《Cisco路由器的安全配置》由会员分享,可在线阅读,更多相关《Cisco路由器的安全配置(7页珍藏版)》请在金锄头文库上搜索。
1、Cisco 路由器的安全配置目前大多数的企事业单位和部门连 Internet 网,通常都是一台路由器与 ISP 连结实现。这台路由器就是沟通外部 Internet 和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。 现在大多数的路由器都是 Cisco 公司的产品或与其功能近似,本文在这里就针对 Cisco 路由器的安全配置进行管理。考虑到路由器的作用和位置,路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。目前路由器(以 Cisco 为例)本身也都带有一定的安全功能,如访问列表、加密等,但是在缺省配置时,这些功能大多数都
2、是关闭的。需要进行手工配置。怎样的配置才能最大的满足安全的需要,且不降低网络的性能?本文从以下几个部分分别加以说明: 一一. 口令管理口令管理口令是路由器是用来防止对于路由器的非授权访问的主要手段,是路由器本身安全的一部分。最好的口令处理方法是将这些口令保存在 TACACS+或RADIUS 认证服务器上。但是几乎每一个路由器都要有一个本地配置口令进行权限访问。如何维护这部分的安全?1 使用 enable secretenable secret 命令用于设定具有管理员权限的口令。并且如果没有enable secret,则当一个口令是为控制台 TTY 设置的,这个口令也能用于远程访问。这种情况是不
3、希望的。还有一点就是老的系统采用的是enable password,虽然功能相似,但是 enable password 采用的加密算法比较弱。2 使用 service password-encryption这条命令用于对存储在配置文件中的所有口令和类似数据(如 CHAP)进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。但是service password-encrypation 的加密算法是一个简单的维吉尼亚加密,很容易被破译。这主要是针对 enable password 命令设置的口令。而 enable secret 命令采用的是 MD5 算法,这种算法很难进行破译的。但是
4、这种 MD5 算法对于字典式攻击还是没有办法。所以不要以为加密了就可以放心了,最好的方法就是选择一个长的口令字,避免配置文件被外界得到。且设定 enable secret 和 service password-encryption。二二. 控制交互式访问控制交互式访问任何人登录到路由器上都能够显示一些重要的配置信息。一个攻击者可以将路由器作为攻击的中转站。所以需要正确控制路由器的登录访问。尽管大部分的登录访问缺省都是禁止的。但是有一些例外,如直连的控制台终端等。控制台端口具有特殊的权限。特别注意的是,当路由器重启动的开始几秒如果发送一个 Break 信号到控制台端口,则利用口令恢复程式可以很容
5、易控制整个系统。这样如果一个攻击者尽管他没有正常的访问权限,但是具有系统重启(切断电源或系统崩溃)和访问控制端口(通过直连终端、Modem、终端服务器)的能力就可以控制整个系统。所以必须保证所有连结控制端口的访问的安全性。除了通过控制台登录路由器外还有很多的方法,根据配置和操作系统版本的不同,可以支持如 Telnet、rlogin、Ssh 以及非基于 IP 的网络协议如LAT、MOP、X.29 和 V.120 等或者 Modem 拨号。所有这些都涉及到 TTY,本地的异步终端和拨号 Modem 用标准的“TTYs“。远地的网络连结不管采用什么协议都是虚拟的 TTYs,即“VTYs“。要控制路由
6、器的访问,最好就是控制这些TTYs 或 VTYs,加上一些认证或利用 login、no password 命令禁止访问。1控制 TTY缺省的情况下一个远端用户可以连结到一个 TTY,称为“反向 Telnet“,允许远端用户和连接到这个 TTY 上的终端或 Modem 进行交互。但是这些特征允许一个远端用户连接到一个本地的异步终端口或一个拨入的 Modem 端口,从而构造一个假的登录过程来偷盗口令或其他的非法活动。所以最好禁止这项功能,可以采用 transport input none 设置任何异步或 Modem 不接收来自网络用户的连结。如果可能,不要用相同的 Modem 拨入和拨出,且禁止反
7、向 Telnet 拨入。2控制 VTY为了保证安全,任何 VTY 应该仅允许指定的协议建立连结。利用transport input 命令。如一个 VTY 只支持 Telnet 服务,可以如下设置transport input telnet。如果路由器操作系统支持 SSH,最好只支持这个协议,避免使用明文传送的 Telnet 服务。如下设置:transport input ssh。也可以利用ip access-class 限制访问 VTY 的 ip 地址范围。因为 VTYs 的数目有一定的限制,当所有的 VTYs 用完了,就不能再建立远程的网络连结了。这就有可能被利用进行 Dos(拒绝服务攻击)
8、。这里攻击者不必登录进入,只要建立连结,到 login 提示符下就可以,消耗到所有的VTYs。对于这种攻击的一个好的防御方法就是利用 ip access-class 命令限制最后一个 VTYs 的访问地址,只向特定管理工作站打开。而其他的 VTYs 不限制,从而既保证了灵活性,也保证关键的管理工作不被影响。另一个方法是利用exec-timeout 命令,配置 VTY 的超时。避免一个空闲的任务一直占用 VTY。类似的也可以用 service tcp-keepalives-in 保证 Tcp 建立的入连结是活动的,从而避免恶意的攻击或远端系统的意外崩溃导致的资源独占。更好的保护 VTY 的方法是
9、关闭所有非基于 IP 的访问,且使用 IPSec 加密所有的远端与路由器的连结。三三. 管理服务配置管理服务配置许多的用户利用协议如 Snmp 或 Http 来管理路由器。但是利用这些协议管理服务时,就会存在一定的安全问题。1 SnmpSnmp 是最经常用于路由器的管理的协议。目前使用最多的 Snmp 版本 1,但是这个版本的 Snmp 存在着很多的安全问题:A 使用明文认证,利用“community“字符串。 B 在周期性轮循时,重复的发送这些“community“。C 采用容易被欺骗的基于数据包的协议。所以尽量采用 Snmp V2,因为它采用基于 MD5 的数字认证方式,并且允许对于不同的
10、管理数据进行限制。如果一定要使用 Snmp V1,则要仔细的配置。如避免使用缺省的 community 如 public,private 等。避免对于每个设备都用相同的 community,区别和限制只读和读写 commnity。对于 Snmp V2,则可能的话对于不同的路由器设定不同的 MD5 安全值。还有就是最好使用访问列表限定可以使用 Snmp 管理的范围。2 Http:最近的路由器操作系统支持 Http 协议进行远端配置和监视。而针对 Http 的认证就相当于在网络上发送明文且对于 Http 没有有效的基于挑战或一次性的口令保护。这使得用 Http 进行管理相当危险。如果选择使用 Ht
11、tp 进行管理,最好用 ip http access-class 命令限定访问地址且用 ip http authentication 命令配置认证。最好的 http 认证选择是利用TACACS+或 RADIUS 服务器。四四. 日志日志利用路由器的日志功能对于安全来说是十分重要的。Cisco 路由器支持如下的日志1 AAA 日志:主要收集关于用户拨入连结、登录、Http 访问、权限变化 等。这些日志用 TACACS+或 RADIUS 协议送到认证服务器并本地保存下来。 这些可以用 aaa accouting 实现。2 Snmp trap 日志:发送系统状态的改变到 Snmp 管理工作站。3 系
12、统日志:根据配置记录大量的系统事件。并可以将这些日志发送到 下列地方:a 控制台端口 b Syslog 服务器 c TTYs 或 VTYsd 本地的日志缓存。这里最关心的就是系统日志,缺省的情况下这些日志被送到控制台端口, 通过控制台监视器来观察系统的运行情况,但是这种方式信息量小且无法记录 下来供以后的查看。最好是使用 syslog 服务器,将日志信息送到这个服务器保 存下来。五路由安全五路由安全 1防止伪造:伪造是攻击者经常使用的方法。通过路由器的配置可以在一定程度上防止 伪造。通常是利用访问列表,限制通过的数据包的地址范围。但是有下面几点 注意的。A 可以在网络的任何一点进行限制,但是最
13、好在网络的边界路由器上进 行,因为在网络内部是难于判断地址伪造的。B 最好对接口进入的数据进行访问控制(用 ip access-group list in)。因 为输出列表过滤只保护了位于路由器后的网络部分,而输入列表数据过滤还保 护了路由器本身不受到外界的攻击。C 不仅对外部的端口进行访问控制,还要对内部的端口进行访问控制。 因为可以防止来自内部的攻击行为。下面是一个是一个访问列表的例子:ip access-list number deny icmp any any redirect 拒绝所有的 Icmp 重定向ip access-list number deny ip host 127.0
14、.0.0 0.255.255.255 any 拒绝 Loopback 的数据包ip access-list number deny ip 224.0.0.0 31.255.255.255 any 拒绝多目地址的数 据包除了访问列表的限制外,还可以利用路由器的 RPF 检查 (ip verify unicast rpf)。这项功能主要用于检查进入接口的数据包的源地址, 根据路由表判断是不是到达这个源地址的路由是不是也经过这个接口转发,如果不是则抛弃。这进一步保证了数据源的正确性。但是这种方式不适合非对称 的路由,即 A 到 B 的路由与 B 到 A 的路由不相同。所以需要判断清楚路由器 的具体配
15、置。2控制直接广播一个 IP 直接广播是一个目的地为某个子网的广播地址的数据包,但是这个 发送主机的不与这个目的子网直接相连。所以这个数据包被路由器当作普通包 转发直到目的子网,然后被转换为链路层广播。由于 Ip 地址结构的特性,只有 直接连接到这个子网的路由器能够识别一个直接广播包。针对这个功能,目前 存在一种攻击称为“smurf“,攻击者通过不断的发送一个源地址为非法地址的直 接广播包到攻击的子网。从而导致子网的所有主机向这个非法地址发送响应, 最终导致目的网络的广播风暴。对于这种攻击可以在路由器的接口上设置 no ip directed-broadcast,但是这 种直接广播包,要被这个
16、接口转换成链路层的广播而不是抛弃,所以为了更好 防止攻击,最好在将所有可能连接到目的子网的路由器都配置 no ip directed- broadcast。3 防止路由攻击源路由攻击一种常用攻击方法,因为一些老的 Ip 实现在处理源路由包时存 在问题,所以可能导致这些机器崩溃,所以最好在路由器上关闭源路由。用命 令 no ip source-route。Icmp 重定向攻击也是一种常用的路由攻击方法。攻击者通过发送错误的重 定向信息给末端主机,从而导致末端主机的错误路由。这种攻击可以通过在边 界路由器上设定过滤所有 icmp 重定向数据来实现。但是这只能阻止外部的攻击 者,如果攻击者和目的主机在同一个网段则没有办法。当路由器采用动态协议时,攻击者可以伪造路由包,破坏路由器的路由表。 为了防止这种攻击可以利用访问列表(distribute-list in)限定正确路由信息的范 围。并且如果可能则采用认证机制。如 Rip 2 或 ospf 支持认证等。六六. 流量管理流量管理目前大多数的 Dos 攻击都是通过发送大量的无用包,从而占用路由器和
