路由器的安全管理

路由器的安全管理

一般将网络中直接面向用户链接或访问网络的部分称为接入层,将接入层与核心层之间的部分称为分布层,而将网络的核心部分称为核心层,核心层的主要目的在于经过高速转发通讯,提供优化,可靠的骨干传输结构,而一旦路由器收到***，就有可能致使全网的瘫痪。所以路由器的安全问题也就显得格外重要。

口令是控制访问路由器的一种方式。能够在路由器上配置口令，或者使用例如TACACS+或RADIUS等认证服务器。在口令保护以外，应当将对路由器的交互访问限制到必须的用户和协议。应当只使用能对路由器恰当的管理和功能必要的协议，而且将访问权限严格限制在你所知道安全的IP子网。即便存在访问控制，仍有可能有恶意用户试图恶意影响路由器正常工做。应采起行动减小路由器收到拒绝服务***的机会。

1、     口令类型和加密

应使用一些认证机制来控制全部的访问。若没法使用TACACS+或RADIUS，应使用enable secret口令类型保护特权EXEC模式的路由器访问，此方式将口令使用不可逆转加密功能存储，能提供更好的安全性。尽可能不要使用enable password，虽然可追加数字7，使用密文，但后面只能是加密后的字符，通常不能直接使用，也可以使用明文密码，而后键入service password-encryption命令对明文密码加密，但加密等级较弱，不推荐。建议使用service password-encryption命令加密全部明文密码防止显示配置时旁观者看到口令，这些口令包括用户名口令、认证密钥口令、特权命令口令、控制台和虚拟终端线路访问口令以及BGP邻居口令。

2、     控制交互式访问

应控制对路由器的交互式访问。使用ACL指定容许链接到线路的源目网络号以及使用的源目端口号或协议，拒绝其余全部。在有远程访问时，应尽可能使用SSH而不要使用telnet，由于使用telnet时传输过程当中是明文的密码，可能会被嗅探到密码。

3、     减小拒绝服务***的危险

拒绝服务（DoS）对某些资源做决绝访问***。而DoS或DDoS***方式比较多并且实现的方式都比较简单但形成的危害却每每比较大。例如，通常路由器上只有有限的vty端口可用，当全部端口都被***者堵塞时就会拒绝管理员的登陆。对此，咱们能够在最后一个vty端口上配置限制性的ACL以只容许指定的管理工做站访问。同时，还应配置exec-timeout命令，防止空闲的会话无限制的占用vty。配置Service tcp-keepalive-in命令在收到的链接上配置TCP keepalive消息，防止恶意***和远端系统崩溃引发的“orphaned”会话。

其中一种***方式是利用ping程序进行源IP假冒的直接广播进行***。使用一个伪造的源地址向目标网段的直接广播地址发送一个ICMP echo请求包，此网段的其余主机就会回应此请求包，拥有该伪造IP的真实主机就会接受到大量的数据包而崩溃。可使用命令no ip directed-broadcast防止此类***。

源路由选择欺骗是利用IP数据包中的选项IP Source Routing来指定路由，其虚假的源地址可以使路由器忽略路由表将数据发往虚假的源地址上。使用no ip source route关闭源路由功能。

使用命令ip verify unicast reverse-path来防止IP欺骗的问题。使用此命令的前提是已开启CEF。

当路由器受到某些暴力***时会处理大量的中断而没有时间处理其余事件。Scheduler interval 命令可使其在规定的时间间隔中止处理中断，使其去处理其余事务。

4、     减小开放的服务

开放的服务越多机器就越不安全，因此应当开放尽可能少的服务。可视状况酌情关闭如下服务：

no service tcp-small servers

no service udp-small servers

no service finger

no ip service bootp server

5、     AAA服务器（选作）

若是条件容许的话能够选择部署AAA服务器（RADIUS或者TACACS+）。