Cisco路由器安全配置
目前大多数的企事业单位和部门连Internet网,一般都是一台
路由器与ISP连结实现。这台
路由器就是沟通外部Internet和内部网络的桥梁,若是这台路由器可以合理进行
安全设置,那么就能够对内部的网络提供必定
安全性或对已有的安全多了一层屏障。如今大多数的路由器都是
Cisco公司的产品或与其功能近似,本文在这里就针对
Cisco路由器的安全配置进行管理。
考虑到路由器的做用和位置,路由器配置的好坏不只影响自己的安全也影响整个网络的安全。目前路由器(以Cisco为例)自己也都带有必定的安全功能,如访问列表、加密等,可是在缺省配置时,这些功能大多数都是关闭的。须要进行手工配置。怎样的配置才能最大的知足安全的须要,且不下降网络的性能?本文从如下几个部分分别加以说明:
一. 口令管理
口令是路由器是用来防止对于路由器的非受权访问的主要手段,是路由器自己安全的一部分。最好的口令处理方法是将这些口令保存在TACACS+或RADIUS认证 服务器上。可是几乎每个路由器都要有一个本地配置口令进行权限访问。如何维护这部分的安全?
1. 使用enable secret
enable secret 命令用于设定具备管理员权限的口令。而且若是没有enable secret,则当一个口令是为控制台TTY设置的,这个口令也能用于远程访问。这种状况是不但愿的。还有一点就是老的系统采用的是enable password,虽然功能类似,可是enable password采用的加密算法比较弱。
2. 使用service password-encryption
这条命令用于对 存储在配置文件中的全部口令和相似数据(如CHAP)进行加密。避免当配置文件被不怀好意者看见,从而得到这些数据的明文。可是service password-encrypation的加密算法是一个简单的维吉尼亚加密,很容易被破译。这主要是针对enable password命令设置的口令。而enable secret命令采用的是MD5算法,这种算法很难进行破译的。可是这种MD5算法对于字典式***仍是没有办法。
因此不要觉得加密了就能够放心了,最好的方法就是选择一个长的口令字,避免配置文件被外界获得。且设定enable secret和service password-encryption。
二. 控制交互式访问
任何人登陆到路由器上都可以显示一些重要的配置信息。一个***者能够将路由器做为***的中转站。因此须要正确控制路由器的登陆访问。尽管大部分的登陆访问缺省都是禁止的。可是有一些例外,如直连的控制台终端等。
控制台端口具备特殊的权限。特别注意的是,当路由器重启动的开始几秒若是发送一个Break信号到控制台端口,则利用口令恢复程式能够很容易控制整个系统。这样若是一个***者尽管他没有正常的访问权限,可是具备系统重启(切断电源或系统崩溃)和访问控制端口(经过直连终端、Modem、终端 服务器)的能力就能够控制整个系统。因此必须保证全部连结控制端口的访问的安全性。
除了经过控制台登陆路由器外还有不少的方法,根据配置和操做系统版本的不一样,能够支持如Telnet、rlogin、Ssh以及非基于IP的网络 协议如LAT、MOP、X.29和V.120等或者Modem拨号。全部这些都涉及到TTY,本地的异步终端和拨号Modem用标准的"TTYs"。远地的网络连结无论采用什么 协议都是虚拟的TTYs,即"VTYs"。要控制路由器的访问,最好就是控制这些TTYs或VTYs,加上一些认证或利用login、no password命令禁止访问。
1.控制TTY
缺省的状况下一个远端用户能够连结到一个TTY,称为"反向Telnet",容许远端用户和链接到这个TTY上的终端或Modem进行交互。可是这些特征容许一个远端用户链接到一个本地的异步终端口或一个拨入的Modem端口,从而构造一个假的登陆过程来偷盗口令或其余的非法活动。因此最好禁止这项功能,能够采用transport input none设置任何异步或Modem不接收来自网络用户的连结。若是可能,不要用相同的Modem拨入和拨出,且禁止反向Telnet拨入。
2.控制VTY
为了保证安全,任何VTY应该仅容许指定的 协议创建连结。利用transport input命令。如一个VTY只支持Telnet服务,能够以下设置transport input telnet。若是路由器操做系统支持SSH,最好只支持这个协议,避免使用明文传送的Telnet服务。以下设置:transport input ssh。也能够利用ip access-class限制访问VTY的ip地址范围。 由于VTYs的数目有必定的限制,当全部的VTYs用完了,就不能再创建远程的网络连结了。这就有可能被利用进行Dos(拒绝服务***)。这里***者没必要登陆进入,只要创建连结,到login提示符下就能够,消耗到全部的VTYs。对于这种***的一个好的防护方法就是利用ip access-class命令限制最后一个VTYs的访问地址,只向特定管理工做站打开。而其余的VTYs不限制,从而既保证了灵活性,也保证关键的管理工做不被影响。另外一个方法是利用exec-timeout命令,配置VTY的超时。避免一个空闲的任务一直占用VTY。相似的也能够用service tcp-keepalives-in 保证Tcp创建的入连结是活动的,从而避免恶意的***或远端系统的意外崩溃致使的资源独占。更好的保护VTY的方法是关闭全部非基于IP的访问,且使用IPSec加密全部的远端与路由器的连结。 三. 管理服务配置 许多的用户利用协议如Snmp或Http来管理路由器。可是利用这些协议管理服务时,就会存在必定的安全问题。 1. Snmp Snmp是最常常用于路由器的管理的协议。目前使用最多的Snmp 版本1,可是这个版本的Snmp存在着不少的安全问题: A. 使用明文认证,利用"community"字符串。 B. 在周期性轮循时,重复的发送这些"community"。 C. 采用容易被欺骗的基于数据包的协议。 因此尽可能采用Snmp V2,由于它采用基于MD5的数字认证方式,而且容许对于不一样的管理数据进行限制。若是必定要使用Snmp V1,则要仔细的配置。如避免使用缺省的community如public,private等。避免对于每一个设备都用相同的community,区别和限制只读和读写commnity。对于Snmp V2,则可能的话对于不一样的路由器设定不一样的MD5安全值。还有就是最好使用访问列表限定可使用Snmp管理的范围。 2. Http: 最近的路由器操做系统支持Http协议进行远端配置和监视。而针对Http的认证就至关于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护。这使得用Http进行管理至关危险。 若是选择使用Http进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证。最好的http认证选择是利用TACACS+或RADIUS服务器。 四. 日志 利用路由器的日志功能对于安全来讲是十分重要的。Cisco路由器支持以下的日志 1. AAA日志:主要收集关于用户拨入连结、登陆、Http访问、权限变化等。这些日志用TACACS+或RADIUS协议送到认证服务器并本地保存下来。这些能够用aaa accouting实现。 2. Snmp trap 日志:发送系统状态的改变到Snmp 管理工做站。 3. 系统日志:根据配置记录大量的系统事件。并能够将这些日志发送到下列地方: a. 控制台端口 b. Syslog 服务器 c. TTYs或VTYs d. 本地的日志缓存。 这里最关心的就是系统日志,缺省的状况下这些日志被送到控制台端口,经过控制台监视器来观察系统的运行状况,可是这种方式信息量小且没法记录下来供之后的查看。最好是使用syslog服务器,将日志信息送到这个服务器保存下来。 五.路由安全 1.防止伪造: 伪造是***者常用的方法。经过路由器的配置能够在必定程度上防止伪造。一般是利用访问列表,限制经过的数据包的地址范围。可是有下面几点注意的。 A. 能够在网络的任何一点进行限制,可是最好在网络的边界路由器上进行,由于在网络内部是难于判断地址伪造的。 B. 最好对接口进入的数据进行访问控制(用ip access-group list in)。由于输出列表过滤只保护了位于路由器后的网络部分,而输入列表数据过滤还保护了路由器自己不受到外界的***。 C. 不只对外部的端口进行访问控制,还要对内部的端口进行访问控制。由于能够防止来自内部的***行为。 下面是一个是一个访问列表的例子: ip access-list number deny icmp any any redirect 拒绝全部的Icmp 重定向 ip access-list number deny ip host 127.0.0.0 0.255.255.255 any 拒绝Loopback的数据包 ip access-list number deny ip 224.0.0.0 31.255.255.255 any 拒绝多目地址的数据包 除了访问列表的限制外,还能够利用路由器的RPF检查(ip verify unicast rpf)。这项功能主要用于检查进入接口的数据包的源地址,根据路由表判断是否是到达这个源地址的路由是否是也通过这个接口转发,若是不是则抛弃。这进一步保证了数据源的正确性。可是这种方式不适合非对称的路由,即A到B的路由与B到A的路由不相同。因此须要判断清楚路由器的具体配置。 2.控制直接广播 一个IP直接广播是一个目的地为某个子网的广播地址的数据包,可是这个发送主机的不与这个目的子网直接相连。因此这个数据包被路由器看成普通包转发直到目的子网,而后被转换为链路层广播。因为Ip地址结构的特性,只有直接链接到这个子网的路由器可以识别一个直接广播包。针对这个功能,目前存在一种***称为"smurf",***者经过不断的发送一个源地址为非法地址的直接广播包到***的子网。从而致使子网的全部主机向这个非法地址发送响应,最终致使目的网络的广播风暴。 对于这种***能够在路由器的接口上设置no ip directed
考虑到路由器的做用和位置,路由器配置的好坏不只影响自己的安全也影响整个网络的安全。目前路由器(以Cisco为例)自己也都带有必定的安全功能,如访问列表、加密等,可是在缺省配置时,这些功能大多数都是关闭的。须要进行手工配置。怎样的配置才能最大的知足安全的须要,且不下降网络的性能?本文从如下几个部分分别加以说明:
一. 口令管理
口令是路由器是用来防止对于路由器的非受权访问的主要手段,是路由器自己安全的一部分。最好的口令处理方法是将这些口令保存在TACACS+或RADIUS认证 服务器上。可是几乎每个路由器都要有一个本地配置口令进行权限访问。如何维护这部分的安全?
1. 使用enable secret
enable secret 命令用于设定具备管理员权限的口令。而且若是没有enable secret,则当一个口令是为控制台TTY设置的,这个口令也能用于远程访问。这种状况是不但愿的。还有一点就是老的系统采用的是enable password,虽然功能类似,可是enable password采用的加密算法比较弱。
2. 使用service password-encryption
这条命令用于对 存储在配置文件中的全部口令和相似数据(如CHAP)进行加密。避免当配置文件被不怀好意者看见,从而得到这些数据的明文。可是service password-encrypation的加密算法是一个简单的维吉尼亚加密,很容易被破译。这主要是针对enable password命令设置的口令。而enable secret命令采用的是MD5算法,这种算法很难进行破译的。可是这种MD5算法对于字典式***仍是没有办法。
因此不要觉得加密了就能够放心了,最好的方法就是选择一个长的口令字,避免配置文件被外界获得。且设定enable secret和service password-encryption。
二. 控制交互式访问
任何人登陆到路由器上都可以显示一些重要的配置信息。一个***者能够将路由器做为***的中转站。因此须要正确控制路由器的登陆访问。尽管大部分的登陆访问缺省都是禁止的。可是有一些例外,如直连的控制台终端等。
控制台端口具备特殊的权限。特别注意的是,当路由器重启动的开始几秒若是发送一个Break信号到控制台端口,则利用口令恢复程式能够很容易控制整个系统。这样若是一个***者尽管他没有正常的访问权限,可是具备系统重启(切断电源或系统崩溃)和访问控制端口(经过直连终端、Modem、终端 服务器)的能力就能够控制整个系统。因此必须保证全部连结控制端口的访问的安全性。
除了经过控制台登陆路由器外还有不少的方法,根据配置和操做系统版本的不一样,能够支持如Telnet、rlogin、Ssh以及非基于IP的网络 协议如LAT、MOP、X.29和V.120等或者Modem拨号。全部这些都涉及到TTY,本地的异步终端和拨号Modem用标准的"TTYs"。远地的网络连结无论采用什么 协议都是虚拟的TTYs,即"VTYs"。要控制路由器的访问,最好就是控制这些TTYs或VTYs,加上一些认证或利用login、no password命令禁止访问。
1.控制TTY
缺省的状况下一个远端用户能够连结到一个TTY,称为"反向Telnet",容许远端用户和链接到这个TTY上的终端或Modem进行交互。可是这些特征容许一个远端用户链接到一个本地的异步终端口或一个拨入的Modem端口,从而构造一个假的登陆过程来偷盗口令或其余的非法活动。因此最好禁止这项功能,能够采用transport input none设置任何异步或Modem不接收来自网络用户的连结。若是可能,不要用相同的Modem拨入和拨出,且禁止反向Telnet拨入。
2.控制VTY
为了保证安全,任何VTY应该仅容许指定的 协议创建连结。利用transport input命令。如一个VTY只支持Telnet服务,能够以下设置transport input telnet。若是路由器操做系统支持SSH,最好只支持这个协议,避免使用明文传送的Telnet服务。以下设置:transport input ssh。也能够利用ip access-class限制访问VTY的ip地址范围。 由于VTYs的数目有必定的限制,当全部的VTYs用完了,就不能再创建远程的网络连结了。这就有可能被利用进行Dos(拒绝服务***)。这里***者没必要登陆进入,只要创建连结,到login提示符下就能够,消耗到全部的VTYs。对于这种***的一个好的防护方法就是利用ip access-class命令限制最后一个VTYs的访问地址,只向特定管理工做站打开。而其余的VTYs不限制,从而既保证了灵活性,也保证关键的管理工做不被影响。另外一个方法是利用exec-timeout命令,配置VTY的超时。避免一个空闲的任务一直占用VTY。相似的也能够用service tcp-keepalives-in 保证Tcp创建的入连结是活动的,从而避免恶意的***或远端系统的意外崩溃致使的资源独占。更好的保护VTY的方法是关闭全部非基于IP的访问,且使用IPSec加密全部的远端与路由器的连结。 三. 管理服务配置 许多的用户利用协议如Snmp或Http来管理路由器。可是利用这些协议管理服务时,就会存在必定的安全问题。 1. Snmp Snmp是最常常用于路由器的管理的协议。目前使用最多的Snmp 版本1,可是这个版本的Snmp存在着不少的安全问题: A. 使用明文认证,利用"community"字符串。 B. 在周期性轮循时,重复的发送这些"community"。 C. 采用容易被欺骗的基于数据包的协议。 因此尽可能采用Snmp V2,由于它采用基于MD5的数字认证方式,而且容许对于不一样的管理数据进行限制。若是必定要使用Snmp V1,则要仔细的配置。如避免使用缺省的community如public,private等。避免对于每一个设备都用相同的community,区别和限制只读和读写commnity。对于Snmp V2,则可能的话对于不一样的路由器设定不一样的MD5安全值。还有就是最好使用访问列表限定可使用Snmp管理的范围。 2. Http: 最近的路由器操做系统支持Http协议进行远端配置和监视。而针对Http的认证就至关于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护。这使得用Http进行管理至关危险。 若是选择使用Http进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证。最好的http认证选择是利用TACACS+或RADIUS服务器。 四. 日志 利用路由器的日志功能对于安全来讲是十分重要的。Cisco路由器支持以下的日志 1. AAA日志:主要收集关于用户拨入连结、登陆、Http访问、权限变化等。这些日志用TACACS+或RADIUS协议送到认证服务器并本地保存下来。这些能够用aaa accouting实现。 2. Snmp trap 日志:发送系统状态的改变到Snmp 管理工做站。 3. 系统日志:根据配置记录大量的系统事件。并能够将这些日志发送到下列地方: a. 控制台端口 b. Syslog 服务器 c. TTYs或VTYs d. 本地的日志缓存。 这里最关心的就是系统日志,缺省的状况下这些日志被送到控制台端口,经过控制台监视器来观察系统的运行状况,可是这种方式信息量小且没法记录下来供之后的查看。最好是使用syslog服务器,将日志信息送到这个服务器保存下来。 五.路由安全 1.防止伪造: 伪造是***者常用的方法。经过路由器的配置能够在必定程度上防止伪造。一般是利用访问列表,限制经过的数据包的地址范围。可是有下面几点注意的。 A. 能够在网络的任何一点进行限制,可是最好在网络的边界路由器上进行,由于在网络内部是难于判断地址伪造的。 B. 最好对接口进入的数据进行访问控制(用ip access-group list in)。由于输出列表过滤只保护了位于路由器后的网络部分,而输入列表数据过滤还保护了路由器自己不受到外界的***。 C. 不只对外部的端口进行访问控制,还要对内部的端口进行访问控制。由于能够防止来自内部的***行为。 下面是一个是一个访问列表的例子: ip access-list number deny icmp any any redirect 拒绝全部的Icmp 重定向 ip access-list number deny ip host 127.0.0.0 0.255.255.255 any 拒绝Loopback的数据包 ip access-list number deny ip 224.0.0.0 31.255.255.255 any 拒绝多目地址的数据包 除了访问列表的限制外,还能够利用路由器的RPF检查(ip verify unicast rpf)。这项功能主要用于检查进入接口的数据包的源地址,根据路由表判断是否是到达这个源地址的路由是否是也通过这个接口转发,若是不是则抛弃。这进一步保证了数据源的正确性。可是这种方式不适合非对称的路由,即A到B的路由与B到A的路由不相同。因此须要判断清楚路由器的具体配置。 2.控制直接广播 一个IP直接广播是一个目的地为某个子网的广播地址的数据包,可是这个发送主机的不与这个目的子网直接相连。因此这个数据包被路由器看成普通包转发直到目的子网,而后被转换为链路层广播。因为Ip地址结构的特性,只有直接链接到这个子网的路由器可以识别一个直接广播包。针对这个功能,目前存在一种***称为"smurf",***者经过不断的发送一个源地址为非法地址的直接广播包到***的子网。从而致使子网的全部主机向这个非法地址发送响应,最终致使目的网络的广播风暴。 对于这种***能够在路由器的接口上设置no ip directed
相关文章
- 1. Cisco路由器配置Ipsec
- 2. Cisco路由器配置——BGP
- 3. CISCO路由器DHCP 配置
- 4. CISCO路由器配置PPTP服务器。
- 5. Cisco路由器安全配置必用10条命令
- 6. Cisco策略路由配置
- 7. 使用Cisco路由器配置PPTP
- 8. Cisco路由器上配置DHCP实验
- 9. Cisco 交换机/路由器 ssh 配置
- 10. Cisco路由器配置——IS-IS
- 更多相关文章...
- • Git 安装配置 - Git 教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • IntelliJ IDEA 代码格式化配置和快捷键
- • IDEA下SpringBoot工程配置文件没有提示
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
欢迎关注本站公众号,获取更多信息
相关文章