路由器的安全配置

路由器的安全配置中國科技網(wǎng)工作交流會(huì)2010年4月16日何群輝第一頁，共三十一頁。概述路由器的安全目標(biāo)路由器安全策略的基礎(chǔ)可實(shí)施的路由器安全配置第二頁，共三十一頁。路由器的安全目標(biāo)防止對(duì)路由器的未經(jīng)授權(quán)的訪問防止對(duì)網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問防止網(wǎng)絡(luò)數(shù)據(jù)竊聽防止欺騙性路由更新第三頁，共三十一頁。路由器安全策略的基礎(chǔ)找出需要保護(hù)的網(wǎng)絡(luò)資源確定危險(xiǎn)之處限制訪問范圍確定安全措施的代價(jià)物理安全第四頁，共三十一頁。可實(shí)施的路由器安全配置路由器訪問安全路由器網(wǎng)絡(luò)服務(wù)安全配置訪問控制列表和過濾路由的安全配置日志和管理第五頁，共三十一頁。路由器訪問安全

——物理運(yùn)行環(huán)境的安全性合適的溫度和濕度不受電磁干擾使用UPS電源供電等第六頁，共三十一頁。路由器訪問安全交互式訪問控制風(fēng)險(xiǎn)描述被攻擊者利用進(jìn)行Dos，消耗掉所有的VTYs風(fēng)險(xiǎn)等級(jí)高安全措施僅允許的ip地址范圍可以利用ipaccess-class限制訪問VTY利用exec-timeout命令，配置VTY的超時(shí)安全措施存在的風(fēng)險(xiǎn)網(wǎng)管員登錄路由器不夠靈活使用命令集ipaccess-liststandard1-99(標(biāo)準(zhǔn)列表)linevty04access-class標(biāo)準(zhǔn)列表號(hào)inlinevty04exec-timeout時(shí)間值第七頁，共三十一頁。路由器訪問安全

——交互式訪問控制使用實(shí)例：#僅允許159.226.58.0這一個(gè)C的地址、159.226.1.032個(gè)地址通過vty登錄路由器cisco>enablepassword:輸入enable口令cisco#configtcisco（config）#ipaccess-liststandard99#先一個(gè)標(biāo)準(zhǔn)控制列表#cisco（config-std-nacl）#permit159.226.58.00.0.0.255cisco（config-std-nacl）#permit159.226.1.00.0.0.31cisco（config-std-nacl）#denyanycisco（config-std-nacl）#exitcisco（config）#linevty04#在虛擬終端應(yīng)用控制列表#cisco(config-line)#access-class99incisco(config-line)#exec-timeout5#超過5分鐘后，無任何操作，就取消該連接會(huì)話cisco(config-line)#exitcisco#write#保存配置第八頁，共三十一頁。路由器訪問安全本地口令安全配置風(fēng)險(xiǎn)描述加密算法弱的話，口令容易被破解風(fēng)險(xiǎn)等級(jí)高安全措施設(shè)定一個(gè)長(zhǎng)口令使用enablesecret命令使用servicepassword-encryption（密碼加密服務(wù)）安全措施存在的風(fēng)險(xiǎn)使用命令集全局配置enablesecretservicepassword-enacryption第九頁，共三十一頁。路由器訪問安全

—本地口令安全配置使用實(shí)例：#設(shè)置一個(gè)enable口令，同時(shí)啟用密碼加密服務(wù)cisco>enable#沒配置特權(quán)密碼時(shí)，輸入enable，直接進(jìn)入特權(quán)配置模式#cisco#configtcisco（config）#enablesecret密碼cisco（config）#servicepassword-enacryption第十頁，共三十一頁。路由器網(wǎng)絡(luò)服務(wù)安全配置基于TCP和UDP協(xié)議的小服務(wù)風(fēng)險(xiǎn)描述如echo服務(wù)，容易被攻擊者利用它來發(fā)數(shù)據(jù)包，好像是路由器本身發(fā)送的數(shù)據(jù)包風(fēng)險(xiǎn)等級(jí)中安全措施禁用這些小服務(wù)安全措施存在的風(fēng)險(xiǎn)使用命令集全局配置noservicetcp-small-serversnoserviceudp-small-servers第十一頁，共三十一頁。

路由器網(wǎng)絡(luò)服務(wù)安全配置

使用實(shí)例：#如果發(fā)現(xiàn)在路由器上啟用了這些小服務(wù)，就可以通過這些命令禁止，一般來說現(xiàn)在的路由器設(shè)備和三層交換機(jī)都默認(rèn)不啟用這些小服務(wù)。

cisco>enablepassword:輸入enable口令cisco#configtcisco（config）#noservicetcp-small-servers

cisco（config）#noserviceudp-small-servers第十二頁，共三十一頁。路由器網(wǎng)絡(luò)服務(wù)安全配置Finger、NTP、CDP等服務(wù)風(fēng)險(xiǎn)描述Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。NTP服務(wù)，如果沒有一個(gè)很好的認(rèn)證，則會(huì)影響路由器正確時(shí)間，導(dǎo)致日志和其他任務(wù)出錯(cuò)。CDP可能被攻擊者利用獲得路由器的版本等信息，從而進(jìn)行攻擊。風(fēng)險(xiǎn)等級(jí)中安全措施禁用Finger和CDP服務(wù)如啟用NTP服務(wù)，需加認(rèn)證安全措施存在的風(fēng)險(xiǎn)使用命令集noservicefingerntpauthenticatentpauthentication-keynumbermd5keyntptrusted-keynumberntpserveripaddresskeynumbernocdprun（全局配置）nocdpenable（端口配置）第十三頁，共三十一頁。路由器網(wǎng)絡(luò)服務(wù)安全配置使用實(shí)例：#如路由器啟用了finger服務(wù)，可用下列命令禁用finger服務(wù)

cisco>enablepassword:輸入enable口令cisco#configtcisco（config）#noservicefinger#禁止CDP(CiscoDiscoveryProtocol

）cisco（config）#nocdp#全局模式配置禁止cdp第十四頁，共三十一頁。路由器網(wǎng)絡(luò)服務(wù)安全配置#ntp的認(rèn)證配置分中心核心設(shè)備配置：cisco（config）#ntpauthenticatecisco（config）#ntpauthentication-key10md5ntp密碼#定義的認(rèn)證串并將其賦值#所級(jí)路由器配置：cisco（config）#ntpauthenticatecisco（config）#ntpauthentication-key10md5ntp密碼cisco（config）#ntptrusted-key10cisco（config）#ntpserver分中心核心設(shè)備loopback地址key10

第十五頁，共三十一頁。訪問控制列表和過濾防止外部對(duì)內(nèi)部進(jìn)行IP地址欺騙風(fēng)險(xiǎn)描述外部網(wǎng)絡(luò)的非法用戶將自己的IP地址改成內(nèi)部網(wǎng)絡(luò)的合法IP地址，從而獲得局域網(wǎng)的非法訪問權(quán)限。風(fēng)險(xiǎn)等級(jí)中安全措施利用控制列表禁止源地址為內(nèi)部地址的數(shù)據(jù)包使用ipverifyunicastreverse-path丟棄欺騙性數(shù)據(jù)包安全措施存在的風(fēng)險(xiǎn)使用ipverifyunicastreverse-path對(duì)路由器的性能影響較大，最好是用在外部連入路由器的狀態(tài)，并且把內(nèi)存加大些，否則可能會(huì)死機(jī)使用命令集ipaccess-list（全局配置）ipaccess-group（端口配置）ipcef（全局配置）ipverifyunicastreverse-path（端口配置）第十六頁，共三十一頁。訪問控制列表和過濾

——防止外部IP地址欺騙使用實(shí)例：#防止外部對(duì)內(nèi)部159.226.1.0一個(gè)C地址進(jìn)行ip地址欺騙

cisco（config）#ipaccess-listextended101#定義擴(kuò)展列表號(hào)cisco（config-ext-nacl）#denyip159.226.1.00.0.0.255anycisco（config-ext-nacl）#permintanyanycisco（config-ext-nacl）#exitcisco(config)#interfaceGigabitEthernet0/1（外口端口號(hào)）cisco(config-if)#ipaccess-group101in#在外口的in方向上應(yīng)用該擴(kuò)展列表第十七頁，共三十一頁。訪問控制列表和過濾

——防止外部IP地址欺騙使用實(shí)例：

cisco（config）#ipcef#啟用快速交換cisco（config）#interfaceg0/0（外口端口）cisco（config-if）#ipverifyunicastreverse-pathacl#在接口上啟用UnicastRPF，ACL為可選項(xiàng)

注意：對(duì)路由器的性能影響較大，最好是用在外部連入路由器的狀態(tài)，并且把內(nèi)存加大些，否則可能會(huì)死機(jī)的。第十八頁，共三十一頁。訪問控制列表和過濾

——防止外部的非法探測(cè)風(fēng)險(xiǎn)描述非法訪問者對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊前，往往會(huì)用ping或其他命令探測(cè)網(wǎng)絡(luò)，了解網(wǎng)絡(luò)的結(jié)構(gòu)及相關(guān)信息。風(fēng)險(xiǎn)等級(jí)低安全措施用控制列表阻止用ping和traceroute探測(cè)安全措施存在的風(fēng)險(xiǎn)使用命令集ipaccess-listinterfaceg0/0ipaccess-group102out（端口配置）第十九頁，共三十一頁。訪問控制列表和過濾

——防止外部的非法探測(cè)

使用實(shí)例：

cisco（config）#ipaccess-listextended102

cisco（config-ext-nacl）#denyicmpanyanyecho#阻止ping探測(cè)網(wǎng)絡(luò)

cisco（config-ext-nacl）#denyicmpanyanytime-exceeded#阻止阻止答復(fù)輸出，不阻止探測(cè)進(jìn)入

cisco（config-ext-nacl）#permintanyanycisco(config-ext-nacl)#exitcisco（config）#interfaceg0/0#在外口上應(yīng)用該列表cisco（config-if）#ipaccess-group102out第二十頁，共三十一頁。訪問控制列表和過濾阻止對(duì)關(guān)鍵端口的非法訪問針對(duì)sql-slammer、Netbios_Worm.Dvldr_蠕蟲的訪問列表風(fēng)險(xiǎn)描述防止遭受蠕蟲、震蕩波等病毒的攻擊風(fēng)險(xiǎn)等級(jí)高安全措施使用控制列表保護(hù)關(guān)鍵端口安全措施存在的風(fēng)險(xiǎn)使用命令集ipaccess-list（全局配置）interfaceg0/0ipaccess-group150in（端口配置）第二十一頁，共三十一頁。訪問控制列表和過濾

——阻止對(duì)關(guān)鍵端口的非法訪問使用實(shí)例：

cisco（config）#ipaccess-listextended150

cisco（config-ext-nacl）#denydenytcpanyanyeq135#禁止使用RPC遠(yuǎn)程過程調(diào)用服務(wù)端口

cisco（config-ext-nacl）#denydenytcpanyanyeq139#禁止使用對(duì)外提供共享服務(wù)端口

cisco（config-ext-nacl）#denydenyudpanyanyeq135

cisco（config-ext-nacl）#denydenytcpanyanyeq137#禁止提供名稱服務(wù)端口

cisco（config-ext-nacl）#denydenytcpanyanyeq138#禁止提供名稱服務(wù)端口

cisco（config-ext-nacl）#permintanyanycisco(config-ext-nacl)#exitcisco（config）#interfaceg0/0#在外口上應(yīng)用該列表cisco（config-if）#ipaccess-group150in第二十二頁，共三十一頁。訪問控制列表和過濾

——針對(duì)sql-slammer、Netbios_Worm.Dvldr_蠕蟲的訪問列表使用實(shí)例：

cisco（config）#ipaccess-listextended150

cisco（config-ext-nacl）#denydenyudpanyanyeq1434#用于控制slammerworm

cisco（config-ext-nacl）#denydenytcpanyanyeq445#用于控制蠕蟲的掃描和感染

cisco（config-ext-nacl）#denydenytcpanyanyeq5554#防止震蕩波病毒攻擊

cisco（config-ext-nacl）#denydenytcpanyanyeq9996#防止震蕩波病毒攻擊

cisco（config-ext-nacl）#denydenytcpanyanyeq5800#用于防止受感染的系統(tǒng)被遠(yuǎn)程控制cisco（config-ext-nacl）#denydenytcpanyanyeq5900#用于防止受感染的系統(tǒng)被遠(yuǎn)程控制cisco（config-ext-nacl）#deny250anyany#防止Dvldr32蠕蟲攻擊

cisco（config-ext-nacl）#deny0anyany#用于控制ip協(xié)議為0的流量

cisco（config-ext-nacl）#permintanyanycisco(config-ext-nacl)#exitcisco（config）#interfaceg0/0#在外口上應(yīng)用該列表cisco（config-if）#ipaccess-group150in第二十三頁，共三十一頁。路由的安全防止Icmp重定向攻擊禁止使用源路由防止本網(wǎng)絡(luò)做為中間代理風(fēng)險(xiǎn)描述攻擊者通過發(fā)送錯(cuò)誤的重定向信息給末端主機(jī)，從而導(dǎo)致末端主機(jī)的錯(cuò)誤路由源路由選擇使入侵者可以為內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)指定一個(gè)非法的路由攻擊者可能會(huì)盜用內(nèi)部IP地址進(jìn)行非法訪問風(fēng)險(xiǎn)等級(jí)中安全措施禁止外部用戶使用ICMP重定向禁止使用源路由ARP命令將固定IP地址綁定到某一MAC地址設(shè)置禁止直接廣播使用命令集noipredirects（端口配置）noipsource-route（全局配置）arp固定IP地址MAC地址arpa（全局配置）noipdirected-broadcast（端口配置）第二十四頁，共三十一頁。路由的安全使用實(shí)例:cisco（config）#arp159.226.0.6xxxx.xxxx.xxxxarpa#mac地址綁定cisco（config）#noipsource-route#禁止使用源路由cisco（config）#interfaceg0/0cisco（config-if）#noipdirected-broadcast#端口上設(shè)置禁止發(fā)送廣播包c(diǎn)isco（config）#noipredirects#禁止使用IP重定向第二十五頁，共三十一頁。日志和管理日志的保存和管理風(fēng)險(xiǎn)描述記錄用戶登錄、權(quán)限變化、配置改變及系統(tǒng)狀態(tài)變化的信息，有利于排障和審核風(fēng)險(xiǎn)等級(jí)低安全措施推薦保存到日志服務(wù)器或更改本地緩存日志的大小安全措施存在的風(fēng)險(xiǎn)使用命令集全局配置loggingsyslog服務(wù)器IP地址loggingsource-interfaceloggingbuffered日志緩存大小第二十六頁，共三十一頁。日志和管理使用實(shí)例：#指定日志服務(wù)器

cisco(config)#loggingsyslog159.226.8.181cisco(config)#loggingsource-interfaceLoopback0#定義本地緩存大小

cisco(config)#loggingbuffered1000000第二十七頁，共三十一頁。路由管理服務(wù)的安全配置風(fēng)險(xiǎn)描述大部分管理員喜歡使用public和private設(shè)置只讀字串和讀寫字串

，利用這兩個(gè)口令可以獲取該路由器的幾乎一切信息風(fēng)險(xiǎn)等級(jí)中安全措施ACL規(guī)則限定只能從合適的主機(jī)或網(wǎng)絡(luò)接受訪問所在設(shè)備的SNMP請(qǐng)求只配置只讀安全