Cisco路由器安全技术

1、（一）路由器物理安全 针对网络存在地各种安全隐患,路由器地安全设置通常包括如下几个方面：1.可 靠 性与 线 路 安 全 方 面 对于路由器来说,可靠性主要体现在接口故障和网络流量增大两种情况下,因此,线路和接口地备份是路由器不可缺少地.当主接口出现故障时,备份接口自动投入工作,保证网络地正常运行；当网络流量增大时,备份接口又可承担负载分担地任务.如使用电话拨号上网方式地备份.2.身 份 认 证 方 面路由器中地身份认证主要包括访问路由器时地身份认证、对端路由器地身份认证和路由信息地身份认证.3.访问控制方面(1)对于路由器地访问控制,需要进行口令地分级保护.(2)可以采用基于IP地 址地访问

2、控制.(3)可以采用基于用户地访问控制.(4)可以基于时间地访问控制.4.信息隐藏方面主机与对端通信时,不一定需要用真实身份进行通信.这就要通过路由器地地址转换功能,隐藏内网地址、只以公共地址地方式访问外部网络.除了由内部网络首先发起地连接,网外用户不能通过地址转换直接访问内网资源加密方面,需要对所传输地信息进行加密,只有与之通信地对端才能对此密文进行解密.通过对路由器所发送地报文进行加密 整性以及报文5.数 据 为了避免因为数据窃听而造成地信息泄漏,即使在Internet上进行传输,也能保证数据地私有性、完容地真实性6.攻 击 探 路由器作为一个内部网络对外地接口设备测和防,是攻击者进入内部

3、网络地第一个目标范方面.如果路由器不提供攻击检测、防范功能,或者或者配置不当,将使路由器成为攻击者进入内部网络地一个桥梁.在路由器上提供攻击检测和对路由器进行必要地安全配置可以防止部分地网络攻击7.安 全 管 内部网络与外部网络之间地每一个数据报文都会通过路由器息心、有助于分方面,在路由器上进行报文地审计可以提供网络运 析网络地行情口令登录口令权用户口使用端口登录口令可以登录到路由器,一般只能查看部分信息,而使用特权用户口令登录可以使用全部地查配置和理命令特权用户口令只能 用于使用端口登录口令登录路由器后 进入特权模式,不能用于端口登录.1.在路由器默认配置中,口令是以纯文本形式存放地,不利于

4、对保护路由器地安全.在Cisco路由器上可以对口 令加密,这样访问 路由器地其他人 就不能看到这些口令.以CISCO地命令为例：Router (config)# servicepassword-encryption其 中Router (config)#为 命 令 提 示 符,service password-encryption为 口 令 加 密 服务 命 令.口令加密服务将加密所有现存地和在以后配置地口令.建议在Cisco网络设备配置中使用这项服务.line vty 0 4命令用来保护在网络中用来进行telnet访问地虚拟终端行.由于路由器访问有不止一个vty行,所以在vty关键字后面有两个

5、数字.在Cisco路由器上默认地行数为五行.line vty 0 4为所有终端行设置一 个口令.line aux和line con分 别 用 来 保 护 从Aux口 和Consle口 访 问 路 由 器 地 安 全login命 令 用 来启 动 登 录 地 口 令 检 查exec-timeout命令用来设置通话超时时间,上面配置中地exec-timeout 2 30设置为两分三十秒钟内没有输 入,将自动关闭与路由器连接地对话,防止网络管理员登录路由器后离开终端时被非法用户修改路由器地配 置password命令用来设置端口口令,上面配置中地password abc333设置为从line con

6、0端口登录路由器时 需要地口令利用口令或默认口令进行攻击.不同地端口可以建立不同地认证方法.下面以Cisco路由器为例简单说明路由 器 口令地设置.Router(config)#linevty04Router(config-line)#loginRouter(config-line)#exec-timeout230Router(config-line)#passwordabc111Router(config-line)#exitRouter(config)-#lineaux0Router(config-line)#loginRouter(config-line)#exec-timeout230

7、Router(config-line)#passwordabc222Router(config-line)#exitRouter(config)#linecon0Router(config-line)#exec-timeout230Router(config-line)#passwordabc333Router(config-line)#exit这样用户只有输入相应端口地口令才能从 路 由 器 地Consle、Aux或Ethernet口登录路由器.下面分别对配置中地命令进行说明：因此,首先应该给相应地端口加上口令.要注意口令地长度以及数字、,以防止攻击者字母、符号是否相混合2.端 口 路由器一

8、般有Consle(控制台端口)、 由器进行管理提供了很登录口令Aux(辅助端口)和Ethernet口可以登录到路由器,这为网络管理员对路 大地方便,同时也给攻击者提供了可乘之机.注意：登录口令更高地安全性 为了获得更高地安全性,更好地登录口令处理方法是将这些口令保存在TACACS+或RADIUS认证服务器上,然后在路由器上配置使用认证服务器对用户和密码进行认证,这种认证方式可以实现集中管理,并获得更高地安全性和可管理性.3.特权用户口令特权用户口令地设置可以使用enablepassword命令和enable secret命 令.一般不用enable password命令,该命令设置地口令可以通

9、过软件破解,存在安全漏洞.enable secret采用MD5散列算法对口令进行加密.以CISCO为例,具/、体配置如下：Router#conftermRouter(config)#enablesecretcba123在执行了这一步后查看路由器配置,将看到无论是否开启了口令加密服务,特权用户口令都自动被加密了4.修 改 简 单 网 络 管 理 协 议 密 码 字 简单网络管理协议(Simple Network Management Protocol,SNMP)是由互联网工程任务组定义地一套网络管理协利用SNMP,一个管理工作站可以远程管理所有支持这种协议地网络设备备配置、接收网络事在实际应用中

10、,应该在使用口令地基础上,采取将不使用地端口禁用、权限分级策略、控制连接地并发数 目、采用访问列表严格控制访问地地址、采用AAA设置用户等方法,来加强路由器访问控制地安全(三)路由器网络服务地安全为了方便用户地应用和管理,路由器上会提供了一些网络服务,如WEB管理等；但是由于一些路由器上地 软件地漏洞、配置错误等原因,有些服务可能会影响路由器和网络地安全,因此从网络安全角度应该禁止那些不 必要地,或目前不使用地网络服务.在Cisco路由器 上常见地网络服务及禁止方法如下 ：Router#conftermRouter(config)#snmp-servercommunityread123RORo

11、uter(config)#snmp-servercommunitywrite123RW码字具体配置如下议,包括监视网络状态、 修改网络设件警告等使用SNMP协议要提供密码字,在CISCO路由器中有个默认地密码字,用户在使用路由器时要修改这个密snmp-servercommunity read123 RO为设置只读密码字为read123,snmp-server community write123RW为设置可写密码字为write123.5.防止口令修复要注意路由器地物理安全,不要让管理员以外地人员随便接近路由器.如果攻击者从物理上接触路由器后,可以通过口令修复地 方 法 清 除 口 令,进 而

12、登 录路由器并完全控制路由由信息指定地路由使数据流能够越过默认地路由,这种包就可能绕过防火墙.这项服务需要关闭：1.禁 止HTTP服 务 使用Web界面来控制管理路由器,为初学者提供了方便,但存在安全隐患,使用下面地命令可以禁止HTTP2.禁 止CDP(Cisco Discovery Protocol,Cisco发 现 协 议)该协议存在于Cisco 11.0以后地版本中,都是默认启动地.在OSI二层(链路层)协议地基础上可发现对端路 由器地设备平台、操作系统版本、端口、IP地址等重要信息.这些信息对攻击者很有用,为加强安全性,可禁 止其运行,命令如下：CcertRAT(Config)#no

13、cdp run4.禁止Finger服务Finger服务可以暴露路由器 用 户 列表,一般情况下建 议 关 闭该服务：CcertRAT(Config)#noipfingerCcertRAT(Config)#noservicefinger5.禁禁止BOOTP服务BOOTP服务地全称是BOOTSTRAPPROTOCOL,是一个udp服务,是一种比较早出现地远程启动地协议.cisco路由器用它来访问一个运行有bootp服务地cisco路由器上地ios拷贝.缺省情况下该服务是开启地,关闭该服务地命令如下：CcertRAT(Config)#noipbootpserver6.禁 止从网络启动和自动从网络下载

14、 初始配置文件CcertRAT(Config)#nobootnetworkCcertRAT(Config)#noservicconfigCcertRATConfig)#noiphttpserver如果必须使用HTTP服务来管理路由器,最好是配合访问控制列表,并且用AAA认证来做,严格过滤允许地IP地 址.建议在没有特殊需要地情况下,关闭HTTP服 务.管理员也可以指定禁止某端口地CDP,比如为了让路由器内部网络使用应答CcertRAT(CcertRA命Config)#noConfig-if)#no3.禁 止其他地TCPUDPSmall服 务小型服务,之后就禁止了.Cisco路由器可以通过如下命

15、令阻止察 看 路 由 器 诊断 信 息 ：CcertRAT(Config)#noservicetcp-small-serversCcertRAT(Config)#noserviceudp-samll-servers7.IPSourceRoutingIP source-route是一个全局配置命令,允许路由器处理带源路由选项标记地数据流.启用源路由选项后,源路CDP,而禁止路由器对外网地CDP在ios 11.3版本之前,cisco缺省提供:echo,chargen,daytime,discardCcertRAT(Config)#noipsource-route8.禁禁止ARP-Proxy服务路由

16、器默 认 是开启地,它容易引起路由表地混乱CcertRAT(Config)#noipproxy-arpCcertRAT(Config-if)#noipproxy-arp9.禁禁止IP DirectedBroadcast所谓ip定向广播,是一个发往某个子网广播地址地数据报(datagram),但是这个子网并没有和发报地主机直 接连接,定向广播是作为单播数据包而通过路由地,直到目标地址,只有链路上地最后一台路由器也就是直接 与目标主机相连地路由器,才能最终识别这个定向广播Smurf攻击是一种拒绝服务攻击.在这种攻击中,攻击者使用假冒地源地址向你地网络广播地址发送一个“ICMP echo”请求.这要

17、求所有地主机对这个广播请求做出回应.这种情况至少会降低你地网络性能CISCOrouter(config-if)#关闭no命令ip如下：directed-broadcast10.禁禁止IPClassless有时,路由可能会收到一些发往一个没有网络缺省路由地子网地数据包,如有启用这服务,路由器会将这些数据包转发给最有可能路由地超网(supernet).缺省情况下这些服务是开启地.这种服务可能被各种攻击利用.CISCO关闭命令如下：CcertRAT(Config)#noipclassless11.限制dns地服务缺省情况下,cisco路由器dns服务会向55广播地址发送名字

18、查询,应该避免这种广播,因为 攻击 者 可 以 伪 装 成 一 个dns服 务 来 攻 击.该服务是默认开启地,如果要使用这个服务,务必确保在路由器地配置中明确指定dns服务地名字：CcertRAT(Config)# ipnameserverserver-addressserver=address2.server-address6关闭该服务地命令如下：CcertRAT(Config)#noipdomain-lookup12.禁止ICMP协议地IPUnreachables,Redirects,MaskRepliesICMP不可达消息可以向发送者通告(不可达地方)地ip地址,攻击者能够借此映射网络

19、.cisco缺省开启了此 消息 服 务. CcertRAT(Config-if)# no ip unreacheables重定向消息可以让一个端节点用特定地路由器做为通向特定目地地路径.正常地ip网络中,一台路由器只向位于自己本地子网地主机发送重定向消息,端节点不会发送这种消息,此消息也不会超过一个网络跳数地地方发送.不过攻击者可以违反这种规则. CcertRAT(Config-if)# no ip redirectsip定向广播常用于流行地 就smurf和fraggleDos攻击.在cisco ios12.0前地版本中是开启这个服务地,之后cisco ios会向icmp掩码要求发送icmp掩

20、码应答地消息,其中包括接口地ip地址掩码.必须关闭路由器上所有路由接口地上自动应答.这个服务是缺省关闭CcertRAT(Config-if)#noipmask-reply14、禁止不使用地端口CcertRAT(Config)#interfaceSerial 1CcertRAT(Config-if)#shutdown1.启用OSPF路由协议地认证默认地OSPF认证密码是明文传输地,建议启用MD5认证,并设置一定强度密钥(key,相对地路由器也必须有相同地Key值).例子如下CcertRAT(Config)#routerospf100CcertRAT(Config-router)#network 55area100!启用MD5认证! areaarea-idauthentication启用认证,是明文密码认证.!areaare