您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 第6章路由器的安全管理
第6章路由器安全管理6.1路由器安全概述6.2AAA与RADIUS协议原理及配置6.3访问控制列表配置6.4IPSec与IKE技术与配置在目前的网络体系中,路由器是多种网络互联的重要设备,因为路由器一般位于防火墙之外,是边界网络的前沿,所以路由器的安全管理成为了第一道防线。在默认情况下,路由器访问密码存储在固定位置,用第一章讲到的sniffer嗅探器很容易获得登录名和密码,从而使路由器完全受到攻击者控制,从而入侵整个路由器管理的网络。目前的路由器种类繁多,优质的路由器都有自己丰富的安全机制,一般都内置了入侵检测系统,但还进一步需要网络管理员配置相应的安全策略及进行相应的管理。在这一章中,针对路由器使用最多的AAA(验证、授权和审计)、访问控制技术和数据加密和防伪和数据加密技术(VPN技术)进行系统介绍,使管理员有章可循,路由器平台很多,国内应用最多的主要有思科公司的IOS平台和华为公司的VRP平台两大阵营,本章以华为的VRP的安全配置命令为例进行介绍。针对网络存在的各种安全隐患,路由器必须具有的安全特性包括:身份认证、访问控制、信息隐藏、数据加密和防伪、安全管理、可靠性和线路安全。可靠性要求主要针对故障恢复、负载能力和主设备运行故障时,备份自动接替工作。负载分担主要指网络流量增大时,备份链路承担部分主用链路的工作,线路安全指的是线路本身的安全性,用于防止非法用户利用线路进行访问。网络安全身份认证包括:访问路由器时的身份认证、Console登陆配置、Telnet登陆配置、SNMP登陆配置、Modem远程配置、对其它路由的身份认证、直接相连的邻居路由器配置、逻辑连接的对等体配置、路由信息的身份认证、防伪造路由信息的侵入安全特性。6.2AAA与RADIUS协议原理及配置AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称。它提供对用户进行认证、授权和计费三种安全功能。AAA一般采用客户/服务器结构,客户端运行于被管理的资源侧,服务器上则集中存放用户信息。这种结构既具有良好的可扩展性,又便于用户信息的集中管理。具体如下:·认证(Authentication):认证用户是否可以获得访问权,确定哪些用户可以访问网络。·授权(Authorization):授权用户可以使用哪些服务。·计费(Accounting):记录用户使用网络资源的情况。实现AAA功能可以在本地进行,也可以由AAA服务器在远程进行。记费功能由于占用系统资源大通常都使用AAA服务器实现。对于用户数量大的情况,验证和授权也应该使用AAA服务器。AAA服务器与网络设备的通信有标准的协议,日前比较流行的是RADIUS协议。提供AAA支持的服务包括:PPP的PAP和CHAP(验证用)、通过telnet登陆到路由器、以及通过各种方式(如console口,aux口等)进入到路由器进行配置的操作和FTP即通过ftp登陆到路由器的用户。1、验证用户名、口令验证:包括PPP的PAP验证、用户的CHAP验证、EXEC用户验证、FTP拥护验证和拨号的PPP用户可以进行号码验证。2、授权服务类型授权包括一个用户授权提供的服务。可以是PPP、EXEC、FTP中的一种或几种。回呼号码对PPP回呼用户可以设定回呼号码。隧道属性配置L2TP的隧道属性。验证、授权可以在本地进行,也可以在RADIUS服务器进行。但对一个应用服务的验证和授权应使用相同的方法,可以使验证、授权均在本地进行,也可以使用RADIUS服务器。RADIUS是远程认证拨号用户服务(RemoteAuthenticationDial-InUserService)的简称,最初由LivingstonEnterprise公司开发,作为一种分布式的客户机/服务器系统,能提供AAA功能。RADIUS技术可以保护网络不受未授权访问的干扰,常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(如用来管理使用串口和调制解调器的大量分散拨号用户)RADIUS服务器对用户的认证过程通常需要利用NAS等设备的代理认证功能,RADIUS客户端和RADIUS服务器之间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,增强了安全性。RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信息。RADIUS的基本消息交互流程如下:RADIUS实现AAA的流程如下:6.2.2AAA与RADIUS协议配置方法首次使用AAA,经常发生配置了用户而验证不通过的情况。这实际上是由于没有学会灵活使用aaaaccounting-schemeoptional的原因。这种情况不是验证不通过,而是计费失败,切断了用户。因为开始使用的时候启用AAA,这时缺省使用本地验证。而本地验证也是需要计费的,由于没有配置RADIUS服务器,造成计费失败,而因为没有配置aaaaccounting-schemeoptional,在计费失败时就断开用户,因此用户不能成功上网。aaaaccounting-schemeoptional的作用是在计费失败时允许用户继续使用网络。因此在只验证不了计费的情况下,一定要注意配置aaaaccounting-schemeoptional命令。AAA的配置包含如下几个主要步骤:1.首先应该能够使用AAA,因为在默认情况下是禁止使用AAA。在系统视图下进行下列配置,操作命令为:AAAaaaenable禁止AAAundoaaaenable2.配置认证方案·如果配置通过FTP、Telnet登录到路由器,以及通过各种终端服务方式(如Console口、Aux口等)进入到路由器进行配置的操作的Login用户认证方案,在系统视图下操作命令如下:aaaauthentication-schemelogin{default|scheme-name}[method1|[templateserver-template-name[method2]]删除AAA的Login认证方案或恢复undoaaaauthentication-schemelogin{default|scheme-name}其中,method1为认证方法,可以有以下5种情况:none,local,radius,radiusnone,radiuslocal。method2只能为local或none。6.2.3AAA和RADIUS显示与调试在完成上述配置后,在所有视图下执行display命令可以显示配置后AAA和RADIUS的运行情况,通过查看显示信息认证配置的效果。执行debugging命令可对AAA和RADIUS进行调试。显示在线用户情况displayaaauser查看本地用户数据库displaylocal-user打开AAA事件调试开关debuggingaaaevent关闭AAA事件调试开关undodebuggingaaaevent打开AAA原语调试开关debuggingaaaprimitive关闭AAA原语调试开关undodebuggingaaaprimitive打开RADIUS报文调试开关debuggingradiuspacket关闭RADIUS报文调试开关undodebuggingradiuspacket6.2.4AAA和RADIUS典型配置举例1..对PPP用户采用RADIUS服务器进行认证、计费组网需求RADIUS服务器129.7.66.66作为主认证和计费服务器,RADIUS服务器129.7.66.67作为备用认证服务器和计费服务器,认证端口号默认为1812,计费端口号默认为1813。组网图配置步骤配置RouterA#启动AAA。[Quidway]aaaenable#配置PPP用户的缺省认证方案。[Quidway]aaaauthentication-schemepppdefaultradius#配置RADIUS服务器IP地址和端口。[Quidway]radiusserver129.7.66.66auth-primaryacct-primary[Quidway]radiusserver129.7.66.67#配置RADIUS服务器密钥、重传次数、超时定时器时间长度及计费选项。[Quidway]radiusshared-keythis-is-my-secret[Quidway]radiusretry2[Quidway]aaaaccounting-schemepppdefaultradius[Quidway]radiustimerresponse-timeout5#配置Serial0/0/0口应用认证方案。[Router-Serial0/0/0]pppauthentication-modechapschemedefault2.对FTP用户采用RADIUS服务器进行认证组网需求对FTP用户先用RADIUS服务器进行认证,如果没有响应,则不认证。认证服务器使用129.7.66.66,无备用服务器,端口号为默认值1812。组网图同上配置步骤#启动AAA。[Quidway]aaaenable#配置Login用户的缺省认证方案。[Quidway]aaaauthentication-schemelogindefaultradiusnone#配置RADIUS服务器IP地址和端口,使用默认端口号。[Quidway]radiusserver129.7.66.66#配置RADIUS服务器密钥、重传次数、超时定时器时间长度及RADIUS服务器down掉后的恢复时间。[Quidway]radiusshared-keythis-is-my-secret[Quidway]radiusretry4[Quidway]radiustimerresponse-timeout2[Quidway]radiustimerquiet1#启动FTP服务器。[Quidway]ftp-serverenable6.3访问控制列表配置访问控制列表(AccessControlList,ACL)为网络设备提供基本的服务安全性。对某类服务而言,安全管理员首先应该考虑该服务是否有必要运行在当前环境中。如果有必要,又有哪些用户能够享用该服务。如果该服务不必要,则应当禁止该服务。因为运行这个不必要的服务,不仅会浪费网络等资源,而且会给当前的网络环境带来安全隐患。如果是部分用户需要,则应当为该服务规划权限,禁止无权限的用户使用该服务。如果某类服务仅仅在网络内部需要,则还需尽力避免该服务被网络外部访问。同样,如果某类服务仅在网络外部是必须的,则管理员还应将该服务限制在网络外部。对于某些服务来说,即使用户能使用该服务,安全管理员也应该能监管该服务的使用情况,比如控制某服务只能在某段时间内使用,对该服务的使用量进行统计等等。在使用访问控制列表之前,安全管理员必须非常清楚当前网络环境的安全规划,和潜在的安全问题。例如在企业网内部,管理员必须清楚部门A、部门B能够访问的服务器内容,部门A和部门B相互之间能够互通的服务,各部门能够访问的企业网络外部服务,能被企业网络外部访问的服务,以及服务器的访问权限等等。对到达端口的数据包进行分类,并打上不同的动作标记,访问列表作用于路由器的所有端口,访问列表的主要用途有:包过滤、镜像、流限制、流统计、分配队列优先级等。当访问控制列表被创建后,既可以以用于拒绝某些数据包经过某个路由器接口,也可用于拒绝某些数据包经过路由器的所有接口。路由器的访问控制列表在创建后将应用路由器的端口上。默认情况下,路由器将允许所有的数据包经过所有接口,即不做任何转发限制。而采用访问控制列表,则路由器在转发某个数据包之前,将会参考访问控制列表中的内容以确定是否转发。最初,访问控制列表的作用仅限于决定是否转发数据包(如转发或去弃)。管理员只能对怀疑的数据包作出丢弃决定,但不能监控那些存在安全隐患的数据包。路由器提供给管理员更丰富的功能,如利用访问控制列表进行数据包分析、流量限制和流量统计。使用的技术如下:包过滤(PacketFiltering)技术指对每个数据包按照用户所定义的项日进行过
本文标题:第6章路由器的安全管理
链接地址:https://www.777doc.com/doc-2197741 .html