第6章 路由器的安全管理

第6章路由器安全管理6.1路由器安全概述6.2AAA与RADIUS协议原理及配置6.3访问控制列表配置6.4IPSec与IKE技术与配置在目前的网络体系中，路由器是多种网络互联的重要设备，因为路由器一般位于防火墙之外，是边界网络的前沿，所以路由器的安全管理成为了第一道防线。在默认情况下，路由器访问密码存储在固定位置，用第一章讲到的sniffer嗅探器很容易获得登录名和密码，从而使路由器完全受到攻击者控制，从而入侵整个路由器管理的网络。目前的路由器种类繁多，优质的路由器都有自己丰富的安全机制，一般都内置了入侵检测系统，但还进一步需要网络管理员配置相应的安全策略及进行相应的管理。在这一章中，针对路由器使用最多的AAA（验证、授权和审计）、访问控制技术和数据加密和防伪和数据加密技术（VPN技术）进行系统介绍，使管理员有章可循，路由器平台很多，国内应用最多的主要有思科公司的IOS平台和华为公司的VRP平台两大阵营，本章以华为的VRP的安全配置命令为例进行介绍。针对网络存在的各种安全隐患，路由器必须具有的安全特性包括：身份认证、访问控制、信息隐藏、数据加密和防伪、安全管理、可靠性和线路安全。可靠性要求主要针对故障恢复、负载能力和主设备运行故障时，备份自动接替工作。负载分担主要指网络流量增大时，备份链路承担部分主用链路的工作，线路安全指的是线路本身的安全性，用于防止非法用户利用线路进行访问。网络安全身份认证包括：访问路由器时的身份认证、Console登陆配置、Telnet登陆配置、SNMP登陆配置、Modem远程配置、对其它路由的身份认证、直接相连的邻居路由器配置、逻辑连接的对等体配置、路由信息的身份认证、防伪造路由信息的侵入安全特性。6.2AAA与RADIUS协议原理及配置AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称。它提供对用户进行认证、授权和计费三种安全功能。AAA一般采用客户/服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。具体如下：·认证（Authentication）：认证用户是否可以获得访问权，确定哪些用户可以访问网络。·授权（Authorization）：授权用户可以使用哪些服务。·计费（Accounting）：记录用户使用网络资源的情况。实现AAA功能可以在本地进行，也可以由AAA服务器在远程进行。记费功能由于占用系统资源大通常都使用AAA服务器实现。对于用户数量大的情况，验证和授权也应该使用AAA服务器。AAA服务器与网络设备的通信有标准的协议，日前比较流行的是RADIUS协议。提供AAA支持的服务包括：PPP的PAP和CHAP（验证用)、通过telnet登陆到路由器、以及通过各种方式(如console口，aux口等)进入到路由器进行配置的操作和FTP即通过ftp登陆到路由器的用户。1、验证用户名、口令验证：包括PPP的PAP验证、用户的CHAP验证、EXEC用户验证、FTP拥护验证和拨号的PPP用户可以进行号码验证。2、授权服务类型授权包括一个用户授权提供的服务。可以是PPP、EXEC、FTP中的一种或几种。回呼号码对PPP回呼用户可以设定回呼号码。隧道属性配置L2TP的隧道属性。验证、授权可以在本地进行，也可以在RADIUS服务器进行。但对一个应用服务的验证和授权应使用相同的方法，可以使验证、授权均在本地进行，也可以使用RADIUS服务器。RADIUS是远程认证拨号用户服务（RemoteAuthenticationDial-InUserService）的简称，最初由LivingstonEnterprise公司开发，作为一种分布式的客户机/服务器系统，能提供AAA功能。RADIUS技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）RADIUS服务器对用户的认证过程通常需要利用NAS等设备的代理认证功能，RADIUS客户端和RADIUS服务器之间通过共享密钥认证相互间交互的消息，用户密码采用密文方式在网络上传输，增强了安全性。RADIUS协议合并了认证和授权过程，即响应报文中携带了授权信息。RADIUS的基本消息交互流程如下：RADIUS实现AAA的流程如下：6.2.2AAA与RADIUS协议配置方法首次使用AAA，经常发生配置了用户而验证不通过的情况。这实际上是由于没有学会灵活使用aaaaccounting-schemeoptional的原因。这种情况不是验证不通过，而是计费失败，切断了用户。因为开始使用的时候启用AAA，这时缺省使用本地验证。而本地验证也是需要计费的，由于没有配置RADIUS服务器，造成计费失败，而因为没有配置aaaaccounting-schemeoptional，在计费失败时就断开用户，因此用户不能成功上网。aaaaccounting-schemeoptional的作用是在计费失败时允许用户继续使用网络。因此在只验证不了计费的情况下，一定要注意配置aaaaccounting-schemeoptional命令。AAA的配置包含如下几个主要步骤：1．首先应该能够使用AAA，因为在默认情况下是禁止使用AAA。在系统视图下进行下列配置，操作命令为：AAAaaaenable禁止AAAundoaaaenable2.配置认证方案·如果配置通过FTP、Telnet登录到路由器，以及通过各种终端服务方式（如Console口、Aux口等）进入到路由器进行配置的操作的Login用户认证方案，在系统视图下操作命令如下：aaaauthentication-schemelogin{default|scheme-name}[method1|[templateserver-template-name[method2]]删除AAA的Login认证方案或恢复undoaaaauthentication-schemelogin{default|scheme-name}其中，method1为认证方法，可以有以下5种情况：none，local，radius，radiusnone，radiuslocal。method2只能为local或none。6.2.3AAA和RADIUS显示与调试在完成上述配置后，在所有视图下执行display命令可以显示配置后AAA和RADIUS的运行情况，通过查看显示信息认证配置的效果。执行debugging命令可对AAA和RADIUS进行调试。显示在线用户情况displayaaauser查看本地用户数据库displaylocal-user打开AAA事件调试开关debuggingaaaevent关闭AAA事件调试开关undodebuggingaaaevent打开AAA原语调试开关debuggingaaaprimitive关闭AAA原语调试开关undodebuggingaaaprimitive打开RADIUS报文调试开关debuggingradiuspacket关闭RADIUS报文调试开关undodebuggingradiuspacket6.2.4AAA和RADIUS典型配置举例1．.对PPP用户采用RADIUS服务器进行认证、计费组网需求RADIUS服务器129.7.66.66作为主认证和计费服务器，RADIUS服务器129.7.66.67作为备用认证服务器和计费服务器，认证端口号默认为1812，计费端口号默认为1813。组网图配置步骤配置RouterA#启动AAA。[Quidway]aaaenable#配置PPP用户的缺省认证方案。[Quidway]aaaauthentication-schemepppdefaultradius#配置RADIUS服务器IP地址和端口。[Quidway]radiusserver129.7.66.66auth-primaryacct-primary[Quidway]radiusserver129.7.66.67#配置RADIUS服务器密钥、重传次数、超时定时器时间长度及计费选项。[Quidway]radiusshared-keythis-is-my-secret[Quidway]radiusretry2[Quidway]aaaaccounting-schemepppdefaultradius[Quidway]radiustimerresponse-timeout5#配置Serial0/0/0口应用认证方案。[Router-Serial0/0/0]pppauthentication-modechapschemedefault2．对FTP用户采用RADIUS服务器进行认证组网需求对FTP用户先用RADIUS服务器进行认证，如果没有响应，则不认证。认证服务器使用129.7.66.66，无备用服务器，端口号为默认值1812。组网图同上配置步骤#启动AAA。[Quidway]aaaenable#配置Login用户的缺省认证方案。[Quidway]aaaauthentication-schemelogindefaultradiusnone#配置RADIUS服务器IP地址和端口，使用默认端口号。[Quidway]radiusserver129.7.66.66#配置RADIUS服务器密钥、重传次数、超时定时器时间长度及RADIUS服务器down掉后的恢复时间。[Quidway]radiusshared-keythis-is-my-secret[Quidway]radiusretry4[Quidway]radiustimerresponse-timeout2[Quidway]radiustimerquiet1#启动FTP服务器。[Quidway]ftp-serverenable6.3访问控制列表配置访问控制列表(AccessControlList，ACL)为网络设备提供基本的服务安全性。对某类服务而言，安全管理员首先应该考虑该服务是否有必要运行在当前环境中。如果有必要，又有哪些用户能够享用该服务。如果该服务不必要，则应当禁止该服务。因为运行这个不必要的服务，不仅会浪费网络等资源，而且会给当前的网络环境带来安全隐患。如果是部分用户需要，则应当为该服务规划权限，禁止无权限的用户使用该服务。如果某类服务仅仅在网络内部需要，则还需尽力避免该服务被网络外部访问。同样，如果某类服务仅在网络外部是必须的，则管理员还应将该服务限制在网络外部。对于某些服务来说，即使用户能使用该服务，安全管理员也应该能监管该服务的使用情况，比如控制某服务只能在某段时间内使用，对该服务的使用量进行统计等等。在使用访问控制列表之前，安全管理员必须非常清楚当前网络环境的安全规划，和潜在的安全问题。例如在企业网内部，管理员必须清楚部门A、部门B能够访问的服务器内容，部门A和部门B相互之间能够互通的服务，各部门能够访问的企业网络外部服务，能被企业网络外部访问的服务，以及服务器的访问权限等等。对到达端口的数据包进行分类，并打上不同的动作标记，访问列表作用于路由器的所有端口，访问列表的主要用途有：包过滤、镜像、流限制、流统计、分配队列优先级等。当访问控制列表被创建后，既可以以用于拒绝某些数据包经过某个路由器接口，也可用于拒绝某些数据包经过路由器的所有接口。路由器的访问控制列表在创建后将应用路由器的端口上。默认情况下，路由器将允许所有的数据包经过所有接口，即不做任何转发限制。而采用访问控制列表，则路由器在转发某个数据包之前，将会参考访问控制列表中的内容以确定是否转发。最初，访问控制列表的作用仅限于决定是否转发数据包(如转发或去弃)。管理员只能对怀疑的数据包作出丢弃决定，但不能监控那些存在安全隐患的数据包。路由器提供给管理员更丰富的功能，如利用访问控制列表进行数据包分析、流量限制和流量统计。使用的技术如下：包过滤（PacketFiltering)技术指对每个数据包按照用户所定义的项日进行过