第二章 网路常见漏洞探讨.ppt

2.4.2 路由器之安全弱點 雖然TACACS+與RADIUS有許多相同的功能，但兩者之間還是存在著差異，如左表所示： TACACS+將整個TACACS+的封包做加密，而RADIUS僅對封包中password的部分做加密。 TACACS+能夠將authentication、authorization、 accounting服務分開使用。 第二章 網路常見漏洞探討 * 資料來源: TACACS+ RADIUS Functionality Separates AAA Combines Authentication/Authorization Transport Protocol TCP UDP CHAP Bidirectional Unidirectional Protocol Support Multi-protocol support No ARA No NetBEUI Confidentiality Entire Packet-Encrypted Password-Encrypted Accounting Limited Extensive TACACS+與RADIUS的功能差異 2.4.2 路由器之安全弱點 Securing SNMP SNMP簡易網管通訊協定為Simple Network Management Protocol的縮寫，SNMP通訊協定是目前使用最為普遍的網路管理通訊協定，它讓管理者可以在TCP/IP網路上遠端監控及設定其管轄範圍內各網路節點的狀態。在SNMP的網管架構中，網路上的設備可分成兩大類：(1) 管理器(Manager)，(2)接受管理的代理器(Agent) 。 SNMP管理器主要是負責監視與收集代理器傳回的網路狀態並作分析，而SNMP代理器則負責收集本身所在網域的網路狀態並回報給SNMP管理器。 第二章 網路常見漏洞探討 * 2.4.2 路由器之安全弱點 由於使用不安全的認證方式，SNMP已成為入侵者用來收集網路資訊的主要工具之一，利用SNMP的弱點可以搜集到的資訊包含： MAC address bindings IP address bindings Type of hardware and version of operating system Router interface information Router tables ARP tables Device up time 利用這些資訊，入侵者可以很容易搜索出網路設備使用的系統版本資訊，然後利用該系統版本某些已知的弱點來做攻擊或是入侵系統的動作。 第二章 網路常見漏洞探討 * 2.4.2 路由器之安全弱點 雖然SNMP有上述之弱點，但管理者可以使用下列幾種方式來增加使用SNMP的安全性： 使用最新版本SNMPv3。 利用ACL來限制SNMP訊息的來源處及傳送範圍。 指定SNMP代理器的哪些介面接受SNMP管理器的存取。 阻擋來自外部網路的SNMP管理器對SNMP代理器的存取。 第二章 網路常見漏洞探討 * 2.5 網路設備之防護功能設定 2.5.1 交換器之防護功能設定 2.5.2 路由器之防護功能設定 第二章 網路常見漏洞探討 * 2.5.1 交換器之防護功能設定 接下來本節將講解如何設定Port Security、DHCP Snooping、BPDU Guard等方法來抵御下列幾種攻擊： CAM table overflow MAC address spoofing DHCP starvation STP manipulation 第二章 網路常見漏洞探討 * 2.5.1 交換器之防護功能設定 Port Security 用來指定在交換器上任何一個實體連接埠允許哪些MAC address可以使用以及最大可容納的MAC address數量。 利用Port Security可以用來防禦CAM table Overflow attacks、MAC Spoofing attacks。 Port Security分為三種方式 Static secure MAC address 在交換器的實體連接埠上手動設定只有哪些MAC address 可以使用。 Dynamic secure MAC addresses 在交換器的實體連接埠上指定最大可容納的MAC address數量。 Sticky secure MAC addresses Static secure MAC addresses與Dynamic secure MAC addresses的結合，全由手動設定會增加管理者的負擔，因此我們只需要針對某些提供重要服務的設備指定MAC address，其餘的部分就交由Dynamic secuire MAC addr