网络设备的种类很多,本文继续测评路由器中的访问控制功能，您可前往信创致远http://www.dengbao110.com/了解更多内容。

（七）重要网段应采取技术手段防止地址欺骗。

【描述】

地址欺骗在网络安全测评中比较重要的一个问题,这里的地址可以是MAC地址,也可以是IP地址。目前发生比较多的是ARP地址欺骗,ARP地址欺骗是MAC地址欺骗的一种。  ARP( Address Resolution Protocol,地址解析协议)是一个位于TCP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。从影响网络安全测评连接通畅的方式来看,ARP欺骗分为两种,一种是对网络设备ARP表的欺骗,另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知网络安全测评设备一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在网络设备中,结果网络设备的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的途径上网。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。

解决方法为:

一、在网络设备中把所有PC的PMAC输入到一个静态表中,这叫 IP-MAC绑定;

二、在内网所有PC上设置网关的静态ARP信息,这叫 PC IP-MAC绑定。一般要求两个工作都要做,称为 IP-MAC双向绑定。

在关键设备上,比如核心路由器交换机也要采用 IP/MAC地址绑定方式,防止重要网段的地址欺骗。

【检查方法】

在思科路由器中

1)在特权模式下输入命令 show ip a会输出该路由器相关配置信息。

2)检查配置信息中应当存在类似如下配置信息:

arp10.10.10.10000.e268.9980arpa

在华为路由器中:

1)在特权模式下输入命令 display a会输出该路由器相关配置信息。

2)检查配置信息中应当存在类似如下配置信息:

rp static192.168.1.1000014-7855-c7pb

g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。

【描述】

对通过远程采用PN拨号技术或通过其他方式连入单位内网的用户,路由器或相关设备应提供用户认证功能,通过配置用户、用户组,并结合访问控制规则可以实现对认证成功的用户允许访问受控资源。

【检查方法】

在思科路由器中:

1)在特权模式下输入命令 show crypto isakmp policy会输出该路由器相关配置信息。

2)检查配置信息中应当存在类似如下配置信息:

crypto isakmp policy 1

md5

authentication pre-share

ifetime 3 600

crypto isakmp key cisco address 10.10.10.1 255. 255 255.0

3)在特权模式下输入命令 show crypto ipsec transform-set会输出该路由器相关配置信息。

4)检查配置信息中应当存在类似如下配置信息:

crypto ipsec transform-set zhang ah-md5-hmac esp-des

crypto map zhang 10 ipsec-isakmp

set peer 10.10.10.1

set transform-set zhang

set pfs group.

match address 100

5)在特权模式下输入命令 show ip access-list会输出该路由器相关配置信息。

6)检查配置信息中应当存在类似如下配置信息

access-list 100 permit tcp host 1.l.1.1 host 2.2.2.2

在华为路由器中:

1)在特权模式下输入命令 display ipsec会输出该路由器相关配置信息。

2)检查配置信息中应当存在类似如下配置信息:

info-center enable

info-center loghost 1.1.1.1 facility local4 language chinese

info-center source default channel loghost log level informational