保護(hù)網(wǎng)絡(luò)從路由器做起--淺談CISCO路由器安全配置

2019-11-05 00:24:54

字體：大中小

供稿：網(wǎng)友

基本的CISCO路由器安全配置

路由器是網(wǎng)絡(luò)中的神經(jīng)中樞,廣域網(wǎng)就是靠一個(gè)個(gè)路由器連接起來組成的,局域網(wǎng)中也已經(jīng)普片的應(yīng)用到了路由器,在很多企事業(yè)單位,已經(jīng)用到路由器來接入網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通訊了,可以說,曾經(jīng)神秘的路由器,現(xiàn)在已經(jīng)飛入平常百姓家了.

隨著路由器的增多,路由器的安全性也逐漸成為大家探討的一個(gè)熱門話題了,巖冰今天也講一講網(wǎng)絡(luò)安全中路由器的安全配置吧.以下文章是本人在工作過程中所記錄的學(xué)習(xí)筆記,今天整理出來,跟大家共享,也算是拋磚引玉吧.

1.配置訪問控制列表:

使用訪問控制列表的目的就是為了保護(hù)路由器的安全和優(yōu)化網(wǎng)絡(luò)的流量.訪問列表的作用就是在數(shù)據(jù)包經(jīng)過路由器某一個(gè)端口時(shí),該數(shù)據(jù)包是否答應(yīng)轉(zhuǎn)發(fā)通過,必須先在訪問控制列表里邊查找,假如答應(yīng),則通過.所以,保護(hù)路由器的前提,還是先考慮配置訪問控制列表吧.

訪問列表有多種形式,最常用的有標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表.

創(chuàng)建一個(gè)標(biāo)準(zhǔn)訪問控制列表的基本配置語法:access-list access-list-number{denypermit} source [source-wildcard]

注釋:access-list-number是定義訪問列表編號(hào)的一個(gè)值,范圍從1--99.參數(shù)deny或permit指定了答應(yīng)還是拒絕數(shù)據(jù)包.參數(shù)source是發(fā)送數(shù)據(jù)包的主機(jī)地址.source-wildcard則是發(fā)送數(shù)據(jù)包的主機(jī)的通配符.在實(shí)際應(yīng)用中,假如數(shù)據(jù)包的源地址在訪問列表中未能找到,或者是找到了未被答應(yīng)轉(zhuǎn)發(fā),則該包將會(huì)被拒絕.為了能具體解釋一下,下面是一個(gè)簡單訪問列表示例介紹:

1) access-list 3 permit 172.30.1.0 0.0.0.255 */指明一個(gè)列表號(hào)為3的訪問控制列表,并答應(yīng)172.30.1.0這個(gè)網(wǎng)段的數(shù)據(jù)通過.0.0.0.255是通配符.
2) access-list 3 permit 10.1.1.0 0.0.15.255 */答應(yīng)所有源地址為從10.1.0.0到10.1.15.255的數(shù)據(jù)包通過應(yīng)用了該訪問列表的路由器接口.
3) access-list 3 deny 172.31.1.0 0.0.0.255 */拒絕源ip地址為172.31.1.0到172.31.1.255的數(shù)據(jù)包通過該訪問列表.

配置了訪問列表后,就要啟用訪問控制列表,我們可以在接口配置模式下使用access-group或ip access-class命令來指定訪問列表應(yīng)用于某個(gè)接口.使用要害字in(out)來定義該接口是出站數(shù)據(jù)包還是入站數(shù)據(jù)包.
示例:ip access-group 3 in */定義該端口入站數(shù)據(jù)包必須按照訪問列表3上的原則.

由于標(biāo)準(zhǔn)訪問控制列表對(duì)使用的端口不進(jìn)行區(qū)別,所以,引入了擴(kuò)展訪問控制列表(列表號(hào)從100--199).擴(kuò)展訪問列表能夠?qū)?shù)據(jù)包的源地址,目的地址和端口等項(xiàng)目進(jìn)行檢查,這其中,任何一個(gè)項(xiàng)目都可以導(dǎo)致某個(gè)數(shù)據(jù)包不被答應(yīng)經(jīng)過路由器接口.簡單的配置示例:

1) ip access-list 101 permit tcp any host 10.1.1.2 established log
2) ip access-list 101 permit tcp any host 172.30.1.3 eq www log
3) ip access-list 101 permit tcp any host 172.30.1.4 eq FTP log
4) ip access-list 101 permit tcp any host 172.30.1.4 log

注釋:

第一行答應(yīng)通過TCP協(xié)議訪問主機(jī)10.1.1.2,假如沒個(gè)連接已經(jīng)在主機(jī)10.1.1.2和某個(gè)要訪問的遠(yuǎn)程主機(jī)之間建立,則該行不會(huì)答應(yīng)任何數(shù)據(jù)包通過路由器接口,除非回話是從內(nèi)部企業(yè)網(wǎng)內(nèi)部發(fā)起的.第二行答應(yīng)任何連接到主機(jī)172.30.1.3來請求www服務(wù),而所有其他類型的連接將被拒絕,這是因?yàn)樵谠L問列表自動(dòng)默認(rèn)的在列表尾部,有一個(gè)deny any any語句來限制其他類型連接.第三行是拒絕任何FTP連接來訪問172.30.1.4主機(jī).第四行是答應(yīng)所有類型的訪問連接到172.30.1.4主機(jī).

2.保護(hù)路由器的密碼

1)禁用enable passWord命令,改密碼加密機(jī)制已經(jīng)很古老,存在極大安全漏洞,必須禁用,做法是:no enable password

2)利用enable secret命令設(shè)置密碼,該加密機(jī)制是IOS采用了md5散列算法進(jìn)行加密,具體語法是:enable secret[level level] {passwordencryption-type encrypted-password}
舉例:
Ro(config-if)#enable secret level 9 ~@~!
79#^&^089^ */設(shè)置一個(gè)級(jí)別為9級(jí)的~@~!79#^&^089^密碼
Ro(config-if)#service router-encryption */啟動(dòng)服務(wù)密碼加密過程

enable secret命令答應(yīng)治理員通過數(shù)字0-15,來指定密碼加密級(jí)別.其默認(rèn)級(jí)別為15.

3.控制telnet訪問控制

為了保護(hù)路由器訪問控制權(quán)限,必須限制登陸訪問路由器的主機(jī),針對(duì)VTY(telnet)端口訪問控制的方法,具體配置要先建立一個(gè)訪問控制列表,如下示例,建立一個(gè)標(biāo)準(zhǔn)的訪問控制列表(編號(hào)從1--99任意選擇):

access-list 90 permit 172.30.1.45
access-list 90 permit 10.1.1.53

該訪問列表僅答應(yīng)以上兩個(gè)IP地址之一的主機(jī)對(duì)路由器進(jìn)行telnet訪問,注重:創(chuàng)建該列表后必須指定到路由器端口某個(gè)端口上,具體指定方法如下:

line vty E0 4
access-class 90 in

以上配置是入站到E0端口的telnet示例,出站配置采用out,在這里將不再具體贅述.為了保護(hù)路由器的安全設(shè)置,也可以限制其telnet訪問的權(quán)限,比如:通過分配治理密碼來限制一個(gè)治理員只能有使用show命令的配置如下:

enable secret level 6 123456
PRivilege exec 6 show

給其分配密碼為123456,telnet進(jìn)入路由器后,只能用show命令,其他任何設(shè)置權(quán)限全部被限制.另外,也可以通過訪問時(shí)間來限制所有端口的登陸訪問情況,在超時(shí)的情況下,將自動(dòng)斷開,下面是一個(gè)配置所有端口訪問活動(dòng)3分30秒的設(shè)置示例:

exec-timeout 3 30

4.禁止CDP

CDP(Cisco Discovery Protocol)CISCO查找協(xié)議,該協(xié)議存在CISCO11.0以后的IOS版本中,都是默認(rèn)啟動(dòng)的,他有一個(gè)缺陷就是:對(duì)所有發(fā)出的設(shè)備請求都做出應(yīng)答.這樣將威脅到路由器的泄密情況,因此,必須禁止其運(yùn)行,方法如下:

no cdp run
治理員也可以指定禁止某端口的CDP,比如:為了讓路由器內(nèi)部網(wǎng)絡(luò)使用CDP,而禁止路由器對(duì)外網(wǎng)的CDP應(yīng)答,可以輸入以下接口命令:

no cdp enable

5.HTTP服務(wù)的配置

現(xiàn)在許多CISCO設(shè)備,都答應(yīng)使用WEB界面來進(jìn)行控制配置了,這樣可以為初學(xué)者提供方便的治理,但是,在這方便的背后,卻隱藏了很大的危機(jī),為了能夠配置好HTTP服務(wù),本文也提一下如何配置吧.

使用ip http server命令可以打開HTTP服務(wù),使用no ip http server命令可以關(guān)閉HTTP服務(wù).為了安全考慮,假如需要使用HTTP服務(wù)來治理路由器的話,最好是配合訪問控制列表和AAA認(rèn)證來做,也可以使用enable password命令來控制登陸路由器的密碼.具體的配置是在全局模式下來完成的,下面是我們創(chuàng)建一個(gè)簡單的標(biāo)準(zhǔn)訪問控制列表配合使用HTTP服務(wù)的示例:
ip http server */打開HTTP服務(wù)
ip http port 10248 */定義10248端口為HTTP服務(wù)訪問端口
access-list 80 permit host 10.0.0.1 */創(chuàng)建標(biāo)準(zhǔn)訪問列表80,只答應(yīng)10.0.0.1主機(jī)通過
ip http access-class 80 */定義了列表號(hào)為80的標(biāo)準(zhǔn)訪問列表為HTTP服務(wù)答應(yīng)訪問的
ip http authentication aaa tacacs */增加AAA認(rèn)證服務(wù)來驗(yàn)證HTTP控制的主機(jī)

6.寫在最后的話
保護(hù)路由器并不是這樣簡單的事情,在很多實(shí)際應(yīng)用中,還需要很多輔助配置.為了保護(hù)路由器,各種各樣的安全產(chǎn)品都相繼出現(xiàn),比如給路由器添加硬件防火墻,配置AAA服務(wù)認(rèn)證,設(shè)置IDS入侵檢測等等吧.為了維護(hù)路由器的安全穩(wěn)定工作,我要告訴大家最重要的還是配置最小化IOS,沒有服務(wù)的設(shè)備,肯定沒有人能夠入侵,最小化的服務(wù)就是我們最大化的安全

上一篇：接入路由器搭建VoIP解決方案

下一篇：高管局網(wǎng)絡(luò)部署Juniper安全和路由平臺(tái)