Cisco路由器安全配置簡易方案_第1頁
Cisco路由器安全配置簡易方案_第2頁
Cisco路由器安全配置簡易方案_第3頁
已閱讀5頁,還剩5頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、,路由器訪問控制的安全配置1, 嚴(yán)格控制可以訪問路由器的管理員。任何一次維護(hù)都需要記錄備案。2, 建議不要遠(yuǎn)程訪問路由器。即使需要遠(yuǎn)程訪問路由器,建議使用訪問控制列表和高強(qiáng)度的 密碼控制。3, 嚴(yán)格控制CON端口的訪問。具體的措施有:A, 如果可以開機(jī)箱的,則可以切斷與CON口互聯(lián)的物理線 路。B, 可以改變默認(rèn)的連接屬性,例如修改波特率(默認(rèn)是 96000,可以改為其他的)。C, 配合使用訪問控制列表控制對(duì)CON口的訪問。如:Router(C on fig)#Access-list1 permit Router(Config)#line con 0Router(C on

2、 fig-li ne)#Tra nsport in put noneRouter(Config-line)#Login localRouter(Config-line)#Exec-timeoute 5 0Router(C on fig-l in e)#access-class 1 in Router(C on fig-li ne)#e ndD, 給CON口設(shè)置高強(qiáng)度的密碼。4, 如果不使用AUX端口,則禁止這個(gè)端口。默認(rèn)是未被啟用。禁止如Router(Co nfig)#li ne aux 0Router(C on fig-li ne)#tra nsport in put noneRouter(

3、C on fig-l in e)# no exec5, 建議采用權(quán)限分級(jí)策略。如:Router(C on fig)#username BluShi n privilege 10 G00dPa55w0rdRouter(Co nfig)#privilege EXEC level 10 tel netRouter(Co nfig)#privilege EXEC level 10 show ip access-list6, 為特權(quán)模式的進(jìn)入設(shè)置強(qiáng)壯的密碼。不要采用en able password設(shè)置密碼。而要采用 en ablesecret命令設(shè)置。并且要啟用Service password-encr

4、yption。7, 控制對(duì)VTY的訪問。如果不需要遠(yuǎn)程訪問則禁止它。如果需要?jiǎng)t一定要設(shè)置強(qiáng)壯的密碼。由于VTY在網(wǎng)絡(luò)的傳輸過程中為 加密,所以需要對(duì)其進(jìn)行嚴(yán)格的控制。如:設(shè)置強(qiáng)壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴(yán)格控制訪問的地址;可以采用AAA設(shè)置用戶的訪問控制等。8,IOS的升級(jí)和備份,以及配置文件的備份建議使用FTP代替TFTP。如:Router(C on fig)#ip ftp user name BluShi nRouter#copy startup-c onfig ftp:9,及時(shí)的升級(jí)和修補(bǔ)IOS軟件。,路由器網(wǎng)絡(luò)服務(wù)安全配置1, 禁止 CDP(Cisco Discover

5、y Protocol) 。如:Router(C on fig)# no cdp runRouter(C on fig-if)# no cdp en able2, 禁止其他的TCP UDP Small服務(wù)。Router(C on fig)# no service tcp-small-serversRouter(C on fig)# no service udp-samll-servers3, 禁止Fin ger服務(wù)。Router(C on fig)# no ip fin gerRouter(C on fig)# no service fin ger4, 建議禁止HTTP服務(wù)。Router(C o

6、n fig)# no ip http server如果啟用了 HTTP服務(wù)則需要對(duì)其進(jìn)行安全配置設(shè)置用戶名和密碼;采用訪問列表進(jìn)行控制。如Router(C on fig)# user name BluShi n privilege 10 G00dPa55w0rdRouter(C on fig)# no access-list 10Router(Co nfig)# access-list 10 permit Router(C on fig)# access-list 10 deny anyRouter(C on fig)# ip http access-class 10Ro

7、uter(C on fig)# ip http serverRouter(Co nfig)# exit5, 禁止BOOT服務(wù)。Router(C on fig)# no ip bootp server禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件。Router(C on fig)# no boot n etworkRouter(C on fig)# no servic config6, 禁止 IP Source Routing 。Router(C on fig)# no ip source-route7, 建議如果不需要ARP-Proxy服務(wù)則禁止它,路由器默認(rèn) 識(shí)開啟的。Router(C on f

8、ig)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp8, 明確的禁止 IP Directed Broadcast 。Router(C on fig)# no ip directed-broadcast9, 禁止 IP Classless 。Router(C on fig)# no ip classless10, 禁止 ICMP協(xié)議的 IP Unreachables,Redirects,Mask Replies。Router(Config-if)# no ip unreacheablesRouter(C on fig-if)# no ip

9、redirectsRouter(Config-if)# no ip mask-reply11, 建議禁止SNM協(xié)議服務(wù)。在禁止時(shí)必須刪除一些SNM 服務(wù)的默認(rèn)配置。或者需要訪問列表來過濾。如:Router(C on fig)# no snm p-server com mun ity public RoRouter(C on fig)# no snm p-server com mun ity admin RWRouter(C on fig)# no access-list 70Router(C on fig)# access-list 70 deny anyRouter(C on fig)# s

10、nm p-server com mun ity MoreHardPublic Ro 70Router(C on fig)# no snm p-server en able trapsRouter(C on fig)# no snm p-server system-shutdow nRouter(C on fig)# no snm p-server trap-a nthRouter(C on fig)# no snm p-serverRouter(Co nfig)# end12, 如果沒必要?jiǎng)t禁止 WINS和DNS服務(wù)。Router(C on fig)# no ip doma in-lookup

11、如果需要?jiǎng)t需要配置:Router(C on fig)# host name RouterRouter(Co nfig)# ip name-server 613, 明確禁止不使用的端口。Router(C on fig)# shutdow n三,路由器路由協(xié)議安全配置(責(zé)任編輯1, 首先禁止默認(rèn)啟用的ARP-Proxy,它容易引起路由表的 混亂。Router(C on fig)# no ip proxy-arp或者Router(Config-if)# no ip proxy-arp2, 啟用OSPF各由協(xié)議的認(rèn)證。默認(rèn)的OSPF認(rèn)證密碼是明 文傳輸?shù)?,建議啟用MD5認(rèn)證。

12、并設(shè)置一定強(qiáng)度密鑰(key,相對(duì)的路由器必須有相同的 Key)。Router(Config)# router ospf 100Router(C on fig-router)# network 55 area 100!啟用MD5認(rèn)證。! area area-id authentication啟用認(rèn)證,是明文密碼認(rèn)證。!area area-id authe nticati on message-digestRouter(C on fig-router)# area 100 authe nticatio n message-digestRouter(Co nf

13、ig)# exitRouter(Co nfig)# in terface eth0/1!啟用 MD5密鑰 Key 為 routerospfkey 。!ip ospf authentication-keykey 啟用認(rèn)證密鑰,但會(huì)是明文傳輸。!ip ospf message-digest-key key-id(1-255) md5 keyRouter(Co nfig-if)# routerospfkeyip ospf message-digest-key 1 md53,RIP協(xié)議的認(rèn)證。議啟用RIP-V2。只有RIP-V2支持,RIP-1不支持。建并且采用MD5認(rèn)證普通認(rèn)證同樣是明文傳輸?shù)?。Ro

14、uter(C on fig)# config termi nal !啟用設(shè)置密鑰鏈Router(C on fig)# key cha in mykeycha inn ameRouter(Co nfig-keychai n)# key 1 !設(shè)置密鑰字串Router(C on fig-leychai n-key)# key-stri ng MyFirstKeyStri ngRouter(C on fig-keyschai n)# key 2Router(C on fig-keychai n-key)# key-stri ng MySeco ndKeyStri ng !啟用 RIP-V2Route

15、r(C on fig)# router ripRouter(C on fig-router)# versi on 2Router(C on fig-router)# network Router(Co nfig)# in terface eth0/1 !采用MD5模式認(rèn)證,并選擇已配置的密鑰鏈Router(Config-if)# ip rip authentication mode md5Router(C on fig-if)# ip rip an the nticatio n key-cha in mykeycha inn ame4, 啟用passive-intef

16、ace命令可以禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口。建議對(duì)于不需要路由的端口,啟用passive-i nteface 。但是,在RIP協(xié)議是只是禁止轉(zhuǎn)發(fā)路由信息,并沒有禁止 接收。在OSPF協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由信息。! Rip中,禁止端口 0/3轉(zhuǎn)發(fā)路由信息Router(C on fig)# router RipRouter(C on fig-router)# passive-i nteface eth0/3!OSPF中,禁止端口 0/3接收和轉(zhuǎn)發(fā)路由信息Router(Config)# router ospf 100Router(C on fig-router)# passive-i

17、nteface eth0/35, 啟用訪問列表過濾一些垃圾和惡意路由信息,控制網(wǎng)絡(luò) 的垃圾信息流。Router(Co nfig)# access-list 10 deny 55Router(C on fig)# access-list 10 permit any!禁止路由器接收更新網(wǎng)絡(luò)的路由信息Router(Config)# router ospf 100Router(C on fig-router)# distribute-list 10 in!禁止路由器轉(zhuǎn)發(fā)傳播網(wǎng)絡(luò)的路由信息Router(Config)# ro

18、uter ospf 100Router(C on fig-router)# distribute-list 10 out6, 建議啟用 IP Uni cast Reverse-Path Verificatio n。它能夠檢查源IP地址的準(zhǔn)確性,從而可以防止一定的IP Spooling。但是它只能在啟用 CEF(Cisco Express Forwarding) 的路 由器上使用。Router# config t!啟用CEFRouter(C on fig)# ip cef!啟用 Uni cast Reverse-Path Verificati onRouter(Co nfig)# in terf

19、ace ethO/1Router(C on fig)# ip verify uni cast reverse-path四,路由器其他安全配置1, 及時(shí)的升級(jí)IOS軟件,并且要迅速的為IOS安裝補(bǔ)丁。2, 要嚴(yán)格認(rèn)真的為IOS作安全備份。3, 要為路由器的配置文件作安全備份。4, 購買UPS設(shè)備,或者至少要有冗余電源。5, 要有完備的路由器的安全訪問和維護(hù)記錄日志。6, 要嚴(yán)格設(shè)置登錄Banner。必須包含非授權(quán)用戶禁止登 錄的字樣。7, IP欺騙得簡單防護(hù)。如過濾非公有地址訪問內(nèi)部網(wǎng)絡(luò)。過濾自己內(nèi)部網(wǎng)絡(luò)地址;回環(huán)地址(/8);RFC1918私有地址;DHCP自定義地址(169

20、.254.0.0/16); 科學(xué)文檔作者測試用地址(/24);不用的組播地址(/4);SUN公司的古老的測試地址(/24;/23);全網(wǎng)絡(luò)地址(/8)。Router(Co nfig)#access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Co nfig)#access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Config)# access-list 100 deny ip 55 any logRouter(Co nfig)#access-list 100 deny ip 55 any logRouter(

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論