Cisco網絡黑客大曝光

出版時間:2008-6  出版社:清華大學出版社  作者:安德魯  頁數:574  字數:824000  
Tag標簽:無  

內容概要

這是國內第一本系統地介紹Cisco網絡安全性的書籍。本書從攻擊者和防御者的不同角度闡述了Cisco網絡的攻擊手段及其防御措施,并提供了許多真實的案例研究。    全書共分為4大部分14章。第1部分從防御者和攻擊者的角度概述了不同的網絡拓撲、架構和設計會如何影響其安全性:第2部分是本書的核心部分,描述了攻擊者首先如何列舉整個網絡,然后挑選特定的目標,精確地定位這些目標,發起適當的攻擊,獲得并保持超級用戶級別的訪問,然后通過或從被入侵的Cisco設備發起進一步的毀壞性攻擊;第3部分描述了協議漏洞及其利用,入侵者利用協議漏洞可以完全控制網絡流量;第4部分提供了極有價值的補充技術資料,能幫助讀者理解、掌握本書描述的概念和技術。    本書是負責安全保障的網絡管理員和系統管理員的必備工具書,也可作為對網絡安全感興趣的研究人員的重要參考書。

作者簡介

Andrew A.Vladimirov博士,通過了CCNP、CCDP、CISSP、CWNA、Linux+認證,是國際IT安全顧問公司Arhont公司的創始人之一。
  Konstantin V.GavrilenkO,是Arhont公司的創始人之一,在Cisco PIX防火墻和Cisco VPN集中器方面具有極其豐富的經驗。
  Janis N.Vizulis,是專

書籍目錄

序言案例研究:黑帽子論戰	前言	第1部分  基礎知識  案例研究:eBay奇事	 第1章  Cisco網絡設計模型及其安全概述	  1.1  Cisco網絡設計模型:安全觀點	   1.1.1  平地模型	   1.1.2  星形模型	   1.1.3  雙層模型	   1.1.4  環形模型	   1.1.5  網狀和部分網狀模型	   1.1.6  網絡安全區	   1.1.7  IDS傳感器部署指南	  1.2  Cisco層次化設計及網絡安全	   1.2.1  核心層	   1.2.2  分發層	   1.2.3  訪問層	  1.3  小結	 第2章  Cisco網絡安全要素	    2.1  公共的Cisco設備安全特征	  2.2  Cisco防火墻	   2.2.1  包過濾防火墻	   2.2.2  狀態包過濾防火墻	   2.2.3  代理過濾	   2.2.4  PIX防火墻故障轉移	   2.2.5  Cisco防火墻硬件類型	  2.3  Cisco Secure IDS及攻擊預防	   2.3.1  獨立的硬件IDS傳感器	   2.3.2  模塊化IDS傳感器	   2.3.3  Cisco IOS IDS軟件	   2.3.4  以Cisco PIX防火墻作為IDS傳感器	   2.3.5  Cisco Traffic Anomaly Detector XT 5600	   2.3.6  Cisco Secure IDS管理控制臺	  2.4  Cisco VPN解決方案	   2.4.1  IPSec	   2.4.2  PPTP	  2.5  Cisco AAA和相關服務	   2.5.1  AAA方法概述	   2.5.2  Cisco與AAA	  2.6  Cisco互聯網設計及安全要素的安全隱患	  2.7  小結	 第3章  現實世界Cisco安全問題	  3.1  為什么黑客想啟用你的設備   攻擊者獲得什么	  3.2  Cisco設備和網絡:攻擊者的觀點	   3.2.1  攻擊網絡協議	   3.2.2  隱藏路由器和交換機上的蹤跡和證據	  3.3  Cisco網絡設備安全審計與滲透測試基礎	   評估過程	  3.4  小結	第2部分  “獲得控制權”:入侵設備 案例研究:一項NESSUS報告	 第4章  概述并列舉Cisco網絡	  4.1  聯機搜索與Cisco google肉雞	   4.1.1  基本搜索	   4.1.2  利用Google算子搜索	   4.1.3  利用Google搜索Enable	   4.1.4  對策:如何避免成為Cisco google肉雞	  4.2  路由列舉	   4.2.1  自治系統發現和映射:BGPv4詢問	   4.2.2  Internet路由注冊表、路由服務器和Looking Glasses查詢	   4.2.3  將IP地址映射到自治系統	   4.2.4  列舉自治系統	   4.2.5  尋找屬于某個機構的自治系統	   4.2.6  AS路徑列舉,構建BGP樹,尋找邊界路由器	   4.2.7  BGP列舉對策	   4.2.8  路由域編號發現與IGP的網絡映射	   4.2.9  映射RIP、IGRP和IRDP	   4.2.10  列舉OSPF	   4.2.11  分析OSPF列舉數據	   4.2.12  IGP列舉對策	  4.3  小結	 第5章  列舉與Cisco設備指紋識別	  5.1  嗅探Cisco特有的協議	   5.1.1  剖析CDP幀	   5.1.2  應對基于CDP和其他Cisco專有協議的列舉的措施	   5.1.3  Cisco設備的被動式列舉和指紋識別	  5.2  Cisco設備的主動式列舉和指紋識別	   5.2.1  Cisco路由器的主動式列舉和指紋識別	   5.2.2  Catalyst交換機的主動式列舉和指紋識別	   5.2.3  其他Cisco設備的主動式列舉和指紋識別	   5.2.4  利用IOS 11.X內存泄露列舉遠程Cisco路由器	   5.2.5  隱藏機器避免被窺探:列舉和指紋識別對策	   5.2.6  “開門,開門!誰在那?”針對Cisco機器的端口掃描、OS指紋識別及其檢測	  5.3  小結	 第6章  從外部進入:易如反掌	  6.1  口令攻擊	   6.1.1  針對開放的Cisco Telnet服務器的大規模猜測/暴力破解攻擊	   6.1.2  針對其他開放的Cisco服務的口令猜測和暴力破解攻擊	   6.1.3  針對Cisco設備口令猜測攻擊的對策	  6.2  SNMP團體猜測、漏洞利用和安全措施	   6.2.1  Cisco SNMP基礎	   6.2.2  SNMP大規模掃描	   6.2.3  SNMP暴力破解和字典攻擊	   6.2.4  SNMP瀏覽和Cisco設備重配置	   6.2.5  命令行遠程Cisco設備SNMP操作——IOS主機	   6.2.6  命令行遠程Cisco設備SNMP操作——CatOS交換機	   6.2.7  針對SNMP團體字典和暴力破解攻擊的對策	  6.3  利用TFTP服務器漏洞接管Cisco主機	   6.3.1  列舉TFTP服務器	   6.3.2  嗅探出Cisco配置文件	   6.3.3  暴力破解TFTP服務器以獲取配置	   6.3.4  針對TFTP相關攻擊的對策	  6.4  Cisco設備Wardialing	   6.4.1  Cisco路由器Wardialing 101:接口、配置和逆向Telnet	   6.4.2  發現撥入的號碼	   6.4.3  侵入Cisco路由器或訪問服務器	   6.4.4  撥號式掃描的安全對策	  6.5  小結	 第7章  入侵Cisco設備:中間途徑	  7.1  初識協議實現調查與濫用:Cisco SNMP攻擊	   7.1.1  SilverCreek	   7.1.2  SimpleTester和SimpleSleuth	   7.1.3  Oulu University PROTOS項目	   7.1.4  從SNMP Fuzzing到DoS和Reflective DDoS	   7.1.5  從SNMP壓力測試到特殊的DoS	   7.1.6  隱藏的威脅——未公開的SNMP團體和遠程訪問	   7.1.7  只通過觀察技巧進入	   7.1.8  針對Cisco SNMP攻擊的高級對策	   7.1.9  SNMPv3安全性的簡要分析	  7.2  初識數據輸入驗證攻擊——Cisco HTTP漏洞利用	   7.2.1  Cisco Web配置界面基礎	   7.2.2  Cisco IOS HTTP管理訪問	   7.2.3  IOS HTTP管理訪問的對策	   7.2.4  Cisco ATA-186 HTTP設備配置暴露	   7.2.5  設備配置暴露的對策	   7.2.6  VPN集中器HTTP設備信息泄露	   7.2.7  信息泄露對策	    7.3  其他Cisco HTTPd缺陷——更高深的方式	   7.3.1  Cisco IOS 2GB HTTP GET緩沖區溢出漏洞	   7.3.2  HTTP GET緩沖區溢出漏洞的對策	  7.4  Cisco Web服務安全性評估	   7.4.1  SPIKE及其相關知識	   7.4.2  Peach Fuzzer	   7.4.3  Fuzzer工具的對策	  7.5  小結	 第8章  Cisco IOS漏洞利用:正確的方式	  8.1  Cisco IOS架構基礎	   Cisco IOS內存剖析	  8.2  漏洞利用入門:IOS TFTP緩沖區溢出	   戰勝Check Heaps	  8.3  IOS逆向工程的詛咒與祝福	   8.3.1  可以被逆向工程師(濫)用的IOS特征和命令	   8.3.2  簡約的逆向工程軍火庫	  8.4  小結	 第9章  密鑰破解、社交工程和惡意物理入侵	  9.1  破解Cisco設備的口令	   9.1.1  第7類口令的破解	   9.1.2  MD5口令哈希的破解	   9.1.3  防止口令遭破解的措施	   9.1.4  社交工程攻擊	   9.1.5  應對社交工程攻擊的措施	  9.2  本地設備訪問	   9.2.1  路由器口令的本地重置或恢復	   9.2.2  交換機口令的本地重置或恢復	   9.2.3  PIX防火墻口令的本地重置或恢復	   9.2.4  本地Cisco VPN集中器口令的重置或恢復	   9.2.5  防范本地Cisco設備訪問的措施	  9.3  小結	 第10章  利用漏洞并保留訪問權限	  10.1  常見的攻擊者對Cisco路由器、交換機和防火墻配置的更改	   10.1.1  有人嗎?	   10.1.2  掩蓋蹤跡	   10.1.3  四處查看	   10.1.4  用被控IOS路由器隱藏蹤跡	   10.1.5  用被控IOS路由器或PIX防火墻允許惡意網絡流通過	   10.1.6  用被控IOS路由器鏡像、捕獲或更改經過的網絡流	   10.1.7  從受控PIX防火墻進行嗅探	   10.1.8  用Cisco Catalyst交換機進行網絡嗅探	   10.1.9  遠程SPAN的使用(濫用)	   10.1.10  CatOS的使能工程師模式	  10.2  進一步利用IOS并保留設備訪問權限	   10.2.1  IOS的二進制補丁:謬誤與現實	   10.2.2  用TCL操控路由器	   10.2.3  防范已攻入者的措施	  10.3  小結	 第11章  針對Cisco設備的拒絕服務攻擊	  11.1  DoS攻擊的動機	  11.2  DoS攻擊的分類	   11.2.1  消耗資源	   11.2.2  破壞信息流	   11.2.3  破壞通信	  11.3  Cisco的DoS攻擊評估工具	   11.3.1  Cisco Global Exploiter	   11.3.2  Cisco的TCP Test Tool	  11.4  眾所周知的Cisco DoS漏洞	   11.4.1  針對Cisco設備的常見DoS攻擊	   11.4.2  ICMP遠程DoS漏洞	   11.4.3  應對ICMP遠程DoS攻擊的措施	   11.4.4  格式錯誤的SNMP消息DoS漏洞	   11.4.5  應對格式錯誤的SNMP消息DoS攻擊的措施	   11.4.6  專門針對Cisco路由器的DoS攻擊舉例	   11.4.7  針對Cisco IOS的IKE數據包格式錯誤遠程DoS攻擊漏洞	   11.4.8  Cisco IOS的IKE數據包格式錯誤遠程DoS攻擊的應對措施	   11.4.9  Cisco 44020漏洞	   11.4.10  Cisco 44020漏洞的應對措施	   11.4.11  專門針對Catalyst交換機及其他Cisco網絡設備的DoS攻擊舉例	   11.4.12  Cisco Catalyst交換機內存泄漏DoS攻擊漏洞	   11.4.13  Cisco Catalyst交換機內存泄漏DoS攻擊的應對措施	   11.4.14  利用錯誤的TCP校驗和破壞通過PIX防火墻的通信	   11.4.15  Cisco寬帶操作系統TCP/IP棧DoS攻擊漏洞	   11.4.16  Cisco寬帶操作系統TCP/IP棧DoS攻擊的應對措施	   11.4.17  Cisco Aironet AP1x00的HTTP GET格式錯誤 DoS漏洞	   11.4.18  Cisco Aironet AP1x00的HTTP GET格式錯誤DoS攻擊的應對措施	   11.4.19  Cisco Catalyst交換機非標準TCP標志位遠程DoS攻擊漏洞	   11.4.20  Cisco Catalyst交換機非標準TCP標志位遠程DoS攻擊的應對措施	  11.5  利用Cisco設備實施DDoS攻擊	   11.5.1  用Cisco設備大規模地ping,使用SNMP協議	   11.5.2  應對SNMP攻擊的措施	   11.5.3  用Cisco設備大規模地ping,使用Telnet MK I	   11.5.4  Telnet MK I的應對措施	   11.5.5  用Cisco設備大規模地ping,使用Telnet MK II	   11.5.6  Telnet MK II的應對措施	   11.5.7  用Cisco設備大規模地發送洪流,使用SNMP協議	   11.5.8  應對SNMP攻擊的措施	  11.6  大規模的DDoS:小子們的報復	   11.6.1  直接DDoS攻擊	   11.6.2  反射式DDoS攻擊	   11.6.3  ihateperl.pl	   11.6.4  drdos	   11.6.5  關于Cisco設備的防范各種DDoS攻擊的措施	   11.6.6  應對措施:用NBAR應對DDoS攻擊和由蠕蟲引起的網絡洪流	   11.6.7  約定訪問速率(CAR)及DoS/DDoS攻擊的控制	  11.7  小結	第3部分  Cisco網絡系統中的協議攻擊 案例研究:空中的OSPF夢魘	 第12章  生成樹、VLAN、EAP-LEAP和CDP	  12.1  生成樹協議攻擊	   12.1.1  插入惡意根網橋	   12.1.2  在無需成為根的情況下修改流量路徑	   12.1.3  重算STP及數據嗅探	   12.1.4  STP DoS攻擊	   12.1.5  Cisco特有的針對STP型攻擊的防御措施	  12.2  攻擊VLAN	   12.2.1  DTP濫用	   12.2.2  802.1q攻擊和ISL攻擊	   12.2.3  雙重標記VLAN跳躍攻擊	   12.2.4  專用VLAN跳躍攻擊	   12.2.5  使單向攻擊成為雙向攻擊	   12.2.6  VTP攻擊	   12.2.7  VLAN查詢協議(VQP)攻擊	   12.2.8  繞過VLAN分段的迂回方式	   12.2.9  針對VLAN相關攻擊的防御措施	  12.3  Cisco EAP-LEAP破解	   12.3.1  EAP-LEAP基礎	   12.3.2  EAP-LEAP破解	   12.3.3  針對EAP-LEAP破解的防御措施	   12.4  攻擊CDP	   12.4.1  CDP欺騙攻擊	   12.4.2  CDP欺騙攻擊的防御措施	   12.5  小結	 第13章  HSRP、GRE、防火墻和VPN滲透	  HSRP漏洞利用	  HSRP攻擊的防范措施	  13.1  GRE漏洞利用	   13.1.1  一種基于MTU的GRE攻擊	   13.1.2  GRE包注射	   13.1.3  GRE攻擊防范措施	    13.2  Cisco防火墻滲透	   13.2.1  攻擊PIX協議Fixup	      13.2.2  攻擊PIX MailGuard	      13.2.3  PIX MailGuard防范措施	      13.2.4  攻擊PIX FTP Fixup	      13.2.5  PIX FTP Fixup防范措施	      13.2.6  針對PIX防火墻的TCP重置攻擊	      13.2.7  TCP重置攻擊的防范措施	  13.3  Cisco VPN攻擊	      13.3.1  IPSec相關攻擊	      13.3.2  Cisco PPTP攻擊	  13.4  小結	 第14章  路由協議攻擊	  14.1  路由攻擊簡介	  14.2  設置流氓路由器	  14.3  攻擊距離向量類路由協議	      14.3.1  攻擊RIP	      14.3.2  通過RIP插入惡意路由	      14.3.3  RIP降級攻擊	      14.3.4  RIP MD5哈希值破解攻擊	      14.3.5  針對RIP攻擊的防御措施	      14.3.6  攻擊IGRP	      14.3.7  通過IGRP插入惡意路由	      14.3.8  應對IGRP攻擊的防御措施	      14.3.9  攻擊EIGRP	      14.3.10  通過EIGRP插入惡意路由	      14.3.11  針對EIGRP網絡的DoS攻擊	      14.3.12  攻擊已認證的EIGRP	      14.3.13  針對EIGRP攻擊的防御措施	  14.4  攻擊鏈路狀態路由協議	      14.4.1  通過OSPF插入惡意路由	      14.4.2  成為指定或備用指定OSPF路由器	      14.4.3  OSPF MD5哈希值破解攻擊	      14.4.4  直接攻擊OSPF路由器:OoopSPF攻擊	      14.4.5  針對OSPF的DoS攻擊	      14.4.6  針對OSPF攻擊的防御措施	  14.5  攻擊BGPv4	      14.5.1  惡意BGP路由器重配置	      14.5.2  惡意BGP路由器重配置的攻擊場景	      14.5.3  BGP路由器偽裝攻擊	      14.5.4  針對BGP路由器的中間人攻擊	      14.5.5  BGP MD5認證的破解	      14.5.6  針對BGP路由器的盲式DoS攻擊	      14.5.7  如何防范對BGPv4的攻擊	  14.6  小結	第4部分  附錄 案例研究:大規模戰役	 附錄A  網絡設備安全測試模板	 附錄B  實驗室路由器交互式Cisco Auto Secure配置范例	 附錄C  未公開的Cisco命令

章節摘錄

  第1部分 基礎知識  第1章 Cisco網絡設計模型及其安全概述  對于具有多臺路由器、交換機、服務器、工作站和其他更奇特的主機的公司或團體網絡而言,它的安全性不太容易實現。在認真研究安全問題之前,你應該更全面地了解你的網絡的運轉。你要詳細地了解網絡中采用的所有被路由協議和路由協議,還要清楚部署的所有網絡設備的角色和功能。  與許多其他的網絡安全書籍不同,本書沒有詳細地闡述網絡和安全基礎,包括OSI(開放式系統互聯)模型及其與TCP/IP(傳輸控制協議/網際協議)之問的映射關系、CIA(機密性、完整性、可用性)三元組和安全策略的制定。本書講述如何黑(攻擊)CiscO設備和圍繞著CiscO設備組建的網絡。我們期望讀者具有網絡和信息安全基礎,我們還希望能詳細地提供反映了本書書名的實用信息。  熟練的專業黑客將目標網絡當作一個完整的實體。他/她不會錯過侵入任何網絡設備的機會,只要有可能,將來就利用它進一步對目標網絡進行漏洞利用。這類似于如果你獲得了類UNIX系統上的一個用戶賬號,在進行本地訪問之后就更容易獲得根賬號了。  作為網絡安全維護人員,你應該徹底地評估并保護整個網絡基礎設施。為了正確地提供深度防御,你所采取的安全措施必須涵蓋整個OSl模型的7層,同時還要考慮部署的每臺單機的安全性。幸運的是,現有的CiscO網絡安全解決方案涉及到了你所能想到的網絡的每個方面,其范圍從多協議標簽交換虛擬專用網絡(MPLS VPN)到用于用戶臺式機和筆記本的終端軟件的安全措施。不幸的是,只有少數系統管理員、網絡集成和架構師、IT安全顧問了解這些解決方案的范圍和能力。  此外,為了有效地利用許多CiscO網絡安全裝置并具有良好的投資回報率(RoI),需要將它們正確地部署在所要保護的網絡中。這意味著要從最初的設計階段實現網絡安全,因為在網絡進入搭建階段之后,即使添加最強大、昂貴的CiscO安全裝置也可能毫無幫助,起不到應有的保護作用,造成巨大的資源浪費。不過,CCDP(Cisco Certified DesignProfessional)學習教程通常沒有將安全性列入互聯網的設計目標中,或者沒有將它作為最初的互聯網設計步驟中的一部分。從我們的角度來看,這是一個致命的錯誤。  本章試圖通過講述針對CiscO推薦的網絡設計模型和層次的安全措施,來糾正這種錯誤和其他潛在的CiscO互聯網設計錯誤。第2章繼續討論這個主題,概述了層次化網絡的各個層上對應的各種CiscO安全措施。從攻擊者的角度來看,這兩章闡述了攻擊可能會被阻止的地方、會被記錄的可疑活動,以及啟動的事件響應過程。攻擊者可以清晰地獲得以下信息:如果基于CiscO的網絡被正確地設計并維護著,而且管理者具有安全意識,那就最好別動它,否則就要承擔后果。  1.1 CiscO網絡設計模型:安全觀點  CiscO推薦了幾種實用的設計模型,選擇哪種取決于網絡規模和目的。每種模型在安全性方面都有其優缺點,各種方案在安全措施的可用性、配置和維護方面都存在很大差別——這些方面有些類似于軍隊所采用的命令、地點部署和戰術,它們取決于即將打響的戰斗所處的地形。  1.1.1 平地模型  平地模型(flat earth model)是一種基于Layer 2的網絡設計。過去,網絡包括集線器、中繼器和網橋。隨著以各種802.11 LAN和8O2.15(如藍牙)用戶訪問設備為代表的無線網絡的不斷增長,現在主要是基于交換的設計了。理論上,平地設計模型應該只應用于規模有限的小型辦公室/家庭辦公室(SOHO)的局域網,CCDP指南建議如果網絡中部署的節點超過50就不要采用這種模型。  實際上,每個廣播域中有數十個用戶是很平常的,無線的擴展使得這種狀況更糟糕,因為普通的12個端口的交換機可能會接入幾個訪問點,而每個訪問點具有30-40個用戶。此外,許多Cisco Catalyst交換機是可堆疊的,它們本身就具有很多端口。如果TCP/IP允許每個LAN最多具有500個用戶,而不會使得廣播流量嚴重影響性能,那么網絡搭建者就會部署這種LAN,根本不會對管理和安全問題加以考慮。對他們而言,這種冒險僅僅是“充分利用Catalyst交換機的容量”以及“充分利用花出去的每一分錢”。  平地模型被認為很不安全,只能采取很少的措施來對抗使用Ettercap、Hunt、Taranis和類似工具的黑客。傳統的平地模型安全措施包括媒質訪問控制(MAC)地址過濾和利用虛擬LAN(VLAN)劃分網段。基于MAC地址的設備認證是旁路的基礎。盡管比較費力,但為交換機端口分配MAC地址(數量是預先設定好的)以及手工分配所有允許的MAC可以有效地防止交換機CAM表由于遭受洪流攻擊而變得無效。IOS類型和Set/Clear CLI(Command Line Interface,命令行接口)Catalyst交換機都支持任意選項的MAC地址過濾——務必要實施MAC地址過濾。如果方式正確的話,管理大型MAC地址過濾表并不是那么麻煩。可以抽取并保存交換機配置文件(或只抽取CAM表),然后在工作站上進行編輯(也許可以使用一點Perl腳本),產生要上傳到交換機上的新配置文件。你甚至不需要登錄進去;正如http://www.ciscO.com/warp/public/477/SNMP/cam-Snmp.xhtml上面所解釋的那樣,通過SNMP(Simple Network management Protocol,簡單網絡管理協議)可以方便地從Catalyst交換機獲得MAC地址信息。  VLAN網段的好處是顯而易見的;CiscO設備通過專有的VLAN(PVLAN)和VLAN訪問列表(VACL)額外地增強了VLAN。運行CatOS 5.4或更新版本的Catalyst 6000交換機以及運行CatOS 6.2或更新版本的Catalyst 4000、2980G、2980G—A、2948G和4912G型號都支持專有VLAN。  采用CatOS 5.3或更新版本的Catalyst 6000支持VACL;如果安裝了PFC(Policy FeatureCard,策略功能卡),就可以不需要路由器在Catalyst 6500的Layer 2實現VACL。由于VACL條目的查找和執行是在硬件中實現的,所以不會造成性能下降,轉發率始終不變。第12章詳細討論了PVLAN、VACL和Cisc0針對各種VLAN跳躍攻擊(jumping attack)的對應措施,第2章則概述了它們在基于Catalyst 6500的入侵檢測中的角色。目前請記住,PVLAN和VACL可能是你的網絡安全設計計劃的有益補充;請明智地選擇Catalyst交換機和軟件以免今后不得不進行升級。  平地網絡模型安全方面的重大變化發生在2001年6月l4日,當時IEEE標準委員會通過了802.1x,這是一種基于Layer 2端口的網絡訪問控制標準。802.1x為連接到交換機、路由器或無線訪問點的設備提供了一種認證和授權機制。實際的認證和授權是通過代表認證方設備的RADIUS(Remote Authentication Dial—In User Service,遠程認證撥號用戶服務)或TACACS(Terminal Access ControllerAccess Control System,終端訪問控制器訪問控制系統)服務器和請求方(認證主機)提供的憑證實現的。圖l.1描述了通過802.1x保護的平地網絡模型。  兩臺RADIUS服務器為終端用戶機器提供認證和授權,一臺交換機作為認證設備。RADIUS服務器之間的一條額外的鏈路提供了彈性,它們必須使用故障切換協議,如CiscoHSRP(Hot Standby Router Protocol,熱備份路由器協議)或IETF VRRP(Virtual RouterResilience Protocol,虛擬路由器恢復協議),以便在一臺認證服務器失效時仍然可以提供服務。請記住,HSRP涵蓋了在采用這種協議時必須要考慮的安全問題(參看第13章),VRRP也是如此,但涵蓋的稍微少一些。  圖1—1中的交換機可以是支持基于802.1x的Cisco IBNS(Identity.Based NetworkingServices,網絡身份認證服務)技術的任何Catalyst交換機,例如Cisco Catalyst 4000、4500或6500系列。此外,也可以用固件支持WPA(Wireless ProtectedAccess,無線保護訪問)業界認證需求的CiscoAironet無線訪問點來取代交換機。在本書成稿之時,只有WPA第1版,但802.Lli無線安全標準(WPA就基于這種標準)最終被通過了,而wPA第2版正在開發之中。訪問點使用何種版本的WPA都是無所謂的,因為它們都利用802.1x分發、管理所有的設備或所有的會話安全密鑰以及認證無線用戶。因此,可以安全地(有時沒有這么安全,請參看我們的書籍Wi-foo:The Secrets of Wireless Hacking)分隔開平地無線LAN中的設備。  正如你所了解的,“簡單的”平地網絡模型安全并不只是通常看起來的那樣簡單。請耐心點,本書的第3部分將揭示針對“普通的”基于CiscO的LAN的許多Layer 2攻擊及其對應措施。  1.1.2 星形模型  星形模型(star model)是一種非常經濟的網絡設計方式,用單個路由器作為中心點,為整個網絡提供連接。圖1.2說明了用一個VPN集中器(concentrator)代替臨時路由器。

編輯推薦

  以久經考驗的“黑客大曝光”方法學,為你的Cixco網絡部署防御堡。  通過從入侵者的角度探查Cisco網絡和設備,來抵御最隱秘的攻擊。本書逐步驟地展示了黑客如何定位暴露在外的系統,如何獲得訪問權限,以及如何控制受害網絡。書中涉及了所有的特定于設備以及與網絡密切相關的安全問題,同時輔以真實的例子、深入的案例分析以及詳細的應對措施。本書包羅萬象,從交換機、路由器、防火墻、無線網絡以及VPN漏洞到Layer 2中間人、VLAN iul33P、BGP、DoS和DDoS攻擊。通過了解如何發現以CiSCO為中心的網絡中的新漏洞以及它們是怎樣被計算機罪犯濫用,能讓你防患于未然。此外,你還可以從WWW.hackingexposedciscO.com獲得未公開的CiscO命令、安全評估模板和重要的安全工具。

圖書封面

圖書標簽Tags

評論、評分、閱讀與下載


    Cisco網絡黑客大曝光 PDF格式下載



用戶評論 (總計15條)

 
 

  •     書的內容總體上說非常不錯。比較適合對Cisco網絡有一定了解的讀者。對于里面的安全技巧,能擴大視野。是一本不錯的讀物。
  •     老外寫的計算機書確實比國內的磚家強,不過這一本的內容從現代網絡情況來講,稍微有點過時,但書的思想絕對領先。
  •     學安全的,蠻不錯的書
  •     書中很多東西講的不是很詳細,都是泛泛而談,沒有深度
  •     有深度,雖然內容有些過時,但思路方面值得借鑒.
  •     書內容不錯,但是確實比較破
  •     有深度,需要一定的基礎知識才能看明白.
  •     只有3個字,有深度。但是同時也需要有實驗的環境。如果有一個虛擬的實驗環境就更好了!
  •     好好看看,也是對Cisco的更進一步了解!
  •     較適合有一定網絡安全基礎的讀者,能增加更多有關網絡安全的認識
  •     就是送來的書很破。。。
  •     書還不錯,值得看看!
  •     讀后 受益匪淺
  •     不錯,自我覺的還比較值
  •     有點官方話,真正的內容不在期內。
 

250萬本中文圖書簡介、評論、評分,PDF格式免費下載。 第一圖書網 手機版

第五圖書網

第一圖書網(tushu007.com) @ 2017

全年永久头数公式规律