思科网络设备安全

1、本文档描述了如何增强网络中路由器的安全性， 常见的使用方法和相应的配 置命令和配置例子。11.1 网络安全11.1.1 关闭不必要的服务关闭所有路由器或交换机上的不必要的服务， 如 Finger 、Bootp 、Http 等；Command ：Router(config)# no ip finger# 关闭 finger 服务Router(config)# no ip bootp server# 关闭 bootp 服务Router(config)# no ip http server# 关闭 http 服务ExampleRouter(config)# no ip fingerRouter(co

2、nfig)#no ip bootp serverRouter(config)# no ip http server11.1.2 设置加密特权密码使用加密的特权密码，注意密码的选择： 不要使用登录名，不管以何种形式（如原样或颠倒、大写和重复等） 不要用名字的第一个、中间一个或最后一个字（不管是现用名还是曾用 名） 不要用最亲近的家人的名字（包括配偶、子女、父母和宠物） 不要用其他任何容易得到的关于你的信息 不要使用纯数字或完全同一个字母组成的口令 不要使用在英文字典中的单词不要使用短于 6 位的口令 不要将口令告诉任何人 不要将口令电子邮件给任何人 如果可能，应该使用大小写混合的字母 使用包括非

3、字母字符的口令 使用容易记的口令，这样就不必将它写下来 使用不用看键盘就可以很快键出的口令Command ：Router（config）# enable secret #设置加密的特权密码ExampleRouter(co nfig)#en able secret $!ai nfO:#设置加密的特权密码为$!ainfO:11.1.3 打开密码标记Comma ndRouter(co nfig)#service password-e ncrypti on#加密密码，原先使用明文显示的密码将会以密文方式出现Example :Router(co nfig)#service password-e ncry

4、pti on#加密明文密码Router# show running-configline vty 0 4password ciscologgi ng synchronousloginRouter# conf tEn ter con figurati on comma nds, one per line. End with CNTL/Z.Router(c on fig)#service password-e ncrypti onRouter(co nfig)#AZRouter# show runnin g-c onfigline vty 0 4password 7 01100F175804log

5、i n11.1.4 设置 NTP server为了保证全网网络设备时钟的同步，必须在网络设备上配置NTPComma ndRouter(co nfig)#ntp server #设置NTP，为时钟服务器的IP地址Router(co nfig)#ntp update-cale ndar#将NTP取得的时钟更新本地的日历ExampleRouter(config)# ntp server Router(config)# ntp update-calenda#设置NTP时钟服务器IP地址为，路由器将使用NTP得到的时钟作为 本地时钟，同时更新本地的日历。11.1.5 配置

6、日志在所有的路由器或交换机上配置相应的日志选项。Command ：Router(config)# logging buffered #将日志存于内存中，存放日志的内存大小由 指定，单位为 byte 。Router(config)# logging # 将 日 志 发 送 到 Syslog server 上 ， Syslog server 由 指定。需要预先配置 Syslog serverExample ：Router(config)# logging buffered 1024000# 在内存中使用 1M 的空间存放日志Router(config)# logging # 将日志

7、发送到 IP 地址为 的 Syslog server 上11.1.6 设置 LOG 和 DEBUG 的时间标记为了方便排错和日志管理， 需要将日志的 DEBUG 的信息做上时间标志。 使 用以下命令设置时间标志。Command ：Router(config)# service timestamps debug datetime msec localtime# 使用本地时间(精确到毫秒)标记 DEBUG 信息Router(config)# service timestamps log datetime msec localtime#使用本地时间(精确到毫秒)标记日志信息Exam

8、ple ：Router(config)# service timestamps debug datetime msec localtimeRouter(config)# service timestamps log datetime msec localtime11.1.7 配置 Console 、AUX 和 VTY 登录控制登录一台路由器可以通过 Console端口、AUX端口和VTY远程方式，因此对于这三种登录方式的控制直接影响网络设备的安全性。在三种登录方式下需要设置认证、和超时选项。 建议认证使用本地用户名加密码的方式增加安全性。Command ：Router(config-line)

9、#login local#设置登录时采用本地的用户数据Router(config-line)#exec-timeout #设置超时时间， 表示分， 表示秒，超时时间为两者之 和Example ：Router(config)# line con 0Router(config-line)#exec-timeout 120 0Router(config-line)#login localRouter(config-line)#line aux 0Router(config-line)#exec-timeout 120 0Router(config-line)#login localRouter(co

10、nfig-line)#Router(config-line)#Router(config-line)#line vty 0 4 exec-timeout 120 0 login local11.1.8 限制远程登录的范围 缺省情况下，从任何地方都可以登录网络设备。 为了增加网络设备的安全性， 需要对远程登录的范围进行限制。通常使用访问控制列表( access-list )限制登录主机的源地址，只有具有符 合条件的主机能够登录到该网络设备上。配置分为两步：1 定义访问控制列表( access-list )2 应用访问控制列表( access-list )CommandRouter(config)

11、#access-listaccess-list-number deny | permit source source-wildcard log #设置标准的访问控制列表，其中access-list-number为 1-99Router(config)#access-listaccess-list-number dynamicdynamic-nametimeoutminutes deny | permit protocol sourcesource-wildcarddestinationdestination-wildcardprecedenceprecedence tos tos log #

12、设置扩展的访问控制列表，其中 access-list-number 为 100-199Router(config-line)#access-class access-list-number in | out # 将访问控制列表应用在相应的 VTY 中Example ：Router(config)# access-list 10 permit 55Router(config)# line vty 0 4Router(config-line)# access-class 10 in# 设置只有 IP 地址在 255 范围的主机才能远程登录该路由器。1

13、1.1.9 配置 SNMPCommand ：router(config)#snmp-server communitystring view view-name ro |rw number # 设置 SNMP 只读或读写串， number 为 Access-list 号，限制可以通过 SNMP访问该网络设备的地址Examplerouter(config)#snmp-server community crnetaia!nf0 RW 10router(config)#snmp-server community bjcrnet RO 10router(config)#access-list 10 pe

14、rmit 5 router(config)#access-list 10 permit 9 # 设置 snmp 只读和读写口令，并且只让 5 和 9 两台主机 可以通过 snmp 采集路由器数据11.1.10 配置特权等级缺省情况下， Cisco 路由器有两种控制模式：用户模式和特权模式。用户模 式只有 Show 的权限和其他一些基本命令；特权模式拥有所有的权限，包括修 改、删除配置。在实际情况下， 如果给一个管理人员分配用户模式权限， 可能不能满足实际 操作需求， 但是分配给特权模式则

15、权限太大， 容易发生误操作或密码泄漏。 使用 特权等级，可以定制多个等级特权模式，每一个模式拥有的命令可以按需定制。CommandRouter(config)#passwordenable secret level level encryption-type # 设置想应级别的特权密码， level 指定特权级别： 0-15Router(config)#usernameusername privilege level password password#设置管理人员的登录用户名、密码和相应的特权等级Router(config)#privilege mode level level comman

16、d#设置相应特权等级下的能够使用的命令，注意：一旦一条命令被赋予一个特权等级，比该特权等级低的其他特权等级均不能使用该命令。Example ：Router(config)# enable secret level 5 csico5Router(config)# enable secret level 10 cisco10# 设置 5 级和 10 级的特权密码Router(config)# username user5 privilege 10 password password5Router(config)# username user10 privilege 10 password pass

17、word10# 设置登录名为 user5 的用户，其特权等级为 5、密码为 password5# 设置登录名为 user10 的用户，其特权等级为 10 、密码为 password10Router(config)# privilege exec level 5 show ip routeRouter(config)#privilege exec level 5 show ipRouter(config)#privilege exec level 5 showRouter(config)#privilege exec level 10 debug ppp chapRouter(config)#p

18、rivilege exec level 10 debug ppp errorRouter(config)#privilege exec level 10 debug ppp negotiationRouter(config)#privilege exec level 10 debug pppRouter(config)#privilege exec level 10 debugRouter(config)#privilege exec level 10 clear ip route *Router(config)#privilege exec level 10 clear ip routeRo

19、uter(config)#privilege exec level 10 clear ipRouter(config)#privilege exec level 10 clear# 设置 5 级和 10 级特权等级下能够使用的命令11.2 路由安全11.2.1 路由协议的安全在 OSPF 配置中不是必须要和对端路有器建立临接关系的端口， 不把端口放 在 OSPF 的 network 广播。在广播网段最好使用 OSPF 的端口认证防止其它非 法的路由器获得路由表。passwordRouter(config)#ip ospf authentication-keyBGP 在作 EBGP Peer 时

20、如有可能，可以采用 BGP 的邻居认证。Router(router-config)#neighbor ip-address | peer-group-name password string11.2.2 过滤私有地址路由CRNET二期骨干网均采用合法的IP地址。为防止私有IP进入CRNET骨干 网，将在CRNET的各个出口 /入口过滤私有地址。因为 CRNET 的用户路由均由 BGP 承载，故过滤私有地址路由的过滤将在EBGP 中做入口限制。Router(router-config)#neighborip-address|peer-group-name route-map map-name i

21、naccess-list 10 permit 55access-list 10 permit 55access-list 10 permit 55route-map route-map deny 10match ip address 10route-map route-map permit 2011.3 主机安全CRNET 二期将利用一期利旧的两台 PIX 为主机（ DNS Server 、MailServer 、认证服务器、计费服务器等）提供安全保证。防火墙是一种用于保

22、护特别敏感区域的有效工具，通过它可以实现多种复杂的安全策略，对可疑的数据和请求进行审核和过滤， 从而保证内部网络的安全。另外由于防火墙本身需要对数据包进行深层次的检查和处理，因此在一些 数据流量特别大的地方不太适用， 通常的用法是用来保护诸如计费等特别敏感的 主机和应用。11.3.1 PIX 的工作原理PIX 防火墙要求有一个路由器连接到外部网络， 如下图所示。 PIX 有两个 ETHERNET 接口，一个用于连接内部局域网，另一个用于连接外部路由器。外 部接口有一组外部地址， 使用他们来与外部网络通信。 内部网络则配置有一个适 合内部网络号方案的 IP 地址。 PIX 的主要工作是在内部计算

23、机需要与外部网络 进行通信时，完成内部和外部地址之间的映射。In ternetRouter BPIXRouter A配置好PIX防火墙后，从外部世界看来，内部计算机好象就是直接连接到 PIX的外部接口似的。由于PIX的外部接口是Ethernet接口，所以，向主机传 送信息包需要用到MAC地址。为了使内部主机在数据链路层和网络层上看起来 都好象是连接在外部接口上的，PIX运行了代理ARP，代理ARP给外部网络层 IP地址指定数据链路MAC地址，这就使得内部计算机看起来像是在数据链路层 协议的外部接口上似的。大多数情况下，与外部网络的通信是从内部网络中发出 的。由于PIX是对信息包进行操作，而不是

24、在应用过程级(代理服务器则采用这 种方法)，PIX既可以跟踪UDP会话，也可以跟踪TCP连接。当一个计算机希 望同外部计算机进行通信时，PIX记录下内部来源地址，然后从外部地址库分配 一个地址，并记录下所进行的转换。这就是人们常说的有界NAT( stateful NAT)，这样，PIX就能记住它在同谁进行交谈，以及是哪个计算机首先发起的对话。只 有已被确认的来自外部网络的信息包才会运行，并进入内部网络。不过，有时也需要允许外部计算机发起同指定的内部计算机的通信。 典型的 服务包括电子邮件、 WWW 服务、以及 FTP 服务。 PIX 给一个内部地址硬编码 一个外部地址， 这个地址是不会过期的。

25、 在这种情况下， 用到对目标地址和端口 号的普通过滤。除非侵入 PIX 本身，外部用户仍然是无法了解内部网络结构的。 在不了解内部网络结构的情况下， 恶意用户就无法从内部主机向内部网络实施攻 击。PIX 另一个关键性的安全特性是对 TCP 信息包的序列编号进行随机化处理。 由于 IP 地址电子欺骗的方法早已公布， 所以，入侵者已经有可能通过这种方法， 控制住一个现成的 TCP 连接，然后向内部局域网上的计算机发送它们自己的信 息。要想做到这一点，入侵者必须猜出正确的序列编号。在通常的 TCP/IP 中实 现是很容易的，因为每次初始化连接时，大都采用一个相同的编号来启动会话。 而 PIX 则使用

26、了一种数学算法来随机化产生序列编号， 这实际上使得攻击者已经 不可能猜出连接所使用的序列编号了。11.3.2 PIX 配置配置 PIX 防火墙是一个比较直接的工作，在提供相同级别的安全服务情况下，PIX的配置相比设置代理服务器要简单的多。从理论上讲，所需做的就是指定一个 IP 地址和一个用来对外部进行访问的地址库， 一个针对内部连接的 IP 地址和网络掩吗、RIP、超时以及其他附属安全信息。下面介绍一个PIX防火墙实 际配置案例，供大家参考。因为路由器的配置在安全性方面和 PIX 防火墙是相辅 相成的，所以路由器的配置实例也一并列出。1. PIX 防火墙ip address outside 1

27、/ 设置 PIX 防火墙的外部地址ip address inside / 设置 PIX 防火墙的内部地址global 1 0-54/ 设置一个内部计算机与 INTERNET 上计算机进行通信时所需的全局地址池nat 1 / 允许网络地址为 的网段地址被 PIX 翻译成外部地址static 1 0/ 网管工作站固定使用的外部地址为 1conduit 1 514 udp 255.255.25

28、5.255/ 允许从 RTRA 发送到到网管工作站的系统日志包通过 PIX 防火墙mailhost 0 / 允许从外部发起的对邮件服务器的连接( 0 )telnet 0/ 允许网络管理员通过远程登录管理 IPX 防火墙syslog facility 20.7syslog host 0/ 在位于网管工作站上的日志服务器上记录所有事件日志2. 路由器 RTRA RTRA 是外部防护路由器，它必须保护 PIX 防火墙免受直接攻击，保护FTP/HTTP 服务器，同时作为一个警报系统，如果有人攻入此路由器，

29、管理可以 立即被通知。no service tcp small-servers/ 阻止一些对路由器本身的攻击logging trap debugging/ 强制路由器向系统日志服务器发送在此路由器发生的每一个事件， 包括被存取列表拒绝的包和路由器配置的改变； 这个动作可以作为对系统管理员的早期预警，预示有人在试图攻击路由器，或者已经攻入路由器，正在试图攻击防火墙logging 1/ 此地址是网管工作站的外部地址，路由器将记录所有事件到此主机上 enable secret xxxxxxxxxxxinterface Ethernet 0ip address

30、 interface Serial 0ip unnumbered ethernet 0ip access-group 110 in/ 保护 PIX 防火墙和 HTTP/FTP 服务器以及防卫欺骗攻击（见存取列表）access-list 110 deny ip 55 any log / 禁止任何显示为来源于路由器 RTRA和 PIX 防火墙之间的信息包，这可以防止欺骗攻击 access-list 110 deny ip any host log/ 防止对 PIX 防火墙外部接口的直接攻击并记录到系统日志服务器任何

31、企图连接PIX 防火墙外部接口的事件 raccess-list 110 permit tcp any 55 established/ 允许已经建立的 TCP 会话的信息包通过 access-list 110 permit tcp any host eq ftp / 允许和 FTP/HTTP 服务器的 FTP 连接access-list 110 permit tcp any host eq ftp-data / 允许和 FTP/HTTP 服务器的 FTP 数据连接 access-list 110 permit tcp

32、any host eq www / 允许和 FTP/HTTP 服务器的 HTTP 连接 access-list 110 deny ip any host log / 禁止和 FTP/HTTP 服务器的别的连接 并记录到系统日志服务器任何 企图连接 FTP/HTTP 的事件access-list 110 permit ip any 55/ 允许其他预定在 PIX 防火墙和路由器 RTRA 之间的流量line vty 0 4loginpassword xxxxxxxxxxaccess-class 10 in/ 限制可以

33、远程登录到此路由器的 IP 地址access-list 10 permit ip 1/ 只允许网管工作站远程登录到此路由器， 当你想从 INTERNET 管理此路由器时， 应对此存取控制列表进行修改3. 路由器 RTRB RTRB 是内部网防护路由器，它是你的防火墙的最后一道防线，是进入 内部网的入口 .logging trap debugginglogging 0/ 记录此路由器上的所有活动到 网管工作站上的日志服务器，包括配置的修改interface Ethernet 0ip address no ip

34、 proxy-arpip access-group 110 inaccess-list 110 permit udp host 55/ 允许通向网管工作站的系统日志信息access-list 110 deny ip any host log/ 禁止所有别的从 PIX 防火墙发来的信息包 access-list permit tcp host 55 eq smtp/ 允许邮件主机和内部邮件服务器的 SMTP 邮件连接access-list deny ip host 10.1

35、0.254.3 55 / 禁止别的来源与邮件服务器的流量access-list deny ip any 55/ 防止内部网络的信任地址欺骗access-list permit ip 55 55/ 允许所有别的来源于 PIX 防火墙和路由器 RTRB 之间的流量line vty 0 4loginpassword xxxxxxxxxxaccess-class 10 in/ 限制可以远程登录到此路由器上的 IP 地址access-list 10 p

36、ermit ip 0/ 只允许网管工作站远程登录到此路由器， 当你想从 INTERNET 管理此路由器时，应对此存取控制列表进行修改按以上设置配置好PIX防火墙和路由器后，PIX防火墙外部的攻击者将无法 在外部连接上找到可以连接的开放端口， 也不可能判断出内部任何一台主机的 IP 地址，即使告诉了内部主机的 IP 地址，要想直接对它们进行 Ping 和连接也是不 可能的。这样就可以对整个内部网进行有效的保护，防止外部的非法攻击。11.4 攻击防护11.4.1 防止 DoS 攻击DoS 攻击几乎是从互联网络的诞生以来伴随着互联网络的发展而一直存在 也不断发展和升级。CRNET二

37、期骨干网也要考虑到DoS攻击的存在，并做好相 应的防范。从某种程度上可以说， DoS 攻击永远不会消失而且从技术上目前没有非常 根本的解决办法。DoS 技术严格的说只是一种破坏网络服务的技术方式，具体的实现多种多 样，但都有一个共同点， 就是其根本目的是使受害主机或网络失去及时接受处理 外界请求，或无法及时回应外界请求。对于 DoS 攻击，可以采用以下方法防范：网络接口命令1 、使用 ip verfy unicast reverse-path这个功能检查每一个经过路由器的数据包。 在路由器的 CEF(Cisco Express Forwarding )表该数据 包所到达网络接口的所有路由项中，

38、如果没有该数据包 源 IP 地址的路由，路由器将丢弃该数据包。例如：路由器接收到一个源 IP 地址为 的数据包，如果 CEF 路由表中没有 为 IP 地址 提供任何路由 (即反向数据包传输时所需的路由) ，则路由器 会丢弃它。单一地址反向传输路径转发( Unicast Reverse Path Forwarding )在 ISP (局端)实现阻止 SMURF 攻击和 其它基于 IP 地址伪装的攻击。这能够保护网 络和客户免受来自互联网其它地方的侵扰。使用 Unicast RPF 需要打开路由器 的CEF swithing或CEF distributed swit

39、ching选项。不需要将输入接口配置为 CEF交换(switching )。只要该路由器打开了 CEF功能，所有独立的网络接口都可 以配置为其它交换(switching )模式。RPF (反向传输路径转发)属于在一个 网络接口或子接口上激活的输入端功能，处理路由器接收的 数据包。在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF0 UnicastRPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或 11.3 版本2、使用访问控制列表（ ACL ）过滤 RFC 1918 中列出的所有地 址参考以下例子：interface xyip

40、access-group 101 inaccess-list 101 deny ip 55 anyaccess-list 101 deny ip 55 anyaccess-list 101 deny ip 55 anyaccess-list 101 permit ip any any3、参照 RFC 2267 ，使用访问控制列表（ ACL ）过滤进出报文参考以下例子：ISP中心 -ISP端边界路由器-客户端边界路由器-客户端网络ISP 端边界路由器应该只接受源地址属于客户

41、端网络的通信，而客户端网络则应该只接受源地址未被客户端网 络过滤的通信。以下是 ISP 端边界路由 器的访问控制列表（ACL）例子：access-list 190 permit ip 客户端网络 客户端网络掩码 anyaccess-list 190 deny ip any any loginterface 内部网络接口 网络接口号 ip access-group 190 in以下是客 户端边界路由器的 ACL 例子：access-list 187 deny ip 客户端网络 客户端网络掩码 anyaccess-list 187 permit ip any anyaccess-list 188

42、permit ip 客户端网络 客户端网络掩码 anyaccess-list 188 deny ip any anyinterface 外部网络接口 网络接口号 ip access-group 187 inip access-group 188 out如果打开了 CEF 功能，通过使用单一地址反向路径转发( Unicast RPF)， 能够充分地缩短访问控制列表(ACL )的长度以提高路由器性能。为了支持Uni cast RPF，只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口4、使用 CAR(Control Access Rate )限制 ICMP 数据包流量速率参

43、考以下例子：interface xy786000rate-limit output access-group 2020 3000000 512000conform-actiontransmit exceed-action dropaccess-list 2020 permit icmp any any echo-reply5 、设置 SYN 数据包流量速率interface intrate-limit output access-group15345000000100000conform-actiontransmit exceed-action droprate-limit output ac

44、cess-group1521000000100000conform-action100000100000transmit exceed-action dropaccess-list 152 permit tcp any host eq wwwaccess-list 153 permit tcp any host eq www established在实现应用中需要进行必要的修改，替换：45000000 为最大连接带宽1000000 为 SYN flood 流量速率的 30% 到 50%之间的数值。burst normal （正常突变）和 burst max （最大突变）两个速率为正确的 数值。

45、注意，如果突变速率设置超过 30% ，可能会丢失许多合法的 SYN 数据 包。使用show in terfaces rate-limit 命令查看该网络接口的正常和过度速率， 能够帮助确定合适的突变速率。这个 SYN 速率限制数值设置标准是保证正常通 信的基础上尽可能地小。警告：一般推荐在网络正常工作时测量 SYN 数据包流量速率，以此基准数 值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。另外，建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。6、搜集证据并联系网络安全部门或机构如果可能，捕获攻击数据包用于分析。建议使用 SUN 工作站或 Linu

46、x 等高 速计算机捕获数据包。常用的数据包捕获工具包括 TCPDump 和 snoop 等。基 本语法为：tcpdump -i interface -s 1500 -w capture_filesnoop -d interface -o capture_file -s 1500本例中假定 MTU 大小为 1500 。如果 MTU 大于1500 ，则需要修改相应参 数。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构。11.4.2 纪录、追踪攻击对于已知 IP 地址的攻击，可以采用 access-list 过滤，并纪录攻击的情况参考以下命令：access-list access-li

47、st-numberdeny | permit source source-wildcardlogaccess-list access-list-numberdeny | permit protocolsourcesource-wildcarddestinationdestination-wildcardprecedenceprecedence tos tos log通过 show access-list 可以察看符合该 access-list 的数据包的数量。第六章 网络安全ISP 运营商今天面临着有关安全方面的多种威胁，这些威胁有的可能是随机 的，也有可能是恶意的，但其后果都一样的：妨碍用户及 ISP 运营商的正常运 行。从系统角度来看， 网络安全不是一个简单的产品问题， 网络安全首先是个系 统问题。互联网安全手册 RFC 2196 “Site Security Handbook ”是一个非常 好的范例。从路由设备的安全方面考虑，我们建议广东 163 省骨干网采取以下 措施。6.1 广域网安全策略实施在广域网安全实施方案中，具体建议如下：1、采用了分层的网络拓扑结构，把骨干网与用户网络隔离开来。2、广域网路由协议选用支持多路由接入的协议。3、各节点采用双路由接入，实现传输线路冗余备份。4、对网络连接设备实行口令管理，并通过网管服务器实时监控其状