思科网络设备安全

1、本文档描述了如何增强网络中路由器的安全性，常见的使用方法和相应的配置命令和配置例子。网络安全关闭不必要的服务关闭所有路由器或交换机上的不必要的服务，如Finger、Bootp、Http等;CommandRouter(co nfig)# no ip finger#关闭fin ger服务Router(co nfig)#no ip bootp server#关闭bootp服务Router(co nfig)# no ip http server#关闭http服务Example：Router(co nfig)#no ip fingerRouter(co nfig)# no ip bootp server

2、Router(co nfig)# no ip http server设置加密特权密码使用加密的特权密码，注意密码的选择: 不要使用登录名，不管以何种形式（如原样或颠倒、大写和重复等） 不要用名字的第一个、中间一个或最后一个字（不管是现用名还是曾用 名）不要用最亲近的家人的名字（包括配偶、子女、父母和宠物）不要用其他任何容易得到的关于你的信息不要使用纯数字或完全同一个字母组成的口令不要使用在英文字典中的单词不要使用短于6位的口令不要将口令告诉任何人不要将口令电子邮件给任何人如果可能，应该使用大小写混合的字母使用包括非字母字符的口令使用容易记的口令，这样就不必将它写下来 使用不用看键盘就可以很快键

3、出的口令CommandRouter（co nfig）# en able secret <password>#设置加密的特权密码Example：Router（co nfig）# en able secret $!ai nfO:#设置加密的特权密码为$!ainfO:打开密码标记CommandRouter(co nfig)# service password-e ncrypti on#加密密码，原先使用明文显示的密码将会以密文方式出现Example：Router(co nfig)# service password-e ncrypti on# 加密明文密码Router# show run

4、ning-configline vty 0 4password ciscologgi ng synchronouslogi n!Router# conf tEn ter con figurati on comma nds， one per line. End with CNTL/Z.Router(c on fig)#service password-e ncrypti onRouter(co nfig)#AZRouter# show running-configline vty 0 4password 7 01100F175804login设置 NTP server为了保证全网网络设备时钟的同

5、步，必须在网络设备上配置NTPCommandRouter(co nfig)#ntp server <n tp-server-address>#设置NTP <ntp-server-address>为时钟服务器的IP地址Router(co nfig)#ntp update-cale ndar#将NTP取得的时钟更新本地的日历Example：Router(co nfig)# ntp server update-cale nda#设置NTP时钟服务器IP地址为，路由器将使用NTP得到的时钟作为本地时钟, 同时更新本地的日历。配置日志在所有的路由器或交换机上配置相应的日志选项。C

6、ommandRouter(co nfig)#loggi ng buffered <memory-size>#将日志存于内存中，存放日志的内存大小由<memory-size>指定，单位为 byte。Router(c on fig)#loggi ng <syslog-host-ip-address># 将日志发送至U Syslog server 上, Syslog server 由 <syslog-host-ip-address> 指定。需要预先配置 Syslog serverExample：Router(co nfig)#loggi ng buff

7、ered 1024000#在内存中使用1M的空间存放日志Router(config)#logging将日志发送到 IP 地址为的 Syslog server 上设置LOG和DEBU啲时间标记为了方便排错和日志管理，需要将日志的DEBUGS信息做上时间标志。使用 以下命令设置时间标志。CommandRouter(co nfig)# service timestamps debug datetime msec localtime#使用本地时间(精确到毫秒)标记 DEBUGI息Router(co nfig)# service timestamps log datetime msec localtim

8、e#使用本地时间(精确到毫秒)标记日志信息Example：Router(co nfig)# service timestamps debug datetime msec localtimeRouter(co nfig)# service timestamps log datetime msec localtime配置Con sole、AUX和VTY登录控制登录一台路由器可以通过 Con sole端口、AUX端 口和VTY远程方式，因此对 于这三种登录方式的控制直接影响网络设备的安全性。在三种登录方式下需要设置认证、和超时选项。建议认证使用本地用户名加密码的方式增加安全性。CommandRout

9、er(config-line)#login local#设置登录时采用本地的用户数据Router(co nfig-li ne)#exec-timeout vminu tes secs#设置超时时间，minutes表示分， secs表示秒，超时时间为两者之和Example：Router(co nfig)#Router(co nfig-li ne)#Router(co nfig-li ne)#Router(co nfig-li ne)#Router(co nfig-li ne)#line con 0exec-timeout 120 0logi n localline aux 0exec-timeo

10、ut 120 0Router(co nfig-li ne)#Router(co nfig-li ne)#Router(co nfig-li ne)#Router(co nfig-li ne)#logi n localline vty 0 4exec-timeout 120 0logi n local限制远程登录的范围缺省情况下，从任何地方都可以登录网络设备。为了增加网络设备的安全性, 需要对远程登录的范围进行限制。通常使用访问控制列表(access-list )限制登录主机的源地址，只有具有 符合条件的主机能够登录到该网络设备上。配置分为两步：1 定义访问控制列表(access-list )2

11、.应用访问控制列表(access-list )CommandRouter(c on fig)#access-listaccess-list -nu mberde ny |permit source source-wildcard log #设置标准的访问控制列表，其中access-list -nu mber为 1-99Router(c on fig)#access-listaccess-list- nu mberdynamicdynamic-name timeoutminutes deny | permit protocolsourcesource-wildcarddesti nati ond

12、est in ati on-wildcard precede nee precede neetos tos log #设置扩展的访问控制列表，其中access-list- nu mber为100-199Router(c on fig-l in e)#access-classaccess-list -nu mberin | out#将访问控制列表应用在相应的 VTY中Example：Router(c on fig)#access-list 10 permit vty 0 4Router(c on fig-l ine)#access-class 10 in#设置只有IP地址在范围的主机才能远程登录

13、该路由器配置SNMPCommandrouter(co nfig)#s nm p-server com mun itystring view view-name ro | rwnumbei#设置SNM只读或读写串，number为Access-list 号，限制可以通过SNM访问该网络设备的地址Example：router(co nfig)#snm p-server com mun ity crn etaia !nfO RW 10router(co nfig)#snm p-server com mun ity bjcrnet RO 10router(co nfig)#access-list 10

14、permitrouter(co nfig)#access-list 10 permit#设置snmp只读和读写口令，并且只让和两台主机可以通过 snmp采集路由器数 据配置特权等级缺省情况下，Cisco路由器有两种控制模式：用户模式和特权模式。用户模 式只有Show的权限和其他一些基本命令；特权模式拥有所有的权限，包括修改、 删除配置。在实际情况下，如果给一个管理人员分配用户模式权限， 可能不能满足实际 操作需求，但是分配给特权模式则权限太大， 容易发生误操作或密码泄漏。使用 特权等级，可以定制多个等级特权模式，每一个模式拥有的命令可以按需定制。CommandRouter(config)#en

15、able secret level level encryption-type password#设置想应级别的特权密码，level指定特权级别：0-15Router(c on fig)#usernameuser name privilege level password password#设置管理人员的登录用户名、密码和相应的特权等级Router(c on fig)#privilegemodelevel level comma nd#设置相应特权等级下的能够使用的命令，注意：一旦一条命令被赋予一个特权等级，比该特权等级低的其他特权等级均不能使用该命令。Example：Router(co nf

16、ig)# en able secret level 5 csico5Router(co nfig)#en able secret level 10 cisco10#设置5级和10级的特权密码Router(co nfig)#user name user5 privilege 10 password password5Router(co nfig)#user name user10 privilege 10 password password10#设置登录名为user5的用户，其特权等级为5、密码为password5#设置登录名为user10的用户，其特权等级为10、密码为password

17、4;Router(co nfig)#privilege exec level 5 show ip routeRouter(co nfig)#privilege exec level 5 show ipRouter(co nfig)#privilege exec level 5 showRouter(co nfig)#privilege exec level 10 debug ppp chapRouter(co nfig)#privilege exec level 10 debug ppp errorRouter(co nfig)#privilege exec level 10 debug pp

18、p n egotiatio nRouter(co nfig)#privilege exec level 10 debug pppRouter(co nfig)#privilege exec level 10 debugRouter(co nfig)#privilege exec level 10 clear ip route *Router(co nfig)#privilege exec level 10 clear ip routeRouter(co nfig)#privilege exec level 10 clear ipRouter(co nfig)#privilege exec le

19、vel 10 clear#设置5级和10级特权等级下能够使用的命令路由安全路由协议的安全在OSPF配置中不是必须要和对端路有器建立临接关系的端口，不把端口放 在OSPF的network广播。在广播网段最好使用OSPF的端口认证防止其它非法的 路由器获得路由表。Router(c on fig)#ip ospf authe nticati on-keypasswordBGP在作EBGP Pee时如有可能，可以采用 BGP的邻居认证。Router(router-c on fig)# neighborip-address | peer-group-n ame password stri ng过滤私有地

20、址路由CRNE二期骨干网均采用合法的IP地址。为防止私有IP进入CRNE骨干网， 将在CRNET勺各个出口 /入口过滤私有地址。因为CRNE的用户路由均由BGP承载，故过滤私有地址路由的过滤将在 EBGP 中做入口限制。Router(router-c on fig)# neighbor ip-address | peer-group-n ame route-map map-namenaccess-list 10 permit 10 permit 10 permitroute-map deny 10match ip address 10route-map route-map permit 20主

21、机安全CRNE二期将利用一期利旧的两台 PIX为主机（DNSServer、Mail Server、 认证服务器、计费服务器等）提供安全保证。防火墙是一种用于保护特别敏感区域的有效工具，通过它可以实现多种复 杂的安全策略，对可疑的数据和请求进行审核和过滤，从而保证内部网络的安全。另外由于防火墙本身需要对数据包进行深层次的检查和处理，因此在一些 数据流量特别大的地方不太适用，通常的用法是用来保护诸如计费等特别敏感的 主机和应用。PIX的工作原理PIX防火墙要求有一个路由器连接到外部网络，如下图所示。PIX有两个ETHERNE接口，一个用于连接内部局域网，另一个用于连接外部路由器。外部 接口有一组外

22、部地址，使用他们来与外部网络通信。内部网络则配置有一个适合 内部网络号方案的IP地址。PIX的主要工作是在内部计算机需要与外部网络进 行通信时，完成内部和外部地址之间的映射。In ternetRouter BPIXRouter A配置好PIX防火墙后，从外部世界看来，内部计算机好象就是直接连接到PIX的外部接口似的。由于 PIX的外部接口是Ethernet接口，所以，向主机传 送信息包需要用到MAC地址。为了使内部主机在数据链路层和网络层上看起来都 好象是连接在外部接口上的，PIX运行了代理ARP代理ARP给外部网络层IP 地址指定数据链路MAC地址，这就使得内部计算机看起来像是在数据链路层协

23、议 的外部接口上似的。大多数情况下，与外部网络的通信是从内部网络中发出的。由于PIX是对信息包进行操作，而不是在应用过程级(代理服务器则采用这种方 法)，PIX既可以跟踪UDP会话，也可以跟踪TCP连接。当一个计算机希望同外 部计算机进行通信时，PIX记录下内部来源地址，然后从外部地址库分配一个地 址，并记录下所进行的转换。这就是人们常说的有界NAT( stateful NAT )，这样，PIX就能记住它在同谁进行交谈，以及是哪个计算机首先发起的对话。只有 已被确认的来自外部网络的信息包才会运行，并进入内部网络。不过，有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的 服务包括电子邮

24、件、 WW服务、以及FTP服务。PIX给一个内部地址硬编码一个 外部地址，这个地址是不会过期的。在这种情况下，用到对目标地址和端口号的 普通过滤。除非侵入PIX本身，外部用户仍然是无法了解内部网络结构的。 在不 了解内部网络结构的情况下，恶意用户就无法从内部主机向内部网络实施攻击。PIX另一个关键性的安全特性是对 TCP信息包的序列编号进行随机化处理。 由于IP地址电子欺骗的方法早已公布，所以，入侵者已经有可能通过这种方法， 控制住一个现成的TCP连接，然后向内部局域网上的计算机发送它们自己的信 息。要想做到这一点，入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的，因为每次初

25、始化连接时，大都采用一个相同的编号来启动会话。 而PIX则使用了一种数学算法来随机化产生序列编号，这实际上使得攻击者已经 不可能猜出连接所使用的序列编号了。PIX配置配置PIX防火墙是一个比较直接的工作，在提供相同级别的安全服务情况 下，PIX的配置相比设置代理服务器要简单的多。从理论上讲，所需做的就是指 定一个IP地址和一个用来对外部进行访问的地址库，一个针对内部连接的IP地址和网络掩吗、RIP、超时以及其他附属安全信息。下面介绍一个PIX防火墙实际配置案例，供大家参考。因为路由器的配置在安全性方面和 PIX防火墙是相 辅相成的，所以路由器的配置实例也一并列出。1. PIX防火墙ip add

26、ress outside路由器RTRA- RTRA是外部防护路由器，它必须保护PIX防火墙免受直接攻击，保护FTP/HTTP服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以 立即被通知。no service tcp small-servers路由器RTRBRTRB是内部网防护路由器，它是你的防火墙的最后一道防线，是进入 内部网的入口logg ing trap debuggi ngloggi ng/记录此路由器上的所有活动到网管工作站上的日志服务器，包括配置的修改in terface Ether net 0ip addressno ip proxy-arpip access-grou

27、p 110 inaccess-list 110 permit udp host/允许通向网管工作站的系统日志信息access-list 110 deny ip any host log/禁止所有别的从PIX防火墙发来的信息包access-list permit tcp hosteq smtp/允许邮件主机和内部邮件服务器的SMTP邮件连接access-list deny ip host/禁止别的来源与邮件服务器的流量access-list deny ip any/防止内部网络的信任地址欺骗access-list permit ip/允许所有别的来源于PIX防火墙和路由器RTRB间的流量li n

28、e vty 0 4logi npassword xxxxxxxxxxaccess-class 10 in/限制可以远程登录到此路由器上的IP地址access-list 10 permit ip/只允许网管工作站远程登录到此路由器，当你想从INTERNET#理此路由器时，应对此存取控制列表进行修改按以上设置配置好PIX防火墙和路由器后，PIX防火墙外部的攻击者将无法 在外部连接上找到可以连接的开放端口，也不可能判断出内部任何一台主机的 IP地址，即使告诉了内部主机的IP地址，要想直接对它们进行 Ping和连接也 是不可能的。这样就可以对整个内部网进行有效的保护，防止外部的非法攻击。攻击防护防止D

29、oS攻击DoS攻击几乎是从互联网络的诞生以来伴随着互联网络的发展而一直存在 也不断发展和升级。CRNE二期骨干网也要考虑到DoS攻击的存在，并做好相应 的防范。从某种程度上可以说，DoS攻击永远不会消失而且从技术上目前没有非常根 本的解决办法。DoS技术严格的说只是一种破坏网络服务的技术方式，具体的实现多种多样，但都有一个共同点，就是其根本目的是使受害主机或网络失去及时接受处 理外界请求，或无法及时回应外界请求。对于DoS攻击，可以采用以下方法防范：1、使用 ip verfy uni cast reverse-path网络接口命令这个功能检查每一个经过路由器的数据包。在路由器的CEF( Cis

30、coExpressForwarding )表该数据 包所到达网络接口的所有路由项中，如果没有该数 据包源IP地址的路由，路由器将丢弃该数据包。例如：路由器接收到一个源IP地址为的数据包，如果CEF路由表中没有为IP 地址提供任何路由(即反向数据包传输时所需的路由)，则路由器会丢弃它。单一地址反向传输路径转发(Uni cast Reverse Path Forwardi ng )在ISP （局端）实现阻止SMUR攻击和 其它基于IP地址伪装的攻击。这能够保护 网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的"CEF swithing"或&qu

31、ot;CEF distributed switching"选项。不需要将输入接口配置为CEF交换（switching ）。只要该路由器打开了 CEF功能，所有独立的网络接口 都可以配置为其它交换（switching ） 模式。RPF（反向传输路径转发）属于在 一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。在路由器上打开 CEF功能是非常重要的，因为RPF必须依靠CEFUnicast RPF包含在支持CEF的Cisco IOS及以上版本中，但不支持Cisco IOS或版本。2、使用访问控制列表（ACL过滤RFC 1918中列出的所有地址参考以下例子：in terfac

32、e xyip access-group 101 inaccess-list 101 deny ip anyaccess-list 101 deny ip anyaccess-list 101 deny ip anyaccess-list 101 permit ip any any3、参照RFC 2267,使用访问控制列表（ACL过滤进出报文 参考以下例子：ISP中心 -ISP 端边界路由器-客户端边界路由器-客户端网络ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表（ACL例子：access-

33、list 190 permit ip 客户端网络 客户端网络掩码 any access-list 190 deny ip any any login terface 内部网络接口 网络接口号ip access-group 190 in以下是客 户端边界路由器的ACL例子：access-list 187 deny ip 客户端网络 客户端网络掩码 any access-list 187 permit ip any anyaccess-list 188 permit ip 客户端网络 客户端网络掩码 any access-list 188 deny ip any anyin terface 外部网

34、络接口 网络接口号ip access-group 187 inip access-group 188 out如果打开了 CEF功能，通过使用单一地址反向路径转发（Uni cast RPF，能 够充分地缩短访问控制列表（ACL的长度以提高路由器性能。为了支持Uni cast RPF只需在路由器完全打开 CEF打开这个功能的网络接口并不需要是 CEF交 换接口。4、使用CAR（ Control Access Rate）限制ICMP数据包流量速率参考以下例子:in terface xyrate-limit output access-group 20203000000512000786000 con

35、 form-act iontran smit exceed-act ion dropaccess-list 2020 permit icmp any any echo-reply5、设置SYN数据包流量速率in terface intrate-limit output access-group 153 100000 100000 co nform-actio ntran smit exceed-act ion droprate-limit output access-group 1521000000100000100000con form-act iontran smit exceed-act

36、 ion dropaccess-list 152 permit tcp any host eq wwwaccess-list 153 permit tcp any host eq www established在实现应用中需要进行必要的修改，替换：为最大连接带宽1000000为SYN flood流量速率的30雅U 50沱间的数值。burst normal（正常突变）和 burst max （最大突变）两个速率为正确的数值。注意，如果突变速率设置超过30%可能会丢失许多合法的SYN数据包。使用"show in terfaces rate-limit"命令查看该网络接口的正常和

37、过度速率，能够帮助确定合适的突变速率。这个SYNS率限制数值设置标准是保证正常 通信的基础上尽可能地小。警告：一般推荐在网络正常工作时测量 SYN数据包流量速率，以此基准数值 加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。另外，建议考虑在可能成为 SYN攻击的主机上安装IP Filter 等IP过滤工 具包。6、搜集证据并联系网络安全部门或机构如果可能，捕获攻击数据包用于分析。建议使用SUNX作站或Linux等高速 计算机捕获数据包。常用的数据包捕获工具包括TCPDum和snoop等。基本语法 为：tcpdump -i in terface -s 1500 -w captur

38、e_filesnoop -d in terface -o capture_file -s 1500本例中假定MTl大小为1500。如果MTU大于1500,则需要修改相应参数 将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构。纪录、追踪攻击对于已知IP地址的攻击，可以采用access-list 过滤，并纪录攻击的情况参考以下命令：access-listaccess-list -nu mberde ny | permit source source-wildcard logaccess-listaccess-list-numberdeny | permit protocol sourc

39、esource-wildcard desti nati on dest in ati on-wildcard precede nee precede neetos tos log通过show access-list可以察看符合该access-list的数据包的数量。第六章网络安全ISP运营商今天面临着有关安全方面的多种威胁，这些威胁有的可能是随机 的，也有可能是恶意的，但其后果都一样的：妨碍用户及ISP运营商的正常运行。从系统角度来看，网络安全不是一个简单的产品问题，网络安全首先是个系统问题。互联网安全手册 RFC 2196 “Site Security Handbook ”是一个非常好 的范

40、例。从路由设备的安全方面考虑，我们建议广东163省骨干网采取以下措施。广域网安全策略实施在广域网安全实施方案中，具体建议如下：1、采用了分层的网络拓扑结构，把骨干网与用户网络隔离开来。2、广域网路由协议选用支持多路由接入的协议。3、各节点采用双路由接入，实现传输线路冗余备份。4、对网络连接设备实行口令管理，并通过网管服务器实时监控其状态。5、对域名服务器的操作系统进行优化，并建立本网络的备份域名服务器， 以保证域名服务的可用性。6、全省网络管理中心统一负责全网的路由管理、网络连接设备的管理、全 网安全策略的管理。操作系统安全策略为提高操作系统的安全性，在实施中综合采用以下策略：1、通过防火墙或路由器中的 ACL的设计，禁止本地拨号用户及In ternet用 户对没有必要开放的主机及端口的访问。2、在主机上利用TCP WRA