路由器的安全配置

路由器的安全配置中国科技网工作交流会2010年4月16日何群辉概述路由器的安全目标路由器安全策略的基础可实施的路由器安全配置路由器的安全目标防止对路由器的未经授权的访问防止对网络的未经授权的访问防止网络数据窃听防止欺骗性路由更新路由器安全策略的基础找出需要保护的网络资源确定危险之处限制访问范围确定安全措施的代价物理安全可实施的路由器安全配置路由器访问安全路由器网络服务安全配置访问控制列表和过滤路由的安全配置日志和管理路由器访问安全

——物理运行环境的安全性合适的温度和湿度不受电磁干扰使用UPS电源供电等路由器访问安全交互式访问控制风险描述被攻击者利用进行Dos，消耗掉所有的VTYs风险等级高安全措施仅允许的ip地址范围可以利用ipaccess-class限制访问VTY利用exec-timeout命令，配置VTY的超时安全措施存在的风险网管员登录路由器不够灵活使用命令集ipaccess-liststandard1-99(标准列表)linevty04access-class标准列表号inlinevty04exec-timeout时间值路由器访问安全

——交互式访问控制使用实例：#仅允许159.226.58.0这一个C的地址、159.226.1.032个地址通过vty登录路由器cisco>enablepassword:输入enable口令cisco#configtcisco（config）#ipaccess-liststandard99#先一个标准控制列表#cisco（config-std-nacl）#permit159.226.58.00.0.0.255cisco（config-std-nacl）#permit159.226.1.00.0.0.31cisco（config-std-nacl）#denyanycisco（config-std-nacl）#exitcisco（config）#linevty04#在虚拟终端应用控制列表#cisco(config-line)#access-class99incisco(config-line)#exec-timeout5#超过5分钟后，无任何操作，就取消该连接会话cisco(config-line)#exitcisco#write#保存配置路由器访问安全本地口令安全配置风险描述加密算法弱的话，口令容易被破解风险等级高安全措施设定一个长口令使用enablesecret命令使用servicepassword-encryption（密码加密服务）安全措施存在的风险使用命令集全局配置enablesecretservicepassword-enacryption路由器访问安全

—本地口令安全配置使用实例：#设置一个enable口令，同时启用密码加密服务cisco>enable#没配置特权密码时，输入enable，直接进入特权配置模式#cisco#configtcisco（config）#enablesecret密码cisco（config）#servicepassword-enacryption路由器网络络服务安全全配置基于TCP和UDP协议的小服服务风险描述如echo服务，容易被攻击者利用它来发数据包，好像是路由器本身发送的数据包风险等级中安全措施禁用这些小服务安全措施存在的风险使用命令集全局配置noservicetcp-small-serversnoserviceudp-small-servers路由器网络络服务安全全配置使用实例：：#如果发现在在路由器上上启用了这这些小服务务，就可以以通过这些些命令禁止止，一般来来说现在的的路由器设设备和三层层交换机都都默认不启启用这些小小服务。cisco>enablepassword:输输入入enable口口令令cisco#configtcisco（（config））#noservicetcp-small-serverscisco（（config））#noserviceudp-small-servers路由由器器网网络络服服务务安安全全配配置置Finger、NTP、CDP等等服务务风险描述Finger服务可能被攻击者利用查找用户和口令攻击。NTP服务，如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错。CDP可能被攻击者利用获得路由器的版本等信息，从而进行攻击。风险等级中安全措施禁用Finger和CDP服务如启用NTP服务，需加认证安全措施存在的风险使用命令集noservicefingerntpauthenticatentpauthentication-keynumbermd5keyntptrusted-keynumberntpserveripaddresskeynumbernocdprun（全局配置）nocdpenable（端口配置）路由由器器网网络络服服务务安安全全配配置置使用用实实例例：：#如如路路由由器器启启用用了了finger服服务务，，可可用用下下列列命命令令禁禁用用finger服服务务cisco>enablepassword:输输入入enable口口令令cisco#configtcisco（（config））#noservicefinger#禁禁止止CDP(CiscoDiscoveryProtocol）cisco（（config））#nocdp#全全局局模模式式配配置置禁禁止止cdp路由由器器网网络络服服务务安安全全配配置置#ntp的的认认证证配配置置分中中心心核核心心设设备备配配置置：：cisco（（config））#ntpauthenticatecisco（（config））#ntpauthentication-key10md5ntp密密码码#定定义义的的认认证证串串并并将将其其赋赋值值#所级路由器配配置：cisco（（config）#ntpauthenticatecisco（（config）#ntpauthentication-key10md5ntp密码cisco（（config）#ntptrusted-key10cisco（（config）#ntpserver分分中心核心设设备loopback地地址key10访问控制列表表和过滤防止外部对内内部进行IP地址欺骗风险描述外部网络的非法用户将自己的IP地址改成内部网络的合法IP地址，从而获得局域网的非法访问权限。风险等级中安全措施利用控制列表禁止源地址为内部地址的数据包使用ipverifyunicastreverse-path丢弃欺骗性数据包安全措施存在的风险使用ipverifyunicastreverse-path对路由器的性能影响较大，最好是用在外部连入路由器的状态，并且把内存加大些，否则可能会死机使用命令集ipaccess-list（全局配置）ipaccess-group（端口配置）ipcef（全局配置）ipverifyunicastreverse-path（端口配置）访问控制列表表和过滤———防止外部IP地址欺骗使用实例：#防止外部对内内部159.226.1.0一个C地址进行ip地址欺骗骗cisco（（config）#ipaccess-listextended101#定义扩展展列表号cisco（（config-ext-nacl）#denyip159.226.1.00.0.0.255anycisco（config-ext-nacl）#permintanyanycisco（config-ext-nacl）#exitcisco(config)#interfaceGigabitEthernet0/1（（外口口端口口号））cisco(config-if)#ipaccess-group101in#在在外口口的in方方向上上应用用该扩扩展列列表访问控控制列列表和和过滤滤———防止外外部IP地址欺欺骗使用实实例：：cisco（config））#ipcef#启用用快速速交换换cisco（config））#interfaceg0/0（（外口口端口口）cisco（config-if）#ipverifyunicastreverse-pathacl#在接口口上启启用UnicastRPF，ACL为可可选项项注意：：对路路由器器的性能影响较较大，，最好好是用用在外外部连连入路路由器器的状状态，，并且且把内内存加加大些些，否否则可可能会会死机机的。。访问控控制列列表和和过滤滤——防止外外部的的非法法探测测风险描述非法访问者对内部网络发起攻击前，往往会用ping或其他命令探测网络，了解网络的结构及相关信息。风险等级低安全措施用控制列表阻止用ping和traceroute探测安全措施存在的风险使用命令集ipaccess-listinterfaceg0/0ipaccess-group102out（端口配置）访问控控制列列表和和过滤滤——防止外外部的的非法法探测测使用实实例：：cisco（config））#ipaccess-listextended102cisco（config-ext-nacl）#denyicmpanyanyecho#阻阻止ping探探测网网络cisco（config-ext-nacl）#denyicmpanyanytime-exceeded#阻阻止阻止答答复输输出，，不阻阻止探探测进进入cisco（config-ext-nacl）#permintanyanycisco(config-ext-nacl)#exitcisco（config））#interfaceg0/0#在在外口口上应应用该该列表表cisco（config-if）#ipaccess-group102out访问控控制列列表和和过滤滤阻止对对关键键端口口的非非法访访问针对sql-slammer、Netbios_Worm.Dvldr_蠕虫虫的访访问列列表风险描述防止遭受蠕虫、震荡波等病毒的攻击风险等级高安全措施使用控制列表保护关键端口安全措施存在的风险使用命令集ipaccess-list（全局配置）interfaceg0/0ipaccess-group150in（端口配置）访问控控制列列表和和过滤滤——阻止对对关键键端口口的非非法访访问使用实实例：：cisco（config））#ipaccess-listextended150cisco（config-ext-nacl）#denydenytcpanyanyeq135#禁禁止使使用RPC远程程过程程调用用服务务端口口cisco（config-ext-nacl）#denydenytcpanyanyeq139#禁禁止使使用对对外提提供共共享服服务端端口cisco（config-ext-nacl）#denydenyudpanyanyeq135cisco（config-ext-nacl）#denydenytcpanyanyeq137#禁禁止提提供名名称服服务端端口cisco（（config-ext-nacl））#denydenytcpanyanyeq138#禁禁止止提提供供名名称称服服务务端端口口cisco（（config-ext-nacl））#permintanyanycisco(config-ext-nacl)#exitcisco（（config））#interfaceg0/0#在在外外口口上上应应用用该该列列表表cisco（（config-if））#ipaccess-group150in访问问控控制制列列表表和和过过滤滤———针对对sql-slammer、、Netbios_Worm.Dvldr_蠕蠕虫虫的的访访问问列列表表使用用实实例例：：cisco（（config））#ipaccess-listextended150cisco（（config-ext-nacl））#denydenyudpanyanyeq1434#用用于于控控制制slammerwormcisco（（config-ext-nacl））#denydenytcpanyanyeq445#用用于于控控制制蠕蠕虫虫的的扫扫描描和和感感染染cisco（（config-ext-nacl））#denydenytcpanyanyeq5554#防防止止震震荡荡波波病病毒毒攻攻击击cisco（（config-ext-nacl））#denydenytcpanyanyeq9996#防防止止震震荡荡波波病病毒毒攻攻击击cisco（（config-ext-nacl））#denydenytcpanyanyeq5800#用于防止止受感染染的系统统被远程程控制cisco（config-ext-nacl））#denydenytcpanyanyeq5900#用于防止止受感染染的系统统被远程程控制cisco（config-ext-nacl））#deny250anyany#防止Dvldr32蠕虫攻攻击cisco（config-ext-nacl））#deny0anyany#用用于控制制ip协协议为为0的流流量cisco（config-ext-nacl））#permintanyanycisco(config-ext-nacl)#exitcisco（config））#interfaceg0/0#在外口口上应用用该列表表cisco（config-if））#ipaccess-group150in路由的安安全防止Icmp重定向攻攻击禁止使用用源路由由防止本网网络做为为中间代代理风险描述攻击者通过发送错误的重定向信息给末端主机，从而导致末端主机的错误路由源路由选择使入侵者可以为内部网的数据报指定一个非法的路由攻击者可能会盗用内部IP地址进行非法访问风险等级中安全措施禁止外部用户使用ICMP重定向禁止使用源路由ARP命令将固定IP地址绑定到某一MAC地址设置禁止直接广播使用命令集noipredirects（端口配置）noipsource-route（全局配置）arp固定IP地址MAC地址arpa（全局配置）noipdirected-broadcast（端口配置）路由的安安全使用实例例:cisco（config））#arp159.226.0.6xxxx.xxxx.xxxxarpa#mac地址址绑定cisco（config））#noipsource-route#禁止使使用源路路由cisco（config））#interfaceg0/0cisco（config-if））#noipdirected-broadcast#端口口上设置置禁止发发送广播播包cisco（（config）#noipredirects#禁止止使用IP重重定向日志和管理日志的保存和和管理风险描述记录用户登录、权限变化、配置改变及系统状态变化的信息，有利于排障和审核风险等级低安全措施推荐保存到日志服务器或更改本地缓存日志的大小安全措施存在的风险使用命令集全局配置loggingsyslog服务