cisco路由器安全防護

2019-11-05 00:18:05

字體：大中小

來源：轉載

供稿：網友

客戶需要一個自己也說不清的需求：保障網絡的安全。于是本人收集整理了一個所謂的網絡安全方案，結果客戶很滿足，決定把他當作模板來部署他們的網絡。與大家共享，并希望大家都來補充完善。

一、路由器訪問控制的安全配置
1,嚴格控制可以訪問路由器的治理員。任何一次維護都需要記錄備案。
2,對于遠程訪問路由器，建議使用訪問控制列表和高強度的密碼控制。
3,嚴格控制CON端口的訪問，給CON口設置高強度的密碼。
4,假如不使用AUX端口，則禁止這個端口。默認是未被啟用。禁止命令為：
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
5,建議采用權限分級策略。如：
Router(Config)#username BluShin PRivilege 10 G00dPa55w0rd
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
6,為特權模式的進入設置強壯的密碼。不要采用enable passWord設置密碼。而要采用enable secret命令設置。并且要啟用Service password-encryption。
7,控制對VTY的訪問。需要設置強壯的密碼。由于VTY在網絡的傳輸過程中不加密，所以需要對其進行嚴格的控制。如：設置強壯的密碼；控制連接的并發數目；采用訪問列表嚴格控制訪問的地址；可以采用AAA設置用戶的訪問控制等。
8,IOS的升級和備份，以及配置文件的備份建議使用FTP代替TFTP。如：
Router(Config)#ip ftp username BluShin
Router(Config)#ip ftp password 4tppa55w0rd
Router#copy startup-config ftp:
9,及時的升級和修補IOS軟件。

二、路由器網絡服務安全配置
1、禁止CDP(Cisco Discovery Protocol)。如：
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2、禁止其他的TCP、UDP Small服務。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-small-servers
3、禁止Finger服務。
Router(Config)# no ip finger
Router(Config)# no service finger
4、禁止HTTP服務。
Router(Config)# no ip http server
5、禁止BOOTp服務。
Router(Config)# no ip bootp server
禁止從網絡啟動和自動從網絡下載初始配置文件。
Router(Config)# no boot network
Router(Config)# no servic config
6、禁止IP Source Routing。
Router(Config)# no ip source-route
7、建議假如不需要ARP-Proxy服務則禁止它，路由器默熟悉開啟的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8、明確的禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9、禁止IP Classless。
Router(Config)# no ip classless
10、禁止ICMP協議的IP Unreachables,Redirects,Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11、建議禁止SNMP協議服務。在禁止時必須刪除一些SNMP服務的默認配置。或者需要訪問列表來過濾。如：
Router(Config)# no snmp-server community ro
Router(Config)# no snmp-server community rw

三、路由器防止攻擊的安全配置
1、TCP SYN的防范。如：
A: 通過訪問列表防范。
Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
Router(Config)# access-list 106 deny ip any any log
Router(Config)# interface eth 0/2
Router(Config-if)# description “external Ethernet”
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in
B：通過TCP截獲防范。

Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any log
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in

2、LAND.C 進攻的防范。
Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log
Router(Config)# access-list permit ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 107 in

3、Smurf攻擊的防范。
Router(Config-if)#no ip directed-broadcast
Router(Config)# access-list 108 deny ip any host 192.168.1.255 log
Router(Config)# access-list 108 deny ip any host 192.168.1.0 log

4、ICMP協議的安全配置。對于進入ICMP流，我們要禁止ICMP協議的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探測。對于流出的ICMP流，我們可以答應ECHO、Parameter Problem、Packet too big。還有TraceRoute命令的使用。
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo log
Router(Config)# access-list 110 deny icmp any any redirect log
Router(Config)# access-list 110 deny icmp any any mask-request log
Router(Config)# access-list 110 permit icmp any any
! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem
Router(Config)# access-list 111 permit icmp any any packet-too-big
Router(Config)# access-list 111 permit icmp any any source-quench
Router(Config)# access-list 111 deny icmp any any log
! Outbound TraceRoute Control
Router(Config)# access-list 112 deny udp any any range 33400 34400
! Inbound TraceRoute Control
Router(Config)# access-list 112 permit udp any any range 33400 34400

5.DDoS(Distributed Denial of Service)的防范。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 log
Router(Config)# access-list 113 deny udp any any eq 31335 log
Router(Config)# access-list 113 deny udp any any eq 27444 log
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660 log
Router(Config)# access-list 113 deny tcp any any eq 65000 log
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270 log
Router(Config)# access-list 113 deny tcp any any eq 39168 log
! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712 log
Router(Config)# access-list 113 deny tcp any any eq 6776 log
Router(Config)# access-list 113 deny tcp any any eq 6669 log
Router(Config)# access-list 113 deny tcp any any eq 2222 log
Router(Config)# access-list 113 deny tcp any any eq 7000 log

四、路由器防止病毒的安全配置
1、用于控制Nachi蠕蟲的掃描
access-list 110 deny icmp any any echo

2、用于控制Blaster蠕蟲的傳播
access-list 110 deny tcp any any eq 4444
　　access-list 110 deny udp any any eq 69

3、用于控制Blaster蠕蟲的掃描和攻擊
　　access-list 110 deny tcp any any eq 135
　　access-list 110 deny udp any any eq 135
　　access-list 110 deny tcp any any eq 139
　　access-list 110 deny udp any any eq 139
　　access-list 110 deny tcp any any eq 445
　　access-list 110 deny udp any any eq 445
　　access-list 110 deny tcp any any eq 593
　　access-list 110 deny udp any any eq 593

4、用于控制 Slammer 蠕蟲的傳播
　　access-list 110 deny udp any any eq 1434
access-list 110 permit ip any any

5、關閉可能存在的漏洞
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.240.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny icmp any any echo-reply !
拒絕任何應答
access-list 101 deny icmp any any host-unreachable ! 拒絕任何無法接通的主機
access-list 101 deny udp any any eq snmp ! 拒絕引入的SNMP
access-list 101 deny udp any eq 2000 ! 拒絕引入的openwindows
access-list 101 deny udp any any gt 6000 ! 拒絕引入的X-windows
access-list 101 deny tcp any any eq 2000 ! 拒絕引入的openwindows
access-list 101 deny tcp any any gt 6000 ! 拒絕引入的X-windows
access-list 101 deny udp any any eq 69 ! 拒絕引入的tftpd
access-list 101 deny udp any any eq 111 ! 拒絕引入的SunRPC
access-list 101 deny udp any any eq 2049 ! 拒絕引入的NFS
access-list 101 deny tcp any any eq 111 ! 拒絕引入的SunRPC
access-list 101 deny tcp any any eq 2049 ! 拒絕引入的 NFS
access-list 101 deny tcp any any eq 87 ! 拒絕引入的連接
access-list 101 deny tcp any any eq 512 ! 拒絕引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 513 ! 拒絕引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 514 ! 拒絕引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 515 ! 拒絕引入的 lpd
access-list 101 deny tcp any any eq 540 ! 拒絕引入的 uUCpd
access-list 101 deny pim any any
access-list 101 deny 55 any any
access-list 101 deny 77 any any
access-list 101 deny 225 any any
access-list 101 deny udp any any eq 1434
access-list 101 deny udp any any eq 4672
access-list 101 deny tcp any any eq 445
access-list 101 deny tcp any any eq 5800
access-list 101 deny tcp any any eq 5900
access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 445
access-list 101 deny udp any any eq 593
access-list 101 deny udp any any eq 53
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 139
access-list 101 deny tcp any any eq 42
access-list 101 deny udp any any eq netbios-ss
access-list 101 deny udp any any eq netbios-ns
access-list 101 deny tcp any any eq 593
access-list 101 deny tcp any any eq 3333
access-list 101 deny udp any any eq 4444
access-list 101 permit ip any any