的正常运行，用户在配置路由器时要使用协议认证。如果不这样，路由器就会来者不拒，接收任意的路由信息，从而可能被恶意利用。例如，

某个人使用一些RIP或OSPF软件，或简单地给路由器发送一些错误RIP、OSPF或EIGRP包的话，那么路由器会得到一些错误的路由信息，从而产生IP寻址错误，造成网络瘫痪。因此，必须通过一些安全措施来实现路由器的协议安全运行。下面是一些实现路由器信息和协议的安全方法：第19

章网络路由设备安全(1)禁止默认启用的ARP-Proxy，避免引起路由表的混乱。Router(Config)#noipproxy-arp或者Router(Config-if)#noipproxy-arp第19章网络路由

设备安全(2)启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的，建议启用MD5认证，并设置一定强度的密钥(key，相对的路由器必须有相同的key)。Router(Config)#routerospf1

00Router(Config-router)#network192.168.100.00.0.0.255area100!启用MD5认证!areaarea-idauthentication启用认证，是明文密码认证！areaarea-idauthe

nticationmessage-digestRouter(Config-router)#area100authenticationmessage-digest第19章网络路由设备安全Router(Config)#exitRouter(Config)#interfaceeth

0/1！启用MD5密钥key为routerospfkey！ipospfauthentication-keykey启用认证密钥，但会是明文传输！ipospfmessage-digest-keykey-id(1-255)md5keyRouter(Config-if)#ipospfmes

sage-digest-key1md5routerospfkey第19章网络路由设备安全(3)RIP协议的认证。只有RIP-V2支持，RIP-1不支持。建议启用RIP-V2，并且采用MD5认证。普通认证同

样是明文传输的。Router(Config)#configterminal!启用设置密钥链Router(Config)#keychainmykeychainnameRouter(Config-keychain)#key1

！设置密钥字串Router(Config-leychain-key)#key-stringMyFirstKeyStringRouter(Config-keyschain)#key2第19章网络路由设备安全Router(Conf

ig-keychain-key)#key-stringMySecondKeyString！启用RIP-V2Router(Config)#routerripRouter(Config-router)#version2Router(

Config-router)#network192.168.100.0Router(Config)#interfaceeth0/1!采用MD5模式认证，并选择已配置的密钥链Router(Config-if)#ipripauthenticationm

odemd5Router(Config-if)#ipripanthenticationkey-chainmykeychainname第19章网络路由设备安全(4)启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口，启用passive

-interface。但是，在RIP协议中只是禁止转发路由信息，并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息的。!Rip中，禁止端口0/3转发路由信息Router(Config)#routerRipRouter(Config-router)#passive-in

terfaceeth0/3！OSPF中，禁止端口0/3接收和转发路由信息Router(Config)#routerospf100Router(Config-router)#passive-interfaceeth0/3第19章网络路由设备安全

(5)启用访问列表过滤一些垃圾和恶意路由信息，控制网络的垃圾信息流。Router(Config)#access-list10deny192.168.1.00.0.0.255Router(Config)#access-list10permitany!禁止路由器接收更新1

92.168.1.0网络的路由信息Router(Config)#routerospf100Router(Config-router)#distribute-list10in！禁止路由器转发传播192.168.1.0网络的路由信息Router(Con

fig)#routerospf100Router(Config-router)#distribute-list10out第19章网络路由设备安全(6)建议启用IPUnicastReverse-PathVerification。它能够检查源IP地址的准确性，从而可以防止一定的IP

Spooling。但是它只能在启用CEF(CiscoExpressForwarding)的路由器上使用。Router#configt!启用CEFRouter(Config)#ipcef！启用UnicastReverse-PathVerificat

ionRouter(Config)#interfaceeth0/1Router(Config)#ipverifyunicastreverse-path第19章网络路由设备安全(7)增强简单网管协议SNMP的安全。网络管理员必须修改路由器设备厂商的SNM

P默认配置，对于其public和private的验证字一定要设置好。尤其是private的，一定要设置一个安全的、不易被猜测到的验证字，因为入侵者知道了验证字，就可以通过SNMP改变路由器的配置。第19章网

络路由设备安全19.6路由器审计和管理网络运行中会发生很多突发情况，通过对路由器进行审计，有利于管理员分析安全事件。由于路由器的存储信息有限，因此一般是建立专用的日志服务器，并开启路由器的Syslog服务，接收路由器发送出的报警信息，如图19-3所示。图中日志服务器负责

存放路由器Central和South的审计记录。第19章网络路由设备安全图19-3路由器审计信息管理配置示意图Wide-areanetworkCentralSouthLAN1LAN214.2.15.250Eth0/014.2.9.250Eth0/11

4.2.10.64Eth0/1Eth0/014.2.9.6414.2.9.6SyslogServerhostMessagelogstoragelogmessageslogmessages第19章网络路由设备安全例如，通过以下配置操作，可以让路由器将所有

trapnotifications通过facilitylocal6传到日志服务器14.2.9.6上：Router1(config)#loggingtrapnotificationsRouter1(config)#l

oggingfacilitylocal6Router1(config)#logging14.2.9.6另外，为确保审计信息的真实性，路由器应与一个激活NTP功能的时钟源同步。配置命令如下：Router1

(config)#ntpserver10.1.1.9其中，10.1.1.9为该NTP服务器的IP地址。第19章网络路由设备安全19.7路由器安全测试方法与工具19.7.1路由器安全功能测试路由器的安全测试

包括：(1)SSH协议支持能力的测试。(2)SSL协议支持能力的测试。(3)安全审计功能的测试，包括提供安全告警日志以及用户操作日志等的能力。除安全功能测试外，路由器的安全测试还应包括安全性能测试，即开启安全功能后对路由器的正常转发能力不应产生严重影响。第19章网络

路由设备安全19.7.2路由器抗攻击测试路由器负责处理不同网络间的通信，它极可能受到基于流量的攻击，如大流量攻击、畸形报文攻击。这些攻击可造成路由器受到不同程度的危害，例如攻击会占用设备路由器CPU的

处理时间，造成正常的数据流量无法得到处理，使设备的可用性降低。针对路由器的安全测试内容主要有以下五个方面：(1)抗DoS攻击能力的测试。主要是利用仪表模拟攻击流量，验证被测路由器对攻击流量处理的有效性。测试路由器对异常流量采取丢弃策略和生成告警日志的能力。第19章网络

路由设备安全(2)ACL功能测试。验证路由器的ACL功能的有效性，检查是否能够过滤非法流量。(3)防止IP地址欺骗测试。主要是URPF(UnicastReversePathForwarding，单播逆向路径转发)功能的测试。验证路由器是否具备URPF功能。(4)IP

Sec协议测试。验证路由器是否支持IPSec协议，来保证用户数据的机密性。(5)对协议的控制测试。验证路由器是否关闭一些可能造成攻击的协议端口或过滤某些可能对网络造成安全隐患的协议报文，如关闭UDP的回应请求端口、过滤源路由

数据包等。第19章网络路由设备安全19.7.3路由器漏洞扫描路由器的漏洞对网络系统来说是一个潜在的安全隐患。通过对路由器的漏洞扫描，可以获知路由器的漏洞状况，以便采取安全修补措施。目前，路由器漏洞扫描软件主要

有以下几种：(1)端口扫描工具。例如利用nmap工具，可以查看路由器的开放端口或服务。(2)专用路由器漏洞扫描器。(3)通用漏洞扫描器。例如ShadowScanner可以用来发现路由器的SNMP服务漏洞。第19章网络路由

设备安全19.8路由器安全管理增强技术方法19.8.1及时升级操作系统和打补丁路由器的操作系统(IOS)是路由器最核心的部分，及时升级操作系统能有效地修补漏洞、获取新功能并提高性能。第19章网络路由设备安全19.8.2关闭不需要的

网络服务及接口虽然路由器可以提供BOOTP、finger、NTP、echo、discard、chargen、CDP等网络服务，然而这些服务会给路由器造成安全隐患，为了安全，建议关闭这些服务。另外，对于路由器中不使用的接口，也应关闭。例如，假

设路由器的以太网接口eth0/3和辅助口aux都不用，则安全配置操作如下：第19章网络路由设备安全Central(config)#interfaceeth0/3Central(config-if)#shutdownCentral(config-if)#exitCentral(config)#li

neaux0Central(config-line)#noexecCentral(config-line)#transportinputnoneCentral(config-line)#exit第19章网络路由设备

安全19.8.3禁止IP直接广播和源路由在路由器的网络接口上禁止IP直接广播，可以防止smurf攻击。禁止IP直接广播的配置方法如下：router#interfaceeth0/0router#noipdirected-broadcast另外，为了防止攻击利用路由器的源路由功能，也应禁止

使用，其配置方法是:router#noipsource-route第19章网络路由设备安全19.8.4增强路由器VTY安全路由器为了方便网络管理，给用户提供了虚拟终端(VTY)访问，用户可以使用Telnet从远程操作路由

器。为了保护路由器虚拟终端的安全使用，要求用户必须提供口令认证，并且限制访问网络区域或者主机。例如，路由器South的安全配置如下：South(config)#linevty04South(config

-line)#loginSouth(config-line)#passwordSoda-4-J1MMYSouth(config-line)#access-class2in第19章网络路由设备安全South(config-line)#

transportinputtelnetSouth(config-line)#exitSouth(config)#noaccess-list92South(config)#access-list92pernit14.2.10.0.0.0.0.25

5路由器South通过上述安全配置后，用户只有提供正确的口令才能访问VTY，并且只能从网络14.2.10登录。第19章网络路由设备安全19.8.5阻断恶意数据包网络攻击者经常通过构造一些恶意数据包来攻击网络

或路由器，为了阻断这些攻击，路由器利用访问控制来禁止这些恶意数据包通行。常见的恶意数据包有以下类型：*源地址声称来自内部网。*loopback数据包。*ICMP重定向包。*广播包。*源地址和目标地址相同。第19章网

络路由设备安全下面是一个名为North路由器的安全配置，其作用是阻断恶意数据包。配置信息如下：North(config)#noaccess-list107North(config)#!blockinternaladdressescomingfromouts

ideNorth(config)#access-list107denyip14.2.0.00.0.255.255anylogNorth(config)#access-list107denyip14.1.0.00.0.255

.255anylogNorth(config)#!blockbogusloopbackaddressesNorth(config)#access-list107denyip127.0.0.10.0.0.255anylog第19章网络路由

设备安全North(config)#!blockmulticastNorth(config)#access-list107denyip224.0.0.00.0.255.255anyNorth(config)#!blockbroa

dcastNorth(config)#access-list107denyiphost0.0.0.0anylogNorth(config)#!blockICMPredirectsNorth(config)#access-list107denyicmpanyany

redirectlogNorth(config)#interfaceeth0/0North(config-if)#ipaccess-group107in第19章网络路由设备安全19.8.6路由器口令安全口令是保护路由器安全的有效方法，口令信息一旦泄露就会危及到路

由器的安全。因此，路由器的口令应以密文存放。在路由器配置时，应使用Enablesecret命令保存口令密文，配置操作如下：Router#Enablesecret2Many-Routes-4-U第19章网络路由设备安全19.8.7传输加密启用路由器的IPSec功能，可对

路由器之间传输的信息进行加密。借助IPSec，路由器支持建立虚拟专用网(VPN)，因而可以用在公共IP网络上确保数据通信的保密性。由于IPSec的部署简便，只需安全通道两端的路由器支持IPSec协议即可，因而几乎不需对网络现有基础设施

进行更动。第19章网络路由设备安全19.9Cisco路由器常见漏洞与解决方法19.9.1CiscoIOS畸形MPLS包远程拒绝服务漏洞CiscoIOS设备在处理特殊MPLS包时存在问题，远程攻击者可以利用这个漏洞对设备进行拒绝服

务攻击。解决方法如下：(1)下载相应补丁，网址如下：http://www.cisco.com/warp/public/707/cisco-sa-20050126-les.shtml第19章网络路由设备安全(2)如果无法立即安装补丁，则可以整体启用MPLS流量工程

(MPLSTE)作为缓解这个漏洞的临时解决方案。由于MPLS必须由Cisco快速转发(CEF)才能工作，因此必须首先启用CEF才能启用MPLSTE。可以通过以下命令启用CEF和MPLSTE：Router(config)#ipcefRouter(config)#mplstraffic-eng

tunnels启用MPLSTE可以使路由器免于来自任何接口的攻击。第19章网络路由设备安全19.9.2CiscoIOS畸形BGP包远程拒绝服务漏洞CiscoIOS设备在处理特殊BGP包时存在问题，远程攻击者可以利用这个漏洞对设备进行拒绝服务攻击。解决方法如下：(1)下载相应补丁，网址如下：http

://www.cisco.com/warp/public/707/cisco-sa-20050126-bgp.shtml第19章网络路由设备安全(2)如果无法立即安装补丁，则可以采取以下措施降低威胁：●删除bgplog-neig

hbor-changes配置命令。●BGPMD5。●基础架构访问列表(iACLs)。第19章网络路由设备安全19.9.3CiscoTelnet远程拒绝服务漏洞IOS的Telnet服务在处理特殊构建TCP连接时存在问题，远程攻击者可以利用这个漏洞对设备进行

拒绝服务攻击，导致后续管理通信不能连接。Telnet、RSH和SSH用于CiscoIOS设备远程管理。攻击者发送特殊构建的TCP连接到运行TCP23端口的IOS设备或反向Telnet端口列表，所有后续的Telnet、反向Telnet、RSH、SSH、SCP及部分

HTTP连接都将不成功。第19章网络路由设备安全成功利用此漏洞需要先通过完整的三次握手，所以伪造IP地址的攻击比较困难。解决方法如下：(1)下载相应补丁，网址如下：http://www.cisco.com/warp/public/707/cisco-sa-200

40827-telnet.shtml第19章网络路由设备安全(2)如果无法立即安装补丁，则可以采取以下措施降低威胁：●用SSH代替Telnet服务。●给VTY配置访问控制组。●配置访问控制列表(ACLs)。●配置Infrastr

ucture访问控制列表(iACLs)。●配置接收访问控制列表(rACLs)。第19章网络路由设备安全19.9.4CiscoSecureAccessControlServerACSGUI验证绕过漏洞C

iscoSecureAccessControlServer和CiscoSecureAccessControlServerSolutionEngine提供验证，授权和帐户服务的网络设备，一般称为AAA服务器。CiscoACS和ACSSolutionEngine服务验证用户IP时并不进行充分检查，

远程攻击者可以利用这个漏洞伪造用户IP地址绕过验证访问管理系统。第19章网络路由设备安全解决方法如下：下载相应补丁，网址如下：http://www.cisco.com/warp/public/707/cisco

-sa-20040825-acs.shtml第19章网络路由设备安全19.9.5CiscoSecureACSLEAPRADIUS代理远程拒绝服务漏洞CiscoACS和ACSSolutionEngine服务配

置LEAPRADIUS代理时存在问题，远程攻击者可以利用这个漏洞对设备进行拒绝服务攻击。解决方法如下：下载相应补丁，网址如下：http://www.cisco.com/warp/public/707/cisco-sa-20040825-acs.shtml第

19章网络路由设备安全19.9.6CiscoIOS畸形OSPF包远程拒绝服务漏洞IOS处理畸形OSPF包时存在问题，远程攻击者可以利用这个漏洞使设备重载，产生拒绝服务。解决方法如下：下载相应补丁，网址如下：http://www.cisco.

com/warp/public/707/cisco-sa-20040818-ospf.shtml第19章网络路由设备安全19.9.7CiscoIOSOSPF路由表破坏漏洞IOS配置OSPF路由时存在问题，可导致路由表被破坏。解决方法如下：

(1)去Cisco网站查找相关资料，网址如下：http://www.cisco.com/warp/public/707/advisory.html(2)如果无法立即安装补丁，则可以采取以下措施降低威胁：修改OSPF配置：passive-

interfaceGroup-Async0第19章网络路由设备安全19.9.8CiscoIOS畸形BGP数据包设备可导致设备复位漏洞IOS处理畸形BGP包时存在问题，远程攻击者可以利用这个漏洞对设备进行拒绝服务攻击。BGP是由

RFC1771定义的路由协议，用于在大型网络中管理IP路由。受此漏洞影响的Cisco设备如果使用了BGP协议，在接收到畸形BGP包时可导致设备重载。BGP运行在TCP协议之上，TCP协议是可靠的面向连接的传输协议

，需要合法的三次握手成功后才能接收后续数据。CISCOIOS的BGP实现基本上只与有效的邻居建立连接，因此要利用这个漏洞除非恶意通信看上去来自可信任邻居，否则很难成功。第19章网络路由设备安全解决方法如下：(1)下载相应补丁

，网址如下：http://www.cisco.com/warp/public/707/cisco-sa-20040616-bgp.shtml(2)如果无法立即安装补丁，则可以采取以下措施以降低威胁：配置CiscoIOS设备使用BGPMD5验证：router(config)#rou

terbgprouter(config-router)#neighbor<IP_address>password<enter_your_secret_here>第19章网络路由设备安全19.10本章小结路由器是实现网络通信的主要设备，其安全性和健壮性将直接影响到网络的可用性

。本章主要围绕路由器的安全问题进行了讨论，内容包括路由器的安全层次模型、路由器的物理安全、路由器的访问安全、路由器的安全管理、路由器的审计、路由协议安全、路由器安全测试等几个方面。在此基础上，总结归纳了路由器的安全增强技术方法，并给出路由器的安全配置实例。本章最后给出了CISCO

路由器的常见漏洞及解决方法。第19章网络路由设备安全本章思考与练习1．路由器通常会遇到哪些安全威胁？2．路由器安全结构可以分为哪几层？各层的安全策略是什么？3．如何保证路由器的物理安全？4．如何实现路由器的访问安全？5．如何

实现路由器的网络服务安全？6．路由的信息及协议的安全措施有哪些？7．路由器的安全测试有哪几种？8．路由器的安全管理增强内容有哪几个方面？