第四章交换器_路由器之安全特性-云科大计算机网路研究室.ppt

4.2.1 Secure Access to Router Remote configuration using SSH 管理者可藉由遠端登入來管理網路，一般經常使用Telnet遠端登入網路設備，然而使用Telnet是相當不安全的，因為Telnet在網路上傳輸的內容皆是以明文的方式傳送，用來登入網路設備的密碼可能會被有心人士竊聽到，如左上圖所示。 基於保護登入密碼的考量，建議以Secure Shell (SSH)取代Telnet來遠端管理網路設備，因為使用SSH連線，訊息在傳輸的過程中是有經過加密，如左下圖所示，因此使用SSH能夠讓管理者在一個不安全的網路環境下建立安全的連線來遠端管理網路設備。 目前有兩種SSH的版本: SSH Version 1 (SSHv1)及SSH Version 2 (SSHv2)。 總結 本章第一節介紹Layer 2可能會遭受到的攻擊，例如有心人士利用交換器執行的通訊協定其本身的弱點進行入侵行為，傳送偽造的訊息給交換器，進行man-in-the-middle attack、竊聽、DoS等網路攻擊。 本章的第二節主要是介紹如何設置一個安全的路由器，例如實現安全登入路由器的機制；建立管理者的專屬帳號與權限設定；將路由器不需要提供的服務關閉，以避免攻擊者利用服務本身存在的弱點入侵路由器，進行更改設定等不法行為；使用具有認證功能的路由器通訊協定(routing protocol)；內部網路的主機使用private IP位址，增加收集網路情資的困難度。 參考資料 「Securing Network Switches.ppt」 「Mitigating Network Attacks.ppt」 「Mitigating Layer 2 Attacks.pdf」 「Network Attacks and Mitigation.ppt」 「Preventing STP Forwarding Loops.ppt」 「Protecting Against VLAN Attacks.ppt」 「Protecting Against Spoof Attacks.ppt」 「Configuring AAA on Cisco Routers.ppt」 「Describing STP Security Mechanisms.ppt」 「Securing Management and Reporting Features.ppt」 「Mitigating Threats and Attacks with Access Lists.ppt」 「Securing Cisco Router Installations and Administrative Access.ppt」 「Disabling Unused Cisco Router Network Services and Interfaces.ppt」 「/ciac/bulletins/l-071.shtml/」 「/warp/public/707/cisco-santp-vulnerability.shtml/」 「/snac/downloads_all.cfm」Security Configuration Guides 「.tw/feature/view.asp?fid=571」不可埋沒的資安寶藏－路由器紀錄 「WHITE PAPER: IRONSHIELD BEST PRACTICES HARDENING FOUNDRY ROUTERS SWITCHES」，Philip Kwan 「/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_login.html」Cisco IOS Login Enhancements 「/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml#wp39054」VLAN Security White Paper * 4.2.4 Routing protocol authentication 如左圖所示，早期路由器執行的路由協定(routing protocols)沒有認證機制(例如RIPv1)，攻擊者能夠藉由送出偽造的routing update封包，竄改路由器上的路由表(routing tables)，造成流經路由器的封包可以被重新導向到任何攻擊者想送往的地方。保護路由器上的routing table完整性有兩種最基本的方法： 只使用static routes，適用於小型網路。 選擇使用提供認證機制的routing protocols，這能夠保證路由器只會處理從合法來源送來的r