路由器的安全配置

LOGO路由器的安全配置中国科技网工作交流会2010年4月16日何群辉概述路由器的安全目标路由器安全策略的基础可实施的路由器安全配置路由器的安全目标防止对路由器的未经授权的访问防止对网络的未经授权的访问防止网络数据窃听防止欺骗性路由更新路由器安全策略的基础找出需要保护的网络资源确定危险之处限制访问范围确定安全措施的代价物理安全可实施的路由器安全配置路由器访问安全路由器网络服务安全配置访问控制列表和过滤路由的安全配置日志和管理路由器访问安全——物理运行环境的安全性合适的温度和湿度不受电磁干扰使用UPS电源供电等路由器访问安全交互式访问控制风险描述被攻击者利用进行Dos，消耗掉所有的VTYs风险等级高安全措施仅允许的ip地址范围可以利用ipaccess-class限制访问VTY利用exec-timeout命令，配置VTY的超时安全措施存在的风险网管员登录路由器不够灵活使用命令集ipaccess-liststandard1-99(标准列表)linevty04access-class标准列表号inlinevty04exec-timeout时间值路由器访问安全——交互式访问控制使用实例：#仅允许159.226.58.0这一个C的地址、159.226.1.032个地址通过vty登录路由器ciscoenablepassword:输入enable口令cisco#configtcisco（config）#ipaccess-liststandard99#先一个标准控制列表#cisco（config-std-nacl）#permit159.226.58.00.0.0.255cisco（config-std-nacl）#permit159.226.1.00.0.0.31cisco（config-std-nacl）#denyanycisco（config-std-nacl）#exitcisco（config）#linevty04#在虚拟终端应用控制列表#cisco(config-line)#access-class99incisco(config-line)#exec-timeout5#超过5分钟后，无任何操作，就取消该连接会话cisco(config-line)#exitcisco#write#保存配置路由器访问安全本地口令安全配置风险描述加密算法弱的话，口令容易被破解风险等级高安全措施设定一个长口令使用enablesecret命令使用servicepassword-encryption（密码加密服务）安全措施存在的风险使用命令集全局配置enablesecretservicepassword-enacryption路由器访问安全—本地口令安全配置使用实例：#设置一个enable口令，同时启用密码加密服务ciscoenable#没配置特权密码时，输入enable，直接进入特权配置模式#cisco#configtcisco（config）#enablesecret密码cisco（config）#servicepassword-enacryption路由器网络服务安全配置基于TCP和UDP协议的小服务风险描述如echo服务，容易被攻击者利用它来发数据包，好像是路由器本身发送的数据包风险等级中安全措施禁用这些小服务安全措施存在的风险使用命令集全局配置noservicetcp-small-serversnoserviceudp-small-servers路由器网络服务安全配置使用实例：#如果发现在路由器上启用了这些小服务，就可以通过这些命令禁止，一般来说现在的路由器设备和三层交换机都默认不启用这些小服务。ciscoenablepassword:输入enable口令cisco#configtcisco（config）#noservicetcp-small-serverscisco（config）#noserviceudp-small-servers路由器网络服务安全配置Finger、NTP、CDP等服务风险描述Finger服务可能被攻击者利用查找用户和口令攻击。NTP服务，如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错。CDP可能被攻击者利用获得路由器的版本等信息，从而进行攻击。风险等级中安全措施禁用Finger和CDP服务如启用NTP服务，需加认证安全措施存在的风险使用命令集noservicefingerntpauthenticatentpauthentication-keynumbermd5keyntptrusted-keynumberntpserveripaddresskeynumbernocdprun（全局配置）nocdpenable（端口配置）路由器网络服务安全配置使用实例：#如路由器启用了finger服务，可用下列命令禁用finger服务ciscoenablepassword:输入enable口令cisco#configtcisco（config）#noservicefinger#禁止CDP(CiscoDiscoveryProtocol）cisco（config）#nocdp#全局模式配置禁止cdp路由器网络服务安全配置#ntp的认证配置分中心核心设备配置：cisco（config）#ntpauthenticatecisco（config）#ntpauthentication-key10md5ntp密码#定义的认证串并将其赋值#所级路由器配置：cisco（config）#ntpauthenticatecisco（config）#ntpauthentication-key10md5ntp密码cisco（config）#ntptrusted-key10cisco（config）#ntpserver分中心核心设备loopback地址key10访问控制列表和过滤防止外部对内部进行IP地址欺骗风险描述外部网络的非法用户将自己的IP地址改成内部网络的合法IP地址，从而获得局域网的非法访问权限。风险等级中安全措施利用控制列表禁止源地址为内部地址的数据包使用ipverifyunicastreverse-path丢弃欺骗性数据包安全措施存在的风险使用ipverifyunicastreverse-path对路由器的性能影响较大，最好是用在外部连入路由器的状态，并且把内存加大些，否则可能会死机使用命令集ipaccess-list（全局配置）ipaccess-group（端口配置）ipcef（全局配置）ipverifyunicastreverse-path（端口配置）访问控制列表和过滤——防止外部IP地址欺骗使用实例：#防止外部对内部159.226.1.0一个C地址进行ip地址欺骗cisco（config）#ipaccess-listextended101#定义扩展列表号cisco（config-ext-nacl）#denyip159.226.1.00.0.0.255anycisco（config-ext-nacl）#permintanyanycisco（config-ext-nacl）#exitcisco(config)#interfaceGigabitEthernet0/1（外口端口号）cisco(config-if)#ipaccess-group101in#在外口的in方向上应用该扩展列表访问控制列表和过滤——防止外部IP地址欺骗使用实例：cisco（config）#ipcef#启用快速交换cisco（config）#interfaceg0/0（外口端口）cisco（config-if）#ipverifyunicastreverse-pathacl#在接口上启用UnicastRPF，ACL为可选项注意：对路由器的性能影响较大，最好是用在外部连入路由器的状态，并且把内存加大些，否则可能会死机的。访问控制列表和过滤——防止外部的非法探测风险描述非法访问者对内部网络发起攻击前，往往会用ping或其他命令探测网络，了解网络的结构及相关信息。风险等级低安全措施用控制列表阻止用ping和traceroute探测安全措施存在的风险使用命令集ipaccess-listinterfaceg0/0ipaccess-group102out（端口配置）访问控制列表和过滤——防止外部的非法探测使用实例：cisco（config）#ipaccess-listextended102cisco（config-ext-nacl）#denyicmpanyanyecho#阻止ping探测网络cisco（config-ext-nacl）#denyicmpanyanytime-exceeded#阻止阻止答复输出，不阻止探测进入cisco（config-ext-nacl）#permintanyanycisco(config-ext-nacl)#exitcisco（config）#interfaceg0/0#在外口上应用该列表cisco（config-if）#ipaccess-group102out访问控制列表和过滤阻止对关键端口的非法访问针对sql-slammer、Netbios_Worm.Dvldr_蠕虫的访问列表风险描述防止遭受蠕虫、震荡波等病毒的攻击风险等级高安全措施使用控制列表保护关键端口安全措施存在的风险使用命令集ipaccess-list（全局配置）interfaceg0/0ipaccess-group150in（端口配置）访问控制列表和过滤——阻止对关键端口的非法访问使用实例：cisco（config）#ipaccess-listextended150cisco（config-ext-nacl）#denydenytcpanyanyeq135#禁止使用RPC远程过程调用服务端口cisco（config-ext-nacl）#denydenytcpanyanyeq139#禁止使用对外提供共享服务端口cisco（config-ext-nacl）#denydenyudpanyanyeq135cisco（config-ext-nacl）#denydenytcpanyanyeq137#禁止提供名称服务端口cisco（config-ext-nacl）#denydenytcpanyanyeq138#禁止提供名称服务端口cisco（config-ext-nacl）#permintanyanycisco(config-ext-nacl)#exitcisco（config）#interfaceg0/0#在外口上应用该列表cisco（config-if）#ipaccess-group150in访问控制列表和过滤——针对sql-slammer、Netbios_Worm.Dvldr_蠕虫的访问列表使用实例：cisco（config）#ipaccess-listextended150cisco（config-ext-nacl）#denydenyudpanyanyeq1434#用于控制slammerwormcisco（config-ext-nacl）#denydenytcpanyanyeq445#用于控制蠕虫的扫描和感染cisco（config-ext-nacl）#denydenytcpanyanyeq5554#防止震荡波病毒攻击cisco（config-ext-nacl）#denydenytcpanyanyeq9996#防止震荡波病毒攻击cisco（config-ext-nacl）#denydenytcpanyanyeq5800#用于防止受感染的系统被远程控制cisco（config-ext-nacl）#denydenytcpanyanyeq5900#用于防止受感染的系统被远程控制cisco（config-ext-nacl）#deny250anyany#防止Dvldr32蠕虫攻击cisco（config-ext-nacl）#deny0anyany#用于控制ip协议为0的流量cisco（config-ext-nacl）#perm