路由器的安全管理

路由器的安全管理

一般將網絡中直接面向用戶鏈接或訪問網絡的部分稱爲接入層,將接入層與核心層之間的部分稱爲分佈層,而將網絡的核心部分稱爲核心層,核心層的主要目的在於經過高速轉發通訊,提供優化,可靠的骨幹傳輸結構,而一旦路由器收到***，就有可能致使全網的癱瘓。所以路由器的安全問題也就顯得格外重要。

口令是控制訪問路由器的一種方式。能夠在路由器上配置口令，或者使用例如TACACS+或RADIUS等認證服務器。在口令保護以外，應當將對路由器的交互訪問限制到必須的用戶和協議。應當只使用能對路由器恰當的管理和功能必要的協議，而且將訪問權限嚴格限制在你所知道安全的IP子網。即便存在訪問控制，仍有可能有惡意用戶試圖惡意影響路由器正常工做。應採起行動減小路由器收到拒絕服務***的機會。

1、     口令類型和加密

應使用一些認證機制來控制全部的訪問。若沒法使用TACACS+或RADIUS，應使用enable secret口令類型保護特權EXEC模式的路由器訪問，此方式將口令使用不可逆轉加密功能存儲，能提供更好的安全性。儘可能不要使用enable password，雖然可追加數字7，使用密文，但後面只能是加密後的字符，通常不能直接使用，也可以使用明文密碼，而後鍵入service password-encryption命令對明文密碼加密，但加密等級較弱，不推薦。建議使用service password-encryption命令加密全部明文密碼防止顯示配置時旁觀者看到口令，這些口令包括用戶名口令、認證密鑰口令、特權命令口令、控制檯和虛擬終端線路訪問口令以及BGP鄰居口令。

2、     控制交互式訪問

應控制對路由器的交互式訪問。使用ACL指定容許鏈接到線路的源目網絡號以及使用的源目端口號或協議，拒絕其餘全部。在有遠程訪問時，應儘可能使用SSH而不要使用telnet，由於使用telnet時傳輸過程當中是明文的密碼，可能會被嗅探到密碼。

3、     減小拒絕服務***的危險

拒絕服務（DoS）對某些資源做決絕訪問***。而DoS或DDoS***方式比較多並且實現的方式都比較簡單但形成的危害卻每每比較大。例如，通常路由器上只有有限的vty端口可用，當全部端口都被***者堵塞時就會拒絕管理員的登陸。對此，咱們能夠在最後一個vty端口上配置限制性的ACL以只容許指定的管理工做站訪問。同時，還應配置exec-timeout命令，防止空閒的會話無限制的佔用vty。配置Service tcp-keepalive-in命令在收到的鏈接上配置TCP keepalive消息，防止惡意***和遠端系統崩潰引發的「orphaned」會話。

其中一種***方式是利用ping程序進行源IP假冒的直接廣播進行***。使用一個僞造的源地址向目標網段的直接廣播地址發送一個ICMP echo請求包，此網段的其餘主機就會迴應此請求包，擁有該僞造IP的真實主機就會接受到大量的數據包而崩潰。可使用命令no ip directed-broadcast防止此類***。

源路由選擇欺騙是利用IP數據包中的選項IP Source Routing來指定路由，其虛假的源地址可以使路由器忽略路由表將數據發往虛假的源地址上。使用no ip source route關閉源路由功能。

使用命令ip verify unicast reverse-path來防止IP欺騙的問題。使用此命令的前提是已開啓CEF。

當路由器受到某些暴力***時會處理大量的中斷而沒有時間處理其餘事件。Scheduler interval 命令可使其在規定的時間間隔中止處理中斷，使其去處理其餘事務。

4、     減小開放的服務

開放的服務越多機器就越不安全，因此應當開放盡可能少的服務。可視狀況酌情關閉如下服務：

no service tcp-small servers

no service udp-small servers

no service finger

no ip service bootp server

5、     AAA服務器（選作）

若是條件容許的話能夠選擇部署AAA服務器（RADIUS或者TACACS+）。