计算机网络信息安全理论与实践教程第19章.pptVIP

19.5 路由信息及协议安全 　　为保证路由协议的正常运行，用户在配置路由器时要使用协议认证。如果不这样，路由器就会来者不拒，接收任意的路由信息，从而可能被恶意利用。例如，某个人使用一些RIP或OSPF软件，或简单地给路由器发送一些错误RIP、OSPF或EIGRP包的话，那么路由器会得到一些错误的路由信息，从而产生IP寻址错误，造成网络瘫痪。因此，必须通过一些安全措施来实现路由器的协议安全运行。下面是一些实现路由器信息和协议的安全方法： (1) 禁止默认启用的ARP-Proxy，避免引起路由表的混乱。 Router(Config)# no ip proxy-arp 或者 Router(Config-if)# no ip proxy-arp 　　(2) 启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的，建议启用MD5认证，并设置一定强度的密钥(key，相对的路由器必须有相同的key)。 　　Router(Config)# router ospf 100 　　Router(Config-router)# network 55 area 100 　　! 启用MD5认证 　　! area area-id authentication 启用认证，是明文密码认证 　　！area area-id authentication message-digest 　　Router(Config-router)# area 100 authentication message-digest 　　Router(Config)# exit 　　Router(Config)# interface eth0/1 　　！启用MD5密钥key为routerospfkey 　　！ip ospf authentication-key key 启用认证密钥，但会是明文传输 　　！ip ospf message-digest-key key-id(1-255) md5 key 　　Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey 　　(3) RIP协议的认证。只有RIP-V2支持，RIP-1不支持。建议启用RIP-V2，并且采用MD5认证。普通认证同样是明文传输的。 Router(Config)# config terminal ! 启用设置密钥链 Router(Config)# key chain mykeychainname Router(Config-keychain)# key 1 ！设置密钥字串 Router(Config-leychain-key)# key-string MyFirstKeyString 　 　　Router(Config-keyschain)# key 2 　　Router(Config-keychain-key)# key-string MySecondKeyString 　　！启用RIP-V2 　　Router(Config)# router rip 　　Router(Config-router)# version 2 　　Router(Config-router)# network 　　Router(Config)# interface eth0/1 　　! 采用MD5模式认证，并选择已配置的密钥链 　　Router(Config-if)# ip rip authentication mode md5 　　Router(Config-if)# ip rip anthentication key-chain mykeychainname 　　(4) 启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口，启用passive-interface。但是，在RIP协议中只是禁止转发路由信息，并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息的。 ! Rip中，禁止端口0/3转发路由信息 Router(Config)# router Rip Router(Config-router)# passive-interface eth0/3 ！OSPF中，禁止端口0/3接收和转发路由信息 Router(Config)# router ospf 100 Router(Config-router)# passive-interface eth0/3 　　(5) 启用访问列表过滤一些垃圾和恶意路由信息，控制网络的垃圾信息流。 　　Router(Config)# access-list 10 deny 55 　　Router(Config)# access-list 10 p