《网络设备安全》课件第8章 路由器安全配置

培养目标通过本章的学习，希望您能够：熟悉终端访问安全配置掌握路由器网络服务原理及配置方法掌握路由器路由协议安全配置方法掌握路由器使用网络加密安全配置方法8.1终端访问安全配置Cisco路由器和交换机都是采用相同的IOS，而终端访问安全配置功能是由IOS提供的，所以管理员也可以将这些安全防御措施应用于路由器配置中。配置控制台访问口令：Switch(config)##linecon0Switch(config-line)#passwordcisco配置虚拟终端访问口令登陆密码设置配置和管理SSH终端访问限制配置特权等级8.1终端访问安全配置Cisco路由器和交换机都是采用相同的IOS，而终端访问安全配置功能是由IOS提供的，所以管理员也可以将这些安全防御措施应用于路由器配置中。配置控制台访问口令：配置虚拟终端访问口令Switch(config)#linevty04Switch(config-line)#passwordciscoSwitch(config-line)#login登陆密码设置配置和管理SSH终端访问限制配置特权等级8.1终端访问安全配置Cisco路由器和交换机都是采用相同的IOS，而终端访问安全配置功能是由IOS提供的，所以管理员也可以将这些安全防御措施应用于路由器配置中。配置控制台访问口令：配置虚拟终端访问口令登陆密码设置Switch(config)#enablepasswordpassword配置和管理SSH终端访问限制配置特权等级8.1终端访问安全配置Cisco路由器和交换机都是采用相同的IOS，而终端访问安全配置功能是由IOS提供的，所以管理员也可以将这些安全防御措施应用于路由器配置中。配置控制台访问口令：配置虚拟终端访问口令登陆密码设置Switch(config)#enablepasswordpassword配置和管理SSH终端访问限制配置特权等级8.1终端访问安全配置Cisco路由器和交换机都是采用相同的IOS，而终端访问安全配置功能是由IOS提供的，所以管理员也可以将这些安全防御措施应用于路由器配置中。配置控制台访问口令：配置虚拟终端访问口令登陆密码设置配置和管理SSH终端访问限制#linevty04exec-timeoutsecondsloginlocal配置特权等级8.1终端访问安全配置Cisco路由器和交换机都是采用相同的IOS，而终端访问安全配置功能是由IOS提供的，所以管理员也可以将这些安全防御措施应用于路由器配置中。配置控制台访问口令：配置虚拟终端访问口令登陆密码设置配置和管理SSH终端访问限制配置特权等级Switch(config)#enablesecret[levellevel]{password}usernameusernameprivilegelevelpasswordpasswordprivilegemodelevellevelcommand8.2网络服务管理Cisco路由器支持第2、3、4和7层上的大量网络服。其中部分服务属于应用层协议，用于允许用户和主机进程连接到路由器。其它服务则是用于支持传统或特定配置的自动进程和设置，这些服务具有潜在的安全风险。8.2网络服务管理功能描述默认状态备注Cisco发现协议

(CDP)运行在

Cisco设备之间的第

2层专有协议。启用CDP很少用到；将其禁用。TCP小型服务器标准

TCP网络服务：echo、chargen等等。>=11.3：禁用11.2：启用这是一项较旧的功能；将其明确禁用。UDP小型服务器标准

UDP网络服务：echo、discard等等。>=11.3：禁用11.2：启用这是一项较旧的功能；将其明确禁用。FingerUNIX用户查找服务，允许远程列出用户列表。启用未授权用户不需要知道此信息；将其禁用。HTTP服务器某些

CiscoIOS设备允许通过

Web进行配置。依设备而定若未使用，则明确禁用此功能；否则需限制访问权。BOOTP服务器允许其它路由器从此设备启动的一项服务。启用此功能很少用，而且可能带来安全隐患；将其禁用。IP源路由一项

IP功能，允许数据包指明自己的路由。启用此功能很少用，而且容易被攻击者利用；将其禁用。代理

ARP路由器会作为第

2层地址解析的代理。启用除非路由器用作

LAN网桥，否则禁用此服务。IP定向广播数据包可以识别广播的目标

LAN。>=11.3：启用定向广播可能被用于攻击；将其禁用。简单网络管理协议路由器支持

SNMP远程查询和配置。启用若未使用，则明确禁用此功能；否则需限制访问权。域名服务路由器可以执行

DNS域名解析。启用（广播）明确设置

DNS服务器地址，或者禁用

DNS。8.2网络服务管理CDP(CiscoDiscoveryProtocol}Cisco查找协议)协议存在于CiscoIOS11.0以后的版本中，而且都是默认启动的。在OSIJ层(链路层)协议的基础上可发现对端路由器的设备平台、操作系统版本、端口、IP地址等重要信息Router(Config)#nocdprunRouter(Config-if)#nocdpenablePART/01禁用CDP服务8.2网络服务管理Cisco路由器提供一些基于TCP和UDP协议的小服务如：echo、chargen和discard。这些小服务很少被使用，而且容易被攻击者利用来越过包过滤机制。Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-serversPART/02禁用TCP、UDPSmall服务8.2网络服务管理Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错。Router(Config)#noipfingerRouter(Config)#noservicefingerRouter(Config)#nontpPART/03禁用Finger、NTP服务8.2网络服务管理IP协议允许一台主机指定数据包通过你的网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像，或者用于攻击者在你的专用网络中寻找一个后门。Router(Config)#noipsource-routePART/04禁用IP路由8.2网络服务管理拒绝服务攻击使用假冒的源地址向你的网络广播地址发送一个“ICMPecho”请求。这要求所有的主机对这个广播请求做出回应，这种情况会降低网络性能。Router(Config)#noipdirected-broadcastPART/05禁用IP直接广播8.2网络服务管理BootP是一个UDP服务，可以用来给一台无盘工作站指定地址信息，目前BootP在网络环境中使用得很少，由于没有认证机制，任何人都能对BootP服务的路由器提出请求，容易遭遇DoS攻击。还会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。Router(Config)#noipbootpserverPART/06禁用BOOTP路由8.2网络服务管理通过源路由，攻击者能够在IP包头中指定数据包实际要经过的路径。禁用源路由，防止路由信息泄露。Router(Config)#noipsource-routePART/07禁用IPSourceRouting不同于本地广播，直连广播是能够被路由的，某些DoS攻击通过在网络中泛洪直连广播来攻击网络。Router(Config)#noipdirected-broadcastPART/08禁用IPDirectedBroadcast8.2网络服务管理禁止默认启用的ARP-Proxy，它容易引起路由表的混乱。Router(Config)#noipproxy-arpPART/09禁用ARP-ProxySNMP可以用来远程监控和管理Cisco设备。然而，SNMP存在很多安全问题，特别是SNMPv1和v2中，如果必须使用，应该使用SNMP第3版。要关闭SNMP服务可以使用如下命令。Router(Config)#nosnmp-serverPART/10禁用SNMP协议8.2网络服务管理较新的ciscoIOS版本支持使用HTTP协议的基于web远程管理功能。因为在大多数cisco路由器的IOS版本中，web访问功能还没有完善，它们可以被利用来监控、配置和攻击一个路由器。Router(Config)#no

ip

http

serverPART/11禁用HTTP缺省情况下，Cisco路由器DNS服务会向55广播地址发送名字查询。应该避免使用这个广播地址，因为攻击者可能会借机伪装成一个DNS服务器。Router(Config)#noipdomain-lookuPART/12禁用域名服务8.3路由协议安全RIP没有邻居的概念，所以自己并不知道发出去的路由更新是不是有路由器收到，同样也不知道会被什么样的路由器收到，因为RIP的路由更新是明文的，网络中无论谁收到，都可以读取里面的信息，这就难免会有不怀好意者窃听RIP的路由信息。为了防止路由信息被非法窃取，RIPver2可以相互认证，只有能够通过认证的路由器，才能够获得路由更新。RIPver2可以支持明文与MD5认证。纯文本身份验证传送的身份验证口令为纯文本，它会被网络探测器确定，所以不安全，不建议使用。而RIPver1是不支持认证的。PART/01启用RIPv2身份验证8.3路由协议安全路由器之间，当一方开启认证之后，另一方也同样需要开启认证，并且密码一致，才能读取路由信息。认证是基于接口配置的，密码使用keychain来定义，keychain中可以定义多个密码，每个密码都有一个序号，RIPver2在认证时，只要双方最前面的一组密码相同，认证即可通过，双方密码序号不一定需要相同，keychain名字也不需要相同，在某些低版本IOS中，会要求双方的密码序号必须相同，才能认证成功，所以建议大家配置认证时，双方都配置相同的序号和密码。PART/01启用RIPv2身份验证8.3路由协议安全步骤1：在路由器模式下配置一个密钥链（key-chain），一个密钥链可以包含多个密钥。

router(config)#keychainkey-chain-name：密钥链名称。步骤2：定义密钥编号。

router(config-keychain)#keykey-number：密钥编号。步骤3：定义密钥。

Router(config-keychain-key)#key-stringstringstring：密钥字符串。执行验证的双方密钥字符串必须一致。PART/01启用RIPv2身份验证8.3路由协议安全步骤4：在需要执行路由信息验证更新的接口上应用密钥链。

router(config-if)#ipripauthenticationkey-chainkey-chain-namekey-chain-name：使用的密钥链名称。

以上配置是明文验证需要配置的内容，即默认验证方法。如果需要密文验证，则要附加下面的命令：步骤5：声明验证模式。router(config-if)#ip

rip

authentication

mode

md5

验证MD5身份验证：使用debugiprip命令可以观察验证是否成功的信息。PART/01启用RIPv2身份验证8.3路由协议安全PART/01启用RIPv2身份验证8.3路由协议安全我们可以在相同OSPF区域的路由器上启用身份验证功能。只有经过身份验证的同一区域的路由器才能互相通告路由信息。在默认情况下，OSPF不使用区域验证。通过两种方法可启用身份验证功能：纯文本身份验证和消息摘要（md5）身份验证。纯文本身份验证传送的身份验证口令为纯文本，它会被网络探测器确定，所以不安全，不建议使用。消息摘要身份验证在传输身份验证口令前要对口令进行加密，所以一般建议使用此种方法进行身份验证。使用身份验证时，区域内所有的路由器接口必须使用相同的身份验证方法。起用身份验证必须在路由器接口配置模式下，为区域的每个路由器接口配置口令PART/02启用OSPF身份验证8.3路由协议安全我们可以在相同OSPF区域的路由器上启用身份验证功能。只有经过身份验证的同一区域的路由器才能互相通告路由信息。在默认情况下，OSPF不使用区域验证。通过两种方法可启用身份验证功能：纯文本身份验证和消息摘要（md5）身份验证。纯文本身份验证传送的身份验证口令为纯文本，它会被网络探测器确定，所以不安全，不建议使用。消息摘要身份验证在传输身份验证口令前要对口令进行加密，所以一般建议使用此种方法进行身份验证。使用身份验证时，区域内所有的路由器接口必须使用相同的身份验证方法。起用身份验证必须在路由器接口配置模式下，为区域的每个路由器接口配置口令PART/02启用OSPF身份验证8.3路由协议安全PART/02启用OSPF身份验证验证MD5身份验证：使用showipospfinterface命令可以查看为接口配置的身份验证类型，如此输出所示。这里，已配置了Serial0接口以使用密钥ID“1”进行MD5身份验证。

8.4使用网络加密IPsec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH（AuthenticationHeader，认证头）、ESP（EncapsulatingSecurityPayload，封装安全载荷）、IKE（InternetKeyExchange，因特网密钥交换）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。PART/01Ipsec协议简介8.4使用网络加密IPsec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在