《網(wǎng)絡(luò)設(shè)備安全》課件第8章 路由器安全配置

培養(yǎng)目標(biāo)通過本章的學(xué)習(xí)，希望您能夠：熟悉終端訪問安全配置掌握路由器網(wǎng)絡(luò)服務(wù)原理及配置方法掌握路由器路由協(xié)議安全配置方法掌握路由器使用網(wǎng)絡(luò)加密安全配置方法8.1終端訪問安全配置Cisco路由器和交換機(jī)都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應(yīng)用于路由器配置中。配置控制臺(tái)訪問口令：Switch(config)##linecon0Switch(config-line)#passwordcisco配置虛擬終端訪問口令登陸密碼設(shè)置配置和管理SSH終端訪問限制配置特權(quán)等級(jí)8.1終端訪問安全配置Cisco路由器和交換機(jī)都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應(yīng)用于路由器配置中。配置控制臺(tái)訪問口令：配置虛擬終端訪問口令Switch(config)#linevty04Switch(config-line)#passwordciscoSwitch(config-line)#login登陸密碼設(shè)置配置和管理SSH終端訪問限制配置特權(quán)等級(jí)8.1終端訪問安全配置Cisco路由器和交換機(jī)都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應(yīng)用于路由器配置中。配置控制臺(tái)訪問口令：配置虛擬終端訪問口令登陸密碼設(shè)置Switch(config)#enablepasswordpassword配置和管理SSH終端訪問限制配置特權(quán)等級(jí)8.1終端訪問安全配置Cisco路由器和交換機(jī)都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應(yīng)用于路由器配置中。配置控制臺(tái)訪問口令：配置虛擬終端訪問口令登陸密碼設(shè)置Switch(config)#enablepasswordpassword配置和管理SSH終端訪問限制配置特權(quán)等級(jí)8.1終端訪問安全配置Cisco路由器和交換機(jī)都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應(yīng)用于路由器配置中。配置控制臺(tái)訪問口令：配置虛擬終端訪問口令登陸密碼設(shè)置配置和管理SSH終端訪問限制#linevty04exec-timeoutsecondsloginlocal配置特權(quán)等級(jí)8.1終端訪問安全配置Cisco路由器和交換機(jī)都是采用相同的IOS，而終端訪問安全配置功能是由IOS提供的，所以管理員也可以將這些安全防御措施應(yīng)用于路由器配置中。配置控制臺(tái)訪問口令：配置虛擬終端訪問口令登陸密碼設(shè)置配置和管理SSH終端訪問限制配置特權(quán)等級(jí)Switch(config)#enablesecret[levellevel]{password}usernameusernameprivilegelevelpasswordpasswordprivilegemodelevellevelcommand8.2網(wǎng)絡(luò)服務(wù)管理Cisco路由器支持第2、3、4和7層上的大量網(wǎng)絡(luò)服。其中部分服務(wù)屬于應(yīng)用層協(xié)議，用于允許用戶和主機(jī)進(jìn)程連接到路由器。其它服務(wù)則是用于支持傳統(tǒng)或特定配置的自動(dòng)進(jìn)程和設(shè)置，這些服務(wù)具有潛在的安全風(fēng)險(xiǎn)。8.2網(wǎng)絡(luò)服務(wù)管理功能描述默認(rèn)狀態(tài)備注Cisco發(fā)現(xiàn)協(xié)議

(CDP)運(yùn)行在

Cisco設(shè)備之間的第

2層專有協(xié)議。啟用CDP很少用到；將其禁用。TCP小型服務(wù)器標(biāo)準(zhǔn)

TCP網(wǎng)絡(luò)服務(wù)：echo、chargen等等。>=11.3：禁用11.2：啟用這是一項(xiàng)較舊的功能；將其明確禁用。UDP小型服務(wù)器標(biāo)準(zhǔn)

UDP網(wǎng)絡(luò)服務(wù)：echo、discard等等。>=11.3：禁用11.2：啟用這是一項(xiàng)較舊的功能；將其明確禁用。FingerUNIX用戶查找服務(wù)，允許遠(yuǎn)程列出用戶列表。啟用未授權(quán)用戶不需要知道此信息；將其禁用。HTTP服務(wù)器某些

CiscoIOS設(shè)備允許通過

Web進(jìn)行配置。依設(shè)備而定若未使用，則明確禁用此功能；否則需限制訪問權(quán)。BOOTP服務(wù)器允許其它路由器從此設(shè)備啟動(dòng)的一項(xiàng)服務(wù)。啟用此功能很少用，而且可能帶來安全隱患；將其禁用。IP源路由一項(xiàng)

IP功能，允許數(shù)據(jù)包指明自己的路由。啟用此功能很少用，而且容易被攻擊者利用；將其禁用。代理

ARP路由器會(huì)作為第

2層地址解析的代理。啟用除非路由器用作

LAN網(wǎng)橋，否則禁用此服務(wù)。IP定向廣播數(shù)據(jù)包可以識(shí)別廣播的目標(biāo)

LAN。>=11.3：啟用定向廣播可能被用于攻擊；將其禁用。簡單網(wǎng)絡(luò)管理協(xié)議路由器支持

SNMP遠(yuǎn)程查詢和配置。啟用若未使用，則明確禁用此功能；否則需限制訪問權(quán)。域名服務(wù)路由器可以執(zhí)行

DNS域名解析。啟用（廣播）明確設(shè)置

DNS服務(wù)器地址，或者禁用

DNS。8.2網(wǎng)絡(luò)服務(wù)管理CDP(CiscoDiscoveryProtocol}Cisco查找協(xié)議)協(xié)議存在于CiscoIOS11.0以后的版本中，而且都是默認(rèn)啟動(dòng)的。在OSIJ層(鏈路層)協(xié)議的基礎(chǔ)上可發(fā)現(xiàn)對(duì)端路由器的設(shè)備平臺(tái)、操作系統(tǒng)版本、端口、IP地址等重要信息Router(Config)#nocdprunRouter(Config-if)#nocdpenablePART/01禁用CDP服務(wù)8.2網(wǎng)絡(luò)服務(wù)管理Cisco路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen和discard。這些小服務(wù)很少被使用，而且容易被攻擊者利用來越過包過濾機(jī)制。Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-serversPART/02禁用TCP、UDPSmall服務(wù)8.2網(wǎng)絡(luò)服務(wù)管理Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險(xiǎn)的，但是如果沒有一個(gè)很好的認(rèn)證，則會(huì)影響路由器正確時(shí)間，導(dǎo)致日志和其他任務(wù)出錯(cuò)。Router(Config)#noipfingerRouter(Config)#noservicefingerRouter(Config)#nontpPART/03禁用Finger、NTP服務(wù)8.2網(wǎng)絡(luò)服務(wù)管理IP協(xié)議允許一臺(tái)主機(jī)指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)的路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個(gè)功能的合法的應(yīng)用是用于診斷連接故障。但是，這種用途很少應(yīng)用。這項(xiàng)功能最常用的用途是為了偵察目的對(duì)你的網(wǎng)絡(luò)進(jìn)行鏡像，或者用于攻擊者在你的專用網(wǎng)絡(luò)中尋找一個(gè)后門。Router(Config)#noipsource-routePART/04禁用IP路由8.2網(wǎng)絡(luò)服務(wù)管理拒絕服務(wù)攻擊使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個(gè)“ICMPecho”請(qǐng)求。這要求所有的主機(jī)對(duì)這個(gè)廣播請(qǐng)求做出回應(yīng)，這種情況會(huì)降低網(wǎng)絡(luò)性能。Router(Config)#noipdirected-broadcastPART/05禁用IP直接廣播8.2網(wǎng)絡(luò)服務(wù)管理BootP是一個(gè)UDP服務(wù)，可以用來給一臺(tái)無盤工作站指定地址信息，目前BootP在網(wǎng)絡(luò)環(huán)境中使用得很少，由于沒有認(rèn)證機(jī)制，任何人都能對(duì)BootP服務(wù)的路由器提出請(qǐng)求，容易遭遇DoS攻擊。還會(huì)被黑客利用分配的一個(gè)IP地址作為局部路由器通過“中間人”（man-in-middle）方式進(jìn)行攻擊。Router(Config)#noipbootpserverPART/06禁用BOOTP路由8.2網(wǎng)絡(luò)服務(wù)管理通過源路由，攻擊者能夠在IP包頭中指定數(shù)據(jù)包實(shí)際要經(jīng)過的路徑。禁用源路由，防止路由信息泄露。Router(Config)#noipsource-routePART/07禁用IPSourceRouting不同于本地廣播，直連廣播是能夠被路由的，某些DoS攻擊通過在網(wǎng)絡(luò)中泛洪直連廣播來攻擊網(wǎng)絡(luò)。Router(Config)#noipdirected-broadcastPART/08禁用IPDirectedBroadcast8.2網(wǎng)絡(luò)服務(wù)管理禁止默認(rèn)啟用的ARP-Proxy，它容易引起路由表的混亂。Router(Config)#noipproxy-arpPART/09禁用ARP-ProxySNMP可以用來遠(yuǎn)程監(jiān)控和管理Cisco設(shè)備。然而，SNMP存在很多安全問題，特別是SNMPv1和v2中，如果必須使用，應(yīng)該使用SNMP第3版。要關(guān)閉SNMP服務(wù)可以使用如下命令。Router(Config)#nosnmp-serverPART/10禁用SNMP協(xié)議8.2網(wǎng)絡(luò)服務(wù)管理較新的ciscoIOS版本支持使用HTTP協(xié)議的基于web遠(yuǎn)程管理功能。因?yàn)樵诖蠖鄶?shù)cisco路由器的IOS版本中，web訪問功能還沒有完善，它們可以被利用來監(jiān)控、配置和攻擊一個(gè)路由器。Router(Config)#no

ip

http

serverPART/11禁用HTTP缺省情況下，Cisco路由器DNS服務(wù)會(huì)向55廣播地址發(fā)送名字查詢。應(yīng)該避免使用這個(gè)廣播地址，因?yàn)楣粽呖赡軙?huì)借機(jī)偽裝成一個(gè)DNS服務(wù)器。Router(Config)#noipdomain-lookuPART/12禁用域名服務(wù)8.3路由協(xié)議安全RIP沒有鄰居的概念，所以自己并不知道發(fā)出去的路由更新是不是有路由器收到，同樣也不知道會(huì)被什么樣的路由器收到，因?yàn)镽IP的路由更新是明文的，網(wǎng)絡(luò)中無論誰收到，都可以讀取里面的信息，這就難免會(huì)有不懷好意者竊聽RIP的路由信息。為了防止路由信息被非法竊取，RIPver2可以相互認(rèn)證，只有能夠通過認(rèn)證的路由器，才能夠獲得路由更新。RIPver2可以支持明文與MD5認(rèn)證。純文本身份驗(yàn)證傳送的身份驗(yàn)證口令為純文本，它會(huì)被網(wǎng)絡(luò)探測(cè)器確定，所以不安全，不建議使用。而RIPver1是不支持認(rèn)證的。PART/01啟用RIPv2身份驗(yàn)證8.3路由協(xié)議安全路由器之間，當(dāng)一方開啟認(rèn)證之后，另一方也同樣需要開啟認(rèn)證，并且密碼一致，才能讀取路由信息。認(rèn)證是基于接口配置的，密碼使用keychain來定義，keychain中可以定義多個(gè)密碼，每個(gè)密碼都有一個(gè)序號(hào)，RIPver2在認(rèn)證時(shí)，只要雙方最前面的一組密碼相同，認(rèn)證即可通過，雙方密碼序號(hào)不一定需要相同，keychain名字也不需要相同，在某些低版本IOS中，會(huì)要求雙方的密碼序號(hào)必須相同，才能認(rèn)證成功，所以建議大家配置認(rèn)證時(shí)，雙方都配置相同的序號(hào)和密碼。PART/01啟用RIPv2身份驗(yàn)證8.3路由協(xié)議安全步驟1：在路由器模式下配置一個(gè)密鑰鏈（key-chain），一個(gè)密鑰鏈可以包含多個(gè)密鑰。

router(config)#keychainkey-chain-name：密鑰鏈名稱。步驟2：定義密鑰編號(hào)。

router(config-keychain)#keykey-number：密鑰編號(hào)。步驟3：定義密鑰。

Router(config-keychain-key)#key-stringstringstring：密鑰字符串。執(zhí)行驗(yàn)證的雙方密鑰字符串必須一致。PART/01啟用RIPv2身份驗(yàn)證8.3路由協(xié)議安全步驟4：在需要執(zhí)行路由信息驗(yàn)證更新的接口上應(yīng)用密鑰鏈。

router(config-if)#ipripauthenticationkey-chainkey-chain-namekey-chain-name：使用的密鑰鏈名稱。

以上配置是明文驗(yàn)證需要配置的內(nèi)容，即默認(rèn)驗(yàn)證方法。如果需要密文驗(yàn)證，則要附加下面的命令：步驟5：聲明驗(yàn)證模式。router(config-if)#ip

rip

authentication

mode

md5

驗(yàn)證MD5身份驗(yàn)證：使用debugiprip命令可以觀察驗(yàn)證是否成功的信息。PART/01啟用RIPv2身份驗(yàn)證8.3路由協(xié)議安全PART/01啟用RIPv2身份驗(yàn)證8.3路由協(xié)議安全我們可以在相同OSPF區(qū)域的路由器上啟用身份驗(yàn)證功能。只有經(jīng)過身份驗(yàn)證的同一區(qū)域的路由器才能互相通告路由信息。在默認(rèn)情況下，OSPF不使用區(qū)域驗(yàn)證。通過兩種方法可啟用身份驗(yàn)證功能：純文本身份驗(yàn)證和消息摘要（md5）身份驗(yàn)證。純文本身份驗(yàn)證傳送的身份驗(yàn)證口令為純文本，它會(huì)被網(wǎng)絡(luò)探測(cè)器確定，所以不安全，不建議使用。消息摘要身份驗(yàn)證在傳輸身份驗(yàn)證口令前要對(duì)口令進(jìn)行加密，所以一般建議使用此種方法進(jìn)行身份驗(yàn)證。使用身份驗(yàn)證時(shí)，區(qū)域內(nèi)所有的路由器接口必須使用相同的身份驗(yàn)證方法。起用身份驗(yàn)證必須在路由器接口配置模式下，為區(qū)域的每個(gè)路由器接口配置口令PART/02啟用OSPF身份驗(yàn)證8.3路由協(xié)議安全我們可以在相同OSPF區(qū)域的路由器上啟用身份驗(yàn)證功能。只有經(jīng)過身份驗(yàn)證的同一區(qū)域的路由器才能互相通告路由信息。在默認(rèn)情況下，OSPF不使用區(qū)域驗(yàn)證。通過兩種方法可啟用身份驗(yàn)證功能：純文本身份驗(yàn)證和消息摘要（md5）身份驗(yàn)證。純文本身份驗(yàn)證傳送的身份驗(yàn)證口令為純文本，它會(huì)被網(wǎng)絡(luò)探測(cè)器確定，所以不安全，不建議使用。消息摘要身份驗(yàn)證在傳輸身份驗(yàn)證口令前要對(duì)口令進(jìn)行加密，所以一般建議使用此種方法進(jìn)行身份驗(yàn)證。使用身份驗(yàn)證時(shí)，區(qū)域內(nèi)所有的路由器接口必須使用相同的身份驗(yàn)證方法。起用身份驗(yàn)證必須在路由器接口配置模式下，為區(qū)域的每個(gè)路由器接口配置口令PART/02啟用OSPF身份驗(yàn)證8.3路由協(xié)議安全PART/02啟用OSPF身份驗(yàn)證驗(yàn)證MD5身份驗(yàn)證：使用showipospfinterface命令可以查看為接口配置的身份驗(yàn)證類型，如此輸出所示。這里，已配置了Serial0接口以使用密鑰ID“1”進(jìn)行MD5身份驗(yàn)證。

8.4使用網(wǎng)絡(luò)加密IPsec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議AH（AuthenticationHeader，認(rèn)證頭）、ESP（EncapsulatingSecurityPayload，封裝安全載荷）、IKE（InternetKeyExchange，因特網(wǎng)密鑰交換）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。其中，AH協(xié)議和ESP協(xié)議用于提供安全服務(wù)，IKE協(xié)議用于密鑰交換。PART/01Ipsec協(xié)議簡介8.4使用網(wǎng)絡(luò)加密IPsec提供了兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在