Cisco路由器安全技术 .docx

《Cisco路由器安全技术 .docx》由会员分享，可在线阅读，更多相关《Cisco路由器安全技术 .docx（6页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、精品名师归纳总结（一）路由器物理安全针 对 网 络 存 在 的 各 种 安 全 隐 患 , 路 由 器 的 安 全 设 置 通 常 包 括 如 下 几 个 方 面 ：1. 可靠性与线路安全方面对于路由器来说 ,牢靠性主要表达在接口故障和网络流量增大两种情形下, 因此,线路和接口的备份是路由器不行缺少的 .当主接口显现故障时 ,备份接口自动投入工作 , 保证网络的正常运行。当网络流量增大时,备份接口 又 可 承担 负 载分 担 的 任务 .如 使 用 电 话 拨 号上 网 方 式 的 备 份 .2. 身份认证方面路由器中的身份认证主要包括拜望路由器时的身份认证、对端路由器的身份认证和路由信息的身

2、份认证.令方的 分级面保 护.访问控制.访问问控控制制.3. 访问控制(1) 对 于 路 由 器的 访 问 控制 ,需要 进 行 口(2) 可以采用基于IP的址的(3) 可以采用基于用户的(4) 可以基于时间的访4. 信息隐藏方面主机与对端通信时 ,不愿定需要用真实身份进行通信. 这就要通过路由器的的址转换功能, 隐匿内网的址、只以公共的址的方式拜望外部网络. 除了由内部网络第一发起的连接, 网外用户不能通过的址转换直接拜望内网资源.5. 数据加密方面为了防止由于数据窃听而造成的信息泄漏, 需要对所传输的信息进行加密, 只有与之通信的对端才能对此密文进行解密 .通过对路由器所发送的报文进行加密

3、, 即使在 Internet上进行传输 ,也能保证数据的私有性、完整性以及报文内容的真实性.6. 攻击探测和防范方面路由器作为一个内部网络对外的接口设备, 是攻击者进入内部网络的第一个目标.假如路由器不供应攻击检 测、防范功能 , 或者或者配置不当 ,将使路由器成为攻击者进入内部网络的一个桥梁. 在路由器上供应攻击检测 和 对 路 由 器 进 行 必 要 的 安 全 配 置 , 可 以 防 止 一 部 分 的 网 络 攻 击 .7. 安全管理方面内部网络与外部网络之间的每一个数据报文都会通过路由器, 在路由器上进行报文的审计可以供应网络运行的必要信息,有助于分析网络的运行情况.（二）路由器的口

4、令路由器口令的安全分为端口登录口令、特权用户口令.使用端口登录口令可以登录到路由器,一般只能查看部分信息, 而使用特权用户口令登录可以使用全部的查看、配置和管理命令.特 权 用 户 口 令 只 能 用 于 使 用 端 口 登 录 口 令 登 录 路 由 器 后 进 入 特 权 模 式 , 不 能 用 于 端 口 登 录 .可编辑资料 - - - 欢迎下载精品名师归纳总结1. 口令加密在路由器默认配置中,口令是以纯文本形式存放的, 不利于对爱惜路由器的安全.在 Cisco 路由器上可以对口令 加 密 , 这 样 访 问 路 由 器 的 其 他 人 就 不 能 看 到 这 些 口 令 . 以 CI

5、SCO的 命 令 为 例 ：Routerconfig#servicepassword-encryption 其 中Routerconfig#为 命 令 提 示 符 ,servicepassword-encryption为 口 令 加 密 服 务 命 令 . 口令加密服务将加密全部现存的和在以后配置的口令. 建议在 Cisco网络设备配置中使用这项服务.2. 端口登录口令路由器一般有 Consle 把握台端口 、Aux 帮忙端口 和 Ethernet 口可以登录到路由器,这为网络治理员对路 由 器 进 行 管 理 提 供 了 很 大 的 方 便 , 同 时 也 给 攻 击 者 提 供 了 可 乘

6、 之 机 .因此,第一应当给相应的端口加上口令. 要留意口令的长度以及数字、字母、符号是否相混合, 以防止攻击者利用口令或默认口令进行攻击. 不同的端口可以建立不同的认证方法. 下 面以 Cisco 路 由 器 为 例 简 单 说 明 路 由 器 口 令 的 设 置 .Routerconfig#linevty04Routerconfig-line#login Routerconfig-line#exec-timeout230Routerconfig-line#passwordabc111Routerconfig-line#exitRouterconfig-#lineaux0Routerconf

7、ig-line#login Routerconfig-line#exec-timeout230Routerconfig-line#passwordabc222Routerconfig-line#exitRouterconfig#linecon0Routerconfig-line#exec-timeout230Routerconfig-line#passwordabc333Routerconfig-line#exit这样 用户 只 有输 入 相 应端 口 的 口令 才 能 从 路 由器 的 Consle 、 Aux 或 Ethernet 口登 录 路由 器 . 下 面 分 别 对 配 置 中 的

8、 命 令 进 行 说 明 ： line vty 0 4 命令用来爱惜在网络中用来进行 telnet 拜望的虚拟终端行 .由于路由器拜望有不止一个 vty 行,所以在 vty 关键字后面有两个数字 .在 Cisco 路由器上默认的行数为五行 .line vty 0 4 为全部终端行设置一个口令. line aux 和 line con 分 别 用 来 保 护 从 Aux 口 和 Consle 口 访 问 路 由 器 的 安 全 . login命 令 用 来 启 动 登 录 的 口 令 检 查 . exec-timeout 命令用来设置通话超时时间 ,上面配置中的 exec-timeout 2 3

9、0 设置为两分三十秒钟内没有输入, 将自动关闭与路由器连接的对话 ,防止网络治理员登录路由器后离开终端时被非法用户修改路由器的配置.password 命令用来设置端口口令 ,上面配置中的 password abc333 设置为从 line con 0 端口登录路由器时需要的口令.可编辑资料 - - - 欢迎下载精品名师归纳总结注意：登录口令更高的安全性为了获得更高的安全性 ,更好的登录口令处理方法是将这些口令储存在TACACS+ 或 RADIUS认证服务器上, 然后在路由器上配置使用认证服务器对用户和密码进行认证, 这种认证方式可以实现集中治理, 并获得更高的安全性和可管理性.3. 特权用户口

10、令特 权 用 户 口 令 的 设 置 可 以 使 用 enable password 命 令 和 enable secret 命 令 . 一般不用 enable password 命令,该命令设置的口令可以通过软件破解 ,存在安全漏洞 .enable secret 接受MD5散列算法对口令进行加密.以CISCO为例,具体配置如下：Router#conftermRouterconfig#enablesecretcba123在执行了这一步后查看路由器配置, 将看到无论是否开启了口令加密服务,特权用户口令都自动被加密了.4. 修改简单网络管理协议密码字简洁网络治理协议 Simple Network

11、Management Protocol,SNMP是由互联网工程任务组定义的一套网络 管理协议. 利用 SNMP, 一个治理工作站可以远程治理全部支持这种协议的网络设备,包括监视网络状态、修改网络设 备配置、接收网络事件警告等 .使用 SNMP 协议要供应密码字 ,在 CISCO 路由器中有个默认的密码字,用户在使用路由器时要修改这个密 码字,具体配置如下：Router#conftermRouterconfig#snmp-servercommunityread123RORouterconfig#snmp-servercommunitywrite123RWsnmp-servercommunityr

12、ead123RO 为设置只读密码字为read123,snmp-servercommunitywrite123 RW为设置可写密码字为write123.5.防止口令修复要留意路由器的物理安全,不要让治理员以外的人员任凭接近路由器.假如攻击者从物理上接触路由器后, 可以 通 过 口 令 修 复的 方 法 清 除 口 令 , 进 而 登 录路 由 器 并 完 全 控 制 路 由器 .在实际应用中 , 应当在使用口令的基础上, 实行将不使用的端口禁用、权限分级策略、把握连接的并发数目、接受拜望列表严格把握拜望的的址、接受AAA 设置用户等方法, 来加强路由器拜望把握的安全.（三）路由器网络服务的安全为

13、了便利用户的应用和治理,路由器上会供应了一些网络服务,如 WEB治理等。但是由于一些路由器上的 软件的漏洞、配置错误等缘由, 有些服务可能会影响路由器和网络的安全, 因此从网络安全角度应当禁止那些不 必 要的 , 或 目 前 不使 用 的 网 络 服 务. 在 Cisco路 由器 上常 见 的网 络 服务 及 禁 止方 法 如下 ：可编辑资料 - - - 欢迎下载精品名师归纳总结1. 禁止HTTP服务使用 Web 界面来把握治理路由器 ,为初学者供应了便利 ,但存在安全隐患 , 使用下面的命令可以禁止 HTTP 服务.CcertRAT（Config#noiphttpserver假如必需使用 H

14、TTP 服务来治理路由器 , 最好是协作拜望把握列表,并且用 AAA 认证来做 , 严格过滤答应的IP的 址 .建 议 在 没 有 特 殊 需 要 的 情 况 下 ,关 闭HTTP服 务 .2. 禁止CDPCiscoDiscoveryProtocol,Cisco发现协议 该协议存在于 Cisco 11.0 以后的版本中 ,都是默认启动的 .在 OSI 二层 链路层 协议的基础上可发觉对端路由器的设备平台、操作系统版本、端口、IP 的址等重要信息 .这些信息对攻击者很有用 , 为加强安全性 , 可禁止其运行,命令如下：CcertRAT（Config#nocdprun治理员也可以指定禁止某端口的C

15、DP, 比如为了让路由器内部网络使用CDP,而禁止路由器对外网的CDP应答,命令如下：CcertRATCcertRAT（Config#noConfig-if#nointerfacenocdpSerial0enable3. 禁 止 其 他 的 TCP、 UDPSmall服 务在 ios 11.3 版本之前 ,cisco 缺省供应 :echo,chargen,daytime,discard 小型服务 ,之后就禁止了 .Cisco 路由器可 以 通 过 如 下 命 令 阻 止 察 看 路 由 器 诊 断 信 息 ：CcertRAT（Config#noservicetcp-small-serversC

16、certRAT（Config#noserviceudp-samll-servers4. 禁止Finger服务可编辑资料 - - - 欢迎下载精品名师归纳总结Finger服CcertRAT CcertRAT一 般 情 况 下 建 议 关 闭 该 服 务 ：务可以暴露路由器 用 户 列表,（Config#（Config#noipfingernoservicefinger可编辑资料 - - - 欢迎下载精品名师归纳总结5. 禁止BOOTP服务BOOTP服务的全称是BOOTSTRAPPROTOCOL, 是一个 udp服务, 是一种比较早显现的远程启动的协议.cisco 路由器用它来拜望一个运行有boo

17、tp 服务的 cisco 路由器上的 ios 拷贝.缺省情形下该服务是开启的,关闭该服务的命令如下： CcertRAT（Config#noipbootpserver6. 禁 止 从 网 络 启 动 和 自 动 从 网 络 下 载 初 始 配 置 文 件CcertRAT（Config#nobootnetworkCcertRAT（Config#noservicconfig7. 禁止IPSourceRouting IP source-route 是一个全局配置命令 ,答应路由器处理带源路由选项标记的数据流 . 启用源路由选项后 , 源路由信息指定的路由使数据流能够越过默认的 路由 , 这种包就可能绕

18、过防火墙 . 这项服务需要关闭：可编辑资料 - - - 欢迎下载精品名师归纳总结CcertRAT（Config#noipsource-route8.禁止ARP-Proxy服务路由器默认是开启的,它容易引起路由表的混乱CcertRAT（Config#noipproxy-arp CcertRAT（Config-if#noipproxy-arp9. 禁止IPDirectedBroadcastip 定向广播常用于流行的smurf 和 fraggleDos 攻击.在 cisco ios12.0 前的版本中是开启这个服务的, 之后就禁止了.所谓 ip 定向广播 ,是一个发往某个子网广播的址的数据报data

19、gram, 但是这个子网并没有和发报的主机直接连接 , 定向广播是作为单播数据包而通过路由的, 直到目标的址 ,只有链路上的最终一台路由器也就是直接与 目 标 主 机 相 连 的 路 由 器 ,才 能 最 终 识 别 这 个 定 向 广 播 .Smurf攻击是一种拒绝服务攻击.在这种攻击中 ,攻击者使用假冒的源的址向你的网络广播的址发送一个“ ICMP echo ”请求 . 这要求全部的主机对这个广播请求做出回应.这种情形至少会降低你的网络性能. CISCO关闭命令如下： routerconfig-if#noipdirected-broadcast10. 禁止IPClassless 有时,路由

20、可能会收到一些发往一个没有网络缺省路由的子网的数据包, 如有启用这服务 , 路由器会将这些数据包转发给最有可能路由的超网supernet. 缺省情形下这些服务是开启的.这种服务可能被各种攻击利用.CISCO关闭命令如下CcertRAT（Config#noip：classless11.限制dns的服务缺省情形下,cisco路由器dns服务会向255.255.255.255广播的址发送名字查询, 应当防止这种广播, 由于攻击者可以伪装成一个dns服务来攻击.该服务是默认开启的, 假如要使用这个服务,务必确保在路由器的配置中明确指定dns服务的名字：CcertRAT（Config#ipnameser

21、verserver-addressserver=address2.server-address6关闭该服务的命令如下：CcertRAT（Config#noipdomain-lookup12.禁止ICMP协议的IPUnreachables,Redirects,MaskRepliesICMP 不行达消息可以向发送者通告不行达的方 的 ip 的址,攻击者能够借此映射网络.cisco 缺省开启了此消息服务.CcertRAT（Config-if#noipunreacheables重 定 向 消 息 可 以 让 一 个 端 节 点 用 特 定 的 路 由 器 做 为 通 向 特 定 目 的 的 路 径 .

22、正常的 ip 网络中, 一台路由器只向位于自己本的子网的主机发送重定向消息,端节点不会发送这种消息 , 此消息 也 不 会 超 过 一 个 网 络 跳 数 的 的 方 发 送 . 不 过 攻 击 者 可 以 违 反 这 种 规 就 .CcertRAT（Config-if#noipredirects可编辑资料 - - - 欢迎下载精品名师归纳总结cisco ios会向 icmp 掩码要求发送 icmp 掩码应答的消息 ,其中包括接口的 ip 的址掩码 .必需关闭路由器上全部路由接口的上自动应答.这个服务是缺省关闭.CcertRAT（Config-if#noipmask-reply13.禁止SNM

23、Psnmp服务答应路由器响应远程snmp查询和配置更换务的命令协议服务.假如要使用该服务 ,应使用 acl 进行限制 . 关闭该服包括：CcertRAT（Config#nosnmp-serverCcertRAT（Config#nosnmp-servercommunitypublicRocommunityadminRW CcertRAT（Config#nosnmp-serverenabletraps CcertRAT（Config#nosnmp-serversystem-shutdown CcertRAT（Config#nosnmp-servertrap-anth CcertRAT（Config

24、#nosnmp-server CcertRAT（Config#end14、禁止不使用的CcertRAT（Config#interfaceSerialCcertRAT（Config-if#端口1shutdown（四）路由协议安全1.启用OSPF路由协议的认证默认的 OSPF 认证密码是明文传输的 ,建议启用 MD5 认证,并设置确定强度密钥 key, 相对的路由器也必需有相同的Key值.例子如下：CcertRAT（Config#routerospf100Config-router#network192.168.100.00.0.0.255area100用MD5认证.CcertRAT（.启.are

25、aarea-idauthentication启用认证,是明文密码认证.areaarea-idauthenticationmessage-digest CcertRAT（Config-router#area100authenticationmessage-digest CcertRAT（Config#exitCcertRAT（Config#interfaceeth0/1.启用MD5密钥Key为routerospfkey.ipospfauthentication-keykey启 用认 证 密 钥 ,但 会 是 明 文 传输 .ipospfmessage-digest-keykey-id1-255md5key CcertRAT （Config-if# ip ospf message-digest-key 1 md5 routerospfkey可编辑资料 - - - 欢迎下载