Cisco路由器安全配置

 

目前大多數的企事業單位和部門連Internet網，一般都是一臺 路由器與ISP連結實現。這臺 路由器就是溝通外部Internet和內部網絡的橋樑，若是這臺路由器可以合理進行 安全設置，那麼就能夠對內部的網絡提供必定 安全性或對已有的安全多了一層屏障。如今大多數的路由器都是 Cisco公司的產品或與其功能近似，本文在這裏就針對 Cisco路由器的安全配置進行管理。
考慮到路由器的做用和位置，路由器配置的好壞不只影響自己的安全也影響整個網絡的安全。目前路由器（以Cisco爲例）自己也都帶有必定的安全功能，如訪問列表、加密等，可是在缺省配置時，這些功能大多數都是關閉的。須要進行手工配置。怎樣的配置才能最大的知足安全的須要，且不下降網絡的性能？本文從如下幾個部分分別加以說明：

一. 口令管理

口令是路由器是用來防止對於路由器的非受權訪問的主要手段，是路由器自己安全的一部分。最好的口令處理方法是將這些口令保存在TACACS+或RADIUS認證 服務器上。可是幾乎每個路由器都要有一個本地配置口令進行權限訪問。如何維護這部分的安全？

1． 使用enable secret
enable secret 命令用於設定具備管理員權限的口令。而且若是沒有enable secret，則當一個口令是爲控制檯TTY設置的，這個口令也能用於遠程訪問。這種狀況是不但願的。還有一點就是老的系統採用的是enable password，雖然功能類似，可是enable password採用的加密算法比較弱。

2． 使用service password-encryption
這條命令用於對 存儲在配置文件中的全部口令和相似數據（如CHAP）進行加密。避免當配置文件被不懷好意者看見，從而得到這些數據的明文。可是service password-encrypation的加密算法是一個簡單的維吉尼亞加密，很容易被破譯。這主要是針對enable password命令設置的口令。而enable secret命令採用的是MD5算法，這種算法很難進行破譯的。可是這種MD5算法對於字典式***仍是沒有辦法。
因此不要覺得加密了就能夠放心了，最好的方法就是選擇一個長的口令字，避免配置文件被外界獲得。且設定enable secret和service password-encryption。

二. 控制交互式訪問

任何人登陸到路由器上都可以顯示一些重要的配置信息。一個***者能夠將路由器做爲***的中轉站。因此須要正確控制路由器的登陸訪問。儘管大部分的登陸訪問缺省都是禁止的。可是有一些例外，如直連的控制檯終端等。
控制檯端口具備特殊的權限。特別注意的是，當路由器重啓動的開始幾秒若是發送一個Break信號到控制檯端口，則利用口令恢復程式能夠很容易控制整個系統。這樣若是一個***者儘管他沒有正常的訪問權限，可是具備系統重啓（切斷電源或系統崩潰）和訪問控制端口（經過直連終端、Modem、終端 服務器）的能力就能夠控制整個系統。因此必須保證全部連結控制端口的訪問的安全性。
除了經過控制檯登陸路由器外還有不少的方法，根據配置和操做系統版本的不一樣，能夠支持如Telnet、rlogin、Ssh以及非基於IP的網絡 協議如LAT、MOP、X.29和V.120等或者Modem撥號。全部這些都涉及到TTY，本地的異步終端和撥號Modem用標準的"TTYs"。遠地的網絡連結無論採用什麼 協議都是虛擬的TTYs，即"VTYs"。要控制路由器的訪問，最好就是控制這些TTYs或VTYs，加上一些認證或利用login、no password命令禁止訪問。

1．控制TTY
缺省的狀況下一個遠端用戶能夠連結到一個TTY，稱爲"反向Telnet"，容許遠端用戶和鏈接到這個TTY上的終端或Modem進行交互。可是這些特徵容許一個遠端用戶鏈接到一個本地的異步終端口或一個撥入的Modem端口，從而構造一個假的登陸過程來偷盜口令或其餘的非法活動。因此最好禁止這項功能，能夠採用transport input none設置任何異步或Modem不接收來自網絡用戶的連結。若是可能，不要用相同的Modem撥入和撥出，且禁止反向Telnet撥入。

2．控制VTY
爲了保證安全，任何VTY應該僅容許指定的 協議創建連結。利用transport input命令。如一個VTY只支持Telnet服務，能夠以下設置transport input telnet。若是路由器操做系統支持SSH，最好只支持這個協議，避免使用明文傳送的Telnet服務。以下設置：transport input ssh。也能夠利用ip access-class限制訪問VTY的ip地址範圍。 由於VTYs的數目有必定的限制，當全部的VTYs用完了，就不能再創建遠程的網絡連結了。這就有可能被利用進行Dos（拒絕服務***）。這裏***者沒必要登陸進入，只要創建連結，到login提示符下就能夠，消耗到全部的VTYs。對於這種***的一個好的防護方法就是利用ip access-class命令限制最後一個VTYs的訪問地址，只向特定管理工做站打開。而其餘的VTYs不限制，從而既保證了靈活性，也保證關鍵的管理工做不被影響。另外一個方法是利用exec-timeout命令，配置VTY的超時。避免一個空閒的任務一直佔用VTY。相似的也能夠用service tcp-keepalives-in 保證Tcp創建的入連結是活動的，從而避免惡意的***或遠端系統的意外崩潰致使的資源獨佔。更好的保護VTY的方法是關閉全部非基於IP的訪問，且使用IPSec加密全部的遠端與路由器的連結。 三. 管理服務配置 許多的用戶利用協議如Snmp或Http來管理路由器。可是利用這些協議管理服務時，就會存在必定的安全問題。 1． Snmp Snmp是最常常用於路由器的管理的協議。目前使用最多的Snmp 版本1，可是這個版本的Snmp存在着不少的安全問題： A． 使用明文認證，利用"community"字符串。　 B． 在週期性輪循時，重複的發送這些"community"。 C． 採用容易被欺騙的基於數據包的協議。 因此儘可能採用Snmp V2，由於它採用基於MD5的數字認證方式，而且容許對於不一樣的管理數據進行限制。若是必定要使用Snmp V1，則要仔細的配置。如避免使用缺省的community如public，private等。避免對於每一個設備都用相同的community，區別和限制只讀和讀寫commnity。對於Snmp V2，則可能的話對於不一樣的路由器設定不一樣的MD5安全值。還有就是最好使用訪問列表限定可使用Snmp管理的範圍。 2． Http： 最近的路由器操做系統支持Http協議進行遠端配置和監視。而針對Http的認證就至關於在網絡上發送明文且對於Http沒有有效的基於挑戰或一次性的口令保護。這使得用Http進行管理至關危險。 若是選擇使用Http進行管理，最好用ip http access-class命令限定訪問地址且用ip http authentication命令配置認證。最好的http認證選擇是利用TACACS+或RADIUS服務器。 四. 日誌 利用路由器的日誌功能對於安全來講是十分重要的。Cisco路由器支持以下的日誌 1． AAA日誌：主要收集關於用戶撥入連結、登陸、Http訪問、權限變化等。這些日誌用TACACS+或RADIUS協議送到認證服務器並本地保存下來。這些能夠用aaa accouting實現。 2． Snmp trap 日誌：發送系統狀態的改變到Snmp 管理工做站。 3． 系統日誌：根據配置記錄大量的系統事件。並能夠將這些日誌發送到下列地方： a． 控制檯端口 b． Syslog 服務器 c． TTYs或VTYs d． 本地的日誌緩存。 這裏最關心的就是系統日誌，缺省的狀況下這些日誌被送到控制檯端口，經過控制檯監視器來觀察系統的運行狀況，可是這種方式信息量小且沒法記錄下來供之後的查看。最好是使用syslog服務器，將日誌信息送到這個服務器保存下來。 五．路由安全 1．防止僞造： 僞造是***者常用的方法。經過路由器的配置能夠在必定程度上防止僞造。一般是利用訪問列表，限制經過的數據包的地址範圍。可是有下面幾點注意的。 A． 能夠在網絡的任何一點進行限制，可是最好在網絡的邊界路由器上進行，由於在網絡內部是難於判斷地址僞造的。 B． 最好對接口進入的數據進行訪問控制（用ip access-group list in）。由於輸出列表過濾只保護了位於路由器後的網絡部分，而輸入列表數據過濾還保護了路由器自己不受到外界的***。 C． 不只對外部的端口進行訪問控制，還要對內部的端口進行訪問控制。由於能夠防止來自內部的***行爲。 下面是一個是一個訪問列表的例子： ip access-list number deny icmp any any redirect 拒絕全部的Icmp 重定向 ip access-list number deny ip host 127.0.0.0 0.255.255.255 any 拒絕Loopback的數據包 ip access-list number deny ip 224.0.0.0 31.255.255.255 any 拒絕多目地址的數據包 除了訪問列表的限制外，還能夠利用路由器的RPF檢查（ip verify unicast rpf）。這項功能主要用於檢查進入接口的數據包的源地址，根據路由表判斷是否是到達這個源地址的路由是否是也通過這個接口轉發，若是不是則拋棄。這進一步保證了數據源的正確性。可是這種方式不適合非對稱的路由，即A到B的路由與B到A的路由不相同。因此須要判斷清楚路由器的具體配置。 2．控制直接廣播 一個IP直接廣播是一個目的地爲某個子網的廣播地址的數據包，可是這個發送主機的不與這個目的子網直接相連。因此這個數據包被路由器看成普通包轉發直到目的子網，而後被轉換爲鏈路層廣播。因爲Ip地址結構的特性，只有直接鏈接到這個子網的路由器可以識別一個直接廣播包。針對這個功能，目前存在一種***稱爲"smurf"，***者經過不斷的發送一個源地址爲非法地址的直接廣播包到***的子網。從而致使子網的全部主機向這個非法地址發送響應，最終致使目的網絡的廣播風暴。 對於這種***能夠在路由器的接口上設置no ip directed